“第四方收集”，俯瞰全球情报支撑网络刺探活动

信息的暴露和传播随时影响着国与国之间的情报战战局。古往今来，机密二字对谍报人员意味着巨大的吸引和潜藏的能量。本文披露了美方计算机网络作战部队开展的“第四方收集”活动是如何通过对非合作伙伴的计算机网络实施的刺探加以利用来进行情报收集的。

原文 | 《Menwith Hill Station's Horizen newsletter》

编译 | 创宇智库

寄信人：xxxx   

曼维斯山站（ F77 ）

运行时间：01 / 07 / 2008

下载本文英文版 PDF ：4th party collection

曼维斯山站计算机网络作战部队正忙于开展“第四方收集”活动。所谓“第四方收集”即一项允许情报部门对非五眼计算机网络刺探（ Computer Network Exploitation，简称 CNE ）活动加以利用的技术。该刺探活动可由国家资助，或者说，具有投机性。但当某目标国收集另一目标国数据时，美国情报体系（ Intelligence Community，简称 IC ）就可以对该信息加以利用。

该领域最初关注于培养反键盘记录器的能力（特别是库尔德斯坦民主党针对多个目标所做的尝试）。键盘记录器是出于协作或恶意目的安装在计算机上的软件或硬件，用来捕捉击键记录、截屏、聊天、密码，登陆信息等。键盘记录器用来识别与 IC 目标相关的活动，使用相当普遍。

报文处理系统（ Message Handling System，简称 MHS ）的兴趣点不仅包括渗出的数据，还包括安装键盘记录器软件的渗出发起方。某些初始阶段工作已识别出被认为与库尔德斯坦安全部门相关的网络。研究表明，针对政府公务人员及网络的 CNE 活动发生在以下几个地点：北伊拉克埃尔比勒城（ Erbil <注释 1 > ）、伊朗不同地区，以及伊拉克外交部。

刺探方法涉及商用键盘记录器“ Perfect Keylogger ”的使用。这款键盘记录器记录所在计算机上的数据并将该数据发送至一个可配置<注释 2 >的电子邮件地址，这些活动的数据随即被发送至被认为可溯源至库尔德斯坦民主党（ Kurdistan Democratic Party，简称 KDP ）相关方面的电子邮件账户。

目标计算机网络多位于伊朗及伊拉克境内。来自至少五个不同专有域名的电子邮件地址收到了键盘记录报告。这些域名注册于伊拉克埃尔比勒。在任何情况下，目标受众都似乎具有某种影响力，之所以被选中是因为这些人与库尔德斯坦地区政府有一定关联。至少伊拉克外交部的一台计算机已遭受此类 CNE 活动的入侵。针对这些个体的键盘记录被发送至 Gmail 账户。这些账户可以表明，渗出数据接收者企图从不同地点获取数据。经证实，键盘记录报告接收者与被认为属于 KDP 的 MAC 地址有关。

键盘记录器可以对受害者电脑中的登陆/密码、其他电子邮件地址，电话号码，及文件进行分析。对此，采用传统通讯情报（ SIGINT ）获取途径则不大可能实现。KDP 的 CNE 活动动态已被发送至 NSA 乔治亚分部库尔德“首要目标办公室”（ Target Office of Primary Interest，简称 TOPI ）及美国国家安全局（ National Security Agency，简称 NSA ）/美国中央安全局（ Central Security Service，简称 CSS ）威胁行动中心操作报文处理系统（ MHS ）的分析师手中。

如需获得“第四方收集”相关更多信息，请与 MHS CNO 团队取得联系。

联系方式：xxxxxxxx

POC：xxxxxxxx

注释1： 也称“伊尔比尔”（ Irbil ）和“埃尔比勒”（ Arbila ）

注释2： 可配置——允许用户创建电子邮箱地址的因特网注册域名

原文 | 《Menwith Hill Station's Horizen newsletter》

编译 | 创宇智库