Tailored Access Operations
TAO: יחידת הסייבר הסודית של ה-NSA פורצת למערכות זרות. גלו כיצד היא פועלת, מהי היסטורייתה וכיצד חשף אותה אדוארד סנודן.
המשרד למבצעי גישה מותאמת (Office of Tailored Access Operations, או בקיצור TAO), שמבנהו הארגוני הוא S32, הוא יחידת לוחמת סייבר ואיסוף מודיעין השייכת לסוכנות לביטחון לאומי (NSA) של ארצות הברית. היחידה פעילה לפחות מאז 1998, ואולי אף מ-1997, אך היא לא נקראה או אורגנה תחת השם TAO עד "הימים האחרונים של שנת 2000", לדברי הגנרל מייקל היידן.
תפקידה של TAO הוא לזהות, לנטר, לחדור ולאסוף מודיעין ממערכות מחשב המשמשות גופים זרים לארצות הברית.
היסטוריה
על פי דיווחים, TAO היא "המרכיב הגדול והחשוב ביותר במינהלת מודיעין האותות (SID) הענקית של ה-NSA, והיא מורכבת מלמעלה מ-1,000 האקרים, אנליסטים של מודיעין, מומחי מטרות, מתכנני חומרה ותוכנה ומהנדסי חשמל, המשרתים כאנשי צבא ואזרחים". כיום, היחידה ידועה בשם "המשרד למבצעי רשתות מחשבים" (OCNO).
הדלפת סנודן
מסמך שהודלף על ידי עובד ה-NSA לשעבר, אדוארד סנודן, ומתאר את עבודת היחידה, חושף כי ברשות TAO תבניות תוכנה המאפשרות לה לחדור להתקני חומרה נפוצים, כולל "נתבים, מתגים וחומות אש (firewalls) ממגוון יצרנים". מהנדסי TAO מעדיפים לחדור לרשתות שלמות ולא למחשבים בודדים, מכיוון שבדרך כלל רשת אחת מכילה התקנים רבים.
מבנה ארגוני
מטה TAO, המכונה "מרכז המבצעים המרוחקים" (Remote Operations Center - ROC), ממוקם במטה ה-NSA בפורט מיד, מרילנד. ליחידה שלוחות נוספות ב-NSA הוואי (וואהיאווה, אואהו), NSA ג'ורג'יה (פורט גורדון, ג'ורג'יה), NSA טקסס (בסיס משותף סן אנטוניו, טקסס) ו-NSA קולורדו (בסיס כוח החלל באקלי, דנוור).
- S321 – מרכז המבצעים המרוחקים (ROC): מעסיק כשש מאות עובדים האוספים מידע מרחבי העולם.
- S323 – ענף טכנולוגיות רשתות נתונים (DNT): מפתח תוכנות ריגול אוטומטיות.
- S3231 – מחלקת גישה (ACD)
- S3232 – מחלקת טכנולוגיית רשתות סייבר (CNT)
- S3234 – מחלקת טכנולוגיות מחשב (CTD)
- S3235 – מחלקת טכנולוגיית רשתות (NTD)
- ענף טכנולוגיות רשתות טלקומוניקציה (TNT): פועל לשיפור שיטות פריצה לרשתות ולמחשבים.
- ענף טכנולוגיות תשתית משימה: מפעיל את התוכנות שפותחו ביחידות האחרות.
- S328 – ענף מבצעי טכנולוגיות גישה (ATO): לפי דיווחים, כולל אנשי צוות מה-CIA ומה-FBI, המבצעים מה שמכונה "מבצעים מחוץ לרשת" (off-net operations). במסגרת מבצעים אלה, סוכני CIA שותלים בחשאי התקני האזנה במחשבים ובמערכות תקשורת בחו"ל, כדי שהאקרים של TAO יוכלו לגשת אליהם מרחוק מפורט מיד. צוללות המצוידות בציוד מיוחד, כיום הצוללת ג'ימי קרטר (USS Jimmy Carter), משמשות להאזנה לכבלי סיבים אופטיים ברחבי העולם.
- S3283 – מבצעי גישה משלחתיים (EAO)
- S3285 – מחלקת התמדה (Persistence)
מיקומים וירטואליים
פרטים על תוכנית בשם QUANTUMSQUIRREL מצביעים על יכולתה של ה-NSA להתחזות לכל כתובת מארחת (host) ברשת האינטרנט (כתובות IPv4 או IPv6). יכולת זו מאפשרת למחשב של ה-NSA לייצר אישורי זיהוי ומיקום גיאוגרפי כוזבים בעת גישה לאינטרנט באמצעות התוכנית.
הנהגה
בין השנים 2013 ל-2017, ראש TAO היה רוב ג'ויס (Rob Joyce), עובד ותיק בסוכנות שעבד בעבר במינהלת אבטחת המידע (IAD) של ה-NSA. בינואר 2016, הופיע ג'ויס בהופעה פומבית נדירה, כאשר נשא דברים בכנס Enigma של ארגון Usenix.
קטלוג ANT של ה-NSA
קטלוג ANT של ה-NSA הוא מסמך מסווג בן 50 עמודים המפרט טכנולוגיות העומדות לרשות יחידת TAO, אשר פותחו על ידי "החטיבה לטכנולוגיית רשתות מתקדמת" (ANT) כדי לסייע במעקב וריגול סייבר. רוב ההתקנים המתוארים בקטלוג כבר מבצעיים וזמינים לאזרחי ארה"ב ולחברות בברית "חמש העיניים" (Five Eyes). על פי העיתון הגרמני "דר שפיגל", שפרסם את הקטלוג ב-30 בדצמבר 2013, "הרשימה נראית כמו קטלוג הזמנות בדואר, שבאמצעותו עובדי NSA אחרים יכולים להזמין טכנולוגיות מחטיבת ANT לצורך ציתות לנתונים של מטרותיהם". המסמך נוצר בשנת 2008. חוקר האבטחה ג'ייקוב אפלבאום נשא הרצאה בקונגרס התקשורת של כאוס (Chaos Communications Congress) בהמבורג, גרמניה, ובה פירט טכניקות מתוך הקטלוג, שעליהן כתב במאמר ב"דר שפיגל".
מתקפות QUANTUM
יחידת TAO פיתחה חבילת תקיפה המכונה QUANTUM. היא מתבססת על נתב שנפרץ מראש ומשכפל תעבורת אינטרנט, בדרך כלל בקשות HTTP, כך שהיא נשלחת הן ליעד המקורי והן לאתר של ה-NSA (באופן עקיף). האתר של ה-NSA מריץ תוכנה בשם FOXACID, השולחת בחזרה אקספלויטים (exploits) הנטענים ברקע בדפדפן האינטרנט של המטרה, עוד לפני שהאתר הלגיטימי מספיק להגיב. מתקפה מסוג זה היא סוג של "מתקפת אדם בתווך" (man-in-the-middle), או ליתר דיוק, "מתקפת אדם בצד" (man-on-the-side), וקשה לבצעה מבלי לשלוט בחלקים מעמוד השדרה של האינטרנט.
אם הדפדפן של המטרה פגיע, מוחדרים למחשב "שתלים" קבועים (כמו רוטקיטים). דוגמה לכך היא OLYMPUSFIRE למערכת ההפעלה Windows, המעניקה גישה מרחוק מלאה למכונה הנגועה.
ישנם שירותים רבים ש-FOXACID יכולה לנצל בדרך זו. בשיתוף פעולה עם מטה התקשורת הממשלתי של בריטניה (GCHQ) בתוכנית MUSCULAR, ניתן היה לתקוף גם שירותים של גוגל, כולל Gmail. איתור מכונות פגיעות וכדאיות לתקיפה נעשה באמצעות מאגרי מידע אנליטיים כמו XKeyscore. שיטה ספציפית לאיתורן היא יירוט תעבורת דוחות שגיאה של Windows (Windows Error Reporting), אשר מתועדת ב-XKeyscore.
מתקפות QUANTUM עשויות להיות איטיות מדי עבור יעדים מסוימים, שכן הן מנצלות "תחרות" (race condition) בין תגובת שרת ה-NSA לתגובת השרת הלגיטימי. נכון לאמצע 2011, ה-NSA פיתחה יכולת בשם הקוד QFIRE, שכללה הטמעת שרתי האקספלויטים שלה במכונות וירטואליות (הרצות על VMware ESX) המאוחסנות קרוב יותר למטרה, ברשת עולמית של "אתרי איסוף מיוחדים" (SCS). מטרת QFIRE הייתה להפחית את זמן ההשהיה (latency) של התגובה המתחזה, ובכך להגדיל את סיכויי ההצלחה.
- COMMENDEER: תוכנה המשמשת להשתלטות על מערכות מחשב שלא היו יעד מוגדר מראש. היא חלק ממערכת QUANTUMNATION, הכוללת גם את סורק הפגיעויות VALIDATOR.
- QUANTUMCOOKIE: צורת תקיפה מורכבת יותר שיכולה לשמש נגד משתמשי רשת Tor.
מטרות ושיתופי פעולה
בין המטרות החשודות, הנטענות והמאושרות של יחידת TAO נכללים גופים לאומיים ובינלאומיים, כגון סין, האוניברסיטה הפוליטכנית הצפון-מערבית בסין, ארגון אופ"ק (OPEC) והמזכירות לביטחון פנים של מקסיקו.
הקבוצה תקפה גם רשתות תקשורת גלובליות באמצעות SEA-ME-WE 4 – מערכת כבלי תקשורת תת-ימית מסיבים אופטיים המעבירה תעבורה בין סינגפור, מלזיה, תאילנד, בנגלדש, הודו, סרי לנקה, פקיסטן, איחוד האמירויות הערביות, ערב הסעודית, סודאן, מצרים, איטליה, תוניסיה, אלג'יריה וצרפת. בנוסף, סוכנות הביון של שבדיה (FRA) סיפקה ל-NSA גישה לכבלי סיבים אופטיים לצורך שיתוף פעולה במבצעי QUANTUM.
טכנולוגיית QUANTUM INSERT של TAO הועברה לשירותי הביון של בריטניה, במיוחד ליחידת MyNOC של GCHQ, שהשתמשה בה כדי לתקוף את חברת התקשורת הבלגית Belgacom וספקיות נדידת GPRS כמו Comfone, Syniverse ו-Starhome. חברת Belgacom, המספקת שירותים לנציבות האירופית, לפרלמנט האירופי ולמועצה האירופית – גילתה את המתקפה.
בתיאום עם ה-CIA וה-FBI, יחידת TAO משמשת ליירוט מחשבים ניידים הנרכשים באינטרנט. המחשבים מוסטים למחסנים סודיים, שם מותקנים בהם חומרה ותוכנות ריגול, ולאחר מכן הם נשלחים ללקוחות. TAO תקפה גם את רשת Tor ואת דפדפן Firefox.
על פי מאמר משנת 2013 במגזין Foreign Policy, יחידת TAO "הפכה למיומנת יותר ויותר במשימתה, בין היתר בזכות שיתוף הפעולה החשאי ברמה גבוהה שהיא מקבלת משלוש חברות התקשורת האמריקאיות הגדולות (AT&T, Verizon ו-Sprint), מרוב ספקי האינטרנט הגדולים בארה"ב, ומחברות רבות מובילות בתחום תוכנות אבטחת המחשב וחברות ייעוץ". מסמך תקציב של TAO משנת 2012 טוען כי חברות אלו, לבקשת היחידה, "שותלות נקודות תורפה במערכות הצפנה מסחריות, מערכות IT, רשתות והתקני קצה המשמשים מטרות". מספר חברות אמריקאיות, כולל סיסקו ודל, פרסמו מאז הכחשות פומביות לכך שהן שותלות "דלתות אחוריות" במוצריהן. מיקרוסופט מספקת ל-NSA התרעה מוקדמת על פרצות אבטחה שהיא מגלה, עוד לפני שתיקונים או מידע על הפרצות זמינים לציבור; הדבר מאפשר ל-TAO לבצע מתקפות "יום אפס" (zero-day). גורם רשמי במיקרוסופט, שסירב להזדהות, אישר שאכן כך הדבר, אך טען שלא ניתן להטיל על מיקרוסופט אחריות על האופן שבו ה-NSA משתמשת במידע המוקדם.
מקור: ויקיפדיה https://en.wikipedia.org/wiki/Tailored_Access_Operations
