stringtranslate.com

Operaciones de acceso personalizadas

Una referencia a las operaciones de acceso personalizadas en una diapositiva de XKeyscore

La Oficina de Operaciones de Acceso Personalizado ( TAO ), ahora Operaciones de Redes Informáticas , y estructurada como S32 , [1] es una unidad de recopilación de inteligencia de guerra cibernética de la Agencia de Seguridad Nacional (NSA). [2] Ha estado activa desde al menos 1998, posiblemente 1997, pero no fue nombrada ni estructurada como TAO hasta "los últimos días de 2000", según el general Michael Hayden . [3] [4] [5]

La TAO identifica, monitorea, se infiltra y recopila información sobre sistemas informáticos utilizados por entidades extranjeras en los Estados Unidos. [6] [7] [8] [9]

Historia

Según se informa, la TAO es "el componente más grande y posiblemente el más importante de la enorme Dirección de Inteligencia de Señales (SID) de la NSA, [10] que consta de más de 1.000 piratas informáticos militares y civiles, analistas de inteligencia, especialistas en objetivos, diseñadores de hardware y software de computadoras e ingenieros eléctricos. La oficina actualmente se conoce como Oficina de Operaciones de Redes Informáticas (OCNO)". [4]

Fuga de Snowden

Un documento filtrado por el ex contratista de la NSA Edward Snowden que describe el trabajo de la unidad dice que TAO tiene plantillas de software que le permiten acceder a hardware de uso común, incluidos "routers, switches y firewalls de múltiples líneas de productos de proveedores". [11] Los ingenieros de TAO prefieren acceder a redes en lugar de computadoras aisladas, porque normalmente hay muchos dispositivos en una sola red. [11]

Organización

La sede de TAO se denomina Centro de Operaciones Remotas (ROC) y está ubicada en la sede de la NSA en Fort Meade, Maryland . TAO también se ha expandido a NSA Hawaii ( Wahiawa , Oahu), NSA Georgia ( Fort Eisenhower , Georgia), NSA Texas ( Base Conjunta San Antonio , Texas) y NSA Colorado ( Base de la Fuerza Espacial Buckley , Denver). [4]

Ubicaciones virtuales

Los detalles [17] sobre un programa llamado QUANTUMSQUIRREL indican la capacidad de la NSA de hacerse pasar por cualquier host IPv4 o IPv6 enrutable. [18] Esto permite que una computadora de la NSA genere una ubicación geográfica falsa y credenciales de identificación personal al acceder a Internet utilizando QUANTUMSQUIRREL. [19]

Liderazgo

De 2013 a 2017, [20] el jefe de TAO fue Rob Joyce , un empleado con más de 25 años de experiencia que anteriormente trabajó en la Dirección de Garantía de la Información (IAD) de la NSA. En enero de 2016, Joyce tuvo una rara aparición pública cuando dio una presentación en la conferencia Enigma de Usenix. [21]

"Infraestructura verdaderamente encubierta, sea cualquier IP del mundo".
Imagen de QUANTUMSQUIRREL de una presentación de la NSA que explica la capacidad de suplantación de IP del host de QUANTUMSQUIRREL

Catálogo ANT de la NSA

El catálogo ANT de la NSA es un documento clasificado de 50 páginas que enumera la tecnología disponible para las Operaciones de Acceso a Medida (TAO) de la División de Tecnología de Red Avanzada (ANT) de la Agencia de Seguridad Nacional de los Estados Unidos (NSA) para ayudar en la vigilancia cibernética. La mayoría de los dispositivos se describen como ya operativos y disponibles para los ciudadanos estadounidenses y los miembros de la alianza Five Eyes . Según Der Spiegel , que publicó el catálogo al público el 30 de diciembre de 2013, "La lista se lee como un catálogo de pedidos por correo, uno desde el cual otros empleados de la NSA pueden solicitar tecnologías de la división ANT para acceder a los datos de sus objetivos". El documento fue creado en 2008. [22] El investigador de seguridad Jacob Appelbaum dio un discurso en el Congreso de Comunicaciones del Caos en Hamburgo , Alemania , en el que detalló las técnicas que el artículo de Der Spiegel publicado simultáneamente del que fue coautor reveló del catálogo. [22]

Ataques CUÁNTICOS

"Estoy en tu continuo espacio-tiempo, alterando toda tu gravedad, tus cuantos y esas cosas".
Imagen de Lolcat de una presentación de la NSA que explica en parte el nombre del programa QUANTUM
Diapositiva con descripción general de QUANTUMTHEORY de la NSA con varios nombres en código para tipos específicos de ataques e integración con otros sistemas de la NSA

La TAO ha desarrollado un conjunto de ataques al que denomina QUANTUM. Se basa en un enrutador comprometido que duplica el tráfico de Internet, normalmente solicitudes HTTP , de modo que se dirigen tanto al objetivo previsto como a un sitio de la NSA (indirectamente). El sitio de la NSA ejecuta el software FOXACID que envía exploits que se cargan en segundo plano en el navegador web de destino antes de que el destino previsto haya tenido la oportunidad de responder (no está claro si el enrutador comprometido facilita esta carrera en el viaje de regreso). Antes del desarrollo de esta tecnología, el software FOXACID realizaba ataques de phishing selectivos a los que la NSA se refería como spam. Si el navegador es explotable, se implementan "implantes" permanentes adicionales (rootkits, etc.) en el equipo de destino, por ejemplo, OLYMPUSFIRE para Windows, que proporciona acceso remoto completo a la máquina infectada. [23] Este tipo de ataque es parte de la familia de ataques man-in-the-middle , aunque más específicamente se denomina ataque man-on-the-side . Es difícil de llevar a cabo sin controlar parte de la red troncal de Internet . [24]

Existen numerosos servicios que FOXACID puede aprovechar de esta manera. A continuación se indican los nombres de algunos módulos de FOXACID: [25]

En colaboración con el Cuartel General de Comunicaciones del Gobierno británico (GCHQ) ( MUSCULAR ), los servicios de Google también podrían ser atacados, incluido Gmail . [25]

La búsqueda de máquinas que sean explotables y que merezcan ser atacadas se realiza mediante bases de datos analíticas como XKeyscore . [26] Un método específico para encontrar máquinas vulnerables es la intercepción del tráfico de Windows Error Reporting , que se registra en XKeyscore. [27]

Los ataques QUANTUM lanzados desde sitios de la NSA pueden ser demasiado lentos para algunas combinaciones de objetivos y servicios, ya que esencialmente intentan explotar una condición de carrera , es decir, el servidor de la NSA está tratando de vencer al servidor legítimo con su respuesta. [28] A mediados de 2011, la NSA estaba creando un prototipo de una capacidad con nombre en código QFIRE, que implicaba incrustar sus servidores de distribución de exploits en máquinas virtuales (que se ejecutan en VMware ESX ) alojadas más cerca del objetivo, en la llamada red de sitios de recopilación especial (SCS) en todo el mundo. El objetivo de QFIRE era reducir la latencia de la respuesta falsificada, aumentando así la probabilidad de éxito. [29]

COMMENDEER [ sic ] se utiliza para controlar (es decir, comprometer) sistemas informáticos no seleccionados. El software se utiliza como parte de QUANTUMNATION, que también incluye el escáner de vulnerabilidades de software VALIDATOR. La herramienta fue descrita por primera vez en el Congreso de Comunicación del Caos de 2014 por Jacob Appelbaum , quien la calificó de tiránica. [30] [31] [32]

QUANTUMCOOKIE es una forma de ataque más compleja que puede utilizarse contra los usuarios de Tor. [33]

Objetivos y colaboraciones

Los objetivos sospechosos, presuntos y confirmados de la unidad de Operaciones de Acceso a Medida incluyen entidades nacionales e internacionales como China , [4] la Universidad Politécnica del Noroeste , [34] la OPEP , [35] y la Secretaría de Seguridad Pública de México . [27]

El grupo también se ha centrado en las redes de comunicación globales a través de SEA-ME-WE 4 , un sistema de cable submarino de comunicaciones de fibra óptica que transporta telecomunicaciones entre Singapur, Malasia, Tailandia, Bangladesh, India, Sri Lanka, Pakistán, Emiratos Árabes Unidos, Arabia Saudita, Sudán, Egipto, Italia, Túnez, Argelia y Francia. [31] Además, Försvarets radioanstalt (FRA) en Suecia brinda acceso a enlaces de fibra óptica para la cooperación QUANTUM. [36] [37]

La tecnología QUANTUM INSERT de TAO fue transmitida a los servicios del Reino Unido, en particular a MyNOC de GCHQ , que la utilizó para atacar a Belgacom y a proveedores de intercambio de roaming GPRS (GRX) como Comfone, Syniverse y Starhome. [27] Belgacom, que proporciona servicios a la Comisión Europea , el Parlamento Europeo y el Consejo Europeo, descubrió el ataque. [38]

En colaboración con la CIA y el FBI , TAO se utiliza para interceptar ordenadores portátiles comprados en línea, desviarlos a almacenes secretos donde se instala software espía y hardware y enviarlos a los clientes. [39] TAO también ha apuntado a los navegadores de Internet Tor y Firefox . [24]

Según un artículo de 2013 en Foreign Policy , TAO se ha vuelto "cada vez más competente en su misión, gracias en parte a la cooperación de alto nivel que recibe secretamente de las 'tres grandes' compañías de telecomunicaciones estadounidenses ( AT&T , Verizon y Sprint ), la mayoría de los grandes proveedores de servicios de Internet con sede en Estados Unidos y muchos de los principales fabricantes de software de seguridad informática y empresas de consultoría". [40] Un documento de presupuesto de TAO de 2012 afirma que estas empresas, a instancias de TAO, "insertan vulnerabilidades en sistemas de cifrado comerciales, sistemas de TI, redes y dispositivos de comunicaciones de punto final utilizados por los objetivos". [40] Varias empresas estadounidenses, incluidas Cisco y Dell , han hecho posteriormente declaraciones públicas negando que inserten tales puertas traseras en sus productos. [41] Microsoft proporciona advertencias anticipadas a la NSA de las vulnerabilidades que conoce, antes de que las correcciones o la información sobre estas vulnerabilidades estén disponibles para el público; esto permite a TAO ejecutar los llamados ataques de día cero . [42] Un funcionario de Microsoft que pidió no ser identificado en la prensa confirmó que efectivamente es así, pero dijo que Microsoft no se hace responsable de cómo la NSA utiliza esta información anticipada. [43]

Véase también

Referencias

  1. ^ Nakashima, Ellen (1 de diciembre de 2017). «Un empleado de la NSA que trabajaba en herramientas de piratería informática en su casa se declara culpable del cargo de espionaje». The Washington Post . Consultado el 4 de diciembre de 2017 .
  2. ^ Loleski, Steven (18 de octubre de 2018). "De guerreros fríos a guerreros cibernéticos: los orígenes y la expansión de las Operaciones de Acceso a Medida (TAO) de la NSA a los corredores en la sombra". Inteligencia y seguridad nacional . 34 (1): 112–128. doi :10.1080/02684527.2018.1532627. ISSN  0268-4527. S2CID  158068358.
  3. ^ Hayden, Michael V. (23 de febrero de 2016). Jugando al límite: la inteligencia estadounidense en la era del terror. Penguin Press. ISBN 978-1594206566. Recuperado el 1 de abril de 2021 .
  4. ^ abcde Aid, Matthew M. (10 de junio de 2013). "Dentro del grupo ultrasecreto de piratería informática de China de la NSA". Foreign Policy . Consultado el 11 de junio de 2013 .
  5. ^ Paterson, Andrea (30 de agosto de 2013). «La NSA tiene su propio equipo de hackers de élite» . The Washington Post . Archivado desde el original el 19 de octubre de 2013. Consultado el 31 de agosto de 2013 .
  6. ^ Kingsbury, Alex (19 de junio de 2009). "La historia secreta de la Agencia de Seguridad Nacional". US News & World Report . Consultado el 22 de mayo de 2013 .
  7. ^ Kingsbury, Alex; Mulrine, Anna (18 de noviembre de 2009). "Estados Unidos contraataca en la ciberguerra global". US News & World Report . Consultado el 22 de mayo de 2013 .
  8. ^ Riley, Michael (23 de mayo de 2013). "Cómo el gobierno estadounidense hackea al mundo". Bloomberg Businessweek . Archivado desde el original el 25 de mayo de 2013. Consultado el 23 de mayo de 2013 .
  9. ^ Aid, Matthew M. (8 de junio de 2010). El centinela secreto: la historia no contada de la Agencia de Seguridad Nacional. Bloomsbury USA. pág. 311. ISBN 978-1-60819-096-6. Recuperado el 22 de mayo de 2013 .
  10. ^ "FOIA #70809 (publicada el 19 de septiembre de 2014)" (PDF) .
  11. ^ ab Gellman, Barton; Nakashima, Ellen (30 de agosto de 2013). "Las agencias de espionaje de Estados Unidos montaron 231 operaciones cibernéticas ofensivas en 2011, según muestran los documentos". The Washington Post . Consultado el 7 de septiembre de 2013. Con mucha más frecuencia, un implante está codificado completamente en software por un grupo de la NSA llamado Tailored Access Operations (TAO). Como sugiere su nombre, TAO construye herramientas de ataque que se adaptan a sus objetivos. Los ingenieros de software de la unidad de la NSA prefieren intervenir en redes que en computadoras individuales porque generalmente hay muchos dispositivos en cada red. Tailored Access Operations tiene plantillas de software para acceder a marcas y modelos comunes de "routers, switches y firewalls de múltiples líneas de proveedores de productos", según un documento que describe su trabajo.
  12. ^ "Hackers secretos de la NSA de la Oficina TAO han estado atacando a China durante casi 15 años". Computerworld. 11 de junio de 2013. Archivado desde el original el 25 de enero de 2014. Consultado el 27 de enero de 2014 .
  13. ^ Rothkopf, David. "Dentro del grupo ultrasecreto de piratería informática de la NSA en China". Foreign Policy . Consultado el 27 de enero de 2014 .
  14. ^ "Hintergrund: Die Speerspitze des amerikanischen Hackings - News Ausland: Amerika". Tages-Anzeiger . tagesanzeiger.ch . Consultado el 27 de enero de 2014 .
  15. ^ "Dentro del grupo de piratería ultrasecreta de la NSA". Atlantic Council . 2013-06-11 . Consultado el 2023-07-27 .
  16. ^ noahmax (21 de febrero de 2005). "Jimmy Carter: ¿superespía?". Defense Tech. Archivado desde el original el 20 de febrero de 2014. Consultado el 27 de enero de 2014 .
  17. ^ https://www.eff.org/files/2014/04/09/20140312-intercept-the_nsa_and_gchqs_quantumtheory_hacking_tactics.pdf (diapositiva 8)
  18. ^ Comerciante, hacker. "Comerciante, hacker, abogado, espía: técnicas modernas y límites legales de las operaciones contra el cibercrimen". Revista Europea del Crimen Organizado .
  19. ^ "Las tácticas de piratería informática de la NSA y el GCHQ en el marco de QUANTUMTHEORY". firstlook.org. 2014-07-16 . Consultado el 2014-07-16 .
  20. ^ Landler, Mark (10 de abril de 2018). «Thomas Bossert, asesor principal de Trump en materia de seguridad nacional, se ve obligado a abandonar el cargo». New York Times . Consultado el 9 de marzo de 2022 .
  21. ^ Thomson, Iain (28 de enero de 2016). "El máximo responsable de piratería informática de la NSA explica cómo proteger su red de sus escuadrones de ataque". The Register.
  22. ^ ab Esta sección fue copiada del catálogo ANT de la NSA ; consulte allí las fuentes
  23. ^ "Teoría cuántica: Wie die NSA weltweit Rechner hackt". El Spiegel . 2013-12-30 . Consultado el 18 de enero de 2014 .
  24. ^ ab Schneier, Bruce (7 de octubre de 2013). "Cómo la NSA ataca a los usuarios de Tor/Firefox con QUANTUM y FOXACID". Schneier.com . Consultado el 18 de enero de 2014 .
  25. ^ ab "NSA-Dokumente: So knackt der Geheimdienst Internetkonten". El Spiegel . 2013-12-30 . Consultado el 18 de enero de 2014 .
  26. ^ Gallagher, Sean (1 de agosto de 2013). "Las escuchas de Internet de la NSA pueden encontrar sistemas para piratear, rastrear VPN y documentos de Word" . Consultado el 8 de agosto de 2013 .
  27. ^ abc "Dentro de TAO: México en la mira". Der Spiegel . 2013-12-29 . Consultado el 2014-01-18 .
  28. ^ Fotostrecke (30 de diciembre de 2013). "QFIRE - die" Vorwärtsverteidigng "der NSA". El Spiegel . Consultado el 18 de enero de 2014 .
  29. ^ "QFIRE - die" Vorwärtsverteidigng "der NSA". El Spiegel . 2013-12-30 . Consultado el 18 de enero de 2014 .
  30. ^ "Presentación del Chaos Computer Club CCC" en 28:34". YouTube .
  31. ^ ab Thomson, Iain (31 de diciembre de 2013). "Cómo la NSA piratea ordenadores, teléfonos, routers y discos duros 'a la velocidad de la luz': se filtra un catálogo de tecnología espía". The Register . Londres . Consultado el 15 de agosto de 2014 .
  32. ^ Mick, Jason (31 de diciembre de 2013). "Impuestos y espionaje: cómo la NSA puede piratear a cualquier estadounidense y almacenar datos durante 15 años". DailyTech . Archivado desde el original el 24 de agosto de 2014 . Consultado el 15 de agosto de 2014 .
  33. ^ Weaver, Nicholas (28 de marzo de 2013). "Nuestro gobierno ha convertido Internet en un arma. Así es como lo han hecho". Wired . Consultado el 18 de enero de 2014 .
  34. ^ "China acusa a Estados Unidos de repetidos ataques informáticos a la Universidad Politécnica". Bloomberg . 5 de septiembre de 2022 – vía www.bloomberg.com.
  35. ^ Gallagher, Sean (12 de noviembre de 2013). "Cuantía de poder: cómo la NSA y el GCHQ piratearon a la OPEP y a otros". Ars Technica . Consultado el 18 de enero de 2014 .
  36. ^ "Les dokumenten om Sverige från Edward Snowden - Uppdrag Granskning". SVT.se. ​Consultado el 18 de enero de 2014 .
  37. ^ "Lo que querías saber" (PDF) . documentcloud.org . Consultado el 3 de octubre de 2015 .
  38. ^ "Según se informa, espías británicos falsificaron LinkedIn y Slashdot para atacar a ingenieros de redes". Network World. 11 de noviembre de 2013. Archivado desde el original el 15 de enero de 2014. Consultado el 18 de enero de 2014 .
  39. ^ "Dentro de TAO: la red en la sombra de la NSA". Der Spiegel . 2013-12-29 . Consultado el 2014-01-27 .
  40. ^ ab Aid, Matthew M. (15 de octubre de 2013). "Los nuevos descifradores de códigos de la NSA". Foreign Policy . Consultado el 27 de julio de 2023 .
  41. ^ Farber, Dan (29 de diciembre de 2013). "Según se informa, la NSA ha instalado software espía en equipos electrónicos | Seguridad y privacidad". CNET News . Consultado el 18 de enero de 2014 .
  42. ^ Schneier, Bruce (4 de octubre de 2013). "Cómo piensa la NSA sobre el secreto y el riesgo". The Atlantic . Consultado el 18 de enero de 2014 .
  43. ^ Riley, Michael (14 de junio de 2013). "Se dice que agencias estadounidenses intercambiarán datos con miles de empresas". Bloomberg . Consultado el 18 de enero de 2014 .

Enlaces externos