internetnewsWiadomość główna

Instalowanie malware’u na nowych komputerach jeszcze zanim trafią do klienta i inne ciekawe praktyki NSA

Wydawać by się mogło, że po sześciu miesiącach doniesień medialnych na temat możliwości NSA, już nic nas nie zdziwi. A jednak. Jak się okazuje agencji bliżej do tego, co znamy z filmów sensacyjnych, niż można było wcześniej przypuszczać.

Dziennikarze Der Spiegel postanowili przyjrzeć się dokładniej możliwościom jednostki TAO (Tailored Access Operations) – wydziału NSA do zadań specjalnych. Jak wynika z dokumentów wyniesionych przez Edwarda Snowdena, na które powołuje się niemiecki tygodnik, ta elitarna jednostka hackerów, która została utworzona jeszcze w roku 1997, zdążyła na własne potrzeby stworzyć „sieć cieni”, która oplata cały Internet. Dzięki włamaniom i przejmowaniu kontroli nad routerami i serwerami na całym świecie, hackerzy TAO są w stanie identyfikować i śledzić poczynania każdego wybranego celu.

Kiedy TAO dojdzie już do wniosku, że wie na temat swojej ofiary wystarczająco dużo, uruchamiany jest system o nazwie QUANTUM, który pomaga zautomatyzować proces ataku. Jeśli pakiet danych zawierający informacje, na podstawie których zidentyfikowano obiekt (na przykład email albo odpowiedni plik cookie) zostanie przesłany za pośrednictwem monitorowanego przez NSA węzła sieciowego lub kabla (a jest ich sporo), system ten zostaje zaalarmowany i uaktywnia jeden z tajnych serwerów zwanych FOXACID, który automatycznie przejmuje ofiarę. Właśnie w ten sposób pracownicy belgijskiego operatora Belgacom, zamiast na stronę LinkedIn, trafili na serwery NSA, na których, za pośrednictwem spreparowanych stron internetowych, „implantuje” się malware, który dostosowany jest do poznanych wcześniej indywidualnych luk w zabezpieczeniach.

Skuteczność tego tego rodzaju ataku zależy przede wszystkim od tego, czy NSA zdąży się podszyć pod serwer, z którym połączyć chce się klient, zanim ten otrzyma odpowiedź z prawdziwego serwera. Der Spiegel twierdzi, że agencja jest szybsza w co drugim przypadku. Choć można się cieszyć z tego, że NSA jednak nie zawsze wszystko się udaje, ale prawda jest taka, że jeśli nie udało się za pierwszym razem, TAO ponowi atak. I w końcu dopnie swego.

Choć opisana powyżej technika sprawdza się świetnie w przypadku indywidualnego celu, TAO nie pogardzi także dostępem do podmorskich światłowodów. Ostatnio (luty 2013) włamali się oni na przykład na serwery konsorcjum zarządzającego kablem telekomunikacyjnym SEA-ME-WE-4, kradnąc między innymi dokumentację techniczną infrastruktury tego światłowodu. Przywołany przez Der Spiegel dokument stwierdza, że TAO „w przyszłości planuje kolejne operacje zmierzające w kierunku zbierania informacji na temat tego, oraz innych światłowodów podmorskich.”

Ale praca „chłopców z TAO” nie ogranicza się tylko do włamań i zdalnego infekowania komputerów. Według niemieckiego tygodnika, NSA, w pełnym porozumieniu z CIA i FBI, „rutynowo” przechwytuje także paczki zawierające laptopy i inny sprzęt komputerowy, by zainstalować na nich swoje własne „upgrade’y”. W ukrytych warsztatach agenci NSA instalują w przechwyconych w ten sposób urządzeniach złośliwe oprogramowanie oraz dodatkowy hardware, który ma dać agencji zdalny dostęp do urządzeń na całym świecie. Według dokumentów jest to jedna z „najbardziej produktywnych” metod operacyjnych agencji.

Niestety nie wiadomo jak często TAO ucieka się do tego typu środków, wiadomo natomiast, że jego możliwości w tym zakresie są dość szerokie. W ramach NSA istnieje specjalny wydział zajmujący się tylko i wyłącznie dostarczaniem specyficznych narzędzi potrzebnych do przeprowadzania ataków. Wydział ten nazywa się ANT (co prawdopodobnie oznacza Advanced Network Technology lub Access Network Technology) i wchodzi on do gry, gdy „zwykłe” umiejętności hackerskie TAO już nie wystarczają.

Pracownicy ANT zajmują się specjalistycznymi rozwiązaniami, a katalog ich możliwości jest bardzo szeroki – poczynając od modyfikowanych kabli, przez sprzęt do penetracji sieci, fałszywe nadajniki komórkowe, a na atakach na BIOS i sprzęcie, który modyfikuje dane, kończąc. Słowo katalog pojawiło się tutaj nie bez powodu – według niemieckiego tygodnika, ANT oferuje pozostałym pracownikom agencji prawdziwy katalog szpiegowskich urządzeń. Wersja tego katalogu, do której dotarł Der Spiegel, miała pięćdziesiąt stron i zawierała opis specjalistycznego sprzętu wraz z jego cenami. Niektóre gadżety są nawet całkiem tanie, tak jak na przykład spreparowany kabel od monitora (30 dolarów), który pozwala podglądać to, co robi inwigilowana osoba. Inne, tak jak fałszywe nadajniki sieci komórkowej, które pozwalają podsłuchiwać rozmowy telefoniczne, kosztują już 40 tysięcy dolarów, a zestaw 50 urządzeń, które wyglądają jak pamięci USB, ale w tajemnicy przekazują dane drogą radiową, kosztuje już milion. W ofercie ANT znajdują się także backdoory do sprzętu i oprogramowania takich firm jak Cisco, Juniper Networks, Dell, Seagate, Western Digital, Maxtor, Samsung, Huawei i Microsoft. Firmy, które zostały poproszone przez dziennikarzy tygodnika o komentarz, twierdzą, że nie miały pojęcia o tym, że NSA złamała ich zabezpieczenia i można spokojnie przypuszczać, że jest to po prostu pokłosie długoterminowej strategii kupowania exploitów przez USA.

Ciekawe, czego jeszcze dowiemy się na temat praktyk NSA? I czy polskie władze podejdą w końcu poważnie do tego problemu?

Zdjęcie: Flickr/WhatDaveSees


podobne treści