TAO - Đơn vị thu thập tình báo chiến tranh mạng của NSA

Thứ Sáu, 17/06/2022, 21:08

Văn phòng hoạt động truy cập phù hợp (TAO) là đơn vị thu thập tình báo chiến tranh mạng của Cơ quan An ninh quốc gia Hoa Kỳ (NSA). TAO được đánh giá là “thành phần lớn nhất và có lẽ là quan trọng nhất của Giám đốc tình báo tín hiệu khổng lồ của NSA. Các kỹ sư TAO thích khai thác mạng hơn là những máy tính bị cô lập bởi vì thường có nhiều thiết bị nằm trên một mạng duy nhất.

Một tổ chức cơ cấu phức tạp

Trụ sở chính của TAO thường được gọi là Trung tâm hoạt động từ xa và được đặt ngay trong khu phức hợp tổng hành dinh của NSA ở Fort Meade (tiểu bang Maryland). TAO cũng mở rộng ra các cơ quan của NSA ở Hawaii, Georgia, Texas và Colorado…

Ngoài ra còn phải kể đến Nhánh công nghệ cơ sở hạ tầng nhiệm vụ chuyên hoạt động về phần mềm; Nhánh hoạt động công nghệ truy cập bao gồm các nhân viên do FBI và CIA biệt phái tới, những người này thực hiện công việc được hiểu nôm na là “những hoạt động ngoài mạng”, có nghĩa là họ sắp xếp cho các điệp viên CIA cài đặt những thiết bị nghe lén trên máy tính và hệ thống liên lạc viễn thông hải ngoại, từ đó TAO có thể truy cập từ xa ngay từ Fort Meade. Các tàu ngầm được trang bị đặc biệt, được dùng để nghe lén các tuyến cáp quang trên toàn cầu…

Thông tin chi tiết về chương trình có tiêu đề là “Quantumsquirrel” hé lộ rằng NSA có khả năng bắt chước bất kỳ máy chủ IPv4 hay IPv6 có khả năng định tuyến. Điều này cho phép máy tính NSA tạo thông tin giả về vị trí địa lý và danh tính cá nhân khi truy cập mạng bằng Quantumsquirrel.

56-1.jpg -0
Khu phức hợp Cơ quan an ninh quốc gia Mỹ (NSA) ở San Antonio (Texas).
Ảnh nguồn: Der Spiegel.

Danh mục NSA ANT

Danh mục NSA ANT là một tài liệu được phân loại dày tới 50 trang, nó liệt kê công nghệ có sẵn cho hoạt động TAO của NSA được thực thi bởi Bộ phận công nghệ mạng tiên tiến (ANT) để hỗ trợ cho công tác trinh sát mạng. Phần lớn các thiết bị được mô tả trong danh mục ANT đều đang hoạt động và có sẵn cho các công dân Mỹ cùng những thành viên của liên minh Ngũ Nhãn.

Theo tờ Der Spiegel thì danh mục ANT được công bố vào ngày 30-12-2013 và “Danh sách này giống như một danh mục đặt hàng qua thư, mà từ đó các nhân viên NSA khác sẽ có thể đặt hàng những công nghệ từ bộ phận ANT để khai thác dữ liệu từ các mục tiêu mà họ nhắm đến”.

Một tài liệu được tạo ra từ năm 2008, trong đó nhà nghiên cứu an ninh Jacob Appelbaum đã có một bài phát biểu tại Đại hội truyền thông hỗn nguyên được tổ chức ở Hamburg (Đức), trong đó ông đã mô tả chi tiết các kỹ thuật mà bài báo của tờ Der Spiegel xuất bản đồng thời, trên đó ông Appelbaum là đồng tác giả khi tiết lộ danh mục ANT.

Những cuộc tấn công QUANTUM

TAO đã phát triển một bộ tấn công mà họ gọi là QUANTUM. Nó lệ thuộc trên một bộ định tuyến bị xâm nhập nhằm sao chép lưu lượng mạng mà cụ thể là các giao thức HTTP, vì thế chúng có thể đi tới cả mục tiêu đã định và một điểm NSA (gián tiếp).

Trang web NSA chạy phần mềm FOXACID trong đó sẽ gửi lại những khai thác tải ở chế độ nền trong trình duyệt web mục tiêu, trước khi điểm đến dự kiến có cơ hội để phản hồi (không rõ liệu bộ định tuyến bị xâm nhập có tham gia vào cuộc đua trong chuyến trở về hay không).

Trước khi phát triển công nghệ Quantum, phần mềm FOXACID đã thực hiện những vụ tấn công lừa đảo mà NSA thường gọi là Spam. Nếu trình duyệt có thể bị khai thác thì những bộ phận cấy ghép vĩnh viễn khác (như rootkits) sẽ được triển khai trong máy tính bị nhắm mục tiêu.

OLYMPUSFIRE dùng cho Windows, cung cấp quyền truy cập từ xa tấn công toàn diện vào máy tính bị nhiễm. Loại tấn công này là một phần của cách tấn công “con người ở giữa”, hoặc nó còn có tên gọi khác là “cuộc tấn công con người ở một bên”.

Rất khó để thực hiện nếu không kiểm soát được một số đường trục mạng. Có nhiều dịch vụ mà FOXACID có thể khai thác theo cách này. Việc tìm kiếm các máy có thể bị khai thác và đáng tấn công bằng cách sử dụng các cơ sở dữ liệu như Xkeyscore.

Một phương pháp cụ thể để tìm các máy dễ bị tấn công là ngăn chặn lưu lượng Báo cáo lỗi Windows, thông qua đăng nhập XKeyscore. Những cuộc tấn công Quantum từ các địa điểm NSA có thể quá chậm đối với một số mục tiêu và dịch vụ kết hợp khi mà chúng cố gắng khai thác một ổ trục, máy chủ NSA cố gắng đánh bại máy chủ hợp pháp bằng phản hồi của nó. 

Từ giữa năm 2011, NSA đang cố gắng tạo ra một loại mã có tên gọi là QFIRE, nó liên quan đến việc nhúng các máy chủ phân phối – khai thác của chúng vào các máy ảo (chạy trên Vmware ESX) được lưu trữ gần mục tiêu theo cái gọi là Mạng các điểm thu thập đặc biệt toàn cầu (SCS).

Mục tiêu của QFIRE là làm giảm độ trễ của phản hồi giả mạo, tăng cường xác suất thành công. COMMENDEER được sử dụng để điều khiển các hệ thống máy tính không bị nhắm mục tiêu. Phần mềm được dùng như là một phần của Quantumnation, nó cũng bao gồm trình quét lỗ hổng phần mềm Validator.

Theo một bài báo từ năm 2013 được đăng trên Foreign Policy thì “TAO đã ngày càng hoàn thành xuất sắc nhiệm vụ của mình, nhờ vào hợp tác cấp cao mà đơn vị này nhận được từ một số công ty viễn thông.

Một tài liệu ngân sách năm 2012 của TAO đã có những lời tuyên bố về các công ty kể trên, theo lệnh của TAO thì “các công ty này sẽ chèn lỗ hổng rủi ro vào những hệ thống mã hóa thương mại, hệ thống công nghệ thông tin (IT), mạng và những thiết bị liên lạc điểm cuối mà các mục tiêu sử dụng”. Tuy nhiên, một số công ty đưa ra các tuyên bố công khai phủ nhận sạch trơn, chỉ cho rằng họ chèn nó vào cửa hậu các sản phẩm của mình. 

Nguyễn Thanh Hải (Tổng hợp)
.
.
.