La Oficina de Operaciones de Acceso Personalizado ( TAO ), ahora Operaciones de Red de Computadoras , estructurada como S32 [1] es una unidad de recopilación de inteligencia de guerra cibernética de la Agencia de Seguridad Nacional (NSA). [2] Ha estado activo desde al menos 1998, posiblemente 1997, pero no fue nombrado ni estructurado como TAO hasta "los últimos días del 2000", según el general Michael Hayden .
Abreviatura | Tail Acc Ops, TAO |
---|---|
Formacion | c. 1997-2001 [1] |
Tipo | Amenaza persistente avanzada |
Propósito | Ciberespionaje , guerra cibernética |
Sede | Fort Meade |
Región | Estados unidos |
Métodos | Cero días , software espía |
Idioma oficial | Ingles |
Líder | Rob Joyce |
Organización matriz | Adquisición de datos S3 |
Anteriormente llamado | Grupo de ecuaciones |
[4] [5] TAO identifica, monitorea, infiltra y recopila inteligencia sobre los sistemas informáticos que utilizan entidades extranjeras a los Estados Unidos. [6] [7] [8] [9]
Historia
Según se informa, TAO es "el componente más grande y posiblemente el más importante de la enorme Dirección de Inteligencia de Señales (SID) [10] ( SIGINT ) de la NSA , que consta de más de 1.000 piratas informáticos militares y civiles, analistas de inteligencia, especialistas en objetivos, hardware y software informáticos diseñadores e ingenieros eléctricos ". [4]
Fuga de Snowden
Un documento filtrado por el ex contratista de la NSA Edward Snowden que describe el trabajo de la unidad dice [ fallado la verificación ] TAO tiene plantillas de software que permite que se rompa en el hardware utilizado, incluyendo "routers, switches, firewalls y de múltiples líneas vendedores de estos productos". [11] ingenieros TAO prefieren las redes de derivación en lugar de ordenadores aislados, porque normalmente hay muchos dispositivos en una sola red. [11]
Organizacion
La sede de TAO se denominan el centro de operaciones remoto (ROC) y se basan en la sede de la NSA en Fort Meade, Maryland . TAO también se ha expandido a NSA Hawaii ( Wahiawa , Oahu), NSA Georgia ( Fort Gordon , Georgia), NSA Texas ( Joint Base San Antonio , Texas) y NSA Colorado ( Buckley Space Force Base , Denver). [4]
- S321 - Centro de Operaciones a distancia (ROC) En el Centro de Operaciones a distancia , 600 empleados reunir información de todo el mundo. [12] [13]
- S323 - Rama de tecnologías de redes de datos (DNT): desarrolla software espía automatizado
- S3231 - División de acceso (ACD)
- S3232 - División de tecnología de redes cibernéticas (CNT)
- S3233 -
- S3234 - División de tecnología informática (CTD)
- S3235 - División de tecnología de redes (NTD)
- Subdivisión de Tecnologías de Redes de Telecomunicaciones (TNT): mejorar los métodos de piratería informática y de redes [14]
- Subdivisión de Tecnologías de Infraestructura de Misión: opera el software proporcionado anteriormente [15]
- S328 - Rama de Operaciones de Tecnologías de Acceso (ATO): Según se informa, incluye personal secundado por la CIA y el FBI, que realizan lo que se describen como "operaciones fuera de la red", lo que significa que hacen arreglos para que los agentes de la CIA coloquen subrepticiamente dispositivos de escucha en computadoras y telecomunicaciones. sistemas en el extranjero para que los piratas informáticos de TAO puedan acceder a ellos de forma remota desde Fort Meade. [4] Los submarinos especialmente equipados, actualmente el USS Jimmy Carter , [16] se utilizan para realizar escuchas telefónicas en cables de fibra óptica en todo el mundo.
- S3283 - Operaciones de acceso expedicionario (EAO)
- S3285 - División de persistencia
Ubicaciones virtuales
Los detalles [ cita requerida ] en un programa titulado QUANTUMSQUIRREL indican la capacidad de la NSA de hacerse pasar por cualquier host IPv4 o IPv6 enrutable. [17] Esto permite que una computadora de la NSA genere una ubicación geográfica falsa y credenciales de identificación personal al acceder a Internet utilizando QUANTUMSQUIRREL. [18]
Catálogo NSA ANT
El catálogo NSA ANT es una tecnología de lista de documentos clasificados de 50 páginas disponible para las Operaciones de acceso a medida (TAO) de la Agencia de Seguridad Nacional de los Estados Unidos (NSA ) por la División de Tecnología de Red Avanzada (ANT) para ayudar en la vigilancia cibernética. La mayoría de los dispositivos se describen como ya operativos y disponibles para ciudadanos estadounidenses y miembros de la alianza Five Eyes . Según Der Spiegel , que lanzó el catálogo al público el 30 de diciembre de 2013, "la lista se lee como un catálogo de pedidos por correo, uno del cual otros empleados de la NSA pueden solicitar tecnologías a la división ANT para aprovechar los datos de sus objetivos". El documento fue creado en 2008. [19] El investigador de seguridad Jacob Appelbaum pronunció un discurso en el Congreso de Comunicaciones del Caos en Hamburgo , Alemania , en el que detalló las técnicas que el artículo de Der Spiegel publicado simultáneamente por él coautor reveló del catálogo. [19]
Ataques cuánticos
El TAO ha desarrollado una suite de ataque que llaman QUANTUM. Se basa en un enrutador comprometido que duplica el tráfico de Internet, generalmente solicitudes HTTP , de modo que van tanto al objetivo previsto como a un sitio de la NSA (indirectamente). El sitio de la NSA ejecuta el software FOXACID que devuelve exploits que se cargan en segundo plano en el navegador web de destino antes de que el destino previsto haya tenido la oportunidad de responder (no está claro si el enrutador comprometido facilita esta carrera en el viaje de regreso). Antes del desarrollo de esta tecnología, el software FOXACID realizaba ataques de spear-phishing que la NSA denominaba spam. Si el navegador es explotable, se implementan más "implantes" permanentes (rootkits, etc.) en el equipo de destino, por ejemplo, OLYMPUSFIRE para Windows, que dan acceso remoto completo al equipo infectado. [20] Este tipo de ataque es parte de la familia de ataques de hombre en el medio , aunque más específicamente se llama ataque de hombre en el lado . Es difícil de lograr sin controlar parte de la red troncal de Internet . [21]
Existen numerosos servicios que FOXACID puede explotar de esta manera. Los nombres de algunos módulos FOXACID se dan a continuación: [22]
- alibaba ForumUser
- ID de doble clic
- correo de cohete
- hola 5
- ID de Hotmail
- mailruid
- msnMail Token64
- simbarid
- Gorjeo
- Yahoo
- Gmail
- YouTube
Mediante la colaboración con la Sede de Comunicaciones del Gobierno Británico (GCHQ) ( MUSCULAR ), los servicios de Google también podrían ser atacados, incluido Gmail . [23]
La búsqueda de máquinas que sean explotables y que valga la pena atacar se realiza mediante bases de datos analíticas como XKeyscore . [24] Un método específico para encontrar máquinas vulnerables es la interceptación del tráfico de Informe de errores de Windows , que se registra en XKeyscore. [25]
Los ataques QUANTUM lanzados desde sitios de la NSA pueden ser demasiado lentos para algunas combinaciones de objetivos y servicios, ya que esencialmente intentan explotar una condición de carrera , es decir, el servidor de la NSA está tratando de vencer al servidor legítimo con su respuesta. [26] A mediados de 2011, la NSA estaba creando un prototipo de una capacidad con nombre en código QFIRE, que implicaba la integración de sus servidores de distribución de exploits en máquinas virtuales (que se ejecutan en VMware ESX ) alojadas más cerca del objetivo, en los llamados sitios de recolección especiales ( SCS) en todo el mundo. El objetivo de QFIRE era reducir la latencia de la respuesta falsificada, aumentando así la probabilidad de éxito. [27] [28] [29]
COMMENDEER [ sic ] se utiliza para apoderarse (es decir, comprometer) sistemas informáticos no seleccionados. El software se utiliza como parte de QUANTUMNATION, que también incluye el escáner de vulnerabilidades de software VALIDATOR. La herramienta fue descrita por primera vez en el Congreso de Comunicación del Caos de 2014 por Jacob Appelbaum , quien la caracterizó como tiránica. [30] [31] [32]
QUANTUMCOOKIE es una forma de ataque más compleja que se puede utilizar contra usuarios de Tor . [33]
Colaboraciones y objetivos conocidos
Los objetivos sospechados y confirmados de la unidad de Operaciones de Acceso Personalizado incluyen entidades nacionales e internacionales como China , [4] OPEP , [34] y la Secretaría de Seguridad Pública de México . [25]
El grupo también se ha centrado en las redes de comunicación globales a través de SEA-ME-WE 4 , un sistema de cable de comunicaciones submarino de fibra óptica que transporta telecomunicaciones entre Singapur, Malasia, Tailandia, Bangladesh, India, Sri Lanka, Pakistán, Emiratos Árabes Unidos, Arabia Saudita y Sudán. , Egipto, Italia, Túnez, Argelia y Francia. [31] Además, Försvarets radioanstalt (FRA) en Suecia da acceso a enlaces de fibra óptica para la cooperación QUANTUM. [35] [36]
INSERT tecnología cuántica de TAO se pasó a los servicios del Reino Unido, en particular para el GCHQ 's MyNOC , que lo utilizó para dirigirse a Belgacom y roaming GPRS intercambio proveedores (GRX) como el Comfone , Syniverse , y Starhome. [25] Belgacom, que presta servicios a la Comisión Europea , el Parlamento Europeo y el Consejo Europeo, descubrió el ataque. [37]
En concierto con la CIA y el FBI , TAO se utiliza para interceptar computadoras portátiles compradas en línea, desviarlas a almacenes secretos donde se instalan software espía y hardware y enviarlas a los clientes. [38] TAO también se ha dirigido a los navegadores de Internet Tor y Firefox [21]
Según un artículo de 2013 en Foreign Policy , TAO se ha vuelto "cada vez más cumplido en su misión, gracias en parte a la cooperación de alto nivel que recibe en secreto de las 'tres grandes' empresas de telecomunicaciones estadounidenses ( AT&T , Verizon y Sprint ), la mayoría de las cuales los grandes proveedores de servicios de Internet con sede en EE. UU. y muchos de los principales fabricantes de software de seguridad informática y empresas de consultoría ". [39] Un documento presupuestario de la TAO de 2012 afirma que estas empresas, a instancias de la TAO, "insertan vulnerabilidades en los sistemas de cifrado comerciales, los sistemas de TI, las redes y los dispositivos de comunicaciones de punto final utilizados por los objetivos". [39] Varias empresas estadounidenses, incluidas Cisco y Dell , han hecho posteriormente declaraciones públicas en las que niegan haber insertado esas puertas traseras en sus productos. [40] Microsoft proporciona una advertencia anticipada a la NSA de las vulnerabilidades que conoce, antes de que las correcciones o la información sobre estas vulnerabilidades estén disponibles para el público; esto permite a TAO ejecutar los llamados ataques de día cero . [41] Un funcionario de Microsoft que se negó a ser identificado en la prensa confirmó que este es realmente el caso, pero dijo que Microsoft no se hace responsable de cómo la NSA utiliza esta información anticipada. [42]
Liderazgo
Desde 2013, el jefe de TAO es Rob Joyce, un empleado de más de 25 años que trabajó anteriormente en la Dirección de Aseguramiento de la Información (IAD) de la NSA . En enero de 2016, Joyce tuvo una rara aparición pública cuando hizo una presentación en la conferencia Enigma de Usenix. [43]
Ver también
- Amenaza persistente avanzada
- Bullrun (programa de descifrado)
- Verificador de direcciones de protocolo de Internet y de computadora (CIPAV)
- Guerra cibernética
- Guerra cibernética en los Estados Unidos
- DigiNotar
- Grupo de ecuaciones
- FinFisher
- Hacking (desambiguación)
- Linterna mágica (software)
- MiniPanzer y MegaPanzer
- Catálogo NSA ANT
- PLA Unidad 61398
- Stuxnet
- Ejército Electrónico Sirio
- ORGULLO DE GUERRERO
Referencias
- ^ Nakashima, Ellen (1 de diciembre de 2017). "Empleado de la NSA que trabajó en la piratería de herramientas en casa se declara culpable de cargo de espionaje" . WashingtonPost.com . Consultado el 4 de diciembre de 2017 .
- ^ Loleski, Steven (18 de octubre de 2018). "De los guerreros fríos a los cibernéticos: los orígenes y la expansión de las operaciones de acceso a medida (TAO) de la NSA a los agentes de la sombra" . Inteligencia y Seguridad Nacional . 34 (1): 112–128. doi : 10.1080 / 02684527.2018.1532627 . ISSN 0268-4527 .
- ^ Hayden, Michael V. (23 de febrero de 2016). Jugando al límite: la inteligencia estadounidense en la era del terror . Penguin Press. ISBN 978-1594206566. Consultado el 1 de abril de 2021 .
- ^ a b c d e Aid, Matthew M. (10 de junio de 2013). "Dentro del grupo de piratería ultrasecreto de China de la NSA" . Política exterior . Consultado el 11 de junio de 2013 .
- ^ Paterson, Andrea (30 de agosto de 2013). "La NSA tiene su propio equipo de piratas informáticos de élite" . The Washington Post . Consultado el 31 de agosto de 2013 .
- ^ Kingsbury, Alex (19 de junio de 2009). "La historia secreta de la Agencia de Seguridad Nacional" . US News & World Report . Consultado el 22 de mayo de 2013 .
- ^ Kingsbury, Alex; Mulrine, Anna (18 de noviembre de 2009). "Estados Unidos está contraatacando en la ciberguerra mundial" . US News & World Report . Consultado el 22 de mayo de 2013 .
- ^ Riley, Michael (23 de mayo de 2013). "Cómo el gobierno de Estados Unidos hackea el mundo" . Bloomberg Businessweek . Consultado el 23 de mayo de 2013 .
- ^ Ayuda, Matthew M. (8 de junio de 2010). El centinela secreto: la historia no contada de la Agencia de Seguridad Nacional . Bloomsbury Estados Unidos. pag. 311. ISBN 978-1-60819-096-6. Consultado el 22 de mayo de 2013 .
- ^ FOIA # 70809 (publicado el 19 de septiembre de 2014)
- ^ a b Gellman, Barton; Nakashima, Ellen (30 de agosto de 2013). "Las agencias de espionaje estadounidenses montaron 231 operaciones cibernéticas ofensivas en 2011, según muestran los documentos" . The Washington Post . Consultado el 7 de septiembre de 2013 .
Con mucha más frecuencia, un implante es codificado completamente en software por un grupo de la NSA llamado Tailored Access Operations (TAO). Como sugiere su nombre, TAO crea herramientas de ataque que se adaptan a sus objetivos. Los ingenieros de software de la unidad de la NSA prefieren conectarse a las redes que a las computadoras individuales porque generalmente hay muchos dispositivos en cada red. Tailored Access Operations tiene plantillas de software para dividir en marcas y modelos comunes de "enrutadores, conmutadores y cortafuegos de múltiples líneas de proveedores de productos", según un documento que describe su trabajo.
- ^ "Los piratas informáticos secretos de la NSA de la Oficina TAO han estado atacando a China durante casi 15 años" . Mundo de la informática. 2013-06-11. Archivado desde el original el 25 de enero de 2014 . Consultado el 27 de enero de 2014 .
- ^ Rothkopf, David. "Dentro del grupo de piratería ultrasecreto de China de la NSA" . Política exterior . Consultado el 27 de enero de 2014 .
- ^ "Fondo: Die Speerspitze des amerikanischen Hackings - Noticias Ausland: Amerika" . tagesanzeiger.ch . Consultado el 27 de enero de 2014 .
- ^ Resultado de la consulta de WebCite
- ^ noahmax (21 de febrero de 2005). "Jimmy Carter: ¿Súper espía?" . Tecnología de defensa . Consultado el 27 de enero de 2014 .
- ^ Distribuidor, Hacker. "Distribuidor, pirata informático, abogado, espía: técnicas modernas y límites legales de las operaciones contra el ciberdelito". The European Review of Organized Crime .
- ^ "Tácticas de piratería QUANTUMTHEORY de la NSA y GCHQ" . firstlook.org. 2014-07-16 . Consultado el 16 de julio de 2014 .
- ^ a b Esta sección se copió del catálogo NSA ANT ; ver allí para fuentes
- ^ "Teoría cuántica: Wie die NSA weltweit Rechner hackt" . Der Spiegel . 2013-12-30 . Consultado el 18 de enero de 2014 .
- ^ a b Schneier, Bruce (7 de octubre de 2013). "Cómo la NSA ataca a los usuarios de Tor / Firefox con QUANTUM y FOXACID" . Schneier.com . Consultado el 18 de enero de 2014 .
- ^ Fotostrecke (30 de diciembre de 2013). "NSA-Dokumente: So knackt der Geheimdienst Internetkonten" . Der Spiegel . Consultado el 18 de enero de 2014 .
- ^ "NSA-Dokumente: So knackt der Geheimdienst Internetkonten" . Der Spiegel . 2013-12-30 . Consultado el 18 de enero de 2014 .
- ^ Gallagher, Sean (1 de agosto de 2013). "Los taps de Internet de la NSA pueden encontrar sistemas para piratear, rastrear VPN y documentos de Word" . Consultado el 8 de agosto de 2013 .
- ^ a b c "Inside TAO: Apuntando a México" . Der Spiegel . 2013-12-29 . Consultado el 18 de enero de 2014 .
- ^ Fotostrecke (30 de diciembre de 2013). "QFIRE - die" Vorwärtsverteidigng "der NSA" . Der Spiegel . Consultado el 18 de enero de 2014 .
- ^ "QFIRE - die" Vorwärtsverteidigng "der NSA" . Der Spiegel . 2013-12-30 . Consultado el 18 de enero de 2014 .
- ^ "QFIRE - die" Vorwärtsverteidigng "der NSA" . Der Spiegel . 2013-12-30 . Consultado el 18 de enero de 2014 .
- ^ "QFIRE - die" Vorwärtsverteidigng "der NSA" . Der Spiegel . 2013-12-30 . Consultado el 18 de enero de 2014 .
- ^ " " Presentación CCC del Chaos Computer Club "a las 28:34" .
- ^ a b Thomson, Iain (31 de diciembre de 2013). "Cómo la NSA piratea PC, teléfonos, enrutadores, discos duros 'a la velocidad de la luz': filtraciones de catálogo de tecnología espía" . El registro . Londres . Consultado el 15 de agosto de 2014 .
- ^ Mick, Jason (31 de diciembre de 2013). "Impuestos y espías: cómo la NSA puede piratear a cualquier estadounidense, almacena datos durante 15 años" . DailyTech . Archivado desde el original el 24 de agosto de 2014 . Consultado el 15 de agosto de 2014 .
- ^ Weaver, Nicholas (28 de marzo de 2013). "Nuestro gobierno ha armado Internet. Así es como lo hicieron" . Cableado . Consultado el 18 de enero de 2014 .
- ^ Gallagher, Sean (12 de noviembre de 2013). "Quantum of pwnness: cómo la NSA y GCHQ hackearon la OPEP y otros" . Ars Technica . Consultado el 18 de enero de 2014 .
- ^ "Läs dokumenten om Sverige från Edward Snowden - Uppdrag Granskning" . SVT.se . Consultado el 18 de enero de 2014 .
- ^ "Lo que quería saber" (PDF) . documentcloud.org . Consultado el 3 de octubre de 2015 .
- ^ "Los espías británicos supuestamente falsificaron LinkedIn, Slashdot para apuntar a ingenieros de red" . Mundo de la red. 2013-11-11. Archivado desde el original el 15 de enero de 2014 . Consultado el 18 de enero de 2014 .
- ^ "Inside TAO: la red de sombra de la NSA" . Der Spiegel . 2013-12-29 . Consultado el 27 de enero de 2014 .
- ^ a b Matthew M. Aid, (15 de octubre de 2013) " New Code Breakers de la NSA archivado el 10 de noviembre de 2014 en la Wayback Machine ", Foreign Policy
- ^ Farber, Dan (29 de diciembre de 2013). "Según los informes, la NSA plantó software espía en equipos electrónicos | Seguridad y privacidad" . Noticias CNET . Consultado el 18 de enero de 2014 .
- ^ Schneier, Bruce (4 de octubre de 2013). "Cómo piensa la NSA sobre el secreto y el riesgo" . El Atlántico . Consultado el 18 de enero de 2014 .
- ^ Riley, Michael (14 de junio de 2013). "Agencias estadounidenses dicen intercambiar datos con miles de empresas" . Bloomberg . Consultado el 18 de enero de 2014 .
- ^ The Register: el principal jefe de piratería de la NSA explica cómo proteger su red de sus escuadrones de ataque , 28 de enero de 2016
Enlaces externos
- Inside TAO: Documentos revelan la principal unidad de piratería de la NSA
- La 'unidad de piratería' de la NSA se infiltra en las computadoras de todo el mundo: informe
- Operaciones de acceso personalizadas de la NSA
- https://www.wired.com/threatlevel/2013/09/nsa-router-hacking/
- https://www.nytimes.com/2014/01/15/us/nsa-effort-pries-open-computers-not-connected-to-internet.html