首页 > 研发

美国QUANTUM(量子)攻击系统

军工资源网 2022年05月10日

图片


前 言

QUANTUM(量子)攻击系统是美国国家安全局(NSA)针对国家级互联网专门设计的一种先进的网络流量劫持攻击技术,主要针对国家级网络通信进行中间劫持,以实施漏洞利用、通信操控、情报窃取等一系列复杂网络攻击。据NSA官方机密文档《QUANTUM Insert Diagrams》内容显示,QUANTUM(量子)攻击可以劫持全世界任意地区任意网上用户的正常网页浏览流量,进行0 day(零日)漏洞利用攻击并远程植入后门程序。


创立部门(TAO)简介

Tailored Access Operations(接入技术行动处),简称TAO,是国家安全局(NSA)的网络战情报收集单位。根据前美国国家安全局局长、现任美国国家安全分析师迈克尔·海登将军的说法,它至少从 1998 年开始活跃,也可能是 1997 年,但直到“2000年的最后几天”才被命名或构建为TAO。据报道,TAO是“美国国家安全局庞大的信号情报局(SID)中最大且可以说是最重要的组成部分,由1,000多名军事和民用计算机黑客、情报分析员、目标专家、计算机硬件和软件设计师以及电气工程师”。其主要职责是负责识别、监控、渗透和收集有关美国境外实体使用的计算机系统的情报。根据斯诺登透露,前 NSA 承包商Edward Snowden泄露的一份描述该部门工作的文件称,TAO 拥有软件模板,允许其侵入常用硬件,包括“来自多个产品供应商线的路由器、交换机和防火墙”。TAO 工程师更喜欢利用网络而不是孤立的计算机,因为通常在单个网络上有许多设备。

TAO 的总部被称为远程操作中心(ROC),位于马里兰州米德堡的 NSA 总部。TAO 还扩展到NSA 夏威夷(瓦希瓦,瓦胡岛)、NSA 佐治亚州(戈登堡,佐治亚州)、NSA 德克萨斯(联合基地圣安东尼奥,德克萨斯)和NSA 科罗拉多(巴克利太空部队基地,丹佛)。

  • S321——远程操作中心 (ROC):在远程操作中心,600 名员工收集来自世界各地的信息。

  • S323——数据网络技术分支(DNT):开发自动化间谍软件。

  • S3231——访问部门(ACD)

  • S3232——网络网络技术部(CNT)

  • S3234——计算机技术部(CTD)

  • S3235——网络技术部(NTD)


  • S324——电信网络技术分部(TNT):

    改进网络和计算机黑客攻击方法。

  • S325——基础运营分部(MIT):

    运行上面提供的软件。

  • S328——接入技术运营部门(ATO):

    据报道,包括由中央情报局和联邦调查局借调的人员,他们执行所谓的“网外行动”,这意味着他们安排中央情报局特工在计算机和电信设备上秘密安装窃听设备海外系统,以便 TAO 的黑客可以从米德堡远程访问它们。

    装备特殊的潜艇,目前是吉米卡特号,用于窃听全球光纤电缆。

  • S3283——远征访问行动(EAO)

  • S3285——Persistence Division


Tailored Access Operations 部门的疑似和确认目标包括中国、欧佩克、和墨西哥公共安全秘书处等国家和国际实体。该集团还通过SEA-ME-WE 4瞄准全球通信网络——一种在新加坡、马来西亚、泰国、孟加拉国、印度、斯里兰卡、巴基斯坦、阿拉伯联合酋长国、沙特阿拉伯、苏丹、埃及、意大利、突尼斯、阿尔及利亚和法国之间承载电信的光纤海底通信电缆系统。此外,瑞典的Försvarets radioanstalt (FRA)为 QUANTUM 合作提供了光纤链路。TAO 的 QUANTUM INSERT 技术被传递给英国的服务,特别是GCHQ的MyNOC,后者用它来瞄准Belgacom和GPRS 漫游交换(GRX)提供商,如Comfone、Syniverse和 Starhome。与CIA和FBI合作,TAO 被用来拦截在线购买的笔记本电脑,将它们转移到安装了间谍软件和硬件的秘密仓库,并将它们发送给客户。TAO 还针对互联网浏览器Tor和Firefox。根据外交政策2013 年的一篇文章,TAO 已经“越来越完成其使命,部分归功于它秘密地从‘三大’美国电信公司(AT&T、Verizon和Sprint)获得的高层合作,其中大部分位于美国的大型 Internet 服务提供商,以及许多顶级计算机安全软件制造商和咨询公司。” 2012 年 TAO 预算文件声称,这些公司应 TAO 的要求,“将漏洞插入目标使用的商业加密系统、IT 系统、网络和端点通信设备中”。许多美国公司,包括思科和戴尔随后发表公开声明,否认他们在产品中插入了此类后门。在公众获得有关这些漏洞的修复程序或信息之前,微软向 NSA 提供其所知道的漏洞的预先警告;这使 TAO 能够执行所谓的零日攻击。一位拒绝在媒体上透露姓名的微软官员证实,情况确实如此,但表示微软不能对 NSA 如何使用这些预先信息负责。

QUANTUM(量子)攻击系统简介

TAO 开发了一个他们称之为 QUANTUM 的攻击套件。它依赖于复制互联网流量(通常是HTTP请求)的受感染路由器,以便它们同时到达预期目标和 NSA 站点(间接)。NSA 站点运行 FOXACID 软件,该软件会在目标网络浏览器有机会做出响应之前,将在后台加载的漏洞发回。在这项技术开发之前,FOXACID 软件进行鱼叉式网络钓鱼攻击 NSA 称为垃圾邮件。如果浏览器是可利用的,则在目标计算机中部署更多永久“植入”(rootkit 等),例如用于 Windows 的 OLYMPUSFIRE,它可以完全远程访问受感染的计算机。这种类型的攻击是中间人攻击系列的一部分,但更具体地说,它被称为中间人攻击。如果不控制某些Internet 骨干网,就很难实现这一目标。

FOXACID 可以通过这种方式利用许多服务。一些 FOXACID 模块的名称如下:


图片


通过与英国政府通信总部(GCHQ)合作,谷歌服务也可能受到攻击,包括Gmail。使用分析数据库(例如XKeyscore)来查找可利用且值得攻击的机器。一种查找易受攻击机器的特定方法是拦截Windows 错误报告流量,该流量记录到 XKeyscore。从 NSA 站点发起的 QUANTUM 攻击对于目标和服务的某些组合来说可能太慢了,因为它们本质上是试图利用竞争条件,即 NSA 服务器试图通过其响应来击败合法服务器。截至 2011 年年中,美国国家安全局正在设计一种代号为 QFIRE 的功能原型,其中包括将他们的漏洞分发服务器嵌入到更靠近目标托管的虚拟机(在VMware ESX上运行)中,即所谓的特殊收集站点(SCS)全球网络。QFIRE 的目标是降低欺骗响应的延迟,从而增加成功的可能性。COMMENDEER用于征用(即妥协)非目标计算机系统。该软件用作 QUANTUMNATION 的一部分,其中还包括软件漏洞扫描程序 VALIDATOR。该工具由Jacob Appelbaum在 2014 年的混沌通信大会上首次描述,他将其描述为暴虐。QUANTUMCOOKIE 是一种更复杂的攻击形式,可用于攻击 Tor用户。

QUANTUM(量子)攻击系统攻击方式


QUANTUM(量子)攻击方式有三种,攻击平台投入使用的时间最早可追溯至2005年。此三种攻击方式,都以单词缩写进行命名,缩写分别为CNE(网络情报窃取)、CNA(网络攻击破坏)和CND(网络攻击防御)。

  • ComputerNetwork Exploitation(网络情报窃取)


1、 QUANTUMINSERT(量子注入):该模块具备向正常网络流量中注入恶意流量的攻击能力。这是360云端安全大脑迄今发现的数量最多的Quantum(量子)攻击方式。该模块主要用于美国国家安全局(NSA)劫持世界各地互联网用户的正常网页浏览流量,将用户希望访问的正常合法网站劫持到NSA的FoxAcid仿冒网站服务器上,通过FoxAcid发送各类浏览器0day(零日)漏洞,并完成对互联网用户的定点或批量攻击,远程控制用户网络端,向用户上网终端植入各种美国国家安全局(NSA)的复杂后门程序进行情报窃取。

2、 QUANTUMBOT(量子傀儡):NSA也会针对网络空间中的黑客组织进行网络攻击,夺取黑客组织的网络资源,为自身的后续黑客攻击 活动提供技术支持。该模块提供一种远程操控网络空间中任意僵尸网络的攻击能力。通过劫持僵尸网络命令控制的网络流量,直接接管相关僵尸网络资源,再操控这些僵尸网络发起破坏性的攻击活动,隐藏NSA的黑客攻击痕迹。

3、 QUANTUMBISCUIT(量子饼干):该模块用于增强Quantum(量子)注入攻击,针对攻击目标建立Quantum(量子)注入攻击的代理跳板,目的是防止NSA的黑客攻击行为被溯源发现,该模块也常用于NSA针对特定目标的网络环境实施Quantum(量子)攻击,定制部署攻击跳板。

4、 QUANTUMDNS(量子DNS):该模块具有对网络流量DNS的劫持攻击能力。通过该模块,NSA可以劫持互联网所有网站域名的DNS解析,重定向网站流量,同时还可以配合FOXACID平台实施漏洞攻击。

5、 QUANTUMHAND(量子掌握):根据现有技术证据显示,该模块提供了针对脸书(Facebook)等重要美国境内网站的流量劫持能力,针对浏览相关网站的网络流量进行漏洞攻击,植入美国国家安全局(NSA)的复杂后门程序。这种攻击能力令人发指,美国国家安全局(NSA)会针对世界各国访问脸书、推特、油管、亚马逊等美国网站的几乎所有互联网用户发起无差别的网络攻击。

6、 QUANTUMPHANTOM(量子幻影):为防止美国国家安全局(NSA)向其它国家实施的网络攻击被追踪溯源,该模块提供了一种利用网络链路中间节点劫持技术实现攻击源隐藏的先进网络攻击能力。例如:NSA使用一个假冒IP地址作为命令控制,劫持与这个假冒IP通信的网络路由节点链路,在网络链路的中途节点进行被动监听和流量操控,隐藏NSA真实的后门命令控制地址。

  • ComputerNetwork Attack(网络攻击破坏)


1、 QUANTUMSKY(量子天空):该模块提供了一种网络通信阻断能力,通过RST复位报文中断特定的网络连接,主要用于NSA劫持和阻止特定目标访问特定网站的流量。

2、 QUANTUMCOPPER(量子警察):该模块针对网络通信流量中的文件提供了篡改能力,使NSA的攻击可以针对网络流量中的文件上传和下载进行劫持,实施中断破坏或后门植入感染等网络攻击。

  • ComputerNetwork Defense(网络攻击防御)


1、 QUANTUMSMACKDOWN(量子下载):该模块提供了恶意网络流量的分析能力,可以阻断和抽取下载网络流量中的恶意荷载及恶意样本等,主要用于NSA对攻击目标非美国攻击源的失陷情报收集,也可以防御和分析自身网络环境中的恶意流量。

QUANTUM(量子)攻击系统攻击过程

美国国家安全局(NSA)为了监控全球互联网目标,制定了众多的作战计划,相关计划涉及的具体任务会通过QUANTUM(量子)攻击平台实施,QUANTUM(量子)攻击的完整实施过程分为以下三个阶段,现已完全实现了工程化、自动化,分别包括以下三个阶段:

  • 第一阶段,QUANTUM(量子)攻击实施者会首先对被攻击目标进行网络定位,整个定位过程是通过NSA持有的一整套“QUANTUM Capabilities”(量子能力)网络黑客攻击工具完成,这些工作具有对全球互联网巨头网络流量的远程劫持操控能力。

  • 第二阶段,在精准确定攻击目标的上网地点、上网IP和网络账号后,NSA会利用其它网络武器全面监控攻击目标的上网终端和互联网账号,详细分析相关网络通信内容和其它网络活动,包括与上网终端有关的静态文件、上网流量及通讯内容等等。

  • 第三阶段,NSA通过QUANTUM(量子)攻击系统实施漏洞利用攻击,向受害者上网终端植入NSA的专属后门程序,对受害者形成远程控制,随即大量窃取受害者的个人隐私和上网数据。

    整个攻击过程中所采集窃取的大量数据都在用户毫不知情的情况下被传送到NSA在美国的多个专用大数据中心。


结尾

美国NSA网络武器攻击已完全实现了工程化、自动化。网络战时代到来,网络武器的自动化、智能化优势成为超越信息优势的“进阶优势”,而NSA组织的QUANTUM(量子)系统可能仅是冰山一角,美国或掌握着更多更高度工程化的网络攻击平台,其自动化的“思考”速度和质量,极大提高了美国自主作战系统实现制胜目标的优势,也为全球网络安全带来无穷隐忧。面对来自网络空间的安全风险,我们每个人所拥有的智能手机等联网设备都处于大数据的浪潮之中,自觉或不自觉地成为国家层面网络对抗的一个关联环节、一个信息元素、一个数据构成。普通人对信息安全、网络安全乃至国家安全肩负着前所未有的责任。

网站已关闭

您的网站已到期,请及时续费
联系电话:400-606-1198