一份文件顯示，NSA以“工業(yè)級(jí)”規(guī)模利用了全球范圍內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)。

　　北京時(shí)間3月13日下午消息，The Intercept網(wǎng)站周三刊文，基于愛(ài)德華·斯諾登(Edward Snowden)曝光的最新機(jī)密文件更詳細(xì)地介紹了美國(guó)國(guó)家安全局(NSA)的監(jiān)控技術(shù)。文件顯示，NSA能根據(jù)用戶是否使用谷歌、雅虎、Skype、飛信和QQ等信息來(lái)鎖定監(jiān)控目標(biāo)。

　　根據(jù)斯諾登曝光的文件，NSA部署并運(yùn)行著“Turbine”惡意軟件植入系統(tǒng)，以及代號(hào)為“Turmoil”的數(shù)據(jù)監(jiān)控傳感器網(wǎng)絡(luò)，以監(jiān)控整個(gè)互聯(lián)網(wǎng)上傳送的數(shù)據(jù)包?！癟urmoil”能根據(jù)一系列“分揀器(selector)”自動(dòng)識(shí)別被監(jiān)控目標(biāo)的數(shù)據(jù)，并將數(shù)據(jù)發(fā)回NSA進(jìn)行分析以及惡意軟件攻擊。

　　此次曝光的文件中列出了NSA使用的“分揀器”類型，其中包括：

　　1.計(jì)算機(jī)標(biāo)識(shí)符。包括Hotmail、谷歌、雅虎、Mail.ru、Yandex、Twitter、Rambler和DoubleClick的Cookies、序列號(hào)、Simbar和ShopperReports等瀏覽器標(biāo)簽、Windows錯(cuò)誤標(biāo)識(shí)符和Windows升級(jí)標(biāo)識(shí)符等。

　　2.注冊(cè)的設(shè)備。這包括蘋果和諾基亞等手機(jī)的IMEI串號(hào)、iOS設(shè)備的UDID，以及藍(lán)牙設(shè)備的名稱和地址等。

　　3.加密密鑰。這主要是指能唯一識(shí)別用戶的加密密鑰，例如ejKeyID。

　　4.網(wǎng)絡(luò)信息。這包括無(wú)線MAC地址、小型衛(wèi)星通信站的MAC地址和IP地址，以及來(lái)自Putty和WinSCP等終端軟件的遠(yuǎn)程管理IP等。

　　5.來(lái)自用戶的線索。包括與MSN Passport、谷歌、雅虎、Youtube、Skype、Paltalk、飛信、QQ和Hotmail有關(guān)的用戶Cookies、注冊(cè)信息和個(gè)人檔案文件夾，以及通過(guò)STARPROC識(shí)別出的活躍用戶。

　　機(jī)密文件顯示，美國(guó)國(guó)家安全局(以下簡(jiǎn)稱“NSA”)正在大幅提升入侵電腦的能力，希望借助自動(dòng)化系統(tǒng)來(lái)降低人工參與度。

　　這份機(jī)密文件是由NSA前雇員愛(ài)德華·斯諾登(Edward Snowden)提供的，里面包含了有關(guān)這種革命性監(jiān)視技術(shù)的新細(xì)節(jié)。NSA希望通過(guò)植入惡意軟件的方式，利用這項(xiàng)自動(dòng)化技術(shù)感染全球數(shù)以百萬(wàn)的電腦。NSA可以借助該秘密項(xiàng)目入侵目標(biāo)電腦，并從海外的互聯(lián)網(wǎng)和電話網(wǎng)絡(luò)中提取數(shù)據(jù)。

　　該項(xiàng)目使用的基礎(chǔ)設(shè)施來(lái)自NSA總部所在地米德堡，以及英國(guó)和日本的間諜基地。英國(guó)情報(bào)機(jī)構(gòu)GCHQ似乎也為其提供了幫助。

　　某些情況下，NSA還會(huì)偽裝成Faceboook服務(wù)器，利用該社交網(wǎng)絡(luò)作為跳板來(lái)感染目標(biāo)電腦，從而提取硬盤中的文件。還有些情況下，他們會(huì)發(fā)出附帶惡意軟件的垃圾電子郵件，然后利用電腦的麥克風(fēng)錄制音頻，或用攝像頭錄制視頻。這套黑客系統(tǒng)還可以幫助NSA發(fā)動(dòng)網(wǎng)絡(luò)攻擊，中斷對(duì)方的文件下載或阻止其訪問(wèn)網(wǎng)站。

　　這種模式曾經(jīng)是專門為數(shù)百個(gè)難以攻擊的目標(biāo)預(yù)留的，這些目標(biāo)的通訊信息難以通過(guò)傳統(tǒng)的監(jiān)聽(tīng)手段獲得。但文件顯示，NSA過(guò)去10年逐步用電腦代替人工來(lái)從事一些工作，從而大幅加快項(xiàng)目進(jìn)度。這套名為“渦輪”(TURBINE)系統(tǒng)希望通過(guò)自動(dòng)控制系統(tǒng)來(lái)大幅擴(kuò)大目前的植入網(wǎng)絡(luò)的規(guī)模。

　　在一份日期為2009年8月的機(jī)密文件中，NSA描述了這個(gè)名為“專家系統(tǒng)”的秘密基礎(chǔ)設(shè)施的預(yù)編程部分。該系統(tǒng)“像人腦”一樣管理著植入程序的各種功能，而且可以“決定”哪些工具最適合從被感染的電腦中提取數(shù)據(jù)。

　　網(wǎng)絡(luò)安全公司F-Secure首席研究館米考·海珀寧(Mikko Hypponen)表示，NSA的這項(xiàng)監(jiān)視技術(shù)可能會(huì)對(duì)網(wǎng)絡(luò)安全造成影響?！爱?dāng)他們?cè)谙到y(tǒng)上部署惡意軟件時(shí)，可能會(huì)給這些系統(tǒng)制造新的漏洞，導(dǎo)致其更容易遭受第三方的攻擊?！彼f(shuō)。

　　海珀寧認(rèn)為，政府或許有足夠的理由針對(duì)一小部分目標(biāo)植入惡意軟件。但通過(guò)自動(dòng)化系統(tǒng)向數(shù)以百萬(wàn)的電腦植入惡意軟件可能會(huì)令局面失控。

　　“擁有網(wǎng)絡(luò)”

　　NSA 10年前開(kāi)始大幅加快黑客活動(dòng)。機(jī)密文件顯示，該機(jī)構(gòu)2004年的植入網(wǎng)絡(luò)只有100至150臺(tái)被感染的電腦。但之后6至8年，一個(gè)名為Tailored Access Operations(以下簡(jiǎn)稱“TAO”)的精英部門招募了一批新的黑客，開(kāi)發(fā)了新的惡意軟件工具，從而把被感染的電腦數(shù)量增加到數(shù)萬(wàn)臺(tái)。

　　為了滲透海外電腦網(wǎng)絡(luò)，并監(jiān)控通過(guò)其他手段難以獲取的通訊信息，NSA希望突破傳統(tǒng)的SIGINT電子通訊監(jiān)控模式的限制，轉(zhuǎn)而擴(kuò)大這種主動(dòng)監(jiān)聽(tīng)措施的規(guī)模——直接滲透目標(biāo)電腦或網(wǎng)絡(luò)設(shè)備。

　　該文件顯示，NSA將此稱作“一種更激進(jìn)的SIGINT”，而TAO的使命就是全力擴(kuò)大這一項(xiàng)目。但NSA也意識(shí)到，完全通過(guò)人工方式來(lái)管理龐大的植入網(wǎng)絡(luò)并非易事。“主動(dòng)SIGINT/攻擊的一大挑戰(zhàn)在于規(guī)模。”2009年的這份機(jī)密文件稱。

　　于是，他們啟動(dòng)了“渦輪”系統(tǒng)，希望以此實(shí)現(xiàn)大規(guī)模的入侵。該項(xiàng)目可以大幅減輕NSA黑客的工作強(qiáng)度。機(jī)密文檔稱，該系統(tǒng)可以減輕用戶壓力，使之不必了解細(xì)節(jié)。例如，用戶可以索要有關(guān)X應(yīng)用的所有細(xì)節(jié)信息，但卻不必知道該應(yīng)用的文件、注冊(cè)表項(xiàng)和用戶應(yīng)用數(shù)據(jù)的存儲(chǔ)方式和存儲(chǔ)地點(diǎn)。

NSA的工具如何攔截通過(guò)VPN技術(shù)傳輸?shù)臄?shù)據(jù)

　　在實(shí)踐中，這就意味著“渦輪”系統(tǒng)可以自動(dòng)完成原本需要手工完成的關(guān)鍵程序，包括配置被感染的電腦，以及從被感染的系統(tǒng)中搜集數(shù)據(jù)。但這不僅僅是一項(xiàng)技術(shù)進(jìn)步，還代表了NSA內(nèi)部的重大策略調(diào)整，他們希望借此將監(jiān)視行動(dòng)推向新的高度。

NSA的工具如何監(jiān)控Skype等VoIP服務(wù)中的流量

　　一份未標(biāo)注日期的NSA機(jī)密文檔，就描述了“渦輪”系統(tǒng)如何將NSA的CNE和CNA兩大植入網(wǎng)絡(luò)的規(guī)模，從幾百臺(tái)電腦擴(kuò)充到幾百萬(wàn)臺(tái)。CNE專門從電腦和網(wǎng)絡(luò)中截取情報(bào)，CNA則負(fù)責(zé)對(duì)電腦和網(wǎng)絡(luò)實(shí)施破壞。

　　之前有報(bào)道稱，斯諾登提供的文件表明，NSA已經(jīng)在全世界的8.5萬(wàn)至10萬(wàn)臺(tái)電腦中植入了惡意軟件，今后還計(jì)劃繼續(xù)擴(kuò)大這一數(shù)字。

　　文件顯示，NSA還將“渦輪”項(xiàng)目列為一個(gè)名為“擁有網(wǎng)絡(luò)”(Owning the Net)的大型項(xiàng)目的一部分。該機(jī)構(gòu)去年為“擁有網(wǎng)絡(luò)”項(xiàng)目申請(qǐng)了6760萬(wàn)美元的資金，其中有一部分被分配給“渦輪”系統(tǒng)，用于擴(kuò)大該系統(tǒng)的范圍，并提升自動(dòng)化程度。

　　繞開(kāi)加密

　　NSA擁有多種惡意軟件工具，而不同工具針對(duì)不同目的而訂制。

　　其中一種代號(hào)為“UNITEDRAKE”的工具可以與多種“插件”配合使用，使NSA獲得被入侵計(jì)算機(jī)完整的控制權(quán)。

　　例如，一種名為“CAPTIVATEDAUDIENCE”的插件可以控制目標(biāo)計(jì)算機(jī)的麥克風(fēng)，記錄附近發(fā)生的對(duì)話。另一種插件“GUMFISH”能控制目標(biāo)計(jì)算機(jī)的攝像頭并拍攝照片。此外，“FOGGYBOTTOM”能記錄互聯(lián)網(wǎng)瀏覽歷史數(shù)據(jù)，并收集用戶登錄網(wǎng)站和電子郵件帳戶的用戶名和密碼，“GROK”用于記錄鍵盤輸入，而“SALVAGERABBIT”能獲取連接至計(jì)算機(jī)的U盤中的數(shù)據(jù)。

　　這些惡意軟件使NSA能繞開(kāi)用于加強(qiáng)隱私保護(hù)的加密工具。目前，一些加密工具希望幫助用戶匿名瀏覽互聯(lián)網(wǎng)，或是在電子郵件的發(fā)送過(guò)程中加密內(nèi)容。然而，通過(guò)這些惡意軟件，NSA能直接訪問(wèn)目標(biāo)計(jì)算機(jī)，而此時(shí)用戶的通信尚未獲得加密保護(hù)。

　　目前尚不清楚，NSA每年使用多少次這些惡意軟件，以及哪些惡意軟件仍活躍在用戶的計(jì)算機(jī)中。

　　此前有報(bào)道稱，NSA與以色列合作，開(kāi)發(fā)了Stuxnet惡意軟件，而這一工具破壞了伊朗的核設(shè)施。另有報(bào)道稱，NSA與以色列合作部署了名為Flame的惡意軟件，攻擊了位于中東國(guó)家的計(jì)算機(jī)，并監(jiān)控相關(guān)的通信。

　　根據(jù)斯諾登提供的文件，這些技術(shù)被用于尋找恐怖主義嫌疑人，以及被NSA定性為“極端分子”的人物。不過(guò)，NSA黑客獲得的授權(quán)并不僅限于與美國(guó)國(guó)家安全有關(guān)的目標(biāo)。

　　在內(nèi)部討論版的一篇保密文章中，NSA下屬信號(hào)情報(bào)局的一名人員介紹了如何使用惡意軟件攻擊美國(guó)國(guó)外移動(dòng)運(yùn)營(yíng)商和互聯(lián)網(wǎng)服務(wù)提供商的系統(tǒng)管理員。通過(guò)劫持一名管理員的計(jì)算機(jī)，情報(bào)部門能秘密獲取這名管理員所在公司的通信。這名NSA的工作人員表示：“系統(tǒng)管理員是達(dá)到目的的手段?！?/p>

　　這篇內(nèi)部文章題為“狩獵系統(tǒng)管理員”，很明確地表明恐怖分子并非NSA攻擊的唯一目標(biāo)。根據(jù)這名工作人員的說(shuō)法，攻擊系統(tǒng)管理員幫助情報(bào)機(jī)構(gòu)更方便地瞄準(zhǔn)其他利益相關(guān)目標(biāo)，包括“該系統(tǒng)管理員所管理網(wǎng)絡(luò)中的政府官員”。

　　英國(guó)類似NSA的部門政府通信總局(GCHQ)也采取了類似的做法。德國(guó)《明鏡周刊》去年9月報(bào)道稱，GCHQ攻擊了比利時(shí)電信運(yùn)營(yíng)商Belgacom網(wǎng)絡(luò)工程師的計(jì)算機(jī)。

　　這一任務(wù)的代號(hào)為“Operation Socialist”，目的是使GCHQ能監(jiān)控連接至Belgacom網(wǎng)絡(luò)的手機(jī)。機(jī)密文件顯示，這一任務(wù)獲得了成功，而至少?gòu)?010年開(kāi)始，該情報(bào)部門就可以秘密訪問(wèn)Belgacom的系統(tǒng)。

　　不過(guò)，攻擊移動(dòng)通信網(wǎng)絡(luò)并不是這些惡意軟件的全部功能。NSA設(shè)計(jì)了一些惡意軟件，能大規(guī)模感染美國(guó)國(guó)外互聯(lián)網(wǎng)服務(wù)提供商的路由器。通過(guò)攻擊這些路由器，情報(bào)機(jī)構(gòu)能秘密監(jiān)控互聯(lián)網(wǎng)流量，記錄用戶的訪問(wèn)記錄，甚至攔截通信。

　　NSA的兩款工具“HAMMERCHANT”和“HAMMERSTEIN”可以植入路由器中，從而攔截通過(guò)VPN(虛擬私有網(wǎng)絡(luò))發(fā)送的數(shù)據(jù)，甚至對(duì)這些數(shù)據(jù)進(jìn)行“利用性攻擊”。VPN技術(shù)使用加密通道來(lái)加強(qiáng)互聯(lián)網(wǎng)會(huì)話的安全性和私密性。

　　NSA對(duì)SCEONDDATE工具的介紹文檔NSA的工具如何攔截通過(guò)VPN技術(shù)傳輸?shù)臄?shù)據(jù)

　　這些惡意軟件還能追蹤通過(guò)Skype和其他VoIP軟件進(jìn)行的通話，顯示撥打電話用戶的用戶名。如果VoIP對(duì)話的音頻數(shù)據(jù)通過(guò)無(wú)加密的RTP(實(shí)時(shí)傳輸協(xié)議)包來(lái)發(fā)送，那么惡意軟件還能記錄音頻數(shù)據(jù)，并發(fā)送至NSA供進(jìn)一步分析。

　　NSA如何通過(guò)數(shù)據(jù)監(jiān)控傳感器來(lái)管理被感染的計(jì)算機(jī)NSA的工具如何監(jiān)控Skype等VoIP服務(wù)中的流量

　　不過(guò)根據(jù)機(jī)密文件，NSA的惡意軟件并非全部用于收集情報(bào)。某些情況下，NSA的目標(biāo)是干擾通信，而非監(jiān)控通信。例如，2004年開(kāi)發(fā)的一款惡意軟件“QUANTUMSKY”被用于阻止目標(biāo)對(duì)象訪問(wèn)某些網(wǎng)站。而2008年首次測(cè)試的軟件“QUANTUMCOPPER”能破壞目標(biāo)的文件下載。這兩種“攻擊”技術(shù)出現(xiàn)在一個(gè)機(jī)密列表中。這一列表列出了NSA的9款黑客工具，其中6款用于情報(bào)收集。此外還有1款工具用于“防御”目的，即保護(hù)美國(guó)政府的網(wǎng)絡(luò)不受入侵。

　　“大規(guī)模使用”的潛力

　　在利用惡意軟件獲得數(shù)據(jù)或攻擊某一系統(tǒng)之前，NSA首先需要在目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)中安裝惡意軟件。

　　根據(jù)2012年時(shí)的一份絕密文件，NSA通過(guò)發(fā)送垃圾郵件并吸引目標(biāo)點(diǎn)擊惡意鏈接來(lái)傳播惡意軟件。一旦惡意軟件激活，那么一款“后門工具”將在8秒鐘時(shí)間內(nèi)干擾用戶的計(jì)算機(jī)。

　　這一代號(hào)為“WILLOWVIXEN”的工具只有一個(gè)問(wèn)題。根據(jù)文件的介紹，通過(guò)垃圾郵件來(lái)傳播的做法近年來(lái)成功率下降，因?yàn)榛ヂ?lián)網(wǎng)用戶開(kāi)始對(duì)來(lái)源不明的電子郵件提高警惕，不太可能點(diǎn)擊看起來(lái)可疑的鏈接。

　　因此，NSA開(kāi)始探索更新、更先進(jìn)的黑客技術(shù)，例如所謂的“中間人(man-in-the-middle)”和“旁觀者(man-on-the-side)”攻擊方式。這些攻擊方式能將用戶的互聯(lián)網(wǎng)瀏覽器悄悄定向至NSA的服務(wù)器，從而感染這些計(jì)算機(jī)。

　　為了進(jìn)行“旁觀者”攻擊，NSA使用秘密的全球數(shù)據(jù)訪問(wèn)網(wǎng)絡(luò)來(lái)監(jiān)控目標(biāo)的互聯(lián)網(wǎng)流量。當(dāng)目標(biāo)訪問(wèn)某一網(wǎng)站時(shí)，NSA將可借此進(jìn)行攻擊。此時(shí)，NSA的監(jiān)控傳感器將提示“TURBINE”系統(tǒng)，后者將在一秒鐘時(shí)間內(nèi)向目標(biāo)計(jì)算機(jī)的IP地址“灌輸”數(shù)據(jù)包。

　　在一種代號(hào)為“QUANTUMHAND”的“旁觀者”攻擊中，NSA將自己偽裝成Facebook(68.83, -2.05, -2.89%)服務(wù)器。當(dāng)目標(biāo)登錄Facebook網(wǎng)站時(shí)，NSA將發(fā)送惡意數(shù)據(jù)包，使目標(biāo)計(jì)算機(jī)認(rèn)為其正在訪問(wèn)真正的Facebook網(wǎng)站。通過(guò)將惡意軟件隱藏在看似普通的Facebook頁(yè)面中，NSA將可以攻擊目標(biāo)計(jì)算機(jī)，并從計(jì)算機(jī)硬盤中獲取數(shù)據(jù)。一段絕密的動(dòng)畫(huà)演示了這種攻擊方式。

　　文件顯示，在對(duì)十余名目標(biāo)驗(yàn)證有效之后，“QUANTUMHAND”于2010年10月投入使用。

　　根據(jù)賓夕法尼亞大學(xué)監(jiān)控和加密專家馬特·布雷茲(Matt Blaze)的說(shuō)法，“QUANTUMHAND”似乎是瞄準(zhǔn)特定的目標(biāo)。不過(guò)他也擔(dān)心，這一工具如何被整合至NSA自動(dòng)化的“TURBINE”系統(tǒng)。

　　布雷茲表示：“如果你將這種能力置于主干基礎(chǔ)設(shè)施中，那么像我一樣的軟件和信息安全工程師都會(huì)認(rèn)為非?？膳隆Ｕ?qǐng)忘記NSA如何使用這一工具。我們?nèi)绾沃獣赃@一工具被正確地使用，以及僅被用于NSA希望的目標(biāo)?而在本身就很可疑的情況下，即使NSA采取正確的做法，如何確保這一工具受控?”

　　在發(fā)送給The Intercept的一份電子郵件聲明中，F(xiàn)acebook發(fā)言人杰伊·南卡洛(Jay Nancarrow)表示，F(xiàn)acebook沒(méi)有獲得有關(guān)這種活動(dòng)的任何證據(jù)。他表示，去年Facebook部署了HTTPS加密功能，使瀏覽器會(huì)話不太容易受惡意軟件攻擊。

　　南卡洛同時(shí)指出，除Facebook之外的其他服務(wù)同樣可能遭到NSA的攻擊。他表示：“如果政府情報(bào)機(jī)構(gòu)有權(quán)訪問(wèn)網(wǎng)絡(luò)服務(wù)提供商，任何基于無(wú)加密HTTP協(xié)議的網(wǎng)站都可能遭遇流量被秘密重定向的問(wèn)題?！?/p>

　　“中間人”攻擊方式與此類似，但更加積極。通過(guò)這種黑客技術(shù)，NSA將自身置于兩臺(tái)計(jì)算機(jī)的通信線路之間，從而部署其惡意軟件。

　　通過(guò)這種方式，NSA不僅可以監(jiān)控及重定向?yàn)g覽器會(huì)話，甚至可以修改兩臺(tái)計(jì)算機(jī)傳送的內(nèi)容包。例如，當(dāng)兩人相互發(fā)送消息時(shí)，這種攻擊方式可以修改消息的內(nèi)容，而通信雙方都不會(huì)知道內(nèi)容遭到了第三方的纂改。同樣的技術(shù)也被用于普通黑客的欺詐活動(dòng)。

　　2012年一份絕密的NSA文件顯示，NSA部署了名為“SECONDDATE”的“中間人”攻擊技術(shù)，以“影響客戶端和服務(wù)器之間的實(shí)時(shí)通信”，并“將網(wǎng)頁(yè)瀏覽器秘密重定向”至NSA名為“FOXACID”的惡意軟件服務(wù)器。去年10月，《衛(wèi)報(bào)》報(bào)道了“FOXACID”的細(xì)節(jié)。其中顯示，這一技術(shù)被用于攻擊互聯(lián)網(wǎng)匿名服務(wù)Tor的用戶。

　　不過(guò)，“SECONDDATE”不僅可以用于針對(duì)特定嫌疑人的“手術(shù)刀式”攻擊，也可以被用于發(fā)起大規(guī)模惡意軟件攻擊。

　　根據(jù)2012年的這份文件，這一技術(shù)“對(duì)通過(guò)某些網(wǎng)絡(luò)節(jié)點(diǎn)的客戶端具有大規(guī)模利用的潛力”。