美国国家安全局利用僵尸网络监控全世界
作者:星期五, 一月 23, 20150

有报道称,美国国家安全局(NSA)除了拥有自己的数码武器军火库,还操纵第三方恶意软件用于新的用途。

国家安全局正利用其世界各地的服务器网络,监控由成千上万个被感染电脑形成的僵尸网络。该机构可以利用这些僵尸网络的特性,根据需要在已经感染的计算机中注入自己的恶意软件,所使用的技术代号为“量子机器人”(Quantumbot)。

国家安全局前承包商爱德华·斯诺登泄密后被德国《明镜周刊》披露的机密文件之一,就包含被称为“狂妄勇者”(DEFIANTWARRIOR)的NSA秘密计划曾经操纵僵尸网络电脑将其作为“网络分析广角镜”以及“剔除无用计算机网络攻击节点”的细节。

这意味着,如果一个用户的电脑感染了某个可用于网络犯罪的恶意软件,国家安全局就有可能介入,并在此基础上部署他们自己的恶意软件,通过这些恶意软件操纵其他电脑攻击感兴趣目标。这样这些攻击就无法追溯到国家安全局。

3

世界各国对美国国家安全局监听行为接受度统计

根据泄密文件,这种操作只针对美国国外的电脑,通过位于美国的机器人向美国联邦调查局受害者援助办公室报告。

如果第三方恶意软件程序窃取的数据有价值的话,国家安全局也会对其进行拦截和收集,特别是那些其他外国情报机构部署的恶意软件。国家安全局将这种做法称为“第四方收集”。

据《明镜周刊》报道,2009年,国家安全局跟踪中国一个针对美国国防部的网络攻击,并最终对该行动进行了渗透。他们发现中国的攻击者同样也在窃取联合国的数据,所以他们就在其收集联合国内部数据的同时继续监视攻击者。

国家安全局所做的不止这些。其中一个泄密文件就包含了国家安全局一个工作人员账户用于第五方收集的一个实例,实例描述了国家安全局是如何渗透进韩国针对朝鲜的计算机网络漏洞利用计划的。

该国家安全局工作人员在文件中写道:

“我们发现了几个有朝鲜官员携带被韩国植入盒子的例子,所以我们接入了数据漏出点,并取回了数据。然而,韩国攻击的一些人同时也是朝鲜计算机网络漏洞利用计划的一部分。所以我想这就是你所说的第五方收集吧。”

换句话说就是,国家安全局利用国外的僵尸网络,通过操纵部署在上面的恶意软件,监视国外情报机构,而这些国外情况机构又监视其他国外情报机构,国家安全局并从中获取自己感兴趣的数据。

据《明镜周刊》报道,国家安全局有时也利用毫无防备的第三方服务器作为替罪羊。当被攻破系统有数据漏出时,数据就会发送给这些服务器,但是这些数据就会被国家安全局庞大的上游监测网络所拦截和收集。

《明镜周刊》披露的文件也让国家安全局及其他包括英国、加拿大、澳大利亚和新西兰在内的“五眼”情报联盟(Five Eyes)的恶意软件能力浮出了水面。

一个来自加拿大通信安全局(CSEC)的泄密文件,描述了一个代号为“勇者荣耀”(WARRIORPRIDE)的统一计算机网络漏洞利用平台,该平台供“五眼”情报联盟成员使用,并可以通过插件进行扩展。

《明镜周刊》发布了一个老式QWERTY键盘记录器程序的样本,该键盘记录器可能充当了“勇者荣耀”的插件,以便安全业界可以分析它并可能找到其他连接。键盘记录器就包含在斯诺登透露给记者的文件之中。

另一个日期为2012年6月的泄露文档描述了为某“五眼”代理机构工作的一个恶意软件作者的技术成就。由他开发的一个代号为“可怜的傻子”的计算机网络攻击工具,可以在禁用用于数据恢复的Windows备份服务卷影副本服务(VSS)后,用来在预设的时间从计算机硬盘驱动器中擦除数据。

工具的作者在描述一项测试时写道:

“我从上个月就开始构建‘迷糊埃博拉’(FUZZYEBOLA),不用重新编译只需配置在合适时间执行的细节,即可插入到“可怜的傻子”二进制文件中。当时我看到处理器只有小量的增长(从0%至2%),然而几分钟后,系统发生重启后就再也没有恢复过来。在整个驱动器上运行一个文件恢复工具,会产生一些文件,造成几乎整个驱动器的内容不可恢复,如果它被配置为清除磁盘主文件表(MFT)和停止卷影副本服务后再安全擦除驱动器上的每个扇区,那它将不能恢复任何东西。测试成功!”

如果国家安全机构采用这种破坏性的文件擦除恶意软件程序,那它们的使用在未来可能会频繁发生。2012年8月,文件擦除恶意软件曾用于在沙特阿拉伯国家石油公司30000台电脑上的数据破坏;2013年3月,用于针对韩国银行和广播组织的数据破坏;以及最近,用于针对美国索尼影视娱乐的数据破坏。

在这些事件中,总有未知的黑客团体事先声称对袭击负责。然而,联邦调查局后来将针对索尼的攻击归咎于朝鲜,导致美国对该国的新一轮的制裁措施。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章