Bên trong TAO: Các tài liệu tiết lộ Đơn vị Đột nhập Hàng đầu của NSA – Phần 3 và hết


 

Inside TAO: Documents Reveal Top NSA Hacking Unit

By SPIEGEL Staff

 

Theo: http://www.spiegel.de/international/world/the-nsa-uses-powerful-toolbox-in-effort-to-spy-on-global-networks-a-940969-3.html

 

Photo Gallery: A Powerful NSA ToolboxPhotos

Google Earth

Phần 3: Mạng bí mật của NSA

Part 3: The NSA’s Shadow Network

 

Lời người dịch: Cùng như Phần 2, phần này tiếp tục đưa ra bức tranh về qui trình, mục tiêu và các công cụ tấn công của các nhân viên của TAO đối với thế giới. Có nhiều chi tiết rất hữu dụng và có ích cho từ các nhà hoạch định chính sách cho tới người sử dụng đầu cuối các thiết bị tính toán để tránh những rủi ro về an toàn an ninh thông tin khi sử dụng. Xem các Phần [01], [02], [03]. Xem thêm: ‘Chương trình gián điệp PRISM trên không gian mạng‘.

Tải về bản dịch sang tiếng Việt tài liệu: “Catalog gián điệp của NSA” tại địa chỉ: http://ubuntuone.com/3OWV4m8FRNnDDx5G1UpOAO

Phương pháp chèn và các phương án của QUANTUM được liên kết chặt chẽ với một mạng bí mật được NSA vận hành cùng với Internet, với hạ tầng được giấu giếm tốt của riêng nó, bao gồm các bộ định tuyến router và các máy chủ “giấu giếm”. Dường như NSA cũng kết hợp các bộ định tuyến router và các máy chủ từ các mạng không phải của NSA vào mạng giấu giếm của nó bằng việc gây lây nhiễm cho các mạng đó bằng “các cài cắm” mà sau đó cho phép các tin tặc của chính phủ kiểm soát các máy tính ở xa. (Hãy nháy vào đây để đọc bài báo có liên quan về “các cài cắm” của NSA).

Theo cách này, cơ quan dịch vụ tình báo tìm cách nhận diện và lần vết các cái đích của mình dựa vào các dấu vết số của chúng. Các mã nhận diện đó có thể bao gồm các địa chỉ thư điện tử nhất định hoặc các cookies của các website được thiết lập trong máy tính của một người sử dụng. Tất nhiên, một cookie không tự động nhận diện được một con người, nhưng nó có thể nếu nó bao gồm thông tin bổ sung như một địa chỉ thư điện tử. Trong trường hợp đó, một cookie sẽ trở thành thứ gì đó giống tương đương một dấu vết web.

 

Đuổi bắt giữa các máy chủ

Một khi các đội của TAO đã thu thập được đủ dữ liệu về các thói quen của các đích ngắm của chúng, thì họ có thể chuyển sang chế độ tấn công, việc lập trình cho các hệ thống QUANTUM thực hiện công việc này theo một cách thức đa phần được tự động. Nếu một gói dữ liệu đặc trưng cho thư điện tử hoặc cookie của một cái đích đi qua một sợi cáp hoặc bộ định tuyến router bị NSA giám sát, thì hệ thống đó sẽ báo động. Nó xác định website nào người bị ngắm đích đang cố gắng truy cập và sau đó kích hoạt một trong các máy chủ giấu giếm của có quan dịch vụ tình báo, được biết với tên mã là FOXACID.

Máy chủ này của NSA ép người sử dụng đó kết nối tới các hệ thống giấu giếm của NSA thay vì các site người sử dụng có ý định. Trong trường hợp của các kỹ sư Belgacom, thay vì đi tới trang của LinkedIn mà họ thực sự từng cố gắng viếng thăm, thì họ cũng đã được hướng tới các máy chủ FOXACID nằm trong các mạng của NSA. Người sử dụng không dò tìm được ra, trang bị điều khiển đã truyền phần mềm độc hại được tùy biến trước rồi để khớp với các lỗ hổng an ninh trong máy tính của người bị ngắm đích.

Kỹ thuật này theo nghĩa đen có thể là một cuộc đuổi bắt giữa các máy chủ, một điều mà được mô tả trong tiếng lóng trong nội bộ của cơ quan tình báo này với mệnh đề như là: “Chờ cho con mồi khởi tạo kết nối mới”, “Đánh!” và “Hy vọng đánh được câu trả lời từ máy chủ tới máy trạm”. Giống như bất kỳ cuộc thi nào, có những lúc các công cụ giám sát mạng bí mật “quá chậm không thể thắng được cuộc đua”. Thường đủ, dù, chúng là có hiệu quả. Các cài cắm với QUANTUMINSERT, đặc biệt khi được sử dụng kếp hợp với LinkedIn, bây giờ có tỷ lệ thành công hơn 50%, theo một tài liệu nội bộ.

 

Nghe lén các cáp dưới biển

Cùng lúc, không có cách gì đúng để nói rằng NSA có những hiểu biết thấu đáo của nó được thiết lập một cách đặc biệt trong việc chọn các cá nhân. Thậm chí mối quan tâm lớn hơn là toàn bộ các mạng và các nhà cung cấp mạng, như các cáp quang mà định hướng một lượng lớn giao thông Internet toàn cầu cùng với các đáy biển trên thế giới.

Một tài liệu được gắn nhãn “tuyệt mật” và “không dành cho những người nước ngoài” mô tả sự truy cập của NSA trong việc gián điệp hệ thống cáp “SEA-ME-WE-4”. Đống cáp dưới biển khổng lồ này kết nối châu Âu với Bắc Phi và các nước vùng Vịnh và sau đó tiếp tục qua Pakistan và Ấn Độ, tất cả đường tới Malaysia và Thái Lan. Hệ thống cáp đó xuất phát ở miền nam nước Pháp, gần Marseille. Trong số các công ty sở hữu nó có France Telecom, bây giờ được biết tới như là Orange và vẫn một phần do nhà nước quản lý, và Telecom Italia Sparkle.

Tài liệu tuyên bố hãnh diện rằng, hôm 13/02/2013, TAO “đã thu thập thành công thông tin quản lý mạng đối với các Hệ thống Cáp Biển của SEA-Me-We (SMW-4). “Với sự giúp đỡ của một “chiến dịch cải trang website”, cơ quan đó đã có khả năng “giành được sự truy cập tới website quản lý của nhóm đó và đã thu thập được thông tin mạng Laver2 mà chỉ ra bản đồ mạch cho các phần mạng đáng kể”.

Dường như các tin tặc của chính phủ đã thành công ở đây một lần nữa bằng việc sử dụng phương pháp QUANTUMINSERT.

Tài liệu nói rằng đội của TAO đã đột nhập một website nội bộ của nhóm vận hành và đã sao chép các tài liệu được lưu trữ ở đó liên quan tới hạ tầng kỹ thuật. Nhưng điều đó cũng chỉ là bước đầu. “Nhiều hoạt động hơn sẽ được lên kế hoạch trong tương lai để thu thập nhiều thông tin hơn về điều này và các hệ thống cáp khác”, nó tiếp tục.

Nhưng nhiều tuyên bố nội bộ các cuộc tấn công thành công như cuộc tấn công đó chống lại các nhà vận hành cáp dưới đáy biển không phải là các yếu tố nhất thiết để làm cho TAO đứng ra trong NSA. Ngược lại đối với hầu hết các hoạt động của NSA, các mạo hiểm của TAO thường đòi hỏi sự truy cập vật lý tới các mục tiêu của chúng. Sau tất cả, bạn có thể có được sự truy cập trực tiếp tới một trạm truyền của mạng di động trước khi bạn có thể bắt đầu nghe lén được thông tin số nó cung cấp.

 

Gián điệp theo lối truyền thống

Để tiến hành các dạng hoạt động đó, NSA làm việc cùng với các cơ quan tình báo khác như CIA và FBI, đổi lại họ duy trì người cung cấp thông tin theo địa điểm, những người sẵn sàng giúp với các nhiệm vụ nhạy cảm. Điều này cho phép TAO tấn công thậm chí các mạng được cách li không có kết nối tới Internet. Nếu cần, FBI thậm chí có thể làm một chiếc phản lực tự có của nó sẵn sàng chở các thợ ống nước công nghệ cao tới đích của họ. Điều này đưa họ tới đích của họ đúng lúc và có thể giúp họ biến mất một lần nữa không dò tìm ra sau chỉ nửa giờ làm việc.

Việc đáp ứng cho một yêu cầu từ SPIEGEL, các quan chức NSA đã đưa ra một tuyên bố nói rằng, “TAO là một tài sản quốc gia độc nhất mà ở tiền tiêu của việc xúc tác cho NSA bảo vệ dân tộc và các đồng minh của nó”. Tuyên bố đó đã bổ sung thêm rằng “công việc của TAO được tập trung vào khai thác mạng máy tính trong sự hỗ trợ của bộ sự tập tình báo nước ngoài”. Các quan chức nói họ có thể không thảo luận những lý do đặc biệt về nhiệm vụ của TAO.

Đôi khi dường như là các vụ gián điệp hiện đại nhất thế giới chỉ dựa vào các phương pháp do thám thông thường như các bậc tiền bối.

Ví dụ, khi họ can thiệp vào việc xuất xưởng phân phối. Nếu một người bị ngắm đích, thì cơ quan hoặc công ty đặt hàng một máy tính mới hoặc các linh phụ kiện có liên quan, ví dụ thế, TAO có thể chuyển hướng việc xuất xưởng phân phối đó tới các hội thảo kỹ thuật bí mật của riêng nó. NSA gọi phương pháp này là sự chặn đường. Ở cái gọi là “các trạm tải”, các đặc vụ cẩn thận mở gói đó để tải các phần mềm độc hại vào đồ điện tử, hoặc thậm chí cài đặt các thành phần phần cứng mà có thể cung cấp truy cập cửa hậu cho các cơ quan tình báo. Tất cả các bước tiếp sau có thể sau đó được tiến hành thuận tiện từ một máy tính ở xa.

Những phá hoại nhỏ trong kinh doanh các gói hàng xuất xưởng nằm trong “các hoạt động có năng suất nhất” được các tin tặc NSA tiến hành, một tài liệu tuyệt mật có liên quan tới các khái niệm này. Phương pháp này, trình diễn tiếp tục, cho phép TAO giành được sự truy cập tới các mạng “khắp thế giới”.

Thậm chí trong Kỷ nguyên Internet, một số phương pháp gián điệp truyền thống tiếp tục diễn ra.

 

BÁO CÁO CỦA JACOB APPELBAUM, LAURA POITRAS, MARCEL ROSENBACH, CHRISTIAN STÖCKER, JÖRG SCHINDLER VÀ HOLGER STARK.

The insert method and other variants of QUANTUM are closely linked to a shadow network operated by the NSA alongside the Internet, with its own, well-hidden infrastructure comprised of "covert" routers and servers. It appears the NSA also incorporates routers and servers from non-NSA networks into its covert network by infecting these networks with "implants" that then allow the government hackers to control the computers remotely. (Click here to read a related article on the NSA’s "implants".)

In this way, the intelligence service seeks to identify and track its targets based on their digital footprints. These identifiers could include certain email addresses or website cookies set on a person’s computer. Of course, a cookie doesn’t automatically identify a person, but it can if it includes additional information like an email address. In that case, a cookie becomes something like the web equivalent of a fingerprint.

A Race Between Servers

Once TAO teams have gathered sufficient data on their targets’ habits, they can shift into attack mode, programming the QUANTUM systems to perform this work in a largely automated way. If a data packet featuring the email address or cookie of a target passes through a cable or router monitored by the NSA, the system sounds the alarm. It determines what website the target person is trying to access and then activates one of the intelligence service’s covert servers, known by the codename FOXACID.

Tapping Undersea Cables

At the same time, it is in no way true to say that the NSA has its sights set exclusively on select individuals. Of even greater interest are entire networks and network providers, such as the fiber optic cables that direct a large share of global Internet traffic along the world’s ocean floors.

One document labeled "top secret" and "not for foreigners" describes the NSA’s success in spying on the "SEA-ME-WE-4" cable system. This massive underwater cable bundle connects Europe with North Africa and the Gulf states and then continues on through Pakistan and India, all the way to Malaysia and Thailand. The cable system originates in southern France, near Marseille. Among the companies that hold ownership stakes in it are France Telecom, now known as Orange and still partly government-owned, and Telecom Italia Sparkle.

The document proudly announces that, on Feb. 13, 2013, TAO "successfully collected network management information for the SEA-Me-We Undersea Cable Systems (SMW-4)." With the help of a "website masquerade operation," the agency was able to "gain access to the consortium’s management website and collected Layer 2 network information that shows the circuit mapping for significant portions of the network."

It appears the government hackers succeeded here once again using the QUANTUMINSERT method.

The document states that the TAO team hacked an internal website of the operator consortium and copied documents stored there pertaining to technical infrastructure. But that was only the first step. "More operations are planned in the future to collect more information about this and other cable systems," it continues.

But numerous internal announcements of successful attacks like the one against the undersea cable operator aren’t the exclusive factors that make TAO stand out at the NSA. In contrast to most NSA operations, TAO’s ventures often require physical access to their targets. After all, you might have to directly access a mobile network transmission station before you can begin tapping the digital information it provides.

Spying Traditions Live On

To conduct those types of operations, the NSA works together with other intelligence agencies such as the CIA and FBI, which in turn maintain informants on location who are available to help with sensitive missions. This enables TAO to attack even isolated networks that aren’t connected to the Internet. If necessary, the FBI can even make an agency-owned jet available to ferry the high-tech plumbers to their target. This gets them to their destination at the right time and can help them to disappear again undetected after as little as a half hour’s work.

Responding to a query from SPIEGEL, NSA officials issued a statement saying, "Tailored Access Operations is a unique national asset that is on the front lines of enabling NSA to defend the nation and its allies." The statement added that TAO’s "work is centered on computer network exploitation in support of foreign intelligence collection." The officials said they would not discuss specific allegations regarding TAO’s mission.

Sometimes it appears that the world’s most modern spies are just as reliant on conventional methods of reconnaissance as their predecessors.

Take, for example, when they intercept shipping deliveries. If a target person, agency or company orders a new computer or related accessories, for example, TAO can divert the shipping delivery to its own secret workshops. The NSA calls this method interdiction. At these so-called "load stations," agents carefully open the package in order to load malware onto the electronics, or even install hardware components that can provide backdoor access for the intelligence agencies. All subsequent steps can then be conducted from the comfort of a remote computer.

These minor disruptions in the parcel shipping business rank among the "most productive operations" conducted by the NSA hackers, one top secret document relates in enthusiastic terms. This method, the presentation continues, allows TAO to obtain access to networks "around the world."

Even in the Internet Age, some traditional spying methods continue to live on.

REPORTED BY JACOB APPELBAUM, LAURA POITRAS, MARCEL ROSENBACH, CHRISTIAN STÖCKER, JÖRG SCHINDLER AND HOLGER STARK

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

http://vnfoss.blogspot.com/2014/01/ben-trong-tao-cac-tai-lieu-tiet-lo-on_7.html

Thank for your comments

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s