Szpiegowanie? Windows, twarde dyski czy nawet kable od monitorów – to wszystko zabawki NSA?

Technologie / Nauka

Gdyby oceniać amerykańską Agencję Bezpieczeństwa Krajowego NSA (National Security Agency, NSA) po tym, jak Edwardowi Snowdenowi łatwo przyszło wyprowadzić z serwerów organizacji tajne dokumenty, czy też po tym, jak wiele wysiłku i czasu jej agenci włożyli w poszukiwanie islamskich terrorystów w World of Warcraft, to trzeba byłoby uznać, że raczej nie ma się czego obawiać. Popisom niekompetencji towarzyszą jednak spektakularne osiągnięcia, za które odpowiedzialna jest w NSA jedna elitarna jednostka „cyfrowych hydraulików” – Tailored Access Operations (TAO). Der Spiegel odsłonił właśnie fascynujące kulisy pracy ludzi, którzy są w stanie śledzić i podsłuchiwać większość internautów za pomocą popularnego oprogramowania i popularnych usług internetowych.

Po wydarzeniach z 11 września NSA otrzymało carte blanche dla swoich działań: tajny, nieograniczony praktycznie niczym budżet, dostęp do zasobów innych organizacji wywiadowczych, niezależność od politycznej kontroli. Pozwoliło to na rekrutację nowych ludzi i zakrojone na dużą skalę inwestycje w infrastrukturę. Jedną z takich inwestycji było przejęcie budynków byłej fabryki Sony w San Antonio (Teksas), której hale, magazyny i powierzchnia biurowa posłużyły za dom dla specjalnej jednostki, która od swojego powstania w 1997 roku miała tylko jedną misję: dostać się tam, gdzie nie można się dostać.

Historyk Matthew Aid, specjalizujący się w historii NSA, określa TAO jako cudowną broń wywiadu USA, która umożliwiła uzyskanie dostępu do najlepiej strzeżonych celów, korzystając z całej palety narzędzi, od cyberterroryzmu po tradycyjne operacje szpiegowskie. Tylko w ostatniej dekadzie agenci TAO zinfiltrowali 258 celów w 89 krajach, wśród których byli przywódcy państwowi, wewnętrzne sieci operatorów telekomunikacyjnych czy serwery bezpiecznej poczty Blackberry BES.

Oczywiście agentów realizujących takie operacje nie znajdzie się wśród typowych pracowników wywiadu. TAO rekrutuje w hakerskich kręgach, a dyrektor NSA, generał Keith Alexander, niejednokrotnie pojawiał się na konferencjach ekspertów bezpieczeństwa ubrany nie w mundur, lecz w dżinsy i koszulkę z krótkim rękawem, by zdobyć zaufanie nowego pokolenia potencjalnych pracowników. Jak donosi Spiegel, taka postawa opłaciła się – szeregi agentów TAO rosły szybciej, niż jakiejkolwiek innej jednostki wywiadowczej, a jej kolejne bazy pojawiały się nie tylko w USA, ale i w Europie: jeden z najważniejszych zamorskich oddziałów znajdować się ma w wojskowej bazie USA pod Frankfurtem.
Grafika

Najważniejszy pozostaje jednak Teksas: tamtejszy oddział, w którym do 2015 roku pracować ma 270 agentów TAO, odpowiada za ataki przeciwko celom na Bliskim Wschodzie, na Kubie, Wenezueli, Kolumbii i oczywiście w Meksyku. Południowy sąsiad ma bowiem szczególne znaczenie dla NSA: poświęcono mu wyodrębnioną operację pod kryptonimem WHITETAMALE, mającą na celu przeniknięcie meksykańskiego aparatu bezpieczeństwa, Secretaría de Seguridad Pública. To federalne ministerstwo, po przejęciu przez NSA jego wewnętrznych systemów telekomunikacyjnych, stało się bezcennym źródłem wiedzy o przemycie narkotyków, nielegalnej emigracji i zagrożeniach dla bezpieczeństwa granicy.

Takie operacje są już dla TAO codziennością – jednostka dorobiła się własnego pionu deweloperskiego. W nim to agenci opracowują i testują nowe narzędzia penetracyjne, których nie powstydziłby się James Bond. Z uzyskanych przez Spiegla prezentacji NSA wynika, że przejmowane są niemal wszelkie urządzenia wykorzystywane w cyfrowym życiu – serwery, stacje robocze, zapory sieciowe, routery, smartfony, centralki telefoniczne, systemy sterowania przemysłowego itp. Najprawdopodobniej to właśnie agenci TAO uczestniczyli w opracowywaniu robaka Stuxnet, który zniszczył około 1000 wirówek w irańskiej instalacji wzbogacania uranu w Natanz.

Do ulubionych narzędzi TAO, z tego co ujawnia Der Spiegel, należą systemy operacyjne z rodziny Windows. Od lat agenci tej jednostki bawią się na koszt Microsoftu, wykorzystując usterki w „okienkach” do namierzania i identyfikowania swoich celów. TAO zbudować miało bazujący na szpiegowskim narzędziu Xkeyscore system przechwytywania komunikatów o błędach wysyłanych na serwery w Redmond. Za każdym razem, gdy na komputerze śledzonej przez NSA osoby zawiesi się jakiś program, odpowiedzialny agent TAO zostaje o tym powiadomiony. Przejęte raporty o błędach dają agencji pasywny dostęp do komputera ofiary, w szczególności wiedzę o tym, jakie to luki w zabezpieczeniach można by wykorzystać, do umieszczenia szpiegującego malware. Nie są to incydentalne sprawy – do końca 2013 roku w ten sposób zinfiltrowane miało być 85 tysięcy komputerów na całym świecie.

Pierwsze narzędzia wykorzystywane do infiltracji były dość prostackie. Po prawdzie był to zwykły spam – rozsyłanie e-maili z załącznikami czy linkami prowadzącymi do hostujących malware witryn. Skuteczność takich ataków nie przekraczała 1%. Dziś jednak TAO dysponować ma znacznie lepszymi metodami. Opracowany przez programistów jednostki zestaw narzędzi o nazwie kodowej QUANTUMTHEORY pozwalać ma na skuteczną infiltrację komputerów nawet w 80% wypadków. Ofiarami narzędzi QUANTUM paść miały największe serwisy internetowe, w tym Facebook, Yahoo!, Twitter i YouTube (podobno jedynie macierzyste usługi Google'a okazały się odporne na te formy ataku).

Wśród narzędzi z zestawu QUANTUMTHEORY szczególną rolę odgrywa dziś QUANTUMINSERT, wykorzystany ostatnio z powodzeniem do zinfiltrowania komputerów przedstawicieli państw członkowskich organizacji eksporterów ropy naftowej OPEC w jej siedzibie w Wiedniu. Narzędzie to korzystać ma z internetu cieni, ukrytej przed postronnymi sieci, składającej się z ukrytych serwerów i routerów NSA, jak również przejętych przez tę agencję innych sieci, zdalnie sterowanych za pomocą implantów, umieszczanych w sprzęcie. TAO śledzić ma w ten sposób swoje cele, zbierając ich cyfrowe odciski – charakterystykę przeglądarki, przechowywane ciasteczka czy adresy. Gdy zgromadzone zostanie już dość informacji o nawykach celu, system przełączany jest w tryb ataku. Gdy tylko datagram zawierający śledzone ciasteczko przejdzie przez router monitorowany przez NSA, wszczynany jest alarm, ustalana witryna, którą ofiara próbuje odwiedzić, a następnie aktywuje się jeden z ukrytych serwerów, znanych pod nazwą kodową FOXACID.

Serwery te próbują odpowiedzieć na zapytanie internauty szybciej, niż zrobiłaby to prawdziwa witryna, przedstawiając mu sfałszowaną wersję strony. Ofiarą serwerów FOXACID mieli się w ten sposób stać np. pracownicy belgijskiego telekomu Belgacom, którzy chcąc zalogować się do LinkedIn, trafiali na serwery FOXACID, które atakowały ich komputery specjalnie skrojonym pod ich maszyny złośliwym oprogramowaniem. To nie koniec – jak wynika z ujawnionych dokumentów, w tym roku jednostka zdołała w ten sposób zinfiltrować nawet system zarządzania podmorskim kablem SEA-ME-WE-4, łączącym Europę z Północną Afryką, krajami Zatoki Perskiej, Pakistanem i Indiami, aż do Malezji i Tajlandii.

Działania TAO nie kończą się na software'owych operacjach – czasem trzeba sobie „pobrudzić dłonie”. Wiele udanych operacji wiąże się z uzyskaniem wsparcia CIA czy FBI, których samoloty i helikoptery dostarczają i odbierają agentów TAO do miejsc, do których przez Internet dostać się nie da. Czasem też trzeba podłubać w sprzęcie. Gdy nadzorowana przez NSA osoba, organizacja czy firma zamówi dostawę sprzętu komputerowego, przesyłka kurierska może się „zagubić” na kilka godzin. W tym czasie agenci TAO ostrożnie otworzą paczkę, wgrają „ulepszone” firmware do podzespołów, czy nawet zainstalują sprzętowe furtki. Metoda ta pozwalać ma NSA na uzyskiwanie dostępu do komputerów na całym świecie, i jest zachwalana jako jedna z najbardziej owocnych.

Te sprzętowe furtki są już jednak dziełem innych ludzi, z jednostki o nazwie ANT (prawdopodobnie od Access Network Technology). To eksperci od dłubania w sprzęcie, którzy chwalą się swoimi umiejętnościami w 50-stronicowym dokumencie, wyglądającym niczym katalog reklamowy narzędzi dla włamywaczy. Tam gdzie producenci sprzętu, tacy jak Juniper Networks,chwalą się idealnymi narzędziami chroniącymi sieci organizacji przed włamaniami i szpiegostwem, tam ANT dostarcza odpowiednich wytrychów. W przypadku Junipera noszą one nazwę FEEDTHROUGH i pozwalają złośliwemu oprogramowaniu na przebicie się przez zapory sieciowe, a także przetrwanie restartów systemu i aktualizacji. W swoim katalogu eksperci z ANT chwalą się nawet, że FEEDTHROUGH zostało wdrożone na wielu docelowych platformach.

Na Juniperze się nie kończy: katalog przedstawiać ma „ulepszone” firmware dla twardych dysków, specjalne pamięci USB z nadajnikami radiowymi, sfałszowane stacje bazowe telefonii komórkowej, a nawet kable do monitorów, pozwalające agentom TAO widzieć to, co widzą na ekranach ich ofiary. Wszystko to ma swoją cenę – od narzędzi dostępnych za darmo, po sprzęt, który kosztuje sporo i zapewne trzeba go zmieścić jakoś w budżecie operacyjnym, więc katalog pomocnie takie ceny podaje.

Jeśli zaś istnieją jakieś systemy i sprzęt, dla których ANT jeszcze wytrychów nie opracował, to wyłącznie jest to kwestia czasu – autorzy katalogu obiecują, że ciężko pracują nad nowymi narzędziami, które będą dostępne już w jego kolejnych wydaniach. Cóż, nieograniczony i tajny budżet pozwala najwyraźniej czynić cuda.

A teraz czas na sprawdzenie sum kontrolnych firmware w naszych komputerach. Pamiętajmy też o kablach do monitorów.

05.01.2014 AG, Dobreprogramy.pl