2016年1月,时任TAO指挥官罗伯特·乔伊斯(Robert Joyce)在美国旧金山召开的Usenix恩尼格码安全会议上公布了TAO整合资源、发动进攻的常规思路。他表示,TAO在选定入侵目标后,会遵循六个步骤展开行动,即侦察、初步开采、持久攻击、工具安装、横向移动和数据收集和渗出。其中“侦察”不仅是指在系统之外对入侵目标进行扫描,也包括借助公开资料等找到重要人物及其电子邮件等信息。“开采”则是TAO内部常用的术语,TAO将其整套入侵流程称作“计算机网络开采(CNE)”。
乔伊斯的这种分享行为在NSA内部相对罕见。一部发行于2012年的纪录片《美国国家安全局揭秘:美国网络秘密》提到,由于害怕暴露身份,NSA的内部人员很少会在公开场合露面。尽管如此,那些受雇于TAO的人并非无迹可寻。在领英上围绕关键词“Tailored Access Operations”进行搜索,可以找到不少曾经或仍在为TAO服务的人员信息,例如在2010年2月至2011年6月担任TAO分析员的Teresa Pannell,拥有9年NSA工作经验、NSA黑客证书和NETA1100 TAO概述证书的信号专家John Lawrence,从麻省理工大学电子工程和计算机科学学院毕业、目前可能仍在TAO工作的系统软件专家Michelle Dinozzo(可能为化名)等。此外,有的网络安全威胁情报平台间或也会分享一些关于NSA黑客的溯源信息,多出于警示目的。
只不过,相较于黑客们的身份,情报社区更关注的还是这些黑客掌握的技术,及其使用技术的意图。
2013年的“棱镜门”事件让世界意识到,美国国家安全局从微软、雅虎、谷歌、苹果等9家知名跨国服务商的服务器直接收集信息,其许可能的监听对象不仅包括美国以外地区使用上述服务器的客户,也包括美国国内与海外有联系的公民。《明镜》在同年的报道中还指出,TAO内部的AT&O小组负责执行“网外行动”。该行动的实质即安排美国中央情报局的特工在海外的计算机或电信系统上秘密安装窃听装置,以便TAO的黑客从米德堡远程访问这些系统。
这些丑闻固然使NSA陷入信任危机,但按照《纽约时报》在2017年11月发表的一篇报道中的说法,它给NSA带来的威胁其实远不如3年后的“影子经纪人”事件:从2016年8月至2017年中旬,“影子经纪人”先后以拍卖、订阅和免费披露的方式公开了一系列被认为与TAO有密切联系的“方程式组织”的黑客工具。这些捆绑了实际代码的工具不仅可直接作用于对包括美国及其盟友在内的多国网络系统的攻击,导致WANNACRY等蠕虫式勒索病毒广泛传播,也将美国NSA的安保能力置于尴尬的境地。
多年来,美国联邦调查局通过广泛的调查,先后逮捕了哈罗德·托马斯·马丁三世(Harold T. Martin III)、Nghia H. Pho、贾雷·达尔克(Jareh Dalke)等多位将NSA的保密资料带离工作场所的雇员,但始终难以将他们与“影子经纪人”联系起来。“影子经纪人”的真实身份至今成谜。
另一方面,“影子经纪人”披露的一系列网络攻击武器也给世界上更多调查机构提供了研究TAO入侵思路及方法的机会。例如,总部位于瑞士的信息安全公司Kudelski Security在2017年5月发表博客,称其研究人员正通过测试“影子经纪人”发布的武器建立威胁情报(IOC)文档,以便识别被这些工具、漏洞和脚本针对的全球客户群。
随着研究的深入,威胁情报社区对TAO这个“幕后组织”也有了更多了解 。截至2022年6月22日,美国electrospaces.net网站已经累计整理了400余个和TAO相关的编码词,其中超过三分之一是关于TAO使用的入侵工具的代称,如STORMPIG(指代TAO在 TAONet上用于僵尸网络攻击的数据清理工具)和BANANAAID;还有一些是被认为由TAO发动的黑客入侵项目的代号,如MURPHYSLAW,或形容黑客的代词,如CUTEBOY和ALOOFNESS;但也有一些专有名词,例如ECLECTICPILOT和FINKCOAT,尽管已经在被认为与TAO有关的文件中发现,但具体指向仍然不明。
NSA入侵中国西北工业大学网络的目的是什么?《调查报告(之一)》发布时没有给出答案。当时有分析人士认为,该校作为隶属于工业和信息化部的知名高校,参与国家科技重大专项、武器装备型号项目研究。境外间谍情报机关不遗余力地进行网络攻击,是为了刺探、窃取中国相关领域的机密。
但参考中国《保密法》第四十八条规定:不得在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换,以及《计算机信息系统国际联网保密管理规定》第六条规定:涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离,在操作规范的情况下,TAO通过远程操控跳板机入侵西北工业大学运维网络“telnet”管理服务器,从而获得涉密数据的可能性较低。
9月22日,《环球时报》记者从有关部门获悉,TAO在对西北工业大学发起网络攻击的过程中,非法攻击渗透中国境内某电信运营商,构建了对核心数据网络远程访问的“合法”通道,对中国的电信基础设施进行了渗透控制。
随后发布的《调查报告(二)》印证了此消息,称TAO在入侵过程中, 窃取了西北工业大学的核心网络设备账号口令及配置信息,网络设备运维配置文件和日志文件,并利用窃取到的网络设备账号口令,以“合法”身份进入中国基础设施运营商服务网络,控制相关服务质量监控系统,窃取用户隐私数据。根据报告的表述,多年来,TAO先后攻击控制了至少2家中国基础设施业务的服务器,并非法多批次查询、导出、窃取了多名身份敏感人员的用户信息。
中国一向是美国网络攻击的重点目标。多年来,美国是持续对中国发动网络攻击的“黑客帝国”。中国国家互联网应急中心历年来统计显示,从2017年至今,美国始终是中国遭遇网络攻击的最大来源国。美国政府也毫不掩饰对中国的网络攻击意愿。2020年7月,美媒《华盛顿邮报》披露,特朗普政府在2018年签署了“通知备忘录”,授权美国中央情报局不经国会批准即可对中国发动网络攻击,不但将媒体、金融机构、商业公司等纳入网络攻击授权范围,还授权“干扰”“破坏”“摧毁”电力、石油等关键基础设施。他们实施了上万次针对中国网络目标的攻击,控制的网络设备数以万计,累计窃取的高价值数据多达140GB。更恐怖的是,美国多家互联网巨头参与其中,送上了中国大量通信网络设备的管理权限。在巨头先进技术的加持下,他们更加有恃无恐地窃取中国的机密。
然而,美国不但不反思自身问题,反而在网络安全问题上颠倒黑白,对中国进行无理指责,展示了赤裸裸的霸权主义行径。
客户端下载
发表于 2023-3-15 17:00
本贴仅代表作者观点,与麻辣社区立场无关。
