Windows, twarde dyski czy nawet kable od monitorów – to wszystko zabawki NSA?
Gdyby oceniać NSA po tym, jak Edwardowi Snowdenowi łatwo przyszłowyprowadzić z serwerów organizacji tajne dokumenty, czy też po tym,jak wiele wysiłku i czasu jej agenci włożyliw poszukiwanie islamskich terrorystów w World of Warcraft, totrzeba byłoby uznać, że raczej nie ma się czego obawiać. Popisomniekompetencji towarzyszą jednak spektakularne osiągnięcia, za któreodpowiedzialna jest w NSA jedna elitarna jednostka „cyfrowychhydraulików” – Tailored Access Operations (TAO). DerSpiegel odsłonił właśnie fascynujące kulisy pracy ludzi, którzy są wstanie śledzić i podsłuchiwać większość internautów za pomocąpopularnego oprogramowania i popularnych usług internetowych.Po wydarzeniach z 11 września NSA otrzymało carte blanche dlaswoich działań: tajny, nieograniczony praktycznie niczymbudżet, dostęp do zasobów innych organizacji wywiadowczych,niezależność od politycznej kontroli. Pozwoliło to na rekrutacjęnowych ludzi i zakrojone na dużą skalę inwestycje w infrastrukturę.Jedną z takich inwestycji było przejęcie budynków byłej fabryki Sonyw San Antonio (Teksas), której hale, magazyny i powierzchnia biurowaposłużyły za dom dla specjalnej jednostki, która od swojego powstaniaw 1997 roku miała tylko jedną misję: dostać się tam, gdzie niemożna się dostać.Historyk Matthew Aid, specjalizujący się w historii NSA, określaTAO jako cudowną broń wywiadu USA,która umożliwiła uzyskanie dostępu do najlepiej strzeżonych celów,korzystając z całej palety narzędzi, od cyberterroryzmu po tradycyjneoperacje szpiegowskie. Tylko w ostatniej dekadzie agenci TAOzinfiltrowali 258 celów w 89 krajach, wśród których byli przywódcypaństwowi, wewnętrzne sieci operatorów telekomunikacyjnych czyserwery bezpiecznej poczty Blackberry BES. Oczywiście agentów realizującychtakie operacje nie znajdzie się wśród typowych pracowników wywiadu.TAO rekrutuje w hakerskich kręgach, a dyrektor NSA, generał KeithAlexander, niejednokrotnie pojawiał się na konferencjach ekspertówbezpieczeństwa ubrany nie w mundur, lecz w dżinsy i koszulkę zkrótkim rękawem, by zdobyć zaufanie nowego pokolenia potencjalnychpracowników. Jak donosi Spiegel, taka postawa opłaciła się –szeregi agentów TAO rosły szybciej, niż jakiejkolwiek innej jednostkiwywiadowczej, a jej kolejne bazy pojawiały się nie tylko w USA, ale iw Europie: jeden z najważniejszych zamorskich oddziałów znajdować sięma w wojskowej bazie USA pod Frankfurtem. [img=crypto-break]Najważniejszy pozostaje jednakTeksas: tamtejszy oddział, w którym do 2015 roku pracować ma 270agentów TAO, odpowiada za ataki przeciwko celom na Bliskim Wschodzie,na Kubie, Wenezueli, Kolumbii i oczywiście w Meksyku. Południowysąsiad ma bowiem szczególne znaczenie dla NSA: poświęcono muwyodrębnioną operację pod kryptonimem WHITETAMALE, mającą na celuprzeniknięcie meksykańskiego aparatu bezpieczeństwa, Secretaría deSeguridad Pública. To federalne ministerstwo, po przejęciu przez NSAjego wewnętrznych systemów telekomunikacyjnych, stało się bezcennymźródłem wiedzy o przemycie narkotyków, nielegalnej emigracji izagrożeniach dla bezpieczeństwa granicy.Takie operacje są już dla TAOcodziennością – jednostka dorobiła się własnego pionudeweloperskiego. W nim to agenci opracowują i testują nowe narzędziapenetracyjne, których nie powstydziłby się James Bond. Z uzyskanychprzez Spiegla prezentacji NSA wynika, że przejmowane są niemalwszelkie urządzenia wykorzystywane w cyfrowym życiu – serwery,stacje robocze, zapory sieciowe, routery, smartfony, centralkitelefoniczne, systemy sterowania przemysłowego itp.Najprawdopodobniej to właśnie agenci TAO uczestniczyli wopracowywaniu robaka Stuxnet, który zniszczył około 1000 wirówek wirańskiej instalacji wzbogacania uranu w Natanz.Do ulubionych narzędzi TAO, ztego co ujawnia Der Spiegel, należą systemy operacyjne z rodzinyWindows. Od lat agenci tej jednostki bawią się na koszt Microsoftu,wykorzystując usterki w „okienkach” do namierzania iidentyfikowania swoich celów. TAO zbudować miało bazujący naszpiegowskim narzędziu Xkeyscore system przechwytywania komunikatów obłędach wysyłanych na serwery w Redmond. Za każdym razem, gdy nakomputerze śledzonej przez NSA osoby zawiesi się jakiś program,odpowiedzialny agent TAO zostaje o tym powiadomiony. Przejęte raportyo błędach dają agencji pasywny dostęp dokomputera ofiary, w szczególności wiedzę o tym, jakie to luki wzabezpieczeniach można by wykorzystać, do umieszczenia szpiegującegomalware. Nie są to incydentalne sprawy – do końca 2013 roku wten sposób zinfiltrowane miało być 85 tysięcy komputerów na całymświecie.Pierwsze narzędzia wykorzystywanedo infiltracji były dość prostackie. Po prawdzie był to zwykły spam –rozsyłanie e-maili z załącznikami czy linkami prowadzącymi dohostujących malware witryn. Skuteczność takich ataków nieprzekraczała 1%. Dziś jednak TAO dysponować ma znacznie lepszymimetodami. Opracowany przez programistów jednostki zestaw narzędzi onazwie kodowej QUANTUMTHEORY pozwalać ma na skuteczną infiltracjękomputerów nawet w 80% wypadków. Ofiarami narzędzi QUANTUM paść miałynajwiększe serwisy internetowe, w tym Facebook, Yahoo!, Twitter iYouTube (podobno jedynie macierzyste usługi Google'a okazały sięodporne na te formy ataku). Wśród narzędzi z zestawuQUANTUMTHEORY szczególną rolę odgrywa dziś QUANTUMINSERT,wykorzystany ostatnio z powodzeniem do zinfiltrowania komputerówprzedstawicieli państw członkowskich organizacji eksporterów ropynaftowej OPEC w jej siedzibie w Wiedniu. Narzędzie to korzystać ma zinternetu cieni,ukrytej przed postronnymi sieci, składającej się z ukrytych serwerówi routerów NSA, jak również przejętych przez tę agencję innych sieci,zdalnie sterowanych za pomocą implantów,umieszczanych w sprzęcie. TAOśledzić ma w ten sposób swoje cele, zbierając ich cyfrowe odciski –charakterystykę przeglądarki, przechowywane ciasteczka czy adresy.Gdy zgromadzone zostanie już dość informacji o nawykach celu, systemprzełączany jest w tryb ataku. Gdy tylko datagram zawierającyśledzone ciasteczko przejdzie przez router monitorowany przez NSA,wszczynany jest alarm, ustalana witryna, którą ofiara próbujeodwiedzić, a następnie aktywuje się jeden z ukrytych serwerów,znanych pod nazwą kodową FOXACID.Serwery te próbują odpowiedziećna zapytanie internauty szybciej, niż zrobiłaby to prawdziwa witryna,przedstawiając mu sfałszowaną wersję strony. Ofiarą serwerów FOXACIDmieli się w ten sposób stać np. pracownicy belgijskiego telekomuBelgacom, którzy chcąc zalogować się do LinkedIn, trafiali na serweryFOXACID, które atakowały ich komputery specjalnie skrojonym pod ichmaszyny złośliwym oprogramowaniem. To nie koniec – jak wynika zujawnionych dokumentów, w tym roku jednostka zdołała w ten sposóbzinfiltrować nawet system zarządzania podmorskim kablem SEA-ME-WE-4,łączącym Europę z Północną Afryką, krajami Zatoki Perskiej,Pakistanem i Indiami, aż do Malezji i Tajlandii.Działania TAO nie kończą się na software'owych operacjach –czasem trzeba sobie „pobrudzić dłonie”. Wiele udanychoperacji wiąże się z uzyskaniem wsparcia CIA czy FBI, którychsamoloty i helikoptery dostarczają i odbierają agentów TAO do miejsc,do których przez Internet dostać się nie da. Czasem też trzebapodłubać w sprzęcie. Gdy nadzorowana przez NSA osoba, organizacja czyfirma zamówi dostawę sprzętu komputerowego, przesyłka kurierska możesię „zagubić” na kilka godzin. W tym czasie agenci TAOostrożnie otworzą paczkę, wgrają „ulepszone” firmware dopodzespołów, czy nawet zainstalują sprzętowe furtki. Metoda tapozwalać ma NSA na uzyskiwanie dostępu do komputerów na całymświecie, i jest zachwalana jako jedna z najbardziej owocnych.Te sprzętowe furtki są już jednak dziełem innych ludzi, zjednostki o nazwie ANT (prawdopodobnie od Access Network Technology).To eksperci od dłubania w sprzęcie, którzy chwalą się swoimiumiejętnościami w 50-stronicowym dokumencie, wyglądającym niczymkatalog reklamowy narzędzi dla włamywaczy. Tam gdzie producencisprzętu, tacy jak Juniper Networks,chwalą się idealnymi narzędziamichroniącymi sieci organizacji przed włamaniami i szpiegostwem, tamANT dostarcza odpowiednich wytrychów. W przypadku Junipera noszą onenazwę FEEDTHROUGH i pozwalają złośliwemu oprogramowaniu na przebiciesię przez zapory sieciowe, a także przetrwanie restartów systemu iaktualizacji. W swoim katalogu eksperci z ANT chwalą się nawet, żeFEEDTHROUGH zostało wdrożone na wielu docelowych platformach.Na Juniperze się nie kończy: katalog przedstawiać ma „ulepszone”firmware dla twardych dysków, specjalne pamięci USB z nadajnikamiradiowymi, sfałszowane stacje bazowe telefonii komórkowej, a nawetkable do monitorów, pozwalające agentom TAO widzieć to, co widzą naekranach ich ofiary. Wszystko to ma swoją cenę – od narzędzidostępnych za darmo, po sprzęt, który kosztuje sporo i zapewne trzebago zmieścić jakoś w budżecie operacyjnym, więc katalog pomocnie takieceny podaje.Jeśli zaś istnieją jakieś systemy i sprzęt, dla których ANTjeszcze wytrychów nie opracował, to wyłącznie jest to kwestia czasu –autorzy katalogu obiecują, że ciężko pracują nad nowymi narzędziami,które będą dostępne już w jego kolejnych wydaniach. Cóż,nieograniczony i tajny budżet pozwala najwyraźniej czynić cuda.A teraz czas na sprawdzenie sum kontrolnych firmware w naszychkomputerach. Pamiętajmy też o kablach do monitorów.
