АНБ устанавливает бэкдоры на ноутбуки из интернет-магазинов

Материал из CompromatWiki
Перейти к: навигация, поиск

  Хакеры правительства США входят в компьютеры интернет-пользователей через Facebook, Yahoo, Twitter и YouTube Оригинал этого материала
© Хакер.Ру, 30.12.2013, Иллюстрация: via Хакер.Ру АНБ устанавливает бэкдоры на ноутбуки из интернет-магазинов Немецкий журнал Der Spiegel опубликовал эксклюзивную информацию о работе хакерского подразделения Tailored Access Operations (TAO), которое существует в АНБ. Информация получена из секретных документов, предоставленных Эдвардом Сноуденом.

Созданное в 1997 году подразделение TAO занимается, в основном, установкой бэкдоров на компьютеры и мобильные телефоны по всему миру. Сейчас стало известно, что один из используемых ими методов установки бэкдоров — перехват ноутбуков, которые идут по почте из интернет-магазинов.

Еще один интересный момент — в документах сказано, что программа слежения XKeyscore позволяет АНБ получать информацию о случаях сбоя операционной системы Windows на всех компьютерах мира.

01a93cea7ee21ddc4474bd1891c901ddb6e6135f.jpg

АНБ отфильтровывает из интернет-трафика сообщения о сбоях, если пользователь нажал на кнопку «Отправить отчет в Microsoft». Эти отчеты содержат идентификационную информацию о компьютере, с помощью которой TAO может установить «пассивное наблюдение» за компьютером, то есть изучать весь его трафик в интернете, не инсталлируя бэкдор.

По имеющейся информации, в подразделении TAO числятся около 2000 сотрудников. Они работают как минимум в семи разных офисах, из которых два основных: один на фото вверху, а второй — на базе военно-воздушных сил Lackland, тоже в Сан-Антонио. Покупка заводского здания у Sony — одна из больших инвестиций, которые сделало АНБ благодаря серьезному увеличению своего бюджета после терактов 11 сентября 2001 года. Одно из подразделений TAO располагается даже за пределами США: на американской военной базе около Дармштадта (Германия).

В 2010 году подразделение TAO осуществило 279 операций, несколькими годами ранее — 258 операций в 89 странах. Согласно бюджетному плану, сейчас TAO осуществляет мониторинг 85 000 компьютеров по всему миру. Большинство из них оснащено бэкдорами, установленными через интернет. В одной из презентаций сказано, что новая программа установки бэкдоров под кодовым названием QUANTUMTHEORY имеет эффективность до 80%, в то время как рассылка спама со ссылками на зараженные страницы в прежние годы имело эффективность не более 1%. В презентации "QUANTUM CAPABILITIES" указано, что установка бэкдоров осуществляется через сайты Facebook, Yahoo, Twitter и YouTube, а также через сервисы Google, с помощью инструменты QUANTUMINSERT. Об установке на интернет-каналах серверов QUANTUM для перехвата и подмены трафика сообщалось и ранее, с кратким описанием принципа атаки.
*** Оригинал этого материала
© Хакер.Ру, 12.11.2013, Иллюстрация: via Хакер.Ру Разведка GCHQ взломала точку обмена трафиком и использовала поддельные сайты LinkedIn и Slashdot В сентябре этого года в прессе появилась первая информация о том, что агенты британской внешней разведки GCHQ взломали бельгийского интернет-провайдера Belgacom и провели таргетированную атаку на отдельных пользователей. В документах сообщалось, что для перехвата паролей спецслужбы создали фальшивые версии некоторых сайтов.

Вчера немецкое издание Der Spiegel опубликовало новые подробности этой истории. Стало известно, какие конкретно веб-сайты использовались в операции: социальная сеть для поиска работы LinkedIn и популярный компьютерный форум Slashdot.

9d84ae70db0c35c1489fff8e1c3876152b5b546f.jpg

Кроме того, стали известны некоторые технические детали. Внедрение GCHQ осуществлялось через крупную точку обмена трафиком GRX (Global Roaming Exchange). Компания Belgacom International Carrier Services (BICS) — один из нескольких операторов GRX в мире. Операция под названием Quantum Insert предполагала использование скрытых серверов на уровне бэкбона, которые перехватывают запросы от пользователей в адрес конкретных сайтов — и отвечают на них раньше, чем настоящие сервера, для которых предназначены эти запросы. Технически, подобную атаку можно назвать MiTM с инъекцией пакетов.

Представители разведки GCHQ уже ответили на публикацию секретных документов. Они отказались от комментариев по поводу этой истории, но сказали, что «вся работа GCHQ осуществляется в строгом соответствии с законом».