RSS Feed
更好更安全的互联网

NSA 野心勃勃,数字武器竞赛已经展开

2015-03-12

640

原文来源 | 明镜在线(SPIEGEL ONLINE)

编译 | 知道创宇智库

第一部分:NSA 为美国未来战争做准备

641

NSA 的大规模监控活动仅仅是个开端。爱德华·斯诺登披露的文档展显示,美国的情报机构正在为未来的数字战争作武装准备。一场针对因特网掌控权的争夺战已经拉开帷幕。

与传统公司相关联的项目不同,Politerain 计划由美国政府情报组织——“美国国家安全局”( NSA )运作。更准确地说,它由 NSA “特定入侵行动”( TAO )部门(入侵特别行动队)的数字阻击手们具体运作。

实习生候选人还被告知,对第三方计算机的调查可能包括“通过攻击硬件设施远程压制或捣毁敌方计算机、路由器,服务器及其他网络设备”。例如,他们可能被要求用一款名为“热情的波尔卡”( Passionatepolka )的程序“远程 brick 网卡”、用“狂战士”( Berserkr )等程序植入“持久后门”及“寄生驱动”,用另一款名为“仓火”( Barnfire )的程序擦掉许多敌国政府骨干网品牌服务器上的 BIOS 。

实习生的任务可能还包括远程捣毁硬盘驱动的功能。实习项目的终极目标是“培养攻击者心态”。

实习生技能列表创建于八年前。如今,攻击者心态已成为 NSA 数据间谍的信条。情报服务也不仅仅是为了实现因特网通信的大规模监控。对于五眼情报联盟(由美国、英国、加拿大,澳大利亚和新西兰组成)的数字间谍来说尤为如此。

D(“数字” Digital 首写字母)武器诞生

《明镜》周刊独家报道,根据 NSA 告密者爱德华•斯诺登发布的顶级机密文档,NSA 正在为因特网起关键作用的未来战争做准备,旨在通过这种做法实现运用专属网络使计算机网络以及受计算机网络控制的所有潜在架构(包括电力水力供给、工厂、机场,或资金流)陷入瘫痪的目标。

二十世纪,科学家们发明了所谓的 ABC 武器,该名称由“原子”( Atomic )、“生物”( Biological ),“化学”( Chemical )三个英文词汇的首写字母组成。实现部署可调节且至少部分被取缔足足花费了几十年时间。因特网战争的新数字武器目前已部署完毕。但这些 D 武器几乎无国际惯例或监管当局,仅有的法则就是适者生存。

加拿大媒介理论家马歇尔•麦克卢汉( Marshall McLuhan )早在几十年前就预见了这些部署。他曾于 1970 年写道,“第三次世界大战是场军民普遍参与的信息游击战”。这也正是间谍们今天需要面对的现实。

美国陆军、海军、海军陆战队,及空军,已经各自建立起自己的网络部队。但起主导作用的 NSA 也属于正式军方机构。NSA 局长同时担任美国网络司令部指挥官绝非偶然。美国头号数据间谍、海军上将迈克尔•罗杰斯( Michael Rogers ),同时也是其首席网络战士。他手下近 40,000 名雇员同时肩负数字间谍和摧毁性网络攻击的双重任务。

监控活动仅处于“零阶段”

从军方的角度看,对因特网的监控活动在美国数字战争策略中仅处于“零阶段”。NSA 内部文档指出这是接下来一切事情的前提。他们表示,监控的目的是侦查敌方系统中的漏洞。一旦“恶意植入”成功渗入敌方系统,“永久访问”随即成为可能,接下来就到达了第三阶段。此阶段在文档中以单词“ dominate ”(支配)为标题。NSA 可以通过零阶段预先定位好的访问路径对关键系统和网络进行随心所欲的控制或摧毁。NSA 将“重要架构”定义为对社会运转重要的一切事物,包括能源、通讯,交通运输等。内部文件阐明:最终目标是实现“实时控制的逐步升级”。

一份 NSA 内部的文档宣称:“下一次重大冲突将始于网络空间。”为此,NSA 目前正在花大力气数字武装自己。为了增强计算机网络攻击行动力度,2013 年, NSA 在机密情报方面的预算大约为 10 亿美元,仅“非常规解决方案”一项就增加了 32,000,000 美元。

关于网络攻击与刺探的 NSA 文档:

• NSA 计算机网络作战预算机密文件节选/代号“精灵”( GENIE ) / Excerpt from the secret NSA budget on computer networkoperations / Code word GENIE

• 关于“远程作战中心”( ROC )终端作战扩张的文档 / Document about the expansion of the Remote Operations Center ( ROC ) on endpoint operations

• 解释“远程作战中心”( ROC )作用的文档 / Document explaining the role of the Remote Operations Center ( ROC )

• 对 NSA “入侵特别行动队”( TAO )部门某雇员工作领域的采访 / Interview with an employee of NSA's department for TailoredAccess Operations about his field of work

• 供应链阻断/破解“通讯情报”( SIGINT )高难目标的黑客技术 / Supply-chain interdiction / Stealthy techniques can cracksome of SIGINT's hardest targets

• “计算机网络刺探”( CNE )分类指南 / Classification guide for computer network exploitation ( CNE )

• NSA 在计算机网络作战方面的培训课程 / NSA training course material on computer network operations

• NSA 网络综合作战方法概览 / Overview of methods for NSA integrated cyber operations

• NSA 第三方计算机攻击识别及数据处理项目描述 / NSA project description to recognize and process data that comes from third party attacks on computers

• 用 BADASS 探索入侵具有漏洞的移动应用 / Exploring and exploiting leaky mobile apps with BADASS

• “入侵特别行动队”( TAO )/“入侵技术作战”( ATO )部门远程捣毁网卡等项目概览 / Overview of projects of the TAO / ATO department such as theremote destruction of network cards

• 通过苹果独一无二的设备识别器( UDID )对 iPhone 目标进行的分析与刺探 / iPhone target analysis and exploitation with Apple's uniquedevice identifiers ( UDID )

• NSA 某雇员针对 OpenSSH 守护进程后门的报告 / Report of an NSA Employee about a Backdoor in the OpenSSH Daemon

• NSA 文档:关于通过未知第三方优质网络连接对计算机进行远程控制的“量子射手”( QUANTUMSHOOTER )植入程序 / NSA document on QUANTUMSHOOTER,an implant to remote-controlcomputers with good network connections from unknown third parties

近年来,专家们基于多项指标,将恶意软件归结为由 NSA 及五眼情报联盟所为。其中包括用来攻击伊朗核计划的“震网”项目及一款强大的名为“ Regin ”的木马间谍软件。这款间谍软件在感染了一名德国高级官员交至德国总理安哥拉•默克尔( Angela Merkel )手中的 USB 闪存盘后造成了一时的轰动。2011 年,特工们还利用 Regin 对欧盟、欧盟执行委员会,及比利时电信公司 Belgacom 展开攻击。

间谍们可以利用常规途径攻破任意安全软件。实质上,所有因特网用户都在承受着遭受数据攻击的风险。

这些新近流出的文档还为其他揭秘文档带来了一些新的启示。尽管一次名为“量子插入”( Quantuminsert )的攻击已被《明镜》周刊及其他媒体报道,文档表明其在现实情况的成功率低,且很可能被“量子匕首”( Quantumdirk )等更多可靠的攻击取代。Quantumdirk 将恶意内容注入到由 Facebook 及 Yahoo 提供的聊天服务中。被“奇异海峡”(Straitbizarre)感染的电脑可转变为一次性、非归属“射手”节点。这些节点可以接受来自 NSA 量子网络的消息,用来“命令及控制”特大规模的活跃刺探及攻击。机密特工也通过 Safari 浏览器中的漏洞对移动电话进行入侵,从而获得敏感数据且远程植入恶意代码。

斯诺登文档显示,在这场数据游击战中,军民之间几乎没有分别。任何因特网用户数据或计算机都有可能蒙受损失。线下世界也同样面临着潜在危险。例如,对于运用“仓火”( Barnfire )等 D 武器以“程序出错”为借口毁坏或“ brick ”医院控制中心的情况,即使没有移动电话的人群也会受到牵连。

情报机构还采用“合理推诿”作为因特网作战的指导方针。为保证实施能力,他们还特意隐藏攻击作者的踪迹。

通过这种惊人做法,数字间谍们别有用心地动摇了全球法律的根基。这种做法旨在将因特网转变成一个不受法律管控的区域。超级大国及其机密组织根据各自的想法进行运作,几乎完全不用为自己的行为负责。

关于恶意软件及植入的 NSA 文档:

• 加拿大通讯安全局( CSEC )文档:如何识别木马及其他“网络异常行为”/ CSEC document about the recognition of trojans and other"network based anomaly"

• 分析师选择数据要求并了解必要工具的形式化过程 / The formalized process through which analysts choose theirdata requirement and then get to know the tools that can do the job

• 量子理论( QUANTUMTHEORY ):一组允许对 TCP / IP 连接进行侧干扰攻击的技术,其中包括“奇异海峡”( STRAITBIZZARE )和“无畏邪灵”( DAREDEVIL )/ QUANTUMTHEORY is a set of technologies allowingman-on-the-side interference attacks on TCP / IP connections (includes STRAIGHTBIZARRE and DAREDEVIL)

• 来自五眼情报联盟的恶意软件程序示例代码 / Sample code of a malware program from the Five Eyes alliance

归因过程具有一定难度,要求大量诊断工作。但在新泄露的文档中,至少有几个指针。例如,Querty 键盘记录器就是斯诺登归档文件的一部分。这是一款用来秘密截获受害者所有击键记录且将其记录在案的软件。事实上,键盘记录器相当普通甚至相当过时。类似软件早已出现在许多应用中,因此似乎不会造成任何急性危险。但里面包含的源代码确实泄露了一些有趣的细节。据推测,这种键盘记录器可能属于“勇士荣耀”( Warriorpride )程序(一款供五眼情报联盟所有合作机构共同使用的通用世界语软件)中大型模块军械库的一部分,有时甚至具有入侵 iPhone 等能力。由《明镜》周刊发布的文档包括键盘记录器用来加速进一步研究、建立适当防御的示例代码。

“就是一帮黑客”

远程作战中心( Remote Operations Center , 简称 ROC )代号 S321 ,地处马里兰州米德堡 NSA 总部。在这里工作的男男女女构成了作为 NSA 最重要团队之一的秘密作战部队。S321 雇员们的办公场所位于 NSA 校园其中一幢主楼的三层。斯诺登归档文件中的一份报告中,某位 NSA 男雇员在回忆他们当时是如何开展这项工作时调侃 ROC 雇员——“就是一帮黑客”。根据报告中的描述,大家更像是以一种“点到点的方式”工作。但如今的流程已经“更加系统化”。早在 NSA 管理人员 2005 年夏季对 ROC 部门进行大规模扩建之前,该部门就有着“你的数据就是我们的数据,你的设备就是我们的设备”的座右铭。

关于渗出的 NSA 文档:

• 将被动与主动方法相结合、从被攻击网络渗出数据的 APEX 方法诠释 / Explanation of the APEX method of combining passive with activemethods to exfiltrate data from networks attacked

• 将渗出网络流量置于允许合力推诿模式的 APEX 成型诠释 / Explanation of APEX shaping to put exfiltrating networktraffic into patterns that allow plausible deniability

• 介绍 NSA 如何利用“时尚裂缝”( FASHIONCLEFT )协议从内部木马和植入中渗出数据 / Presentation on the FASHIONCLEFT protocol that the NSA uses to exfiltrate data from trojans and implants to the NSA

• 离线设备数据渗出方法 / Methods to exfiltrate data even from devices which aresupposed to be offline

• 详细介绍 NSA 项目“脊椎抽液”( SPINALTAP )如何将主动作战数据与被动信号数据合并 / Document detailing SPINALTAP,an NSA project to combine datafrom active operations and passive signals intelligence

• NSA 用来从木马抽取及植入数据的名为“时尚裂缝”( FASHIONCLEFT )协议的技术描述 / Technical description of the FASHIONCLEFT protocol the NSA uses to exfiltrate data from Trojans and implants to the NSA

这些特工们坐在各自的显示器前全天候轮班工作。NSA 的 S31177 部门(代号 Transgression )的工作状态很好地昭示了 NSA 距离“全球网络支配”的这一目标还有多远。

该部门的任务就是追踪来自国外的网络攻击,对其进行观察与分析,并在最佳形势下窃取情报机构竞争对手们获得的见解。这种形式的“网络反情报”可算得上当代间谍活动中最复杂的形式。

第二部分:NSA 如何窃取其他间谍的情报

除了描绘美国的数字进攻能力外,斯诺登归档文件还透漏了他国的谍报能力。 Trangression 团队可以自由访问多年来初级领域的工作成果和经验,包括拥有对来自他国的恶意软件及网络攻击方的数据库的控制权限。

斯诺登文件说明 NSA 及其五眼情报联盟伙伴近年来将其他国家发起的多次网络攻击作为己用。一份 2009 年的文档声明该部门的职责是“发现、理解,评估”来自国外的攻击。另一份文档写道:“窃取他们的工具、间谍情报技术,目标,及捕获量。”

2009 年,NSA 某部门注意到一起影响到美国国防部工作人员的数据泄露事件。该部门追踪到一个来自亚洲,起攻击指挥中心作用的 IP 地址。截至侦破工作结束,美方不仅成功将攻击者溯源至中国,还从来自中方的其他攻击点挖掘到情报。其中,包括从联合国窃取的数据。后来,在中方进一步秘密收集联合国内部数据的过程中,NSA 工作人员继续在米德堡读取从中方获得的情报。“NSA 能够挖掘到中方收集的情报,”一份 2011 年报告对此次成功做出报道。SIGINT 为“通信情报”( signals intelligence )的简写形式。

这种“坐收渔翁之利”的做法非常奏效,NSA 甚至将其命名为“第四方收集”。所有非五眼情报联盟国都被视作这种“非常规”技术的潜在目标。德国也不例外。

“难追踪、难定位”

斯诺登文档显示,在第四方收集的帮助下,NSA 过去十年来在侦查众多数据间谍事件过程中取得成功,从而得出许多攻击源于中国和俄罗斯的结论。NSA 还让“入侵特别行动对”( TAO )部门追踪中方使用的控制服务器 IP 地址,从而侦查到中国人民解放军内部负责人。NSA 特工注释道,此过程并不容易。中方显然在不断更换 IP 地址,使目标“难追踪、难定位”。即便如此,文档末尾讲述他们终于成功入侵了一台中央路由器。

该文档暗示,当 NAS 试图扭转局面、追踪攻击者时,情况变得更具有挑战性。在对海量乏味数据进行费力查找过后,他们终于在渗入某位中方军队高级官员的电脑后获得了与美国政府及世界范围内他国政府相关的目标。此外,他们还能够获得来自中国的恶意软件源代码。

关于第四方收集的 NSA 文档:

• 一位 NSA 雇员对第五方获取的描述/第四方收集对象对某监控人实施监控的情况 / Description of an NSA employee on fifth party access / When the targeted fourth party has someone under surveillance who puts others under surveillance

• 第四方收集/利用非合作伙伴计算机网络入侵行为 / 4th party collection / Taking advantage of non-partner computer network exploitation activity

• 攻防任务相结合/如何履行第四方任务 / Combination of offensive and defensive missions / Howfourth-party missions are being performed

• 对国外“计算机网络进攻”( CNA )/ “计算机网络刺探”( CNE )进行分析与入侵的 TRANSGRESSION 计划概览 / Overview of the TRANSGRESSION program to analyze and exploit foreign CNA / CNE exploits

• NSA “雪景球”( SNOWGLOBE )计划示例,对疑似法国政府木马程序展开分析,调查其可否为我所用 / NSA example SNOWGLOBE,in which a suspected French government trojan is analyzed to find out if it can be helpful for own interests

• NSA 第四方收集/“我喝了你的奶昔” / NSA fourth party access / "I drink your milkshake"

• NSA 用来对第三方攻击工具进行再加工的 TUTELAGE 程序 / NSA Program TUTELAGE to instrumentalize third party attacktools

• 代号“拜占庭阴谋”( BYZANTINE HADES )/ NSA 对中方网络刺探工具、目标,及行动者进行的调查 / Codename BYZANTINE HADES / NSA research on the targets of Chinesenetwork exploitation tools, the targets and actors

• 加拿大通讯安全局( CSEC )文档:计算机木马植入现状分析 / CSEC document on the handling of existing trojans when trojanizing computers

• 中方在计算机网络刺探方面的方法运用及行动实施分析 / Analysis of Chinese methods and performed actions in thecontext of computer network exploitation

但也不乏中方作战成功的案例。斯诺登文档中有一份对 NSA 内部近几年蒙受损失的评估。报告指出,仅美国防部就登记了 30,000 起已知事件;1,600 多台连至其网络的计算机遭到黑客入侵。用于损失评估及网络维护的代价高得惊人——竟超过 1 亿美元。

攻击中涉及“敏感军用技术”的数据包括空中加油时间表、军队后勤统筹系统、海军导弹导航系统、核潜艇相关信息,导弹防御,及其他顶级机密防御项目。

当然,怀有对一切了如指掌欲望的国家还不止中国、美国、俄罗斯和英国。若干年前,美国特工在某次监控活动中发现了一起源自伊朗的黑客入侵,代号为“偷窥狂”,而代号为“雪景球”( SNOWGLOBE )的一系列攻击则似乎源自法国。

化防为攻

对国外网络攻击的搜寻工作由 NSA 及其五眼情报联盟伙伴大规模发起。“监护”( Tutelage )系统可以识别入侵并确保入侵者无法接近目标。

斯诺登文档中的示例不限于源自中国的攻击。相对原始的“低轨道离子炮”( Low Orbit Ion Cannon,简称 LOIC )也被提及。这个名字源于匿名者抗议运动中用于禁止目标网站的恶意软件。一篇文档指出, Tutelage 在此例中用于识别和屏蔽实施拒绝服务攻击的 IP 地址。

NSA 还可以将其防御转化为源于己方的攻击。该方法被描述为“逆向工程,重新目标化软件”,涉及僵尸网络。僵尸网络有时由上百万台被偷偷安装恶意软件的普通用户计算机组成。这些计算机作为“僵尸大军”的一部分,可以通过远程控制使多家公司陷入瘫痪或遭受勒索敲诈。如果受感染主机位于美国内部,相关信息就会被转至 FBI 受害者救助办公室。然而,被可入侵僵尸机器感染的主机可能会通过“量子机器人”( Quantumbot )攻击遭到劫持。该计划在 NSA 文档中被标示为“挑战勇士”( Defiantwarrior ),据说可以提供“渗透网络分析优点”和“一次性无归属计算机网络攻击( CNA )节点”等优势。该系统令用户电脑易受攻击并偷偷将其用于可以溯源至无辜受害者的网络作战。 Quantumbot 非但未向因特网私人用户提供保护,反而将他们用作人体盾牌以掩饰源自己方的攻击。

关于僵尸网络接管的 NSA 文档

• NSA 机器人和“挑战勇士”( DEFIANTWARRIOR )计划概览 / Overview on the NSA use of bots and the DEFIANTWARRIOR program

• “隐身火蜥蜴”( HIDDENSALAMANDER )计划 / 识别僵尸网络行为并提供客户端及数据接管选项 / HIDDENSALAMANDER / Program for the recognition of botnetactivity and options for takeover of clients and data

NSA 远程作战中心( ROC )的专家们拥有一整套数字万能钥匙及破解方法,甚至可以入侵保护措施最为严密的计算机网络。他们为手上的工具起了些听起来颇具侵略性的名字,好比正为网络罪犯开一家应用商店。植入工具“锤音”( Hammerchant )允许记录网络通话( VoIP )。“狐酸”( Foxacid )则允许特工们不断向小型恶意程序添加功能,即便在安装于目标计算机后。该程序的标志是一只熔化在酸液中尖叫的狐狸。 NSA 拒绝对行动细节给予评论,而是一再坚持此种做法并不违法的说法。

但和进展顺利的数字战争武器开发一样,只要一提到攻破并监控第三方网络,就会出现一个潜在的悖论:例如,情报机构服务如何才能使自身免受其害,不被私人黑客、罪犯,或其他情报机构成功渗入?

为对恶意软件施加控制,远程入侵中心( ROC )仍通过自己的影子网络与其保持相连,高度敏感的电话记录、恶意程序,和密码就通过此连接传播。

攻破此网络的动机巨大。对任意 VPN 秘钥、密码,及后门的收集显然都能派上大用场。此类密码和密钥的持有者理论上可以洗劫银行账户、破坏军事部署、克隆战斗机,关闭电厂。这与“全球网络支配”效果不相上下。

但情报界具有分裂型人格特征。NSA 的工作既是对因特网展开防御,又是对其安全漏洞发起入侵,同时扮演着警察与小偷的双重角色。这与间谍们广泛坚守的信条一致,即“泄露对方机密,保护己方机密。”

结果,一些被黑服务器犹如高峰时段的巴士,来往人流络绎不绝。然而,差别在于服务器拥有者对此事一无所知。而预设当局者则站在一侧袖手旁观。

“毫不知情的数据骡子”

这很荒谬——间谍们忙于间谍活动的同时也在被其他间谍监控。作为回应,他们例行公事地隐蔽行踪或制造假身份。在技术条款中,ROC 按以下方式制造假行踪:在第三方计算机遭到渗透后,数据渗出(将收集到的数据输出)活动随即展开。但窃取的数据并不直接转到 ROC 的 IP 地址,而是路由到一个所谓的“替罪羊目标”( Scapegoat Target )。这意味着窃取的数据可能会出现在其他人的服务器上,转而嫁祸于人。

当然,在数据出现在“替罪羊目标”上时,NSA 就会利用其大规模监控架构对数据进行截获与复制,然后发送至 ROC 。但此类掩盖手法增加了相关情报机构受控或不受控形势的加剧。

毋庸置疑,能被逐步攻破、入侵、监控,或作为僵尸网络滥用的不仅仅是计算机。移动电话也可以被用作从用户手中窃取雇主信息的工具。不知情的受害者(手机被间谍程序感染的用户)就是这样将信息从办公室私运出来。然后,这些信息在受害者下班回家的途中继而遭到远程劫持。数字间谍们采用了毒贩子们的俚语来形容这些未遭怀疑的共犯们——“毫不知情的数据骡子”。

NSA 特工丝毫不用担心会被抓到。部分原因是他们的雇主异常强大,此外他们也没留下任何能在法庭上站得住脚的证据。没有任何违法行为的证据,就没有法律制裁,也没有议会对情报部门的控制或国际协定。因此,截至目前,大众对于这些新型 D 武器的风险和副作用还知之甚少,而且政府对此几乎未采取任何调节措施。

爱德华·斯诺登曾透漏,在 NSA 的领导下,全球情报机构如何致力于在因特网上确立一个司法的真空地带。他在近期接受美国公共广播 PBS 采访时表达了自己的担忧,“与其说防御,毋宁说冒犯更准确些。”

斯诺登认为此事非常令人担忧,并表示:“我们需要做的是建立一系列新的行为规范。”


原文来源:明镜在线(SPIEGEL ONLINE)

编译:知道创宇智库

本文英文版原文链接:The Digital Arms Race: NSA Preps America for Future Battle

作者:明冉 刘 | Categories:创宇智库 | Tags:

发表评论