美国“量子”网络战系统小记(转载)
时间:2022-08-09 19:42:01 | 来源:网站运营
时间:2022-08-09 19:42:01 来源:网站运营
Tailored Access Operations(接入技术行动处),简称TAO,是国家安全局(NSA)的网络战情报收集单位。根据前美国国家安全局局长、现任美国国家安全分析师迈克尔·海登将军的说法,它至少从 1998 年开始活跃,也可能是 1997 年,但直到“2000年的最后几天”才被命名或构建为TAO。据报道,TAO是“美国国家安全局庞大的信号情报局(SID)中最大且可以说是最重要的组成部分,由1,000多名军事和民用计算机黑客、情报分析员、目标专家、计算机硬件和软件设计师以及电气工程师”。其主要职责是负责识别、监控、渗透和收集有关美国境外实体使用的计算机系统的情报。根据斯诺登透露,前 NSA 承包商Edward Snowden泄露的一份描述该部门工作的文件称,TAO 拥有软件模板,允许其侵入常用硬件,包括“来自多个产品供应商线的路由器、交换机和防火墙”。TAO 工程师更喜欢利用网络而不是孤立的计算机,因为通常在单个网络上有许多设备。
TAO 的总部被称为远程操作中心(ROC),位于马里兰州米德堡的 NSA 总部。TAO 还扩展到NSA 夏威夷(瓦希瓦,瓦胡岛)、NSA 佐治亚州(戈登堡,佐治亚州)、NSA 德克萨斯(联合基地圣安东尼奥,德克萨斯)和NSA 科罗拉多(巴克利太空部队基地,丹佛)。
- S321——远程操作中心 (ROC):在远程操作中心,600 名员工收集来自世界各地的信息。
- S323——数据网络技术分支(DNT):开发自动化间谍软件。
- S3231——访问部门(ACD)
- S3232——网络网络技术部(CNT)
- S3234——计算机技术部(CTD)
- S3235——网络技术部(NTD)
- S324——电信网络技术分部(TNT):
- 改进网络和计算机黑客攻击方法。
- S325——基础运营分部(MIT):
- 运行上面提供的软件。
- S328——接入技术运营部门(ATO):
- 据报道,包括由中央情报局和联邦调查局借调的人员,他们执行所谓的“网外行动”,这意味着他们安排中央情报局特工在计算机和电信设备上秘密安装窃听设备海外系统,以便 TAO 的黑客可以从米德堡远程访问它们。
- 装备特殊的潜艇,目前是吉米卡特号,用于窃听全球光纤电缆。
- S3283——远征访问行动(EAO)
- S3285——Persistence Division
Tailored Access Operations 部门的疑似和确认目标包括中国、欧佩克、和墨西哥公共安全秘书处等国家和国际实体。该集团还通过SEA-ME-WE 4瞄准全球通信网络——一种在新加坡、马来西亚、泰国、孟加拉国、印度、斯里兰卡、巴基斯坦、阿拉伯联合酋长国、沙特阿拉伯、苏丹、埃及、意大利、突尼斯、阿尔及利亚和法国之间承载电信的光纤海底通信电缆系统。此外,瑞典的Försvarets radioanstalt (FRA)为 QUANTUM 合作提供了光纤链路。TAO 的 QUANTUM INSERT 技术被传递给英国的服务,特别是GCHQ的MyNOC,后者用它来瞄准Belgacom和GPRS 漫游交换(GRX)提供商,如Comfone、Syniverse和 Starhome。与CIA和FBI合作,TAO 被用来拦截在线购买的笔记本电脑,将它们转移到安装了间谍软件和硬件的秘密仓库,并将它们发送给客户。TAO 还针对互联网浏览器Tor和Firefox。根据外交政策2013 年的一篇文章,TAO 已经“越来越完成其使命,部分归功于它秘密地从‘三大’美国电信公司(AT&T、Verizon和Sprint)获得的高层合作,其中大部分位于美国的大型 Internet 服务提供商,以及许多顶级计算机安全软件制造商和咨询公司。” 2012 年 TAO 预算文件声称,这些公司应 TAO 的要求,“将漏洞插入目标使用的商业加密系统、IT 系统、网络和端点通信设备中”。许多美国公司,包括思科和戴尔随后发表公开声明,否认他们在产品中插入了此类后门。在公众获得有关这些漏洞的修复程序或信息之前,微软向 NSA 提供其所知道的漏洞的预先警告;这使 TAO 能够执行所谓的零日攻击。一位拒绝在媒体上透露姓名的微软官员证实,情况确实如此,但表示微软不能对 NSA 如何使用这些预先信息负责。
攻击模式:
QUANTUMINSERT(量子注入):该模块具备向正常网络流量中注入恶意流量的攻击能力。这是360云端安全大脑迄今发现的数量最多的Quantum(量子)攻击方式。该模块主要用于美国国家安全局(NSA)劫持世界各地互联网用户的正常网页浏览流量,将用户希望访问的正常合法网站劫持到NSA的FoxAcid仿冒网站服务器上,通过FoxAcid发送各类浏览器0day(零日)漏洞,并完成对互联网用户的定点或批量攻击,远程控制用户网络端,向用户上网终端植入各种美国国家安全局(NSA)的复杂后门程序进行情报窃取。
QUANTUMBOT(量子傀儡):NSA也会针对网络空间中的黑客组织进行网络攻击,夺取黑客组织的网络资源,为自身的后续黑客攻击 活动提供技术支持。该模块提供一种远程操控网络空间中任意僵尸网络的攻击能力。通过劫持僵尸网络命令控制的网络流量,直接接管相关僵尸网络资源,再操控这些僵尸网络发起破坏性的攻击活动,隐藏NSA的黑客攻击痕迹。
QUANTUMBISCUIT(量子饼干):该模块用于增强Quantum(量子)注入攻击,针对攻击目标建立Quantum(量子)注入攻击的代理跳板,目的是防止NSA的黑客攻击行为被溯源发现,该模块也常用于NSA针对特定目标的网络环境实施Quantum(量子)攻击,定制部署攻击跳板。
QUANTUMDNS(量子DNS):该模块具有对网络流量DNS的劫持攻击能力。通过该模块,NSA可以劫持互联网所有网站域名的DNS解析,重定向网站流量,同时还可以配合FOXACID平台实施漏洞攻击。
QUANTUMHAND(量子掌握):根据现有技术证据显示,该模块提供了针对脸书(Facebook)等重要美国境内网站的流量劫持能力,针对浏览相关网站的网络流量进行漏洞攻击,植入美国国家安全局(NSA)的复杂后门程序。这种攻击能力令人发指,美国国家安全局(NSA)会针对世界各国访问脸书、推特、油管、亚马逊等美国网站的几乎所有互联网用户发起无差别的网络攻击。
QUANTUMPHANTOM(量子幻影):为防止美国国家安全局(NSA)向其它国家实施的网络攻击被追踪溯源,该模块提供了一种利用网络链路中间节点劫持技术实现攻击源隐藏的先进网络攻击能力。例如:NSA使用一个假冒IP地址作为命令控制,劫持与这个假冒IP通信的网络路由节点链路,在网络链路的中途节点进行被动监听和流量操控,隐藏NSA真实的后门命令控制地址。
QUANTUMSKY(量子天空):该模块提供了一种网络通信阻断能力,通过RST复位报文中断特定的网络连接,主要用于NSA劫持和阻止特定目标访问特定网站的流量。
QUANTUMCOPPER(量子警察):该模块针对网络通信流量中的文件提供了篡改能力,使NSA的攻击可以针对网络流量中的文件上传和下载进行劫持,实施中断破坏或后门植入感染等网络攻击。
QUANTUMSMACKDOWN(量子下载):该模块提供了恶意网络流量的分析能力,可以阻断和抽取下载网络流量中的恶意荷载及恶意样本等,主要用于NSA对攻击目标非美国攻击源的失陷情报收集,也可以防御和分析自身网络环境中的恶意流量。