La Oficina de Operaciones de Acceso a Medida ( TAO ), ahora Operaciones de Redes Informáticas , y estructurada como S32 , [1] es una unidad de recopilación de inteligencia de guerra cibernética de la Agencia de Seguridad Nacional (NSA). [2] Ha estado activo desde al menos 1998, posiblemente 1997, pero no fue nombrado ni estructurado como TAO hasta "los últimos días de 2000", según el general Michael Hayden . [3] [4] [5]
TAO identifica, monitorea, se infiltra y recopila inteligencia sobre sistemas informáticos utilizados por entidades extranjeras a los Estados Unidos. [6] [7] [8] [9]
Se informa que TAO es "el componente más grande y posiblemente el más importante de la enorme Dirección de Inteligencia de Señales (SID) de la NSA, [10] que consta de más de 1.000 piratas informáticos militares y civiles, analistas de inteligencia, especialistas en objetivos, diseñadores de hardware y software informáticos, y ingenieros eléctricos. La oficina se conoce actualmente como Oficina de Operaciones de Redes Informáticas (OCNO). ". [4]
Un documento filtrado por el excontratista de la NSA Edward Snowden que describe el trabajo de la unidad dice que TAO tiene plantillas de software que le permiten acceder al hardware de uso común, incluidos "enrutadores, conmutadores y cortafuegos de múltiples líneas de proveedores de productos". [11] Los ingenieros de TAO prefieren intervenir redes en lugar de computadoras aisladas, porque normalmente hay muchos dispositivos en una sola red. [11]
La sede de TAO se denomina Centro de Operaciones Remota (ROC) y tiene su sede en la sede de la NSA en Fort Meade, Maryland . TAO también se ha expandido a la NSA Hawaii ( Wahiawa , Oahu), la NSA Georgia ( Fort Eisenhower , Georgia), la NSA Texas ( Base Conjunta San Antonio , Texas) y la NSA Colorado ( Base de la Fuerza Espacial Buckley , Denver). [4]
Los detalles [17] sobre un programa titulado QUANTUMSQUIRREL indican la capacidad de la NSA para hacerse pasar por cualquier host IPv4 o IPv6 enrutable. [18] Esto permite que una computadora de la NSA genere ubicaciones geográficas falsas y credenciales de identificación personal al acceder a Internet utilizando QUANTUMSQUIRREL. [19]
De 2013 a 2017, [20] el director de TAO fue Rob Joyce , un empleado de más de 25 años que anteriormente trabajó en la Dirección de Aseguramiento de la Información (IAD) de la NSA. En enero de 2016, Joyce tuvo una rara aparición pública cuando hizo una presentación en la conferencia Enigma de Usenix. [21]
El catálogo ANT de la NSA es una tecnología de listado de documentos clasificados de 50 páginas disponible para las Operaciones de acceso personalizado (TAO) de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos a través de la División de Tecnología de Red Avanzada (ANT) para ayudar en la vigilancia cibernética. La mayoría de los dispositivos se describen como ya operativos y disponibles para ciudadanos estadounidenses y miembros de la alianza Five Eyes . Según Der Spiegel , que lanzó el catálogo al público el 30 de diciembre de 2013, "la lista se lee como un catálogo de pedidos por correo, uno desde el cual otros empleados de la NSA pueden solicitar tecnologías de la división ANT para aprovechar los datos de sus objetivos". El documento fue creado en 2008. [22] El investigador de seguridad Jacob Appelbaum pronunció un discurso en el Congreso de Comunicaciones del Caos en Hamburgo , Alemania , en el que detalló técnicas que el artículo publicado simultáneamente en Der Spiegel del que es coautor reveló en el catálogo. [22]
La TAO ha desarrollado un conjunto de ataques al que llaman QUANTUM. Se basa en un enrutador comprometido que duplica el tráfico de Internet, generalmente solicitudes HTTP , de modo que van tanto al objetivo previsto como a un sitio de la NSA (indirectamente). El sitio de la NSA ejecuta el software FOXACID que devuelve exploits que se cargan en segundo plano en el navegador web de destino antes de que el destino previsto haya tenido la oportunidad de responder (no está claro si el enrutador comprometido facilita esta carrera en el viaje de regreso). Antes del desarrollo de esta tecnología, el software FOXACID realizaba ataques de phishing que la NSA denominaba spam. Si el navegador es explotable, se implementan otros "implantes" permanentes (rootkits, etc.) en el ordenador de destino, por ejemplo OLYMPUSFIRE para Windows, que proporciona acceso remoto completo al ordenador infectado. [23] Este tipo de ataque es parte de la familia de ataques de hombre en el medio , aunque más específicamente se llama ataque de hombre en el lado . Es difícil lograrlo sin controlar parte de la red troncal de Internet . [24]
Existen numerosos servicios que FOXACID puede explotar de esta manera. Los nombres de algunos módulos de FOXACID se dan a continuación: [25]
En colaboración con la Sede de Comunicaciones del Gobierno Británico (GCHQ) ( MUSCULAR ), los servicios de Google también podrían ser atacados, incluido Gmail . [26]
La búsqueda de máquinas que sean explotables y que valga la pena atacar se realiza mediante bases de datos analíticas como XKeyscore . [27] Un método específico para encontrar máquinas vulnerables es la interceptación del tráfico de Informe de errores de Windows , que se registra en XKeyscore. [28]
Los ataques QUANTUM lanzados desde sitios de la NSA pueden ser demasiado lentos para algunas combinaciones de objetivos y servicios, ya que esencialmente intentan explotar una condición de carrera , es decir, el servidor de la NSA está tratando de vencer al servidor legítimo con su respuesta. [29] A mediados de 2011, la NSA estaba creando un prototipo de una capacidad con nombre en código QFIRE, que implicaba integrar sus servidores dispensadores de exploits en máquinas virtuales (que se ejecutan en VMware ESX ) alojadas más cerca del objetivo, en los llamados sitios de recopilación especiales ( SCS) a nivel mundial. El objetivo de QFIRE era reducir la latencia de la respuesta falsificada, aumentando así la probabilidad de éxito. [30] [31] [32]
COMMENDEER [ sic ] se utiliza para controlar (es decir, comprometer) sistemas informáticos no específicos. El software se utiliza como parte de QUANTUMNATION, que también incluye el escáner de vulnerabilidades de software VALIDATOR. La herramienta fue descrita por primera vez en el Congreso de Comunicación del Caos de 2014 por Jacob Appelbaum , quien la caracterizó como tiránica. [33] [34] [35]
QUANTUMCOOKIE es una forma de ataque más compleja que puede usarse contra usuarios de Tor. [36]
Los objetivos sospechosos, supuestos y confirmados de la unidad de Operaciones de Acceso a Medida incluyen entidades nacionales e internacionales como China , [4] Universidad Politécnica del Noroeste . [37] , OPEP , [38] y Secretaría de Seguridad Pública de México . [28]
El grupo también se ha centrado en las redes de comunicación globales a través de SEA-ME-WE 4 , un sistema de cable de comunicaciones submarino de fibra óptica que transporta telecomunicaciones entre Singapur, Malasia, Tailandia, Bangladesh, India, Sri Lanka, Pakistán, Emiratos Árabes Unidos, Arabia Saudita y Sudán. , Egipto, Italia, Túnez, Argelia y Francia. [34] Además, Försvarets radioanstalt (FRA) en Suecia proporciona acceso a enlaces de fibra óptica para la cooperación QUANTUM. [39] [40]
La tecnología QUANTUM INSERT de TAO se pasó a los servicios del Reino Unido, particularmente a MyNOC de GCHQ , que la utilizó para apuntar a proveedores de intercambio de roaming (GRX) Belgacom y GPRS como Comfone, Syniverse y Starhome. [28] Belgacom, que presta servicios a la Comisión Europea , al Parlamento Europeo y al Consejo Europeo, descubrió el ataque. [41]
En colaboración con la CIA y el FBI , la TAO se utiliza para interceptar portátiles adquiridos online, desviarlos a almacenes secretos donde se instala software espía y hardware y enviarlos a los clientes. [42] TAO también ha apuntado a los navegadores de Internet Tor y Firefox . [24]
Según un artículo de 2013 en Foreign Policy , TAO ha logrado "cada vez más logros en su misión, gracias en parte a la cooperación de alto nivel que recibe en secreto de las 'tres grandes' compañías de telecomunicaciones estadounidenses ( AT&T , Verizon y Sprint ), la mayoría de los grandes proveedores de servicios de Internet con sede en EE. UU. y muchos de los principales fabricantes de software de seguridad informática y empresas consultoras". [43] Un documento de presupuesto de la TAO de 2012 afirma que estas empresas, a instancias de la TAO, "insertan vulnerabilidades en sistemas de cifrado comerciales, sistemas de TI, redes y dispositivos de comunicaciones finales utilizados por los objetivos". [43] Varias empresas estadounidenses, incluidas Cisco y Dell , han hecho declaraciones públicas posteriormente negando que inserten tales puertas traseras en sus productos. [44] Microsoft proporciona advertencias anticipadas a la NSA sobre las vulnerabilidades que conoce, antes de que las correcciones o la información sobre estas vulnerabilidades estén disponibles para el público; esto permite a TAO ejecutar los llamados ataques de día cero . [45] Un funcionario de Microsoft que se negó a ser identificado en la prensa confirmó que este es efectivamente el caso, pero dijo que Microsoft no puede ser considerado responsable de cómo la NSA utiliza esta información anticipada. [46]
Mucho más a menudo, un implante está codificado íntegramente en software por un grupo de la NSA llamado Tailored Access Operations (TAO). Como sugiere su nombre, TAO crea herramientas de ataque que se adaptan a sus objetivos. Los ingenieros de software de la unidad de la NSA prefieren acceder a las redes que a las computadoras individuales porque normalmente hay muchos dispositivos en cada red. Tailored Access Operations tiene plantillas de software para acceder a marcas y modelos comunes de "enrutadores, conmutadores y firewalls de múltiples líneas de proveedores de productos", según un documento que describe su trabajo.