一份文件顯示，NSA以“工業級”規模利用了全球范圍內的計算機網絡。

　　北京時間3月13日下午消息，The Intercept網站周三刊文，基于愛德華·斯諾登(Edward Snowden)曝光的最新機密文件更詳細地介紹了美國國家安全局(NSA)的監控技術。文件顯示，NSA能根據用戶是否使用谷歌、雅虎、Skype、飛信和QQ等信息來鎖定監控目標。

　　根據斯諾登曝光的文件，NSA部署并運行著“Turbine”惡意軟件植入系統，以及代號為“Turmoil”的數據監控傳感器網絡，以監控整個互聯網上傳送的數據包。“Turmoil”能根據一系列“分揀器(selector)”自動識別被監控目標的數據，并將數據發回NSA進行分析以及惡意軟件攻擊。

　　此次曝光的文件中列出了NSA使用的“分揀器”類型，其中包括：

　　1.計算機標識符。包括Hotmail、谷歌、雅虎、Mail.ru、Yandex、Twitter、Rambler和DoubleClick的Cookies、序列號、Simbar和ShopperReports等瀏覽器標簽、Windows錯誤標識符和Windows升級標識符等。

　　2.注冊的設備。這包括蘋果和諾基亞等手機的IMEI串號、iOS設備的UDID，以及藍牙設備的名稱和地址等。

　　3.加密密鑰。這主要是指能唯一識別用戶的加密密鑰，例如ejKeyID。

　　4.網絡信息。這包括無線MAC地址、小型衛星通信站的MAC地址和IP地址，以及來自Putty和WinSCP等終端軟件的遠程管理IP等。

　　5.來自用戶的線索。包括與MSN Passport、谷歌、雅虎、Youtube、Skype、Paltalk、飛信、QQ和Hotmail有關的用戶Cookies、注冊信息和個人檔案文件夾，以及通過STARPROC識別出的活躍用戶。

　　機密文件顯示，美國國家安全局(以下簡稱“NSA”)正在大幅提升入侵電腦的能力，希望借助自動化系統來降低人工參與度。

　　這份機密文件是由NSA前雇員愛德華·斯諾登(Edward Snowden)提供的，里面包含了有關這種革命性監視技術的新細節。NSA希望通過植入惡意軟件的方式，利用這項自動化技術感染全球數以百萬的電腦。NSA可以借助該秘密項目入侵目標電腦，并從海外的互聯網和電話網絡中提取數據。

　　該項目使用的基礎設施來自NSA總部所在地米德堡，以及英國和日本的間諜基地。英國情報機構GCHQ似乎也為其提供了幫助。

　　某些情況下，NSA還會偽裝成Faceboook服務器，利用該社交網絡作為跳板來感染目標電腦，從而提取硬盤中的文件。還有些情況下，他們會發出附帶惡意軟件的垃圾電子郵件，然后利用電腦的麥克風錄制音頻，或用攝像頭錄制視頻。這套黑客系統還可以幫助NSA發動網絡攻擊，中斷對方的文件下載或阻止其訪問網站。

　　這種模式曾經是專門為數百個難以攻擊的目標預留的，這些目標的通訊信息難以通過傳統的監聽手段獲得。但文件顯示，NSA過去10年逐步用電腦代替人工來從事一些工作，從而大幅加快項目進度。這套名為“渦輪”(TURBINE)系統希望通過自動控制系統來大幅擴大目前的植入網絡的規模。

　　在一份日期為2009年8月的機密文件中，NSA描述了這個名為“專家系統”的秘密基礎設施的預編程部分。該系統“像人腦”一樣管理著植入程序的各種功能，而且可以“決定”哪些工具最適合從被感染的電腦中提取數據。

　　網絡安全公司F-Secure首席研究館米考·海珀寧(Mikko Hypponen)表示，NSA的這項監視技術可能會對網絡安全造成影響。“當他們在系統上部署惡意軟件時，可能會給這些系統制造新的漏洞，導致其更容易遭受第三方的攻擊。”他說。

　　海珀寧認為，政府或許有足夠的理由針對一小部分目標植入惡意軟件。但通過自動化系統向數以百萬的電腦植入惡意軟件可能會令局面失控。

　　“擁有網絡”

　　NSA 10年前開始大幅加快黑客活動。機密文件顯示，該機構2004年的植入網絡只有100至150臺被感染的電腦。但之后6至8年，一個名為Tailored Access Operations(以下簡稱“TAO”)的精英部門招募了一批新的黑客，開發了新的惡意軟件工具，從而把被感染的電腦數量增加到數萬臺。

　　為了滲透海外電腦網絡，并監控通過其他手段難以獲取的通訊信息，NSA希望突破傳統的SIGINT電子通訊監控模式的限制，轉而擴大這種主動監聽措施的規模——直接滲透目標電腦或網絡設備。

　　該文件顯示，NSA將此稱作“一種更激進的SIGINT”，而TAO的使命就是全力擴大這一項目。但NSA也意識到，完全通過人工方式來管理龐大的植入網絡并非易事。“主動SIGINT/攻擊的一大挑戰在于規模。”2009年的這份機密文件稱。

　　于是，他們啟動了“渦輪”系統，希望以此實現大規模的入侵。該項目可以大幅減輕NSA黑客的工作強度。機密文檔稱，該系統可以減輕用戶壓力，使之不必了解細節。例如，用戶可以索要有關X應用的所有細節信息，但卻不必知道該應用的文件、注冊表項和用戶應用數據的存儲方式和存儲地點。

NSA的工具如何攔截通過VPN技術傳輸的數據

　　在實踐中，這就意味著“渦輪”系統可以自動完成原本需要手工完成的關鍵程序，包括配置被感染的電腦，以及從被感染的系統中搜集數據。但這不僅僅是一項技術進步，還代表了NSA內部的重大策略調整，他們希望借此將監視行動推向新的高度。

NSA的工具如何監控Skype等VoIP服務中的流量

　　一份未標注日期的NSA機密文檔，就描述了“渦輪”系統如何將NSA的CNE和CNA兩大植入網絡的規模，從幾百臺電腦擴充到幾百萬臺。CNE專門從電腦和網絡中截取情報，CNA則負責對電腦和網絡實施破壞。

　　之前有報道稱，斯諾登提供的文件表明，NSA已經在全世界的8.5萬至10萬臺電腦中植入了惡意軟件，今后還計劃繼續擴大這一數字。

　　文件顯示，NSA還將“渦輪”項目列為一個名為“擁有網絡”(Owning the Net)的大型項目的一部分。該機構去年為“擁有網絡”項目申請了6760萬美元的資金，其中有一部分被分配給“渦輪”系統，用于擴大該系統的范圍，并提升自動化程度。

　　繞開加密

　　NSA擁有多種惡意軟件工具，而不同工具針對不同目的而訂制。

　　其中一種代號為“UNITEDRAKE”的工具可以與多種“插件”配合使用，使NSA獲得被入侵計算機完整的控制權。

　　例如，一種名為“CAPTIVATEDAUDIENCE”的插件可以控制目標計算機的麥克風，記錄附近發生的對話。另一種插件“GUMFISH”能控制目標計算機的攝像頭并拍攝照片。此外，“FOGGYBOTTOM”能記錄互聯網瀏覽歷史數據，并收集用戶登錄網站和電子郵件帳戶的用戶名和密碼，“GROK”用于記錄鍵盤輸入，而“SALVAGERABBIT”能獲取連接至計算機的U盤中的數據。

　　這些惡意軟件使NSA能繞開用于加強隱私保護的加密工具。目前，一些加密工具希望幫助用戶匿名瀏覽互聯網，或是在電子郵件的發送過程中加密內容。然而，通過這些惡意軟件，NSA能直接訪問目標計算機，而此時用戶的通信尚未獲得加密保護。

　　目前尚不清楚，NSA每年使用多少次這些惡意軟件，以及哪些惡意軟件仍活躍在用戶的計算機中。

　　此前有報道稱，NSA與以色列合作，開發了Stuxnet惡意軟件，而這一工具破壞了伊朗的核設施。另有報道稱，NSA與以色列合作部署了名為Flame的惡意軟件，攻擊了位于中東國家的計算機，并監控相關的通信。

　　根據斯諾登提供的文件，這些技術被用于尋找恐怖主義嫌疑人，以及被NSA定性為“極端分子”的人物。不過，NSA黑客獲得的授權并不僅限于與美國國家安全有關的目標。

　　在內部討論版的一篇保密文章中，NSA下屬信號情報局的一名人員介紹了如何使用惡意軟件攻擊美國國外移動運營商和互聯網服務提供商的系統管理員。通過劫持一名管理員的計算機，情報部門能秘密獲取這名管理員所在公司的通信。這名NSA的工作人員表示：“系統管理員是達到目的的手段。”

　　這篇內部文章題為“狩獵系統管理員”，很明確地表明恐怖分子并非NSA攻擊的唯一目標。根據這名工作人員的說法，攻擊系統管理員幫助情報機構更方便地瞄準其他利益相關目標，包括“該系統管理員所管理網絡中的政府官員”。

　　英國類似NSA的部門政府通信總局(GCHQ)也采取了類似的做法。德國《明鏡周刊》去年9月報道稱，GCHQ攻擊了比利時電信運營商Belgacom網絡工程師的計算機。

　　這一任務的代號為“Operation Socialist”，目的是使GCHQ能監控連接至Belgacom網絡的手機。機密文件顯示，這一任務獲得了成功，而至少從2010年開始，該情報部門就可以秘密訪問Belgacom的系統。

　　不過，攻擊移動通信網絡并不是這些惡意軟件的全部功能。NSA設計了一些惡意軟件，能大規模感染美國國外互聯網服務提供商的路由器。通過攻擊這些路由器，情報機構能秘密監控互聯網流量，記錄用戶的訪問記錄，甚至攔截通信。

　　NSA的兩款工具“HAMMERCHANT”和“HAMMERSTEIN”可以植入路由器中，從而攔截通過VPN(虛擬私有網絡)發送的數據，甚至對這些數據進行“利用性攻擊”。VPN技術使用加密通道來加強互聯網會話的安全性和私密性。

　　NSA對SCEONDDATE工具的介紹文檔NSA的工具如何攔截通過VPN技術傳輸的數據

　　這些惡意軟件還能追蹤通過Skype和其他VoIP軟件進行的通話，顯示撥打電話用戶的用戶名。如果VoIP對話的音頻數據通過無加密的RTP(實時傳輸協議)包來發送，那么惡意軟件還能記錄音頻數據，并發送至NSA供進一步分析。

　　NSA如何通過數據監控傳感器來管理被感染的計算機NSA的工具如何監控Skype等VoIP服務中的流量

　　不過根據機密文件，NSA的惡意軟件并非全部用于收集情報。某些情況下，NSA的目標是干擾通信，而非監控通信。例如，2004年開發的一款惡意軟件“QUANTUMSKY”被用于阻止目標對象訪問某些網站。而2008年首次測試的軟件“QUANTUMCOPPER”能破壞目標的文件下載。這兩種“攻擊”技術出現在一個機密列表中。這一列表列出了NSA的9款黑客工具，其中6款用于情報收集。此外還有1款工具用于“防御”目的，即保護美國政府的網絡不受入侵。

　　“大規模使用”的潛力

　　在利用惡意軟件獲得數據或攻擊某一系統之前，NSA首先需要在目標計算機或網絡中安裝惡意軟件。

　　根據2012年時的一份絕密文件，NSA通過發送垃圾郵件并吸引目標點擊惡意鏈接來傳播惡意軟件。一旦惡意軟件激活，那么一款“后門工具”將在8秒鐘時間內干擾用戶的計算機。

　　這一代號為“WILLOWVIXEN”的工具只有一個問題。根據文件的介紹，通過垃圾郵件來傳播的做法近年來成功率下降，因為互聯網用戶開始對來源不明的電子郵件提高警惕，不太可能點擊看起來可疑的鏈接。

　　因此，NSA開始探索更新、更先進的黑客技術，例如所謂的“中間人(man-in-the-middle)”和“旁觀者(man-on-the-side)”攻擊方式。這些攻擊方式能將用戶的互聯網瀏覽器悄悄定向至NSA的服務器，從而感染這些計算機。

　　為了進行“旁觀者”攻擊，NSA使用秘密的全球數據訪問網絡來監控目標的互聯網流量。當目標訪問某一網站時，NSA將可借此進行攻擊。此時，NSA的監控傳感器將提示“TURBINE”系統，后者將在一秒鐘時間內向目標計算機的IP地址“灌輸”數據包。

　　在一種代號為“QUANTUMHAND”的“旁觀者”攻擊中，NSA將自己偽裝成Facebook(68.83, -2.05, -2.89%)服務器。當目標登錄Facebook網站時，NSA將發送惡意數據包，使目標計算機認為其正在訪問真正的Facebook網站。通過將惡意軟件隱藏在看似普通的Facebook頁面中，NSA將可以攻擊目標計算機，并從計算機硬盤中獲取數據。一段絕密的動畫演示了這種攻擊方式。

　　文件顯示，在對十余名目標驗證有效之后，“QUANTUMHAND”于2010年10月投入使用。

　　根據賓夕法尼亞大學監控和加密專家馬特·布雷茲(Matt Blaze)的說法，“QUANTUMHAND”似乎是瞄準特定的目標。不過他也擔心，這一工具如何被整合至NSA自動化的“TURBINE”系統。

　　布雷茲表示：“如果你將這種能力置于主干基礎設施中，那么像我一樣的軟件和信息安全工程師都會認為非常可怕。請忘記NSA如何使用這一工具。我們如何知曉這一工具被正確地使用，以及僅被用于NSA希望的目標?而在本身就很可疑的情況下，即使NSA采取正確的做法，如何確保這一工具受控?”

　　在發送給The Intercept的一份電子郵件聲明中，Facebook發言人杰伊·南卡洛(Jay Nancarrow)表示，Facebook沒有獲得有關這種活動的任何證據。他表示，去年Facebook部署了HTTPS加密功能，使瀏覽器會話不太容易受惡意軟件攻擊。

　　南卡洛同時指出，除Facebook之外的其他服務同樣可能遭到NSA的攻擊。他表示：“如果政府情報機構有權訪問網絡服務提供商，任何基于無加密HTTP協議的網站都可能遭遇流量被秘密重定向的問題。”

　　“中間人”攻擊方式與此類似，但更加積極。通過這種黑客技術，NSA將自身置于兩臺計算機的通信線路之間，從而部署其惡意軟件。

　　通過這種方式，NSA不僅可以監控及重定向瀏覽器會話，甚至可以修改兩臺計算機傳送的內容包。例如，當兩人相互發送消息時，這種攻擊方式可以修改消息的內容，而通信雙方都不會知道內容遭到了第三方的纂改。同樣的技術也被用于普通黑客的欺詐活動。

　　2012年一份絕密的NSA文件顯示，NSA部署了名為“SECONDDATE”的“中間人”攻擊技術，以“影響客戶端和服務器之間的實時通信”，并“將網頁瀏覽器秘密重定向”至NSA名為“FOXACID”的惡意軟件服務器。去年10月，《衛報》報道了“FOXACID”的細節。其中顯示，這一技術被用于攻擊互聯網匿名服務Tor的用戶。

　　不過，“SECONDDATE”不僅可以用于針對特定嫌疑人的“手術刀式”攻擊，也可以被用于發起大規模惡意軟件攻擊。

　　根據2012年的這份文件，這一技術“對通過某些網絡節點的客戶端具有大規模利用的潛力”。