Cách các cơ quan đặc biệt khai thác cáp mạng toàn cầu
Cho đến nay, người ta chỉ biết rằng Incenser là một chương trình con của WINDSTOP và nó thu thập khoảng 14 tỷ mẫu dữ liệu mạng mỗi tháng. Những tiết lộ gần đây nhất cho thấy dữ liệu này được thu thập với sự trợ giúp của Cable & Wireless (Anh, tên mã Gerontic, nay là một phần của Vodafone) tại một địa điểm ở Cornwall (Anh). ) có mật danh Nigella. Lần đầu tiên, nó cung cấp toàn bộ chuỗi đánh chặn, từ chương trình mẹ đến các cơ sở đánh chặn.
Bí mật của Nigella
Một báo cáo chung vào tháng 1 năm 2018 của đài truyền hình Anh, Kênh 4, với các đài truyền hình khu vực của Đức như WDR và NDR, tờ báo Đức – Suddeutsche Zeitung, đã xác định Nigella là một cơ sở đánh chặn tại giao lộ. Cáp & không dây và cáp Reliance tại trại Skewjack.
Ở đó, về phía tây bắc của Polgigga Cottage (Cornwall), là một tòa nhà lớn được xây dựng vào năm 2001 cho FLAG Telecom UK Ltd với chi phí 5,3 triệu bảng Anh. Nó đóng vai trò là ga cuối cho hai đầu của tuyến cáp quang biển: một đầu từ xuyên Đại Tây Dương và hạ cánh từ một bãi biển gần Sennen, và đầu kia qua eo biển Manche tới Brittany (Pháp).
Đầu tiên, hãy nói về tuyến cáp quang biển FLAG Atlantic 1 (FA1). Đường này nối bờ biển phía đông của Bắc Mỹ với Anh và Pháp (dài 6.000 km). Cáp FA1 đến Hoa Kỳ bao gồm 6 cặp cáp quang, mỗi cặp có thể mang 40 (cuối cùng là 52) bước sóng ánh sáng và mỗi bước sóng có thể mang lưu lượng 10 Gigabit / s.
FA1 ban đầu thuộc sở hữu của công ty viễn thông FLAG, trong đó FLAG là viết tắt của Cáp quang Liên kết Vòng quanh Trái đất. Công ty được đổi tên thành Reliance Globalcom khi nó thuộc sở hữu hoàn toàn của Reliance Communications (RCOM, Ấn Độ). Vào tháng 3 năm 2014, Reliance Globalcom đổi tên thành Global Cloud Xchange (GCK). Quan trọng hơn, một tuyến cáp ngầm dài hơn cũng thuộc sở hữu của GCK, và nó đáp xuống bờ biển Porthcurno, chỉ cách Camp Skewjack (Cornwall, Anh) vài dặm về phía tây nam.
Tiếp đến là tuyến cáp biển CỜ Âu – Á (FEA). Tuyến đường này kết nối Vương quốc Anh với Nhật Bản qua Địa Trung Hải, sau đó hạ cánh tại các điểm ở Ai Cập, bán đảo Ả Rập, Ấn Độ, Malaysia, Thái Lan, Hồng Kông, Trung Quốc, Đài Loan (Trung Quốc), Hàn Quốc và Nhật Bản (dài 28.000 km). Kết nối giữa FA1 và FEA được cung cấp bởi mạng cục bộ của Cáp & Không dây, mạng này cũng kết nối cáp dưới biển với mạng trục nội bộ của mạng này.
Theo tiết lộ mới nhất của Danh sách tổng thể cáp GHCQ năm 2009, việc đánh chặn cáp FA1 và FEA đã diễn ra tại điểm giao cắt với kết nối giữa. Danh sách cũng cho thấy việc đánh chặn 2 loại cáp này có liên quan đến Khai thác mạng máy tính (CNE) hoặc hoạt động xâm nhập có tên mã là Peenning Alpha. Vì chủ sở hữu của các loại cáp (Reliance Globalcom, nay là Global Cloud Xchange) không phải là đối tác với GCHQ, họ đã thâm nhập vào mạng của mình để lấy thêm “các trang web giám sát bộ định tuyến” và “thống kê hiệu suất cho Hoạt động Viễn thông Toàn cầu – GTE”.
Thiết bị đánh chặn
Có thể biết được vụ đánh chặn thực sự diễn ra như thế nào từ một bài báo đăng trên tờ The Guardian (Anh) từ tháng 6/2013, trong đó cung cấp một số thông tin chi tiết về công cụ máy tính siêu tinh vi. tại các nhà khai thác cáp. Trước hết, luồng dữ liệu được lọc thông qua cái được gọi là MVR (giảm khối lượng tối đa), ngay lập tức loại bỏ khối lượng lớn và giá trị thấp, chẳng hạn như các hoạt động tải mạng ngang hàng. Mức giảm công suất này là khoảng 30%.
Hãy nói về bộ chọn. Bước tiếp theo là truy xuất các gói thông tin chứa các bộ chọn như số điện thoại và email, các loại địa chỉ IP và MAC mà người dùng quan tâm. Theo The Guardian, chỉ trong năm 2011, khoảng 40.000 bộ chọn đã được GCHQ lựa chọn và 3.100.000 bộ chọn bởi NSA.
Một tài liệu của NSA được trích dẫn vào năm 2008 cho biết: “Tại một số thời điểm, lượng dữ liệu chúng tôi nhận được mỗi ngày (20+ Terabyte) chỉ có thể được lưu trữ trong ít nhất 24 giờ”. Nó nhằm mục đích trích xuất 7,5% lưu lượng tốt nhất đi qua truy cập, sau đó được sửa chữa từ điểm khai thác cáp đến Trạm báo hiệu chung GCHQ (GCHQ Bude) qua 2 kênh 10 Gigabit. / giây (công suất “đầu ra”). Đây có thể là một cáp chuyên dụng hoặc một đường dẫn VPN an toàn qua đường trục Cáp & Không dây kết nối Bude với South West Cornwall.
Hợp tác bí mật giữa GERONTIC và GCHQ
Các tài liệu tối mật của GCHQ về hoạt động của loại cáp này chỉ đề cập đến một nhà cung cấp viễn thông có tên mã là GERONTIC. Tên thật được bảo vệ bởi STRAP hạn chế phổ biến 2. Nhưng dù sao, gần đây các phương tiện truyền thông Đức đã xác nhận rằng GERONTIC là Cáp & Không dây. Theo báo cáo của các phương tiện truyền thông, GCHQ có quyền truy cập vào 63 cáp mạng dưới biển, 29 trong số đó có sự trợ giúp của GERONTIC.
Bên cạnh đó, GCHQ Cable Master List từ năm 2009 đã liệt kê GERONTIC là đối tác hạ cánh của 8 loại cáp như: FLAG Atlantic 1 (FA1); CỜ Âu-Á (FEA); Apollo North; Apollo Nam; Solas; Anh-Hà Lan 14; Anh-Pháp 3; Cổng Châu Âu Ấn Độ (EIG) – GLO-1. Các đoạn trích từ wiki nội bộ của GCHQ cho thấy Cable & Wireless đã tổ chức các cuộc hội thảo thường xuyên với GCHQ từ năm 2008 đến ít nhất là năm 2010, nhằm mục đích cải thiện khả năng tiếp cận, chẳng hạn như chọn loại cáp và bước sóng nào sẽ mang lại cơ hội tốt nhất để nắm bắt các thông tin liên lạc mà GCHQ muốn.
GCHQ cũng đã trả cho Cable & Wireless hàng chục triệu bảng chi phí. Ví dụ, vào tháng 2 năm 2009, khoảng 6 triệu bảng Anh đã được chi tiêu và một số tài liệu tham khảo về ngân sách năm 2010 cho thấy khoản thanh toán 20,3 triệu bảng Anh cho công ty.
Để so sánh, chỉ trong năm 2013, NSA đã trả tổng cộng 278 triệu bảng Anh cho tất cả các công ty viễn thông của mình. Sự hợp tác giữa Cable & Wireless và GCHQ có thể không gây ngạc nhiên cho những ai muốn biết thêm một chút về lịch sử tình báo Anh. Cable & Wireless đã làm việc với những người tiền nhiệm của GHCQ trong Thế chiến thứ nhất: tất cả các bức điện quốc tế đã được chuyển đi trước khi chúng có thể được phiên âm trước khi gửi đi, theo cách này vẫn tiếp tục. được sử dụng trong nửa thế kỷ tiếp theo.
Ngoài ra, cũng có một phần nhỏ của bảng thuật ngữ nội bộ trong số các tài liệu về hệ thống cáp của GCHQ. Nó chứa một mục về INCENSER, trong đó nói rằng đây là hệ thống thu thập nguồn đặc biệt tại Bude. Mục nhập cũng nói rằng lưu lượng INCENSER được gắn nhãn TICKETWINDOW với Bộ thiết kế hoạt động tín hiệu (Sigad) DS-300.
Các hoạt động xâm nhập
Như đã được NSA trình bày vào năm 2010 và được xuất bản bởi The Intercept vào tháng 12 năm 2014, quyền truy cập của INCENSER cũng có khả năng hỗ trợ QUANTUMBOT (chiếm quyền điều khiển mạng RC), QUANTUMBISQUIT (mục tiêu được nhắm mục tiêu bởi người dùng trái phép). đằng sau các đại diện lớn) và kỹ thuật xâm nhập QUANTUMINSERT (chuyển hướng trang web HTML). Hai thành phần khác của khung khai thác mạng máy tính QUANTUMTHEORY, QUANTUMSQUEEL (để đưa vào cơ sở dữ liệu MySQL) và QUANTUMSPIM (cho nhắn tin nhanh) đã được thử nghiệm nhưng chưa hoạt động. Điều này có nghĩa là điểm thu thập Nigella của Incenser cũng có cảm biến Turmoil để phát hiện khi nào các gói người dùng được nhắm mục tiêu theo lượng lưu lượng truy cập đi qua.
Turmoil tắt hệ thống điều khiển và chỉ huy tự động trung tâm có tên mã là Turbine, hệ thống này sau đó sẽ khởi động một hoặc nhiều cuộc tấn công QUANTUM, theo chỉ dẫn của bộ phận xâm nhập Tinh chỉnh hoạt động truy cập (TAO) của NSA. Trang Wired có giải thích về cách thức hoạt động của phương pháp này. Các tài liệu GCHQ đã phân loại không hiển thị mục tiêu cụ thể của chương trình Incenser, điều này tạo cơ hội cho Kênh 4 khẳng định rằng quyền truy cập Cáp & Không dây / Vodafone cho phép “các điệp viên Anh thu thập thông tin liên lạc riêng tư của hàng triệu người dùng mạng toàn cầu.
Vodafone cũng chiếm thị phần lớn trong thị trường viễn thông Đức, ngay cả khi liên quan đến việc nghe lén điện thoại của cựu Thủ tướng Merkel. Điện thoại của bà Merkel có lẽ đã bị khai thác theo nhiều cách, giống như cả GCHQ và NSA đều không quan tâm đến thông tin liên lạc riêng tư của những người dùng mạng thông thường.
Ngược lại, bằng cách khai thác các tuyến cáp ngầm nối châu Á và Trung Đông, Incenser thường tập trung vào các mục tiêu ưu tiên cao ở khu vực này. Lưu ý: Mã nguồn được biên dịch bằng cách sử dụng các ký hiệu nội bộ GCHQ thường bắt đầu bằng IR và YM, dường như ám chỉ Iran (Iraq là IQ) và Yemen là các quốc gia mục tiêu của chương trình Incenser.
Báo cáo tuyệt mật
Mặc dù Incenser là chương trình khai thác cáp lớn thứ tư của NSA về khối lượng dữ liệu mà nó thu thập, các nhà phân tích báo cáo tình báo đã khẳng định rằng nó đứng thứ 11 trong số những chương trình bị đóng cửa. đã đóng góp vào Bản tóm tắt hàng ngày của Tổng thống – như đã công bố trong bài thuyết trình năm 2010 về Bộ sưu tập nguồn đặc biệt do The Washington Post xuất bản.
Dữ liệu được thu thập bởi chương trình Incenser không chỉ được sử dụng bởi GHCQ mà còn được sử dụng bởi NSA, các nhóm nguồn của Bên thứ hai được ký hiệu bằng tên mã WINDSTOP. Incenser được đề cập lần đầu tiên qua một slide trên tờ Washington Post vào khoảng tháng 10 năm 2013 xung quanh câu chuyện về chương trình MUSCULAR.
Theo ngân sách Tiếp cận Đối tác Nước ngoài (FPA) của NSA cho năm 2013 do The Intercept công bố, Windstop bao gồm tất cả các quốc gia thuộc Bên thứ hai (chủ yếu là Vương quốc Anh, nhưng cũng có Canada, Úc và New Zealand)) và tập trung vào (chủ yếu là mạng) tiếp cận châu Âu và Thông tin liên lạc Trung Đông thông qua một hệ thống thu thập tích hợp và toàn diện. Muscular là chương trình mà thông qua đó các đường cáp liên kết với các trung tâm dữ liệu lớn của Google và Yahoo được khai thác.
Cơ sở đánh chặn này cũng được đặt ở một nơi nào đó ở Vương quốc Anh và dữ liệu được xử lý bởi GCHQ và NSA tại Trung tâm Xử lý Chung (JPC) bằng Xkeyscore Phase 2 Edition. Một bài thuyết trình mới về Windstop được xuất bản bởi tờ báo Süddeutsche Zeitung vào ngày 25 tháng 11 năm 2013, tiết lộ rằng chương trình thứ ba có tên mã là Transient Thurible. Chương trình đã được xuất bản bởi The Guardian một lần vào tháng 6 năm 2013, khả năng “lặn sâu” của XKeyscore do GHCQ quản lý với siêu dữ liệu được chuyển đến kho lưu trữ của NSA từ tháng 8 năm 2012.
Vào tháng 11 năm 2013, Washington Post đã xuất bản một ảnh chụp màn hình từ Boundlessinformant với các con số trong bộ sưu tập dữ liệu của chương trình Windstop. Từ ngày 10 tháng 12 năm 2012 đến ngày 8 tháng 1 năm 2013, hơn 14 tỷ bản ghi siêu dữ liệu đã được thu thập. Xkeyscore được sử dụng để lập chỉ mục và tìm kiếm dữ liệu được thu thập trong chương trình Incenser.
Chỉ với hơn 14 tỷ mẫu dữ liệu mạng được khai thác mỗi tháng, Incenser là chương trình khai thác cáp lớn thứ 4 của NSA, chiếm khoảng 9% tổng số dữ liệu được thu thập bởi Special Source Operations (SSO) – bộ phận chịu trách nhiệm thu thập dữ liệu từ mạng. dây cáp. Xét cho cùng, NSA dường như phụ thuộc vào một số loại cáp quan trọng trong khoảng 2/3 thu thập dữ liệu mạng của mình.