NSA部署自動化項目：可根據QQ飛信鎖定監控目標

新浪科技訊 北京時間3月13日下午消息，The Intercept網站周三刊文，基於愛德華·斯諾登(Edward Snowden)曝光的最新機密檔案更詳細地介紹了美國國家安全局(NSA)的監控技術。檔案顯示，NSA能根據用戶是否使用谷歌、雅虎、Skype、飛信和QQ等信息來鎖定監控目標。

5.來自用戶的線索。包括與MSN Passport、谷歌、雅虎、Youtube、Skype、Paltalk、飛信、QQ和Hotmail有關的用戶Cookies、注冊信息和個人檔案檔案夾，以及通過STARPROC識別出的活躍用戶。

機密檔案顯示，美國國家安全局(以下簡稱“NSA”)正在大幅提升入侵電腦的能力，希望借助自動化系統來降低人工參與度。

這份機密檔案是由NSA前僱員愛德華·斯諾登(Edward Snowden)提供的，裏面包含了有關這種革命性監視技術的新細節。NSA希望通過植入惡意軟件的方式，利用這項自動化技術感染全球數以百萬的電腦。NSA可以借助該秘密項目入侵目標電腦，並從海外的互聯網和電話網絡中提取數據。

該項目使用的基礎設施來自NSA總部所在地米德堡，以及英國和日本的間諜基地。英國情報機構GCHQ似乎也為其提供了幫助。

某些情況下，NSA還會裝成Faceboook伺服器，利用該社交網絡作為跳板來感染目標電腦，從而提取硬碟中的檔案。還有些情況下，他們會發出附帶惡意軟件的垃圾電子郵件，然后利用電腦的麥克風錄製音頻，或用攝像頭錄製視頻。這套黑客系統還可以幫助NSA發動網絡攻擊，中斷對方的檔案下載或阻止其訪問網站。

這種模式曾經是專門為數百個難以攻擊的目標預留的，這些目標的通訊信息難以通過傳統的監聽手段獲得。但檔案顯示，NSA過去10年逐步用電腦代替人工來從事一些工作，從而大幅加快項目進度。這套名為“渦輪”(TURBINE)系統希望通過自動控制系統來大幅擴大目前的植入網絡的規模。

在一份日期為2009年8月的機密檔案中，NSA描述了這個名為“專家系統”的秘密基礎設施的預編程部分。該系統“像人腦”一樣管理植入程序的各種功能，而且可以“決定”哪些工具最適合從被感染的電腦中提取數據。

網絡安全公司F-Secure首席研究館米考·海珀寧(Mikko Hypponen)表示，NSA的這項監視技術可能會對網絡安全造成影響。“當他們在系統上部署惡意軟件時，可能會給這些系統製造新的漏洞，導致其更容易遭受第三方的攻擊。”他。

海珀寧認為，政府或許有足夠的理由針對一小部分目標植入惡意軟件。但通過自動化系統向數以百萬的電腦植入惡意軟件可能會令局面失控。

“擁有網絡”

NSA 10年前開始大幅加快黑客活動。機密檔案顯示，該機構2004年的植入網絡只有100至150台被感染的電腦。但之后6至8年，一個名為Tailored Access Operations(以下簡稱“TAO”)的精英部門招募了一批新的黑客，開發了新的惡意軟件工具，從而把被感染的電腦數量增加到數萬台。

為了滲透海外電腦網絡，並監控通過其他手段難以獲取的通訊信息，NSA希望突破傳統的SIGINT電子通訊監控模式的限制，轉而擴大這種主動監聽措施的規模——直接滲透目標電腦或網絡設備。

該檔案顯示，NSA將此稱作“一種更激進的SIGINT”，而TAO的使命就是全力擴大這一項目。但NSA也意識到，完全通過人工方式來管理龐大的植入網絡並非易事。“主動SIGINT/攻擊的一大挑戰在於規模。”2009年的這份機密檔案稱。

於是，他們啟動了“渦輪”系統，希望以此實現大規模的入侵。該項目可以大幅減輕NSA黑客的工作強度。機密文檔稱，該系統可以減輕用戶壓力，使之不必了解細節。例如，用戶可以索要有關X應用的所有細節信息，但卻不必知道該應用的檔案、注冊表項和用戶應用數據的存儲方式和存儲地點。

在實踐中，這就意味“渦輪”系統可以自動完成原本需要手工完成的關鍵程序，包括配置被感染的電腦，以及從被感染的系統中搜集數據。但這不僅僅是一項技術進步，還代表了NSA內部的重大策略調整，他們希望藉此將監視行動推向新的高度。

一份未標注日期的NSA機密文檔，就描述了“渦輪”系統如何將NSA的CNE和CNA兩大植入網絡的規模，從幾百台電腦擴充到幾百萬台。CNE專門從電腦和網絡中截取情報，CNA則負責對電腦和網絡實施破壞。

之前有報導稱，斯諾登提供的檔案表明，NSA已經在全世界的8.5萬至10萬台電腦中植入了惡意軟件，今后還計劃繼續擴大這一數字。

檔案顯示，NSA還將“渦輪”項目列為一個名為“擁有網絡”(Owning the Net)的大型項目的一部分。該機構去年為“擁有網絡”項目申請了6760萬美元的資金，其中有一部分被分配給“渦輪”系統，用於擴大該系統的範圍，並提升自動化程度。

[NT:PAGE=$]

繞開加密

NSA擁有多種惡意軟件工具，而不同工具針對不同目的而訂製。

其中一種代號為“UNITEDRAKE”的工具可以與多種“插件”配合使用，使NSA獲得被入侵計算機完整的控制權。

例如，一種名為“CAPTIVATEDAUDIENCE”的插件可以控制目標計算機的麥克風，記錄附近發生的對話。另一種插件“GUMFISH”能控制目標計算機的攝像頭並拍攝照片。此外，“FOGGYBOTTOM”能記錄互聯網瀏覽歷史數據，並收集用戶登錄網站和電子郵件帳戶的用戶名和密碼，“GROK”用於記錄鍵盤輸入，而“SALVAGERABBIT”能獲取連接至計算機的U盤中的數據。

這些惡意軟件使NSA能繞開用於加強隱私保護的加密工具。目前，一些加密工具希望幫助用戶匿名瀏覽互聯網，或是在電子郵件的發送過程中加密內容。然而，通過這些惡意軟件，NSA能直接訪問目標計算機，而此時用戶的通信尚未獲得加密保護。

目前尚不清楚，NSA每年使用多少次這些惡意軟件，以及哪些惡意軟件仍活躍在用戶的計算機中。

此前有報導稱，NSA與以色列合作，開發了Stuxnet惡意軟件，而這一工具破壞了伊朗的核設施。另有報導稱，NSA與以色列合作部署了名為Flame的惡意軟件，攻擊了位於中東國家的計算機，並監控相關的通信。

根據斯諾登提供的檔案，這些技術被用於尋找恐怖主義嫌疑人，以及被NSA定性為“極端分子”的人物。不過，NSA黑客獲得的授權並不僅限於與美國國家安全有關的目標。

在內部討論版的一篇保密文章中，NSA下屬信號情報局的一名人員介紹了如何使用惡意軟件攻擊美國國外移動運營商和互聯網服務提供商的系統管理員。通過劫持一名管理員的計算機，情報部門能秘密獲取這名管理員所在公司的通信。這名NSA的工作人員表示：“系統管理員是達到目的的手段。”

這篇內部文章題為“狩獵系統管理員”，很明確地表明恐怖分子並非NSA攻擊的唯一目標。根據這名工作人員的法，攻擊系統管理員幫助情報機構更方便地瞄準其他利益相關目標，包括“該系統管理員所管理網絡中的政府官員”。

英國類似NSA的部門政府通信總局(GCHQ)也採取了類似的做法。德國《明鏡周刊》去年9月報導稱，GCHQ攻擊了比利時電信運營商Belgacom網絡工程師的計算機。

這一任務的代號為“Operation Socialist”，目的是使GCHQ能監控連接至Belgacom網絡的手機。機密檔案顯示，這一任務獲得了成功，而至少從2010年開始，該情報部門就可以秘密訪問Belgacom的系統。

不過，攻擊移動通信網絡並不是這些惡意軟件的全部功能。NSA設計了一些惡意軟件，能大規模感染美國國外互聯網服務提供商的路由器。通過攻擊這些路由器，情報機構能秘密監控互聯網流量，記錄用戶的訪問記錄，甚至攔截通信。

NSA的兩款工具“HAMMERCHANT”和“HAMMERSTEIN”可以植入路由器中，從而攔截通過VPN(虛擬私有網絡)發送的數據，甚至對這些數據進行“利用性攻擊”。VPN技術使用加密通道來加強互聯網會話的安全性和私密性。

這些惡意軟件還能追蹤通過Skype和其他VoIP軟件進行的通話，顯示撥打電話用戶的用戶名。如果VoIP對話的音頻數據通過無加密的RTP(實時傳輸協議)包來發送，那麼惡意軟件還能記錄音頻數據，並發送至NSA供進一步分析。

不過根據機密檔案，NSA的惡意軟件並非全部用於收集情報。某些情況下，NSA的目標是干擾通信，而非監控通信。例如，2004年開發的一款惡意軟件“QUANTUMSKY”被用於阻止目標對象訪問某些網站。而2008年首次測試的軟件“QUANTUMCOPPER”能破壞目標的檔案下載。這兩種“攻擊”技術出現在一個機密列表中。這一列表列出了NSA的9款黑客工具，其中6款用於情報收集。此外還有1款工具用於“防禦”目的，即保護美國政府的網絡不受入侵。

“大規模使用”的潛力

在利用惡意軟件獲得數據或攻擊某一系統之前，NSA首先需要在目標計算機或網絡中安裝惡意軟件。

根據2012年時的一份密檔案，NSA通過發送垃圾郵件並吸引目標點擊惡意連結來傳播惡意軟件。一旦惡意軟件激活，那麼一款“后門工具”將在8秒鐘時間內干擾用戶的計算機。

這一代號為“WILLOWVIXEN”的工具只有一個問題。根據檔案的介紹，通過垃圾郵件來傳播的做法近年來成功率下降，因為互聯網用戶開始對來源不明的電子郵件提高警惕，不太可能點擊看起來可疑的連結。

因此，NSA開始探索更新、更先進的黑客技術，例如所謂的“中間人(man-in-the-middle)”和“旁觀者(man-on-the-side)”攻擊方式。這些攻擊方式能將用戶的互聯網瀏覽器悄悄定向至NSA的伺服器，從而感染這些計算機。

為了進行“旁觀者”攻擊，NSA使用秘密的全球數據訪問網絡來監控目標的互聯網流量。當目標訪問某一網站時，NSA將可藉此進行攻擊。此時，NSA的監控感測器將提示“TURBINE”系統，后者將在一秒鐘時間內向目標計算機的IP地址“灌輸”數據包。

在一種代號為“QUANTUMHAND”的“旁觀者”攻擊中，NSA將自己裝成Facebook伺服器。當目標登錄Facebook網站時，NSA將發送惡意數據包，使目標計算機認為其正在訪問真正的Facebook網站。通過將惡意軟件隱藏在看似普通的Facebook頁面中，NSA將可以攻擊目標計算機，並從計算機硬碟中獲取數據。一段密的動演示了這種攻擊方式。

檔案顯示，在對十余名目標驗證有效之后，“QUANTUMHAND”於2010年10月投入使用。

根據賓夕法尼亞大學監控和加密專家馬特·佈雷茲(Matt Blaze)的法，“QUANTUMHAND”似乎是瞄準特定的目標。不過他也擔心，這一工具如何被整合至NSA自動化的“TURBINE”系統。

佈雷茲表示：“如果你將這種能力置於主幹基礎設施中，那麼像我一樣的軟件和信息安全工程師都會認為非常可怕。請忘記NSA如何使用這一工具。我們如何知曉這一工具被正確地使用，以及僅被用於NSA希望的目標？而在本身就很可疑的情況下，即使NSA採取正確的做法，如何確保這一工具受控？”

在發送給The Intercept的一份電子郵件聲明中，Facebook發言人傑伊·南卡洛(Jay Nancarrow)表示，Facebook沒有獲得有關這種活動的任何證據。他表示，去年Facebook部署了HTTPS加密功能，使瀏覽器會話不太容易受惡意軟件攻擊。

南卡洛同時指出，除Facebook之外的其他服務同樣可能遭到NSA的攻擊。他表示：“如果政府情報機構有權訪問網絡服務提供商，任何基於無加密HTTP協議的網站都可能遭遇流量被秘密重定向的問題。”

“中間人”攻擊方式與此類似，但更加積極。通過這種黑客技術，NSA將自身置於兩台計算機的通信線路之間，從而部署其惡意軟件。

[NT:PAGE=$]

通過這種方式，NSA不僅可以監控及重定向瀏覽器會話，甚至可以修改兩台計算機傳送的內容包。例如，當兩人相互發送消息時，這種攻擊方式可以修改消息的內容，而通信雙方都不會知道內容遭到了第三方的纂改。同樣的技術也被用於普通黑客的欺詐活動。

2012年一份密的NSA檔案顯示，NSA部署了名為“SECONDDATE”的“中間人”攻擊技術，以“影響客戶端和伺服器之間的實時通信”，並“將網頁瀏覽器秘密重定向”至NSA名為“FOXACID”的惡意軟件伺服器。去年10月，《衛報》報導了“FOXACID”的細節。其中顯示，這一技術被用於攻擊互聯網匿名服務Tor的用戶。

不過，“SECONDDATE”不僅可以用於針對特定嫌疑人的“手術刀式”攻擊，也可以被用於發起大規模惡意軟件攻擊。

根據2012年的這份檔案，這一技術“對通過某些網絡節點的客戶端具有大規模利用的潛力”。

賓夕法尼亞大學的佈雷茲表示，“中間人”攻擊被大規模使用的潛力“似乎非常令人困擾”。這種做法將無差別地監控整個網絡，而不是瞄準單個目標。

他表示：“令我感到警惕的一點是，其中提到了‘網絡節點’。這是最不應當允許情報部門涉足的基礎設施，因為這意味大規模監控技術。”

為了部署某些惡意軟件，NSA利用了火狐和IE等互聯網瀏覽器共同的信息安全漏洞。NSA的黑客還利用了路由器以及一些熱門軟件插件，例如Flash和Java的信息安全缺陷，從而將惡意代碼植入目標計算機中。

這些惡意軟件可以繞開殺毒軟件，而NSA已採取大量措施，確保其黑客技術難以被檢測。一款名為“VALIDATOR”的惡意軟件被用於向目標計算機上傳下載數據，同時可以實現自我銷毀，即在設定的時間過期后自動從計算機中刪除。

在許多情況下，防火墻和其他信息安全保護措施對NSA而言並不是問題。NSA的黑客有信心繞開保護計算機和網絡的任何安全機制。在一份機密檔案中，NSA的黑客表示：“如果可以讓目標用戶通過瀏覽器訪問我們，那麼我們就可以掌握控制權。唯一的問題在於如何實現。”

隱蔽的基礎設施

“TURBINE”植入系統的運行並非孤立。這一系統連接至NSA在全球多地安裝的龐大監控感測器網絡，並依靠這一網絡來發揮功能。NSA位於馬裏蘭州的總部也是這一網絡的一部分，而其他竊聽基地則位於日本三澤市和英格蘭的Menwith Hill。

NSA的這些感測器代號為“TURMOIL”，是一類高科技監控收集裝置，能監控在整個互聯網上傳送的數據包。

當“TURBINE”獲取來自被感染計算機系統的數據時，“TURMOIL”感測器能自動識別這些數據，並將其發回NSA進行分析。當目標計算機進行通信時，“TURMOIL”系統可以向“TURBINE”發送提示，初始化一次惡意軟件攻擊。

基於一系列數據“分揀器”，NSA能識別監控目標的數據傳輸。內部檔案顯示，這些“分揀器”包含電子郵件地址、IP地址，或是來自谷歌、Facebook、Hotmail、雅虎和Twitter等網站、含有用戶名或其他識別信息的cookies。

NSA使用的其他“分揀器”還包括用於追蹤用戶瀏覽習慣的谷歌廣告cookies、能追蹤特定用戶的加密密鑰指紋，以及當Windows計算機升級或崩潰時發送的計算機標識符等。

此外，“TURBINE”系統的運行也得到了其他國家政府的支持，其中一些國家還參與了惡意軟件攻擊。斯諾登曝光文檔上的保密標誌表明，NSA曾與所謂“Five Eyes”監控聯盟的其他國家分享過惡意軟件的使用情況。這一聯盟中的其他國家包括英國、加拿大、新西蘭和澳大利亞。

英國情報部門GCHQ在NSA的惡意軟件應用策略中扮演了非常重要的角色。位於英格蘭北部的Menwith Hill竊聽基地是“TURMOIL”網絡的一部分，NSA這一基地的運行獲得了GCHQ的密切合作。

密檔案顯示，這一被NSA稱作“MHS”的英國基地是“TURBINE”惡意軟件基礎設施的有機組成部分，並被用於測試針對雅虎和Hotmail用戶的惡意軟件攻擊。

2010年的一份檔案列出了至少5種Menwith Hill可選的“QUANTUM”攻擊方式。這份檔案還顯示，GCHQ協助整合了3款“QUANTUM”惡意軟件，並對另兩款進行了測試。這是GCHQ代號為“INSENSER”監控系統的一部分。

GCHQ參與了黑客攻擊，但試圖確保其行為的合法性。斯諾登公佈的一份檔案顯示，2013年4月，GCHQ明確拒參與部署“QUANTUM”惡意軟件，而原因是“法律和政策限制”。GCHQ下屬部門的一名代表於2010年會見了電信標準委員會的一名委員，並表示為監控而進行“積極地”黑客攻擊在英國的法律框架下“可能違法”。

GCHQ拒對參與秘密黑客行動的活動置評。該部門在一份官腔的聲明中表示：“GCHQ的全部工作都嚴格符合法律和政策框架，確保我們的活動得到授權，是必要而適當的，此外也得到了有力的監督。”

無論英國和美國情報機構對計算機網絡的攻擊是否合法，斯諾登的檔案都有重要的意義。這些檔案前所未有地曝光了監控技術，而這些技術此前是保密的，並未得到公的探討。而NSA擔心的主要一點是，外國情報機構也將採取類似的做法。

在2012年的一份密檔案中，NSA的一名分析師表示：“在一段時間裏，攻擊路由器對我們和‘Five Eye”合作伙伴而言很有價值。但很明顯，其他國家也在加強這方面的能力，併進入這一領域。“(書聿，張帆)