Последние открытия из тайника документов Сноудена показывают, что АНБ нацелено на системных администраторов, чтобы получить доступ к инфраструктуре, за которую они несут ответственность.
Системные администраторы, которые не обязательно являются объектом наблюдения АНБ, становятся объектом нападения американского шпионского агентства из-за их доступа к сетям, в которые АНБ желает проникнуть.
Как сообщает ПерехватАНБ стремится отследить личную электронную почту и учетные записи Facebook системных администраторов, чтобы проникнуть в сети и данные, которые они несут.
«Системные администраторы — это средство для достижения цели», — заявляет последний документ от Сноудена, под названием «Я охочусь на системных администраторов».
«Начну с того, что системные администраторы обычно не являются моей конечной целью. Моя конечная цель — экстремист/террорист или правительственный чиновник, который пользуется сетью, о которой заботятся некоторые администраторы».
В документе подробно описан метод его автора (имя которого было скрыто The Intercept) для нападения на подозреваемых системных администраторов с целью получения доступа к инфраструктуре через
Программа АНБ «КВАНТУМ», который использует вредоносное ПО, а иногда и физические передатчики, встроенные в оборудование, для возврата информации в АНБ, даже если целевой компьютер не подключен к сети.Tech Pro Research: Безопасность
- Защитите конфиденциальные данные с помощью шифрования Windows
- Рекомендации по использованию Google Glass на рабочем месте
- ИТ-антивирусная политика
Для системных администраторов, которые все еще используют Telnet, у АНБ есть инструмент под названием DISCOROUTE, который «специально предназначен для предназначен для сбора и базы данных файлов конфигурации маршрутизатора, видимых в пассивно собранных Telnet сеансы». Просматривая IP-адрес из белого списка в списке доступа конфигурации маршрутизатора, автор объясняет, что затем они ищут любые входы в Hotmail, Yahoo, Facebook и другие отслеживаемые в недавнем прошлом сервисы с целью создания «вероятного списка личных учетных записей» для системных администраторов, контролирующих сеть, которую хочет контролировать АНБ. доступ. В этот момент в дело вступает QUANTUM, и АНБ может «приступить к делу».
Продвигая программу еще дальше, автор описывает систему, в которой можно использовать все данные DISCOROUTE. создать адресную книгу, которая объединяет сети с личными учетными записями системных администраторов для использования.
«Как только одна из этих сетей станет целью, все, что нужно сделать TAO, — это запросить базу данных, посмотреть, есть ли у нас администраторы. заранее идентифицированы для этой сети, и, если мы это сделаем, автоматически поставим задачи в очередь и приступим к CNE [эксплуатация компьютерной сети]», — сказал документ.
«Все это можно сделать, изменив данные, которые у нас уже есть под рукой!!!»
SSH является некоторой защитой от мониторинга АНБ: в отличие от Telnet, АНБ не может просматривать содержимое сообщений между сервером и машиной, используемой системные администраторы путем пассивного мониторинга соединения — но автор подробно описывает процесс, основанный на мониторинге продолжительности сеансов SSH для определения IP-адреса потенциальной системы. администратор: Сеансы, в которых происходит неудачный вход в систему, в большинстве случаев будут короче, чем успешное соединение, если системные администраторы выполняют задачи на сервер.
«Вы можете догадаться, был ли сеанс SSH успешным или нет. чисто в зависимости от размера сеанса в направлении сервер-клиент».
Поскольку пассивный мониторинг коммуникаций позволяет АНБ знать IP-адреса машин, пытающихся подключиться к Затем АНБ может использовать этот IP-адрес в качестве селектора для поиска других данных АНБ, а также любой социальной сети или службы электронной почты. логины.
«Если IP-адрес сервера когда-либо находится в сети, к которой я хочу получить доступ, мне не нужно расшифровывать сеанс SSH администратора; все, что мне нужно сделать, это надеяться, что он проверил свой Facebook/веб-почту в течение определенного периода времени после SSH-подключения к серверу. Если да, то этому селектору теперь поручено QUANTUM, и мы ждем, чтобы получить доступ к его ящику».
Автор продолжает описывать, как взлом крупных маршрутизаторов, например, продаваемых Cisco, Juniper и Huawei, использовался для шпионажа. агентства в США, Великобритании, Новой Зеландии, Канаде и Австралии в течение некоторого времени, но другие, неназванные национальные государства начинают вмешиваться в действие.
Остальная часть документа была удалена изданием The Intercept, которое заявило, что оно было отредактировано, чтобы «не допустить оказания помощи странам в улучшении их возможностей взламывать иностранные маршрутизаторы и шпионить за людьми незамеченными».