Operaciones de acceso personalizadas

Unidad de la Agencia de Seguridad Nacional de EE. UU.

Una referencia a las operaciones de acceso personalizadas en una diapositiva de XKeyscore

La Oficina de Operaciones de Acceso a Medida ( TAO ), ahora Operaciones de Redes Informáticas , y estructurada como S32 , ^[1] es una unidad de recopilación de inteligencia de guerra cibernética de la Agencia de Seguridad Nacional (NSA). ^[2] Ha estado activo desde al menos 1998, posiblemente 1997, pero no fue nombrado ni estructurado como TAO hasta "los últimos días de 2000", según el general Michael Hayden . ^{[3] [4] [5]}

TAO identifica, monitorea, se infiltra y recopila inteligencia sobre sistemas informáticos utilizados por entidades extranjeras a los Estados Unidos. ^{[6] [7] [8] [9]}

Historia

Se informa que TAO es "el componente más grande y posiblemente el más importante de la enorme Dirección de Inteligencia de Señales (SID) de la NSA, ^[10] que consta de más de 1.000 piratas informáticos militares y civiles, analistas de inteligencia, especialistas en objetivos, diseñadores de hardware y software informáticos, y ingenieros eléctricos. La oficina se conoce actualmente como Oficina de Operaciones de Redes Informáticas (OCNO). ". ^[4]

Fuga de Snowden

Un documento filtrado por el excontratista de la NSA Edward Snowden que describe el trabajo de la unidad dice que TAO tiene plantillas de software que le permiten acceder al hardware de uso común, incluidos "enrutadores, conmutadores y cortafuegos de múltiples líneas de proveedores de productos". ^[11] Los ingenieros de TAO prefieren intervenir redes en lugar de computadoras aisladas, porque normalmente hay muchos dispositivos en una sola red. ^[11]

Organización

La sede de TAO se denomina Centro de Operaciones Remota (ROC) y tiene su sede en la sede de la NSA en Fort Meade, Maryland . TAO también se ha expandido a la NSA Hawaii ( Wahiawa , Oahu), la NSA Georgia ( Fort Eisenhower , Georgia), la NSA Texas ( Base Conjunta San Antonio , Texas) y la NSA Colorado ( Base de la Fuerza Espacial Buckley , Denver). ^[4]

• S321 – Centro de operaciones remotas (ROC) En el Centro de operaciones remotas , 600 empleados recopilan información de todo el mundo. ^{[12] [13]}
• S323 – Rama de tecnologías de redes de datos (DNT): desarrolla software espía automatizado
  • S3231 – División de Acceso (ACD)
  • S3232 – División de Tecnología de Redes Cibernéticas (CNT)
  • S3233 –
  • S3234 – División de Tecnología Informática (CTD)
  • S3235 – División de Tecnología de Redes (NTD)
• Subdivisión de Tecnologías de Redes de Telecomunicaciones (TNT): mejorar los métodos de piratería informática y de redes ^[14]
• Subdivisión de Tecnologías de Infraestructura de Misión: opera el software proporcionado anteriormente ^[15]
• S328 – Rama de Operaciones de Tecnologías de Acceso (ATO): supuestamente incluye personal adscrito por la CIA y el FBI, que realizan lo que se describen como "operaciones fuera de la red", lo que significa que organizan que los agentes de la CIA coloquen subrepticiamente dispositivos de escucha en computadoras y telecomunicaciones. sistemas en el extranjero para que los piratas informáticos de TAO puedan acceder a ellos de forma remota desde Fort Meade. ^[4] Submarinos especialmente equipados, actualmente el USS Jimmy Carter , ^[16] se utilizan para interceptar cables de fibra óptica en todo el mundo.
  • S3283 – Operaciones de acceso expedicionario (EAO)
  • S3285 – División de Persistencia

Ubicaciones virtuales

Los detalles ^[17] sobre un programa titulado QUANTUMSQUIRREL indican la capacidad de la NSA para hacerse pasar por cualquier host IPv4 o IPv6 enrutable. ^[18] Esto permite que una computadora de la NSA genere ubicaciones geográficas falsas y credenciales de identificación personal al acceder a Internet utilizando QUANTUMSQUIRREL. ^[19]

Liderazgo

De 2013 a 2017, ^[20] el director de TAO fue Rob Joyce , un empleado de más de 25 años que anteriormente trabajó en la Dirección de Aseguramiento de la Información (IAD) de la NSA. En enero de 2016, Joyce tuvo una rara aparición pública cuando hizo una presentación en la conferencia Enigma de Usenix. ^[21]

Imagen de QUANTUMSQUIRREL de una presentación de la NSA que explica la capacidad de suplantación de identidad del host IP de QUANTUMSQUIRREL

Catálogo ANT de la NSA

El catálogo ANT de la NSA es una tecnología de listado de documentos clasificados de 50 páginas disponible para las Operaciones de acceso personalizado (TAO) de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos a través de la División de Tecnología de Red Avanzada (ANT) para ayudar en la vigilancia cibernética. La mayoría de los dispositivos se describen como ya operativos y disponibles para ciudadanos estadounidenses y miembros de la alianza Five Eyes . Según Der Spiegel , que lanzó el catálogo al público el 30 de diciembre de 2013, "la lista se lee como un catálogo de pedidos por correo, uno desde el cual otros empleados de la NSA pueden solicitar tecnologías de la división ANT para aprovechar los datos de sus objetivos". El documento fue creado en 2008. ^[22] El investigador de seguridad Jacob Appelbaum pronunció un discurso en el Congreso de Comunicaciones del Caos en Hamburgo , Alemania , en el que detalló técnicas que el artículo publicado simultáneamente en Der Spiegel del que es coautor reveló en el catálogo. ^[22]

Ataques CUÁNTICOS

Imagen de Lolcat de una presentación de la NSA que explica en parte el nombre del programa QUANTUM

Diapositiva de descripción general de QUANTUMTHEORY de la NSA con varios nombres en clave para tipos específicos de ataques e integración con otros sistemas de la NSA

La TAO ha desarrollado un conjunto de ataques al que llaman QUANTUM. Se basa en un enrutador comprometido que duplica el tráfico de Internet, generalmente solicitudes HTTP , de modo que van tanto al objetivo previsto como a un sitio de la NSA (indirectamente). El sitio de la NSA ejecuta el software FOXACID que devuelve exploits que se cargan en segundo plano en el navegador web de destino antes de que el destino previsto haya tenido la oportunidad de responder (no está claro si el enrutador comprometido facilita esta carrera en el viaje de regreso). Antes del desarrollo de esta tecnología, el software FOXACID realizaba ataques de phishing que la NSA denominaba spam. Si el navegador es explotable, se implementan otros "implantes" permanentes (rootkits, etc.) en el ordenador de destino, por ejemplo OLYMPUSFIRE para Windows, que proporciona acceso remoto completo al ordenador infectado. ^[23] Este tipo de ataque es parte de la familia de ataques de hombre en el medio , aunque más específicamente se llama ataque de hombre en el lado . Es difícil lograrlo sin controlar parte de la red troncal de Internet . ^[24]

Existen numerosos servicios que FOXACID puede explotar de esta manera. Los nombres de algunos módulos de FOXACID se dan a continuación: ^[25]

• Usuario del foro de alibaba
• ID de doble clic
• correo cohete
• hola5
• ID de correo caliente
• LinkedIn
• correoruid
• token de correo msn64
• qq
• Facebook
• simbarido
• Gorjeo
• yahoo
• Gmail
• YouTube

En colaboración con la Sede de Comunicaciones del Gobierno Británico (GCHQ) ( MUSCULAR ), los servicios de Google también podrían ser atacados, incluido Gmail . ^[26]

La búsqueda de máquinas que sean explotables y que valga la pena atacar se realiza mediante bases de datos analíticas como XKeyscore . ^[27] Un método específico para encontrar máquinas vulnerables es la interceptación del tráfico de Informe de errores de Windows , que se registra en XKeyscore. ^[28]

Los ataques QUANTUM lanzados desde sitios de la NSA pueden ser demasiado lentos para algunas combinaciones de objetivos y servicios, ya que esencialmente intentan explotar una condición de carrera , es decir, el servidor de la NSA está tratando de vencer al servidor legítimo con su respuesta. ^[29] A mediados de 2011, la NSA estaba creando un prototipo de una capacidad con nombre en código QFIRE, que implicaba integrar sus servidores dispensadores de exploits en máquinas virtuales (que se ejecutan en VMware ESX ) alojadas más cerca del objetivo, en los llamados sitios de recopilación especiales ( SCS) a nivel mundial. El objetivo de QFIRE era reducir la latencia de la respuesta falsificada, aumentando así la probabilidad de éxito. ^{[30] [31] [32]}

COMMENDEER [ sic ] se utiliza para controlar (es decir, comprometer) sistemas informáticos no específicos. El software se utiliza como parte de QUANTUMNATION, que también incluye el escáner de vulnerabilidades de software VALIDATOR. La herramienta fue descrita por primera vez en el Congreso de Comunicación del Caos de 2014 por Jacob Appelbaum , quien la caracterizó como tiránica. ^{[33] [34] [35]}

QUANTUMCOOKIE es una forma de ataque más compleja que puede usarse contra usuarios de Tor. ^[36]

Objetivos y colaboraciones

Los objetivos sospechosos, supuestos y confirmados de la unidad de Operaciones de Acceso a Medida incluyen entidades nacionales e internacionales como China , ^[4] Universidad Politécnica del Noroeste . ^[37] , OPEP , ^[38] y Secretaría de Seguridad Pública de México . ^[28]

El grupo también se ha centrado en las redes de comunicación globales a través de SEA-ME-WE 4 , un sistema de cable de comunicaciones submarino de fibra óptica que transporta telecomunicaciones entre Singapur, Malasia, Tailandia, Bangladesh, India, Sri Lanka, Pakistán, Emiratos Árabes Unidos, Arabia Saudita y Sudán. , Egipto, Italia, Túnez, Argelia y Francia. ^[34] Además, Försvarets radioanstalt (FRA) en Suecia proporciona acceso a enlaces de fibra óptica para la cooperación QUANTUM. ^{[39] [40]}

La tecnología QUANTUM INSERT de TAO se pasó a los servicios del Reino Unido, particularmente a MyNOC de GCHQ , que la utilizó para apuntar a proveedores de intercambio de roaming (GRX) Belgacom y GPRS como Comfone, Syniverse y Starhome. ^[28] Belgacom, que presta servicios a la Comisión Europea , al Parlamento Europeo y al Consejo Europeo, descubrió el ataque. ^[41]

En colaboración con la CIA y el FBI , la TAO se utiliza para interceptar portátiles adquiridos online, desviarlos a almacenes secretos donde se instala software espía y hardware y enviarlos a los clientes. ^[42] TAO también ha apuntado a los navegadores de Internet Tor y Firefox . ^[24]

Según un artículo de 2013 en Foreign Policy , TAO ha logrado "cada vez más logros en su misión, gracias en parte a la cooperación de alto nivel que recibe en secreto de las 'tres grandes' compañías de telecomunicaciones estadounidenses ( AT&T , Verizon y Sprint ), la mayoría de los grandes proveedores de servicios de Internet con sede en EE. UU. y muchos de los principales fabricantes de software de seguridad informática y empresas consultoras". ^[43] Un documento de presupuesto de la TAO de 2012 afirma que estas empresas, a instancias de la TAO, "insertan vulnerabilidades en sistemas de cifrado comerciales, sistemas de TI, redes y dispositivos de comunicaciones finales utilizados por los objetivos". ^[43] Varias empresas estadounidenses, incluidas Cisco y Dell , han hecho declaraciones públicas posteriormente negando que inserten tales puertas traseras en sus productos. ^[44] Microsoft proporciona advertencias anticipadas a la NSA sobre las vulnerabilidades que conoce, antes de que las correcciones o la información sobre estas vulnerabilidades estén disponibles para el público; esto permite a TAO ejecutar los llamados ataques de día cero . ^[45] Un funcionario de Microsoft que se negó a ser identificado en la prensa confirmó que este es efectivamente el caso, pero dijo que Microsoft no puede ser considerado responsable de cómo la NSA utiliza esta información anticipada. ^[46]

Ver también

• Amenaza Persistente Avanzada
• Guerra cibernética en Estados Unidos
• Grupo de ecuaciones
• Linterna mágica (software)
• MiniPanzer y MegaPanzer
• Unidad PLA 61398
• estuxnet
• Ejército electrónico sirio
• Unidad 8200
• ORGULLO GUERRERO

Referencias

1. Nakashima, Ellen (1 de diciembre de 2017). "El empleado de la NSA que trabajó en herramientas de piratería en casa se declara culpable del cargo de espionaje". El Washington Post . Consultado el 4 de diciembre de 2017 .
2. Loleski, Steven (18 de octubre de 2018). "De los guerreros fríos a los ciberguerreros: los orígenes y la expansión de las operaciones de acceso personalizado (TAO) de la NSA a los corredores en la sombra". Inteligencia y Seguridad Nacional . 34 (1): 112-128. doi :10.1080/02684527.2018.1532627. ISSN  0268-4527. S2CID  158068358.
3. Hayden, Michael V. (23 de febrero de 2016). Jugando al límite: la inteligencia estadounidense en la era del terror. Prensa de pingüinos. ISBN 978-1594206566. Consultado el 1 de abril de 2021 .
4. Aid, Matthew M. (10 de junio de 2013). "Dentro del grupo de piratería ultrasecreto de China de la NSA". La política exterior . Consultado el 11 de junio de 2013 .
5. Paterson, Andrea (30 de agosto de 2013). "La NSA tiene su propio equipo de hackers de élite". El Washington Post . Consultado el 31 de agosto de 2013 .
6. Kingsbury, Alex (19 de junio de 2009). "La historia secreta de la Agencia de Seguridad Nacional". Informe mundial y de noticias de EE. UU . Consultado el 22 de mayo de 2013 .
7. Kingsbury, Alex; Mulrine, Anna (18 de noviembre de 2009). "Estados Unidos está contraatacando en la ciberguerra global". Informe mundial y de noticias de EE. UU . Consultado el 22 de mayo de 2013 .
8. Riley, Michael (23 de mayo de 2013). "Cómo el gobierno de Estados Unidos piratea el mundo". Semana empresarial de Bloomberg . Archivado desde el original el 25 de mayo de 2013 . Consultado el 23 de mayo de 2013 .
9. Ayuda, Matthew M. (8 de junio de 2010). El centinela secreto: la historia no contada de la Agencia de Seguridad Nacional. Bloomsbury Estados Unidos. pag. 311.ISBN _ 978-1-60819-096-6. Consultado el 22 de mayo de 2013 .
10. "FOIA n.º 70809 (publicado el 19 de septiembre de 2014)" (PDF) .
11. Gellman, Barton; Nakashima, Ellen (30 de agosto de 2013). "Las agencias de espionaje estadounidenses montaron 231 operaciones cibernéticas ofensivas en 2011, según muestran los documentos". El Washington Post . Consultado el 7 de septiembre de 2013 . Mucho más a menudo, un implante está codificado íntegramente en software por un grupo de la NSA llamado Tailored Access Operations (TAO). Como sugiere su nombre, TAO crea herramientas de ataque que se adaptan a sus objetivos. Los ingenieros de software de la unidad de la NSA prefieren acceder a las redes que a las computadoras individuales porque normalmente hay muchos dispositivos en cada red. Tailored Access Operations tiene plantillas de software para acceder a marcas y modelos comunes de "enrutadores, conmutadores y firewalls de múltiples líneas de proveedores de productos", según un documento que describe su trabajo.
12. "Los piratas informáticos secretos de la NSA de la oficina de TAO han estado atacando a China durante casi 15 años". Mundo de la informática. 2013-06-11. Archivado desde el original el 25 de enero de 2014 . Consultado el 27 de enero de 2014 .
13. Rothkopf, David. "Dentro del grupo de piratería ultrasecreto de China de la NSA". La política exterior . Consultado el 27 de enero de 2014 .
14. "Hintergrund: Die Speerspitze des amerikanischen Hackings - News Ausland: Amerika". Tages-Anzeiger . tagesanzeiger.ch . Consultado el 27 de enero de 2014 .
15. "Dentro del grupo de piratería ultrasecreto de la NSA". Consejo Atlántico . 2013-06-11 . Consultado el 27 de julio de 2023 .
16. noahmax (21 de febrero de 2005). "Jimmy Carter: ¿Súper espía?". Tecnología de defensa. Archivado desde el original el 20 de febrero de 2014 . Consultado el 27 de enero de 2014 .
17. https://www.eff.org/files/2014/04/09/20140312-intercept-the_nsa_and_gchqs_quantumtheory_hacking_tactics.pdf (diapositiva 8)
18. Distribuidor, hacker. "Comerciante, hacker, abogado, espía: técnicas modernas y límites legales de las operaciones contra el ciberdelito". La Revista Europea del Crimen Organizado .
19. "Tácticas de piratería de TEORÍA CUÁNTICA de la NSA y el GCHQ". firstlook.org. 2014-07-16 . Consultado el 16 de julio de 2014 .
20. Landler, Mark (10 de abril de 2018). "Thomas Bossert, asesor principal de Trump en seguridad nacional, es expulsado". New York Times . Consultado el 9 de marzo de 2022 .
21. Thomson, Iain (28 de enero de 2016). "El principal jefe de piratería informática de la NSA explica cómo proteger su red de sus escuadrones de ataque". El registro.
22. Esta sección copiada del catálogo ANT de la NSA ; ver allí para fuentes
23. "Teoría cuántica: Wie die NSA weltweit Rechner hackt". El Spiegel . 2013-12-30 . Consultado el 18 de enero de 2014 .
24. Schneier, Bruce (7 de octubre de 2013). "Cómo ataca la NSA a los usuarios de Tor/Firefox con QUANTUM y FOXACID". Schneier.com . Consultado el 18 de enero de 2014 .
25. Fotostrecke (30 de diciembre de 2013). "NSA-Dokumente: So knackt der Geheimdienst Internetkonten". El Spiegel . Consultado el 18 de enero de 2014 .
26. "NSA-Dokumente: So knackt der Geheimdienst Internetkonten". El Spiegel . 2013-12-30 . Consultado el 18 de enero de 2014 .
27. Gallagher, Sean (1 de agosto de 2013). "Las escuchas de Internet de la NSA pueden encontrar sistemas para piratear, rastrear VPN y documentos de Word" . Consultado el 8 de agosto de 2013 .
28. "Dentro de TAO: apuntando a México". El Spiegel . 29 de diciembre de 2013 . Consultado el 18 de enero de 2014 .
29. Fotostrecke (30 de diciembre de 2013). "QFIRE - die" Vorwärtsverteidigng "der NSA". El Spiegel . Consultado el 18 de enero de 2014 .
30. "QFIRE - die" Vorwärtsverteidigng "der NSA". El Spiegel . 2013-12-30 . Consultado el 18 de enero de 2014 .
31. "QFIRE - die" Vorwärtsverteidigng "der NSA". El Spiegel . 2013-12-30 . Consultado el 18 de enero de 2014 .
32. "QFIRE - die" Vorwärtsverteidigng "der NSA". El Spiegel . 2013-12-30 . Consultado el 18 de enero de 2014 .
33. ""Presentación del CCC del Chaos Computer Club "a las 28:34". YouTube .
34. Thomson, Iain (31 de diciembre de 2013). "Cómo la NSA piratea PC, teléfonos, enrutadores y discos duros 'a la velocidad de la luz': filtraciones del catálogo de tecnología espía". El registro . Londres . Consultado el 15 de agosto de 2014 .
35. Mick, Jason (31 de diciembre de 2013). "Impuestos y espionaje: cómo la NSA puede piratear a cualquier estadounidense y almacenar datos durante 15 años". Tecnología diaria . Archivado desde el original el 24 de agosto de 2014 . Consultado el 15 de agosto de 2014 .
36. Tejedor, Nicolás (28 de marzo de 2013). "Nuestro gobierno ha convertido Internet en un arma. Así es como lo hicieron". Cableado . Consultado el 18 de enero de 2014 .
37. "China acusa a Estados Unidos de repetidos ataques a la Universidad Politécnica". Bloomberg . 5 de septiembre de 2022 – a través de www.bloomberg.com.
38. Gallagher, Sean (12 de noviembre de 2013). "Quantum of pwnness: cómo la NSA y el GCHQ piratearon a la OPEP y otros". Ars Técnica . Consultado el 18 de enero de 2014 .
39. "Les dokumenten om Sverige från Edward Snowden - Uppdrag Granskning". SVT.se. _ Consultado el 18 de enero de 2014 .
40. "Lo que querías saber" (PDF) . documentcloud.org . Consultado el 3 de octubre de 2015 .
41. "Según se informa, espías británicos falsificaron LinkedIn y Slashdot para apuntar a ingenieros de redes". Mundo de la red. 2013-11-11. Archivado desde el original el 15 de enero de 2014 . Consultado el 18 de enero de 2014 .
42. "Dentro de TAO: la red en la sombra de la NSA". El Spiegel . 29 de diciembre de 2013 . Consultado el 27 de enero de 2014 .
43. Ayuda, Matthew M. (15 de octubre de 2013). "Los nuevos descifradores de códigos de la NSA". La política exterior . Consultado el 27 de julio de 2023 .
44. Farber, Dan (29 de diciembre de 2013). "Según se informa, la NSA colocó software espía en equipos electrónicos | Seguridad y privacidad". Noticias CNET . Consultado el 18 de enero de 2014 .
45. Schneier, Bruce (4 de octubre de 2013). "Cómo piensa la NSA sobre el secreto y el riesgo". El Atlántico . Consultado el 18 de enero de 2014 .
46. Riley, Michael (14 de junio de 2013). "Se dice que las agencias estadounidenses intercambian datos con miles de empresas". Bloomberg . Consultado el 18 de enero de 2014 .

enlaces externos

• Dentro de TAO: Documentos revelan la principal unidad de piratería de la NSA
• La 'unidad de piratería' de la NSA se infiltra en ordenadores de todo el mundo: informe
• Operaciones de acceso personalizadas de la NSA
• La NSA se ríe de las PC y prefiere piratear enrutadores y conmutadores
• La NSA diseña una vía de radio para las computadoras
• Obteniendo la inteligencia 'inolvidable': una entrevista con Teresa Shea de TAO