Аббревиатура | Tail Acc Ops, TAO |
---|---|
Формация | c.1997-2001 |
Тип | Постоянная угроза повышенной сложности |
Цель | Кибершпионаж, кибервойна |
Штаб-квартира | Форт-Мид |
Регион | США |
Методы | Нулевые дни, шпионское ПО |
Официальный язык | Английский |
Лидер | Роб Джойс |
Материнская организация | Сбор данных S3 |
Ранее называлась | Equation Group |
Офис специализированных операций доступа (TAO ), теперь Computer Network Operations, структурированная как S32, является подразделением кибервойны по сбору разведывательной информации Агентства национальной безопасности (NSA). Он был активен по крайней мере с 1998 года. TAO выявляет, отслеживает, проникает и собирает информацию о компьютерных системах, используемых иностранными для Соединенных Штатов организациями.
Сообщается, что TAO является "крупнейшим и, возможно, самым важным компонентом огромного Управления разведки сигналов (SID) АНБ (SIGINT ), состоящего из более чем 1000 военных и гражданские компьютерные хакеры, аналитики разведки, специалисты по нацеливанию, разработчики компьютерного оборудования и программного обеспечения, инженеры-электрики ".
Утечка документа бывшим подрядчиком АНБ Эдвардом Сноуденом в описании работы устройства говорится, что у TAO есть шаблоны программного обеспечения, позволяющие ему проникать в обычно используемое оборудование, включая «маршрутизацию» коммутаторов, коммутаторов и межсетевых экранов от различных производителей продуктов ». Инженеры TAO предпочитают подключаться к сетям, а не к изолированным компьютерам, потому что обычно в одной сети много устройств.
Штаб-квартира TAO называется Центром удаленных операций (ROC) и находится в штаб-квартира АНБ в Форт-Мид, Мэриленд. TAO также расширилась до NSA Hawaii (Wahiawa, Oahu), NSA Georgia (Fort Gordon, Georgia ), NSA Texas (Сан-Антонио, Техас) и АНБ Колорадо (База ВВС США Бакли, Денвер).
Подробная информация о программе под названием QUANTUMSQUIRREL указывает на способность NSA маскироваться под любой маршрутизируемый IPv4 или хост IPv6. Это позволяет компьютеру NSA генерировать ложное географическое местоположение и личные идентификационные данные при доступе к Интернету с использованием QUANTUMSQUIRREL.
изображение из презентации NSA, объясняющее возможность подмены IP-хоста QUANTUMSQUIRRELАНБ ANT каталог представляет собой 50-страничный секретный документ со списком технологий, доступный для США Агентства национальной безопасности (NSA) Tailored Access Operations ( TAO) Отделом передовых сетевых технологий (ANT) для помощи в кибер-наблюдении. Большинство устройств описаны как уже работающие и доступные гражданам США и членам альянса Five Eyes. Согласно Der Spiegel, который опубликовал каталог 30 декабря 2013 г., «список выглядит как каталог почтовых отправлений, из которого другие сотрудники АНБ могут заказать технологии у подразделения ANT для прослушивания. данные их целей ". Документ был создан в 2008 году. Исследователь безопасности Якоб Аппельбаум выступил с речью на Chaos Communications Congress в Гамбурге, Германия, на котором Он подробно описал методы, которые одновременно опубликовала статья Der Spiegel, которую он соавтором раскрыл из каталога.
TAO разработало набор атак, который они называют QUANTUM. Он полагается на скомпрометированный маршрутизатор, который дублирует интернет-трафик, обычно запросы HTTP, так что они направляются как на предполагаемую цель, так и на сайт NSA (косвенно). На сайте АНБ запущено программное обеспечение FOXACID, которое отправляет обратно эксплойты, которые загружаются в фоновом режиме в целевом веб-браузере до того, как у предполагаемого пункта назначения будет возможность ответить (неясно, способствует ли скомпрометированный маршрутизатор этой гонке на обратном пути.). До разработки этой технологии программное обеспечение FOXACID совершало целенаправленный фишинг атак, которые АНБ называли спамом. Если браузер можно использовать, на целевом компьютере устанавливаются дополнительные постоянные «имплантаты» (руткиты и т. Д.), Например OLYMPUSFIRE для Windows, которые предоставляют полный удаленный доступ к зараженной машине. Этот тип атаки является частью семейства атак "злоумышленник посередине", хотя, в частности, он называется атакой "злоумышленник в середине". Трудно сделать это, не контролируя некоторые из магистральных сетей Интернета..
Существует множество сервисов, которые FOXACID может использовать таким образом. Имена некоторых модулей FOXACID приведены ниже:
В сотрудничестве с британским Государственным управлением связи (GCHQ) (MUSCULAR ), Сервисы Google также могут быть атакованы, в том числе Gmail.
. Поиск компьютеров, которые можно использовать и которые стоит атаковать, осуществляется с помощью аналитических баз данных, таких как XKeyscore. Конкретный метод поиска уязвимых машин - это перехват трафика Windows Error Reporting, который регистрируется в XKeyscore.
Атаки QUANTUM, запущенные с сайтов АНБ, могут быть слишком медленными для некоторых комбинаций целей и служб поскольку они, по сути, пытаются использовать состояние гонки, то есть сервер NSA пытается опередить законный сервер своим ответом. По состоянию на середину 2011 года АНБ создавало прототип возможности под кодовым названием QFIRE, который включал в себя встраивание их серверов распространения эксплойтов в виртуальные машины (работающие на VMware ESX ), расположенные ближе к цели, в так называемой (SCS) сети по всему миру. Целью QFIRE было снизить задержку поддельного ответа, тем самым увеличив вероятность успеха.
COMMENDEER [sic ] используется для захвата (т. Е. Компрометации) нецелевых компьютерных систем. Программное обеспечение используется как часть QUANTUMNATION, в которую также входит сканер уязвимостей программного обеспечения VALIDATOR. Инструмент был впервые описан на Chaos Communication Congress в 2014 году Джейкобом Аппельбаумом, который охарактеризовал его как тиранический.
QUANTUMCOOKIE - более сложная форма атаки, которая может быть использовали против Tor пользователей.
Согласно статье 2013 года в Foreign Policy, TAO «все больше выполняет свою миссию, отчасти благодаря сотрудничеству на высоком уровне. тайно получает от «большой тройки» американских телекоммуникационных компаний (ATT, Verizon и Sprint ), большинства крупных американских интернет-провайдеров и многих ведущих производителей программного обеспечения для компьютерной безопасности и консалтинговых компаний ». В бюджетном документе TAO на 2012 год утверждается, что эти компании по указанию TAO «вставляют уязвимости в коммерческие системы шифрования, ИТ-системы, сети и устройства связи конечных точек, используемые целями». Ряд американских компаний, включая Cisco и Dell, впоследствии сделали публичные заявления, отрицающие, что они вставляют такие лазейки в свои продукты. Microsoft заранее предупреждает NSA уязвимостей, о которых ему известно, до того, как исправления или информация об этих уязвимостях станет общедоступной; это позволяет TAO выполнять так называемые атаки нулевого дня. Официальный представитель Microsoft, отказавшийся назвать свое имя в прессе, подтвердил, что это действительно так, но сказал, что Microsoft не может нести ответственность за то, как АНБ использует эту предварительную информацию.
Поскольку В 2013 году главой TAO стал Роб Джойс, сотрудник с более чем 25-летним стажем, ранее работавший в Агентстве национальной безопасности (IAD). В январе 2016 года Джойс редко появлялся на публике, когда выступал на конференции Usenix's Enigma.