一份文件顯示，NSA以“工業(yè)級”規(guī)模利用了全球范圍內的計算機網(wǎng)絡。

　　北京時間3月13日下午消息，The Intercept網(wǎng)站周三刊文，基于愛德華·斯諾登(Edward Snowden)曝光的最新機密文件更詳細地介紹了美國國家安全局(NSA)的監(jiān)控技術。文件顯示，NSA能根據(jù)用戶是否使用谷歌、雅虎、Skype、飛信和QQ等信息來鎖定監(jiān)控目標。

　　根據(jù)斯諾登曝光的文件，NSA部署并運行著“Turbine”惡意軟件植入系統(tǒng)，以及代號為“Turmoil”的數(shù)據(jù)監(jiān)控傳感器網(wǎng)絡，以監(jiān)控整個互聯(lián)網(wǎng)上傳送的數(shù)據(jù)包?！癟urmoil”能根據(jù)一系列“分揀器(selector)”自動識別被監(jiān)控目標的數(shù)據(jù)，并將數(shù)據(jù)發(fā)回NSA進行分析以及惡意軟件攻擊。

　　此次曝光的文件中列出了NSA使用的“分揀器”類型，其中包括：

　　1.計算機標識符。包括Hotmail、谷歌、雅虎、Mail.ru、Yandex、Twitter、Rambler和DoubleClick的Cookies、序列號、Simbar和ShopperReports等瀏覽器標簽、Windows錯誤標識符和Windows升級標識符等。

　　2.注冊的設備。這包括蘋果和諾基亞等手機的IMEI串號、iOS設備的UDID，以及藍牙設備的名稱和地址等。

　　3.加密密鑰。這主要是指能唯一識別用戶的加密密鑰，例如ejKeyID。

　　4.網(wǎng)絡信息。這包括無線MAC地址、小型衛(wèi)星通信站的MAC地址和IP地址，以及來自Putty和WinSCP等終端軟件的遠程管理IP等。

　　5.來自用戶的線索。包括與MSN Passport、谷歌、雅虎、Youtube、Skype、Paltalk、飛信、QQ和Hotmail有關的用戶Cookies、注冊信息和個人檔案文件夾，以及通過STARPROC識別出的活躍用戶。

　　機密文件顯示，美國國家安全局(以下簡稱“NSA”)正在大幅提升入侵電腦的能力，希望借助自動化系統(tǒng)來降低人工參與度。

　　這份機密文件是由NSA前雇員愛德華·斯諾登(Edward Snowden)提供的，里面包含了有關這種革命性監(jiān)視技術的新細節(jié)。NSA希望通過植入惡意軟件的方式，利用這項自動化技術感染全球數(shù)以百萬的電腦。NSA可以借助該秘密項目入侵目標電腦，并從海外的互聯(lián)網(wǎng)和電話網(wǎng)絡中提取數(shù)據(jù)。

　　該項目使用的基礎設施來自NSA總部所在地米德堡，以及英國和日本的間諜基地。英國情報機構GCHQ似乎也為其提供了幫助。

　　某些情況下，NSA還會偽裝成Faceboook服務器，利用該社交網(wǎng)絡作為跳板來感染目標電腦，從而提取硬盤中的文件。還有些情況下，他們會發(fā)出附帶惡意軟件的垃圾電子郵件，然后利用電腦的麥克風錄制音頻，或用攝像頭錄制視頻。這套黑客系統(tǒng)還可以幫助NSA發(fā)動網(wǎng)絡攻擊，中斷對方的文件下載或阻止其訪問網(wǎng)站。

　　這種模式曾經(jīng)是專門為數(shù)百個難以攻擊的目標預留的，這些目標的通訊信息難以通過傳統(tǒng)的監(jiān)聽手段獲得。但文件顯示，NSA過去10年逐步用電腦代替人工來從事一些工作，從而大幅加快項目進度。這套名為“渦輪”(TURBINE)系統(tǒng)希望通過自動控制系統(tǒng)來大幅擴大目前的植入網(wǎng)絡的規(guī)模。

　　在一份日期為2009年8月的機密文件中，NSA描述了這個名為“專家系統(tǒng)”的秘密基礎設施的預編程部分。該系統(tǒng)“像人腦”一樣管理著植入程序的各種功能，而且可以“決定”哪些工具最適合從被感染的電腦中提取數(shù)據(jù)。

　　網(wǎng)絡安全公司F-Secure首席研究館米考·海珀寧(Mikko Hypponen)表示，NSA的這項監(jiān)視技術可能會對網(wǎng)絡安全造成影響?！爱斔麄冊谙到y(tǒng)上部署惡意軟件時，可能會給這些系統(tǒng)制造新的漏洞，導致其更容易遭受第三方的攻擊?！彼f。

　　海珀寧認為，政府或許有足夠的理由針對一小部分目標植入惡意軟件。但通過自動化系統(tǒng)向數(shù)以百萬的電腦植入惡意軟件可能會令局面失控。

　　“擁有網(wǎng)絡”

　　NSA 10年前開始大幅加快黑客活動。機密文件顯示，該機構2004年的植入網(wǎng)絡只有100至150臺被感染的電腦。但之后6至8年，一個名為Tailored Access Operations(以下簡稱“TAO”)的精英部門招募了一批新的黑客，開發(fā)了新的惡意軟件工具，從而把被感染的電腦數(shù)量增加到數(shù)萬臺。

　　為了滲透海外電腦網(wǎng)絡，并監(jiān)控通過其他手段難以獲取的通訊信息，NSA希望突破傳統(tǒng)的SIGINT電子通訊監(jiān)控模式的限制，轉而擴大這種主動監(jiān)聽措施的規(guī)?！苯訚B透目標電腦或網(wǎng)絡設備。

　　該文件顯示，NSA將此稱作“一種更激進的SIGINT”，而TAO的使命就是全力擴大這一項目。但NSA也意識到，完全通過人工方式來管理龐大的植入網(wǎng)絡并非易事?！爸鲃覵IGINT/攻擊的一大挑戰(zhàn)在于規(guī)模?！?009年的這份機密文件稱。

　　于是，他們啟動了“渦輪”系統(tǒng)，希望以此實現(xiàn)大規(guī)模的入侵。該項目可以大幅減輕NSA黑客的工作強度。機密文檔稱，該系統(tǒng)可以減輕用戶壓力，使之不必了解細節(jié)。例如，用戶可以索要有關X應用的所有細節(jié)信息，但卻不必知道該應用的文件、注冊表項和用戶應用數(shù)據(jù)的存儲方式和存儲地點。

NSA的工具如何攔截通過VPN技術傳輸?shù)臄?shù)據(jù)

　　在實踐中，這就意味著“渦輪”系統(tǒng)可以自動完成原本需要手工完成的關鍵程序，包括配置被感染的電腦，以及從被感染的系統(tǒng)中搜集數(shù)據(jù)。但這不僅僅是一項技術進步，還代表了NSA內部的重大策略調整，他們希望借此將監(jiān)視行動推向新的高度。

NSA的工具如何監(jiān)控Skype等VoIP服務中的流量

　　一份未標注日期的NSA機密文檔，就描述了“渦輪”系統(tǒng)如何將NSA的CNE和CNA兩大植入網(wǎng)絡的規(guī)模，從幾百臺電腦擴充到幾百萬臺。CNE專門從電腦和網(wǎng)絡中截取情報，CNA則負責對電腦和網(wǎng)絡實施破壞。

　　之前有報道稱，斯諾登提供的文件表明，NSA已經(jīng)在全世界的8.5萬至10萬臺電腦中植入了惡意軟件，今后還計劃繼續(xù)擴大這一數(shù)字。

　　文件顯示，NSA還將“渦輪”項目列為一個名為“擁有網(wǎng)絡”(Owning the Net)的大型項目的一部分。該機構去年為“擁有網(wǎng)絡”項目申請了6760萬美元的資金，其中有一部分被分配給“渦輪”系統(tǒng)，用于擴大該系統(tǒng)的范圍，并提升自動化程度。

　　繞開加密

　　NSA擁有多種惡意軟件工具，而不同工具針對不同目的而訂制。

　　其中一種代號為“UNITEDRAKE”的工具可以與多種“插件”配合使用，使NSA獲得被入侵計算機完整的控制權。

　　例如，一種名為“CAPTIVATEDAUDIENCE”的插件可以控制目標計算機的麥克風，記錄附近發(fā)生的對話。另一種插件“GUMFISH”能控制目標計算機的攝像頭并拍攝照片。此外，“FOGGYBOTTOM”能記錄互聯(lián)網(wǎng)瀏覽歷史數(shù)據(jù)，并收集用戶登錄網(wǎng)站和電子郵件帳戶的用戶名和密碼，“GROK”用于記錄鍵盤輸入，而“SALVAGERABBIT”能獲取連接至計算機的U盤中的數(shù)據(jù)。

　　這些惡意軟件使NSA能繞開用于加強隱私保護的加密工具。目前，一些加密工具希望幫助用戶匿名瀏覽互聯(lián)網(wǎng)，或是在電子郵件的發(fā)送過程中加密內容。然而，通過這些惡意軟件，NSA能直接訪問目標計算機，而此時用戶的通信尚未獲得加密保護。

　　目前尚不清楚，NSA每年使用多少次這些惡意軟件，以及哪些惡意軟件仍活躍在用戶的計算機中。

　　此前有報道稱，NSA與以色列合作，開發(fā)了Stuxnet惡意軟件，而這一工具破壞了伊朗的核設施。另有報道稱，NSA與以色列合作部署了名為Flame的惡意軟件，攻擊了位于中東國家的計算機，并監(jiān)控相關的通信。

　　根據(jù)斯諾登提供的文件，這些技術被用于尋找恐怖主義嫌疑人，以及被NSA定性為“極端分子”的人物。不過，NSA黑客獲得的授權并不僅限于與美國國家安全有關的目標。

　　在內部討論版的一篇保密文章中，NSA下屬信號情報局的一名人員介紹了如何使用惡意軟件攻擊美國國外移動運營商和互聯(lián)網(wǎng)服務提供商的系統(tǒng)管理員。通過劫持一名管理員的計算機，情報部門能秘密獲取這名管理員所在公司的通信。這名NSA的工作人員表示：“系統(tǒng)管理員是達到目的的手段?！?/p>

　　這篇內部文章題為“狩獵系統(tǒng)管理員”，很明確地表明恐怖分子并非NSA攻擊的唯一目標。根據(jù)這名工作人員的說法，攻擊系統(tǒng)管理員幫助情報機構更方便地瞄準其他利益相關目標，包括“該系統(tǒng)管理員所管理網(wǎng)絡中的政府官員”。

　　英國類似NSA的部門政府通信總局(GCHQ)也采取了類似的做法。德國《明鏡周刊》去年9月報道稱，GCHQ攻擊了比利時電信運營商Belgacom網(wǎng)絡工程師的計算機。

　　這一任務的代號為“Operation Socialist”，目的是使GCHQ能監(jiān)控連接至Belgacom網(wǎng)絡的手機。機密文件顯示，這一任務獲得了成功，而至少從2010年開始，該情報部門就可以秘密訪問Belgacom的系統(tǒng)。

　　不過，攻擊移動通信網(wǎng)絡并不是這些惡意軟件的全部功能。NSA設計了一些惡意軟件，能大規(guī)模感染美國國外互聯(lián)網(wǎng)服務提供商的路由器。通過攻擊這些路由器，情報機構能秘密監(jiān)控互聯(lián)網(wǎng)流量，記錄用戶的訪問記錄，甚至攔截通信。

　　NSA的兩款工具“HAMMERCHANT”和“HAMMERSTEIN”可以植入路由器中，從而攔截通過VPN(虛擬私有網(wǎng)絡)發(fā)送的數(shù)據(jù)，甚至對這些數(shù)據(jù)進行“利用性攻擊”。VPN技術使用加密通道來加強互聯(lián)網(wǎng)會話的安全性和私密性。

　　NSA對SCEONDDATE工具的介紹文檔NSA的工具如何攔截通過VPN技術傳輸?shù)臄?shù)據(jù)

　　這些惡意軟件還能追蹤通過Skype和其他VoIP軟件進行的通話，顯示撥打電話用戶的用戶名。如果VoIP對話的音頻數(shù)據(jù)通過無加密的RTP(實時傳輸協(xié)議)包來發(fā)送，那么惡意軟件還能記錄音頻數(shù)據(jù)，并發(fā)送至NSA供進一步分析。

　　NSA如何通過數(shù)據(jù)監(jiān)控傳感器來管理被感染的計算機NSA的工具如何監(jiān)控Skype等VoIP服務中的流量

　　不過根據(jù)機密文件，NSA的惡意軟件并非全部用于收集情報。某些情況下，NSA的目標是干擾通信，而非監(jiān)控通信。例如，2004年開發(fā)的一款惡意軟件“QUANTUMSKY”被用于阻止目標對象訪問某些網(wǎng)站。而2008年首次測試的軟件“QUANTUMCOPPER”能破壞目標的文件下載。這兩種“攻擊”技術出現(xiàn)在一個機密列表中。這一列表列出了NSA的9款黑客工具，其中6款用于情報收集。此外還有1款工具用于“防御”目的，即保護美國政府的網(wǎng)絡不受入侵。

　　“大規(guī)模使用”的潛力

　　在利用惡意軟件獲得數(shù)據(jù)或攻擊某一系統(tǒng)之前，NSA首先需要在目標計算機或網(wǎng)絡中安裝惡意軟件。

　　根據(jù)2012年時的一份絕密文件，NSA通過發(fā)送垃圾郵件并吸引目標點擊惡意鏈接來傳播惡意軟件。一旦惡意軟件激活，那么一款“后門工具”將在8秒鐘時間內干擾用戶的計算機。

　　這一代號為“WILLOWVIXEN”的工具只有一個問題。根據(jù)文件的介紹，通過垃圾郵件來傳播的做法近年來成功率下降，因為互聯(lián)網(wǎng)用戶開始對來源不明的電子郵件提高警惕，不太可能點擊看起來可疑的鏈接。

　　因此，NSA開始探索更新、更先進的黑客技術，例如所謂的“中間人(man-in-the-middle)”和“旁觀者(man-on-the-side)”攻擊方式。這些攻擊方式能將用戶的互聯(lián)網(wǎng)瀏覽器悄悄定向至NSA的服務器，從而感染這些計算機。

　　為了進行“旁觀者”攻擊，NSA使用秘密的全球數(shù)據(jù)訪問網(wǎng)絡來監(jiān)控目標的互聯(lián)網(wǎng)流量。當目標訪問某一網(wǎng)站時，NSA將可借此進行攻擊。此時，NSA的監(jiān)控傳感器將提示“TURBINE”系統(tǒng)，后者將在一秒鐘時間內向目標計算機的IP地址“灌輸”數(shù)據(jù)包。

　　在一種代號為“QUANTUMHAND”的“旁觀者”攻擊中，NSA將自己偽裝成Facebook(68.83, -2.05, -2.89%)服務器。當目標登錄Facebook網(wǎng)站時，NSA將發(fā)送惡意數(shù)據(jù)包，使目標計算機認為其正在訪問真正的Facebook網(wǎng)站。通過將惡意軟件隱藏在看似普通的Facebook頁面中，NSA將可以攻擊目標計算機，并從計算機硬盤中獲取數(shù)據(jù)。一段絕密的動畫演示了這種攻擊方式。

　　文件顯示，在對十余名目標驗證有效之后，“QUANTUMHAND”于2010年10月投入使用。

　　根據(jù)賓夕法尼亞大學監(jiān)控和加密專家馬特·布雷茲(Matt Blaze)的說法，“QUANTUMHAND”似乎是瞄準特定的目標。不過他也擔心，這一工具如何被整合至NSA自動化的“TURBINE”系統(tǒng)。

　　布雷茲表示：“如果你將這種能力置于主干基礎設施中，那么像我一樣的軟件和信息安全工程師都會認為非?？膳?。請忘記NSA如何使用這一工具。我們如何知曉這一工具被正確地使用，以及僅被用于NSA希望的目標?而在本身就很可疑的情況下，即使NSA采取正確的做法，如何確保這一工具受控?”

　　在發(fā)送給The Intercept的一份電子郵件聲明中，F(xiàn)acebook發(fā)言人杰伊·南卡洛(Jay Nancarrow)表示，F(xiàn)acebook沒有獲得有關這種活動的任何證據(jù)。他表示，去年Facebook部署了HTTPS加密功能，使瀏覽器會話不太容易受惡意軟件攻擊。

　　南卡洛同時指出，除Facebook之外的其他服務同樣可能遭到NSA的攻擊。他表示：“如果政府情報機構有權訪問網(wǎng)絡服務提供商，任何基于無加密HTTP協(xié)議的網(wǎng)站都可能遭遇流量被秘密重定向的問題?！?/p>

　　“中間人”攻擊方式與此類似，但更加積極。通過這種黑客技術，NSA將自身置于兩臺計算機的通信線路之間，從而部署其惡意軟件。

　　通過這種方式，NSA不僅可以監(jiān)控及重定向瀏覽器會話，甚至可以修改兩臺計算機傳送的內容包。例如，當兩人相互發(fā)送消息時，這種攻擊方式可以修改消息的內容，而通信雙方都不會知道內容遭到了第三方的纂改。同樣的技術也被用于普通黑客的欺詐活動。

　　2012年一份絕密的NSA文件顯示，NSA部署了名為“SECONDDATE”的“中間人”攻擊技術，以“影響客戶端和服務器之間的實時通信”，并“將網(wǎng)頁瀏覽器秘密重定向”至NSA名為“FOXACID”的惡意軟件服務器。去年10月，《衛(wèi)報》報道了“FOXACID”的細節(jié)。其中顯示，這一技術被用于攻擊互聯(lián)網(wǎng)匿名服務Tor的用戶。

　　不過，“SECONDDATE”不僅可以用于針對特定嫌疑人的“手術刀式”攻擊，也可以被用于發(fā)起大規(guī)模惡意軟件攻擊。

　　根據(jù)2012年的這份文件，這一技術“對通過某些網(wǎng)絡節(jié)點的客戶端具有大規(guī)模利用的潛力”。