Bên trong TAO: Các tài liệu tiết lộ Đơn vị Đột nhập Hàng đầu của NSA – Phần 2


 

Inside TAO: Documents Reveal Top NSA Hacking Unit

By SPIEGEL Staff

Theo: http://www.spiegel.de/international/world/the-nsa-uses-powerful-toolbox-in-effort-to-spy-on-global-networks-a-940969-2.html

 

Photo Gallery: A Powerful NSA ToolboxPhotos

Part 2: Targeting Mexico

 

Lời người dịch: Phần này đưa ra bức tranh về qui trình, mục tiêu và các công cụ tấn công của các nhân viên của TAO đối với thế giới. Có nhiều chi tiết rất hữu dụng và có ích cho từ các nhà hoạch định chính sách cho tới người sử dụng đầu cuối các thiết bị tính toán để tránh những rủi ro về an toàn an ninh thông tin khi sử dụng. Xem các Phần [01], [02], [03]. Xem thêm: ‘Chương trình gián điệp PRISM trên không gian mạng‘.

Tải về bản dịch sang tiếng Việt tài liệu: “Catalog gián điệp của NSA” tại địa chỉ: http://ubuntuone.com/3OWV4m8FRNnDDx5G1UpOAO

Ban Thư ký bộ Công an Mexico, đơn vị mới được đưa vào Ủy ban An ninh Quốc gia vào đầu năm 2013, từng chịu trách nhiệm khi đó tại nước này về cảnh sát, chống khủng bố, hệ thống nhà tù và cảnh sát biên giới. Hầu hết 20.000 nhân viên của Ban này đã làm việc ở tổng hành dinh ở Avenida Constituyentes, một huyết mạch giao thông quan trọng ở thành phố Mexico. Phần lớn các nhà chức trách an ninh Mexico dưới các cái ô của Ban này đã giám sát từ các văn phòng ở đó, làm cho Avenida Constituyentes trở thành một cửa duy nhất cho bất kỳ việc tìm kiếm nào để biết được nhiều hơn về bộ máy an ninh của nước này.

Chiến dịch WHITETAMALE

Điều đó được cân nhắc, chỉ định cho đơn vị TAO trách nhiệm về các hoạt động tùy biến để nhằm vào Ban trở nên có nhiều ý nghĩa. Sau tất cả, một tài liệu nói, Bộ An ninh Nội địa Mỹ và các cơ quan tình báo Mỹ có một nhu cầu biết mọi điều về buôn bán ma túy, buôn người và an ninh dọc biên giới Mỹ – Mexico. Ban đó là một “mỏ vàng” tiềm năng cho gián điệp của NSA, một tài liệu nói. Các nhân viên của TAO đã chọn các hệ thống mà các quản trị viên và các kỹ sư viễn thông ở cơ quan đó của Mexico như là các mục tiêu của họ, vì thế làm cho sự bắt đầu của những gì đơn vị đó gọi là chiến dịch WHITETAMALE.

Các nhân viên ở văn phòng lựa chọn đích của NSA cũng đã nhằm vào bà Angela Merkel vào năm 2002 trước khi bà trở thành thủ tướng Đức, đã gửi cho TAO một danh sách các quan chức trong Ban đó của Mexico mà họ nghĩ có thể làm thành các mục tiêu thú vị. Như là bước đầu tiên, TAO đã thâm nhập các tài khoản thư điện tử các quan chức của mục tiêu, một công việc khá dễ dàng. Sau đó, họ đã thâm nhập vào toàn bộ mạng và đã bắt đầu lấy dữ liệu.

Các gián điệp của NSA đã sớm có được hiểu biết về các máy chủ của cơ quan đó, bao gồm cả các địa chỉ IP, các máy tính được sử dụng cho giao thông thư điện tử và các địa chỉ cá nhân của các nhân viên khác nhau. Họ cũng đã có được các sơ đồ các cấu trúc của các cơ quan an ninh, bao gồm cả sự giám sát bằng video. Dường như hoạt động đã tiếp tục nhiều năm cho tới khi SPIEGEL lần đầu tiên nêu về nó vào tháng 10.

Khái niệm kỹ thuật cho dạng hoạt động này là “Khai thác Mạng Máy tính” – CNE (Computer Network Exploitation). Mục tiêu ở đây là để “phá các thiết bị đầu cuối”, theo một trình bày nội bộ trong NSA mà SPIEGEL đã thấy. Bài trình diễn đi tiếp liệt kê gần như tất cả các dạng thiết bị mà chạy trong cuộc sống số của chúng ta – “các máy chủ, các máy trạm, tường lửa, định tuyến router, máy cầm tay, chuyển mạch điện thoại, các hệ thốn SCADA, …”.

Các hệ thống SCADA là các hệ thống kiểm soát công nghiệp được sử dụng trong các nhà máy, cũng như trong các nhà máy điện. Bất kỳ ai mà có thể đưa các hệ thống đó dưới sự kiểm soát của họ đều có khả năng tiềm tàng đánh gục các phần của hậ tầng sống còn của một quốc gia.

Sử dụng dạng tấn công khét tiếng và nổi tiếng này từng là sự phát triển của Stuxnet, sâu máy tính mà sự tồn tại của nó từng được phát hiện vào tháng 06/2010. Con virus đó từng được các cơ quan tình báo Mỹ và Israel cùng phát triển để phá hoại chương trình hạt nhân của Iran, và thành công. Chương trình hạt nhân của nước này từng bị đẩy lùi vài năm sau khi Stuxnet đã điều khiển công nghệ kiểm soát SCADA được sử dụng trong các cơ sở làm giàu uranium của Iran ở Natanz, biến khoảng 1.000 máy li tâm thành không sử dụng được.

Đơn vị đặc biệt của NSA có phòng phát triển riêng của mình, trong đó các công nghệ mới được phát triển và kiểm thử. Đơn vị này là nơi mà những người thích tinh chỉnh thực sự có thể được tìm thấy, và khả năng sáng tạo của họ khi nói về việc tìm ra các cách thức để thâm nhập vào các mạng, máy tính và điện thoại thông minh khác gợi lên một sự hiện đại trên Q, nhà sáng tạo gadget huyền thoại trong các bộ phim về James Bond.

 

Vui đùa trong thiệt hại của Microsoft

Một ví dụ về sự sáng tạo lớn với nó các gián điệp của TAO tiếp cận công việc của họ có thể được thấy trong một phương pháp đột nhập mà họ sử dụng để khai thác hệ điều hành Microsoft Windows thiên về có lỗi. Mỗi người sử dụng hệ điều hành đó quen với cửa sổ quấy rầy ngẫu nhiên nhảy ra trên màn hình khi một vấn đề nội bộ được tìm thấy, một thông điệp tự động nhắc người sử dụng báo cáo lỗi cho nhà sản xuất và khởi động lại chương trình đó. Các báo cáo hỏng đó đưa ra cho các chuyên gia của TAO một cơ hội được chào đón để gián điệp các máy tính.

SPIEGEL ONLINE

Thông điệp lỗi gốc ban đầu của Microsoft được NSA khai thác

 

Khi TAO chọn một máy tính ở đâu đó trên thế giới như là một mục tiêu và đưa mã nhận diện duy nhất (một địa chỉ IP, ví dụ thế) vào cơ sở dữ liệu tương ứng, các đặc tình sau đó tự động được thông báo về bất kỳ thời gian nào hệ điều hành của máy tính đó hỏng và người sử dụng nó sẽ nhận được một nhắc nhở báo cáo vấn đề đó cho Microsoft. Một trình chiếu nội bộ gợi ý chính công cụ gián điệp XKeyscore mạnh của NSA được sử dụng để đánh bắt các bảo cáo hỏng ngoài biển các giao thông Internet khổng lồ.

Các báo cáo hỏng được tự động hóa là một “cách thức gọn gàng” để giành được “sự truy cập thụ động” tới một máy tính, trình chiếu tiếp tục. Sự truy cập thụ động có nghĩa là, ngay từ đầu, chỉ các dữ liệu mà máy tính đó gửi đi ra Internet được bắt lấy và được lưu lại, nhưng bản thân máy tính đó còn chưa bị điều khiển. Hơn nữa, thậm chí sự truy cập thụ động này tới các thông điệp lỗi đưa ra sự hiểu thấu đáo có giá trị trong các vấn đề với máy tính của một người bị ngắm đích và, vì thế, thông tin về các lỗ hổng an ninh có thể là khai thác được cho việc cài cắm phần mềm độc hại hoặc phần mềm gián điệp vào máy tính mà nạn nhân không hay biết gì.

Dù phương pháp đó dường như có ít tầm quan trọng trong các khái niệm thực tiễn, thì các đặc vụ NSA dường như vẫn vui thú với nó vì nó cho phép họ có một chút trò cười trên sự phí tổn của người khổng lồ phần mềm có trụ sở ở Seattle. Trong một hình nội bộ, họ đã thay thế văn bản thông điệp lỗi gốc ban đầu của Microsoft bằng một thông điệp đọc cho riêng họ, “Thông tin này có thể bị một hệ thống tình báo dấu hiệu (SIGINT) can thiệp để thu thập thông tin chi tiết và khai thác tốt hơn máy tính của bạn”.

SPIEGEL ONLINE

 

Một slide nội bộ: “Thông tin này có thể bị một hệ thống tình báo dấu hiệu – SIGINT can thiệp để thu thập thông tin chi tiết và khai thác tốt hơn máy tính của bạn”.

Một trong những nhiệm vụ chính của các tin tặc là tấn công thâm nhập các máy tính đích với cái gọi là cài cắm hoặc với số lượng lớn các Trojan. Họ đã sở hữu các công cụ gián điệp tốt nhất với các biệt danh có tính minh họa như "ANGRY NEIGHBOR," "HOWLERMONKEY" hoặc "WATERWITCH". Các tên đó có thể nghe gắt, nhưng các công cụ mà họ mô tả thì vừa hung hăng, vừa hiệu quả.

Theo các chi tiết trong kế hoạch ngân sách hiện hành của Washington cho các dịch vụ tình báo Mỹ, khoảng 85.000 máy tính khắp thế giới được cho là sẽ bị các chuyên gia của NSA thâm nhập cho tới cuối năm nay. Tới nay đa số các “cài cắm” đó được các đội TAO tiến hành thông qua Internet.

Sự tinh vi đang gia tăng

Cho tới chỉ ít năm trước, các đặc vụ của NSA còn dựa vào các phương pháp y hệt được các tội phạm không gian mạng sử dụng để tiến hành các cài cắm đó vào các máy tính. Họ đã gửi các thư tấn cồn có chủ đích được ngụy trang như các liên kết có chứa spam nhằm những người sử dụng tới các website bị lây nhiễm virus. Với tri thức đủ về các lỗ hổng an ninh của một trình duyệt Internet – tất cả điều cần làm để cài cắm phần mềm độc hại của NSA vào máy tính của một người là đối với cá nhân người đó sẽ mở một website mà từng được bị can thiệp đặc biệt để làm tổn thương máy tính của người sử dụng đó. Việc đánh spam có một nhược điểm chính: nó rất thường không làm việc.

Dù vậy, TAO đã cải thiện đột ngột các công cụ đó khi xử lý. Nó duy trì một hộp công cụ tinh vi phức tạp được biết trong nội bộ với cái tên là “QUANTUMTHEORY”. “Các nhiệm vụ chắc chắn của QUANTUM có tỷ lệ thành công cao mức 80%, trong khi spam ít hơn 1%”, một trình chiếu nội bộ của NSA nêu.

Một trình chiếu nội bộ tổng thể với tiêu đề “CÁC KHẢ NĂNG CỦA QUANTUM” mà SPIEGEL đã thấy được, liệt kê hầu như mọi nhà cung cấp dịch vụ Internet nổi tiếng như là một mục tiêu, bao gồm cả Facebook, Yahoo, Twitter và YouTube. “QUANTUM của NSA có thành công lớn nhất chống lại Yahoo, Facebook và các địa chỉ IP tĩnh”, nó nói. Trình chiếu đó cũng lưu ý rằng NSA từng không có khả năng sử dụng phương pháp này để nhằm vào những người sử dụng các dịch vụ của Google. Hình như, điều đó chỉ có thể được cơ quan dịch vụ tình báo GCHQ của Anh thực hiện, nó đã có được các công cụ QUANTUM từ NSA.

Một công cụ ưa thích của các tin tặc của cơ quan dịch vụ tình báo này là “QUANTUMINSERT”. Các nhân viên của GCHQ đã sử dụng phương pháp này để tấn công các máy tính của các nhân viên ở công ty viễn thông Bỉ do nhà nước quản lý Belgacom, để sử dụng các máy tính của họ thâm nhập thậm chí xa hơn vào các mạng của công ty. Trong khi đó NSA đã sử dụng công nghệ y hệt để nhằm vào các thành viên cao cấp của Tổ chức các nước xuất khẩu dầu lửa – OPEC ở tổng hành dinh của họ ở Vienna. Trong cả 2 trường hợp, nhóm gián điệp xuyên Đại tây dương đó đã giành được sự truy cập không giấu giếm tới các dữ liệu kinh tế có giá trị bằng việc sử dụng các công cụ đó.

Mexico’s Secretariat of Public Security, which was folded into the new National Security Commission at the beginning of 2013, was responsible at the time for the country’s police, counterterrorism, prison system and border police. Most of the agency’s nearly 20,000 employees worked at its headquarters on Avenida Constituyentes, an important traffic artery in Mexico City. A large share of the Mexican security authorities under the auspices of the Secretariat are supervised from the offices there, making Avenida Constituyentes a one-stop shop for anyone seeking to learn more about the country’s security apparatus.

Operation WHITETAMALE


That considered, assigning the TAO unit responsible for tailored operations to target the Secretariat makes a lot of sense. After all, one document states, the US Department of Homeland Security and the United States’ intelligence agencies have a need to know everything about the drug trade, human trafficking and security along the US-Mexico border. The Secretariat presents a potential "goldmine" for the NSA’s spies, a document states. The TAO workers selected systems administrators and telecommunications engineers at the Mexican agency as their targets, thus marking the start of what the unit dubbed Operation WHITETAMALE.

Workers at NSA’s target selection office, which also had Angela Merkel in its sights in 2002 before she became chancellor, sent TAO a list of officials within the Mexican Secretariat they thought might make interesting targets. As a first step, TAO penetrated the target officials’ email accounts, a relatively simple job. Next, they infiltrated the entire network and began capturing data.

Soon the NSA spies had knowledge of the agency’s servers, including IP addresses, computers used for email traffic and individual addresses of diverse employees. They also obtained diagrams of the security agencies’ structures, including video surveillance. It appears the operation continued for years until SPIEGEL first reported on it in October.

The technical term for this type of activity is "Computer Network Exploitation" (CNE). The goal here is to "subvert endpoint devices," according to an internal NSA presentation that SPIEGEL has viewed. The presentation goes on to list nearly all the types of devices that run our digital lives — "servers, workstations, firewalls, routers, handsets, phone switches, SCADA systems, etc." SCADAs are industrial control systems used in factories, as well as in power plants. Anyone who can bring these systems under their control has the potential to knock out parts of a country’s critical infrastructure.

The most well-known and notorious use of this type of attack was the development of Stuxnet, the computer worm whose existence was discovered in June 2010. The virus was developed jointly by American and Israeli intelligence agencies to sabotage Iran’s nuclear program, and successfully so. The country’s nuclear program was set back by years after Stuxnet manipulated the SCADA control technology used at Iran’s uranium enrichment facilities in Natanz, rendering up to 1,000 centrifuges unusable.

The special NSA unit has its own development department in which new technologies are developed and tested. This division is where the real tinkerers can be found, and their inventiveness when it comes to finding ways to infiltrate other networks, computers and smartphones evokes a modern take on Q, the legendary gadget inventor in James Bond movies.

 

Having Fun at Microsoft’s Expense

One example of the sheer creativity with which the TAO spies approach their work can be seen in a hacking method they use that exploits the error-proneness of Microsoft’s Windows. Every user of the operating system is familiar with the annoying window that occasionally pops up on screen when an internal problem is detected, an automatic message that prompts the user to report the bug to the manufacturer and to restart the program. These crash reports offer TAO specialists a welcome opportunity to spy on computers.

SPIEGEL ONLINE

The original Microsoft error message exploited by the NSA

When TAO selects a computer somewhere in the world as a target and enters its unique identifiers (an IP address, for example) into the corresponding database, intelligence agents are then automatically notified any time the operating system of that computer crashes and its user receives the prompt to report the problem to Microsoft. An internal presentation suggests it is NSA’s powerful XKeyscore spying tool that is used to fish these crash reports out of the massive sea of Internet traffic.

The automated crash reports are a "neat way" to gain "passive access" to a machine, the presentation continues. Passive access means that, initially, only data the computer sends out into the Internet is captured and saved, but the computer itself is not yet manipulated. Still, even this passive access to error messages provides valuable insights into problems with a targeted person’s computer and, thus, information on security holes that might be exploitable for planting malware or spyware on the unwitting victim’s computer.

Although the method appears to have little importance in practical terms, the NSA’s agents still seem to enjoy it because it allows them to have a bit of a laugh at the expense of the Seattle-based software giant. In one internal graphic, they replaced the text of Microsoft’s original error message with one of their own reading, "This information may be intercepted by a foreign sigint system to gather detailed information and better exploit your machine." ("Sigint" stands for "signals intelligence.")

SPIEGEL ONLINE

An NSA internal slide: "This information may be intercepted by a foreign SIGINT system to gather detailed information and better exploit your machine."

One of the hackers’ key tasks is the offensive infiltration of target computers with so-called implants or with large numbers of Trojans. They’ve bestowed their spying tools with illustrious monikers like "ANGRY NEIGHBOR," "HOWLERMONKEY" or "WATERWITCH." These names may sound cute, but the tools they describe are both aggressive and effective.

According to details in Washington’s current budget plan for the US intelligence services, around 85,000 computers worldwide are projected to be infiltrated by the NSA specialists by the end of this year. By far the majority of these "implants" are conducted by TAO teams via the Internet.

Increasing Sophistication

Until just a few years ago, NSA agents relied on the same methods employed by cyber criminals to conduct these implants on computers. They sent targeted attack emails disguised as spam containing links directing users to virus-infected websites. With sufficient knowledge of an Internet browser’s security holes — Microsoft’s Internet Explorer, for example, is especially popular with the NSA hackers — all that is needed to plant NSA malware on a person’s computer is for that individual to open a website that has been specially crafted to compromise the user’s computer. Spamming has one key drawback though: It doesn’t work very often.

Nevertheless, TAO has dramatically improved the tools at its disposal. It maintains a sophisticated toolbox known internally by the name "QUANTUMTHEORY." "Certain QUANTUM missions have a success rate of as high as 80%, where spam is less than 1%," one internal NSA presentation states.

A comprehensive internal presentation titled "QUANTUM CAPABILITIES," which SPIEGEL has viewed, lists virtually every popular Internet service provider as a target, including Facebook, Yahoo, Twitter and YouTube. "NSA QUANTUM has the greatest success against Yahoo, Facebook and static IP addresses," it states. The presentation also notes that the NSA has been unable to employ this method to target users of Google services. Apparently, that can only be done by Britain’s GCHQ intelligence service, which has acquired QUANTUM tools from the NSA.

A favored tool of intelligence service hackers is "QUANTUMINSERT." GCHQ workers used this method to attack the computers of employees at partly government-held Belgian telecommunications company Belgacom, in order to use their computers to penetrate even further into the company’s networks. The NSA, meanwhile, used the same technology to target high-ranking members of the Organization of the Petroleum Exporting Countries (OPEC) at the organization’s Vienna headquarters. In both cases, the trans-Atlantic spying consortium gained unhindered access to valuable economic data using these tools.

 

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

http://vnfoss.blogspot.com/2014/01/ben-trong-tao-cac-tai-lieu-tiet-lo-on_6.html

Thank for your comments

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s