一系列泄密之后,美国国家安全局备受打击
原标题:一系列泄密之后,美国国家安全局备受打击
华盛顿电— 去年4 月的一天,杰克·威廉姆斯(Jake Williams)在位于佛罗里达奥兰多的酒店醒来,他在这间酒店里开办培训课程。在查看Twitter 的时候,身为网络安全专家的威廉姆斯惊愕地发现,自己陷入了美国情报部门遭遇的最严重安全危机之中。
威廉姆斯曾经在自己公司博客上写过关于“影子经纪人”(Shadow Brokers)的文章,这个神秘组织窃取了很多美国用来监视其它国家的黑客工具。现在该组织在Twitter 以愤怒的口吻做出了回应。他们确认威廉姆斯曾是美国国家安全局(National Security Agency)的黑客部门特定入侵行动办公室(Tailored Access Operations)的成员,而他的工作之前并没有向别人公开过。之后“影子经纪人”公布了技术细节,表明他们很清楚威廉姆斯负责的高机密黑客行动,这让威廉姆斯非常震惊。
美国最大、最神秘的情报机构已经被严重渗透。
威廉姆斯现在创办了一家名为Rendition Infosec 的网络安全公司,他说:“他们拥有的行动洞察力是我在特定入侵行动办公室的大多数同事不具备的。我感觉自己被卷进了这场危机,公布这些信息的人要么是隐藏极深的内部人员,要么就是窃取了大量行动数据。”
“影子经纪人”的反击给威廉姆斯造成的刺激,在动摇国家安全局核心的大地震中只是冰山一角。现任和前任国安局官员称,从2016 年开始,“影子经纪人”披露的信息已经成为国安局的大灾难,使得大家开始质疑其对强大网络武器的保护能力和对国家安全的重要性。人们一直认为美国国安局拥有世界领先的技术,能够闯入敌方无法自保的计算机网络。
前国防部长及中央情报局局长利昂·E·帕内塔(Leon E. Panetta)说:“这些信息泄露严重损害了我们的情报和网络保护能力。情报工作最根本的目的就是有效渗透敌人内部,从而获取重要情报。但是只有在绝对保密以及我们的密码受到保护的情况下,情报才能发挥作用。”
谈到像国安局这样的情报工具泄露,帕内塔说:“每当这样的事情发生,我们不得不重新开始。”
该机构反间谍部门Q Group 和联邦调查局共同开展了长达15 个月的大范围调查,但是他们依然不知道国安局是一个精心策划的黑客行动的受害者(俄罗斯是可能性最大的主谋),还是内部人员泄露信息的受害者,或者两者兼有。2015 年以来,有3 名雇员因为携带绝密文件被逮捕,但是可能还有一两个泄密者依旧安然不动。人们普遍认为,“影子经纪人”造成的损失已经远远超过了前国安局承包商爱德华·J·斯诺登(Edward J. Snowden)对美国情报工作的伤害。2013 年,斯诺登带着4 台储存大量机密文件的笔记本电脑潜逃出境。
斯诺登向记者公布大量机密信息及其反叛的公众形象引起了比这个安全漏洞更多的媒体关注。但是斯诺登公布的是加密语言,而“影子经纪人”公布的则是实际使用的代码。如果说他给大家分享的是战斗计划,那么“影子经纪人”展示的就是战争武器了。这些由纳税人巨额资助的网络武器现在被朝鲜和俄罗斯的黑客窃取,用来回击美国及其盟友。
去年夏天勒索软件影响全世界计算机系统时的截图,乌克兰政府将这张图片分享在了自己的Facebook 官方主页。
数百万民众看着自己的电脑被勒索软件关闭,而且被要求用数字货币支付赎金之后才能恢复访问权限。奥利奥饼干制造商亿滋国际(Mondelez International)数万名员工的数据被清除。联邦快递报告称一起针对旗下一欧洲子公司的袭击迫使公司暂停运送货物,造成3 亿美元的损失。宾夕法尼亚州、英国和印度尼西亚的一些医院不得不拒绝接收病人。袭击中断了法国一家汽车厂、巴西一家石油公司和塔斯马尼亚一家巧克力工厂的生产,与此同时,全世界还有上千家企业受到影响。
美国官员不得不向他们的亲密盟友和商界领袖解释,在马里兰州米德堡(Fort Meade)研发的网络武器是如何被用来对付他们的。专家们确信,还会有更多袭击使用了被盗的国安局武器。
在马里兰州总部以及全国分支机构内部,国安局雇员需要进行测谎仪测试并且暂停手上的工作,以便找出和“影子经纪人”串通的叛徒。该机构更换了大部分武器库,并削减了业务量。雇员士气大减,经验丰富的专家开始离开国安局,以寻找回报更高的工作。比如他们可以进入一些网络安全公司,帮助计算机网络避免受到使用国安局网络武器发起的入侵。
威廉姆斯说:“从各个角度看,这都是一场灾难,让人感到羞愧的是应该对此负责的人没有受到法律的制裁。”
图片版权:Dustin Chambers for The New York Times
在对一些细节问题的回复中,国安局发言人迈克尔·T·黑尔比格(Michael T. Halbig)说,该机构“无法对‘影子经纪人’发表评论”。他同时否认这个事件影响了雇员士气:“国安局还是一个工作的好地方,我们的招聘项目每年可以收到超过14 万份申请。”
攻击者在网上的日常嘲讽不断增加着国安局的痛苦。这些内容是用蹩脚的英文写成的,他们的文字既有不成熟又有圆滑世故的感觉,同时又夹杂着不雅的笑话以及精明的文化和政治思考。这些文字让人感觉即使作者不是美国人,也一定非常了解美国。
“影子经纪人”在10 月16日发布的文章中问道:“国安局在追赶影子吗?”他们嘲笑该机构无法了解泄密事件,并且宣布降低订阅“每月转储服务”中国安局被盗工具的费用。这也是一篇典型的涉及面广泛的长篇大论:它提到了乔治·奥威尔的《1984》、联邦政府财年于9 月30 日结束、俄罗斯在Facebook 和Twitter 上注册假账号,以及美国情报人员将为可以提供更高薪水的承包商工作。
“影子经纪人”经常在网上嘲讽国安局,并在“每月转储服务”中公布他们盗取的黑客工具。
在一个可能暗示“影子经纪人”身份的段落中,作者强调了俄罗斯情报部门和黑客犯罪分子的密切联系:“俄罗斯情报人员只有在满月的晚上,才会变成俄罗斯黑客。”
俄罗斯是泄露黑客工具和中央情报局网络情报中心秘密文件的头号嫌疑人。从3 月份开始,它每周以Vault7 和Vault8 的用户名给维基解密网站提供信息,而这个漏洞现在也没有得到解决。总之,这些机构投入大量资源避免这种漏洞的出现,他们形成的大量数字机密产生了越来越多的疑问。
黑客和泄密者是否让保密失去了作用?俄罗斯情报部门是否已经超过美国,可以渗透进入政府保护最为森严的地带?一支由上千名精通技术的年轻人组成的工作队伍是否可以避免信息泄露?
一些资深的情报官员认为,对攻击性武器和黑客工具的过度关注使美国网络保护系统变得千疮百孔。
前国家安全局局长及国家情报总监迈克·麦康奈尔(Mike McConnell)说:“我们经历了一次混乱,我们本应该提高防御能力。”
美国的网络特种部队
处于美国国家安全局风暴中心的是特定入侵行动办公室,这也是威廉姆斯工作的地方。去年,它被吸纳进了美国国家安全局全新的行动指挥部。
美国国家安全局马里兰州米德堡总部。美国国家安全局开发的网络工具被朝鲜、俄罗斯等地的黑客窃取,用于反击美国及其盟友。图片版权:Jim Lo Scalzo/European Pressphoto Agency
特定入侵行动办公室简称T.A.O.,这个过时的名字还是会出现在一些非正式场合。它创立于几年前,原本位于米德堡的研究与工程大楼内,属于美国国家安全局开展的一个附带项目。它是网络版的“臭鼬工厂”(Skunk Works),类似以前制造秘密航空器和无人机的特殊机构。随着华盛顿对黑客能力的需求日益增长,特定入侵行动办公室在马里兰州劳雷尔(Laurel)另设了一个独立办公园区,还在科罗拉多州、乔治亚州、夏威夷和得克萨斯州工作处设立了额外团队。
据12 位同意匿名探讨特定入侵行动办公室工作的前政府官员表示,这个黑客部门吸引了美国国家安全局许多优秀的年轻人,他们喜欢打着国家安全的旗号展开网络入侵。特定入侵行动办公室分析人员一开始会拿到一张“购物清单”,上面列出了希望得到的信息及可能的信息来源,例如某位中国官员家宅的电脑,或者某家俄罗斯石油公司的网络。特定入侵行动办公室许多工作都贴有“E.C.I.”的标签,意为“特殊控制信息”(exceptionally controlled information)。材料很敏感,因此一开始只能存放在保险箱里。一位在美国国家安全局工作的资深员工表示,直到几年前保险箱积累的重量威胁到美国国家安全局工程大楼了,他们才更改规定,允许把文件锁进文件柜里。
更有经验的特定入侵行动办公室技术员负责设计方法,入侵外国网络;初级技术员则负责接收提取信息。威廉姆斯今年40 岁,曾是个军医,在陆军军事情报部门工作。随后,他加入了美国国家安全局,并于2008 年至2013 年期间为特定入侵行动办公室工作。他说,这是一个特别长的任期。他把这份工作称为一份“有挑战性,有时候还很令人激动”的工作。
特定入侵行动办公室技术人员必须不断更新他们的“武器”,紧跟不断变化的软件和硬件,测试每一次Windows 操作系统更新和新一代iPhone 手机,查看其中的缺陷漏洞。一位前特定入侵行动办公室黑客表示:“这份工作的本质就是要紧跟技术变化。”
美国国家安全局长期以来一直主要被认为是一家窃听机构。它把黑客行动当成一种非常有效的监视别国目标的方式。恶意植入的计算机代码可以找到机构感兴趣的资料,它们会在目标系统中潜伏好几个月甚至好几年,最终将文件传回美国国家安全局。也就是说,情报收集工作常常可以自动进行。
同一恶意程序可能会有多个目标:窃取文件资料、挖掘电子邮件、轻微更改数据或为下一次攻击蓄力铺路。特定入侵行动办公室最广为人知的一次成功是此前针对伊朗发起的一场代号“奥运会”(Olympic Games)的行动。工作人员在纳坦兹(Natanz)核电站网络中植入恶意程序,造成了含有浓缩铀的离心机自毁报废。特定入侵行动办公室还在对伊斯兰国和朝鲜的攻击中起到了重要作用。
而这正是“影子经纪人”拿到并在其后开始公布的那个武器库。
就像警察研究小偷偷东西的方式和藏匿赃物的地点一样,美国国家安全局分析人员竭力想弄清楚“影子经纪人”“偷”走了什么武器。目前为止,泄露的文件资料日期都晚于2013 年,这也让评估损害的美国国家安全局官员松了一口气。但是,它们中有很大一部分来自特别入侵办公室,包括三个所谓的“行动光盘”(特别入侵办公室称呼工具包的术语),里面的软件可以绕开电脑防火墙、渗入Windows 系统、入侵Android 手机上最常用的Linux 系统。
证据显示,“影子经纪人”拿到了一整个工具包。这表明,可能有内部人员用U 盘拷贝出了工具包。
但是,“影子经纪人”获得的其它文件资料和行动光盘无关,而且似乎是不同时间截获的结果:其中有一些美国国家安全局为入侵全球金融信息系统Swift 设计的漏洞工具,能够追踪查看银行转账信息;有一份代号为“UNITEDRAKE”、用于攻击Windows 系统的指南;还有PPT 幻灯片和其它未用于黑客行动的文件资料。因此,“影子经纪人”不可能仅仅只是简单截获了粗心的美国国家安全局黑客留在互联网上的工具。
经过15 个月的调查,官员们仍然不知道“影子经纪人”泄漏事件背后的情况。这场黑客行动背后可能有俄罗斯的操控,也可能是内部人员泄露,或者二者兼有。
一些官员不相信“影子经纪人”能够黑进最安全的美国政府机构,获得所有这些文件资料。因此,他们开始排查内部人员。但是,一些特别入侵办公室的黑客认为,娴熟而有耐心的攻击者或许可以穿透美国国家安全局的防御。一位黑客说,因为“我知道我们就对其它国家做过同样的事”。
“影子经纪人”对一些专家进行了言语攻击,威廉姆斯就是其中之一。当他从“影子经纪人”在Twitter 上的暗示推断出,他们知道了他在美国国家安全局时的一些黑客入侵行为时,他取消了去新加坡出差的计划。美国点名起诉过来自中国、伊朗和俄罗斯情报机构的黑客。威廉姆斯担心他可能同样也会受到他曾攻击过的国家指控,被国际通缉令拘捕。
现在他已经重新恢复了种种出国的计划。据他所言,目前还没有美国国家安全局的人联系他说,他被“影子经纪人”公开指认了。
“我感觉像是被背叛了,”他说,“我成为‘影子经纪人’的目标是因为那份工作,但现在我没觉得政府有在为我撑腰。”
寻找泄密者
自1952 年创立以来,美国国家安全局(以前大家戏称它的缩写N.S.A. 代表“No Such Agency”,即“没有这样的机构”)最大的特点就是保密。但是,当斯诺登于2013 年带着数十万文件资料远走高飞后,这个保密神话就被打破了。
斯诺登事件带来的伤害促使美国国家安全局投资数百万美金来开发新技术,制定更加严格的规定,防范政府所谓的“内部人员威胁”。但是,美国国家安全局员工说,彻底防止人们带着秘密离开是不可能的:一来是进出美国国家安全局大门的员工成千上万,二来原本足以塞满一整个图书馆的数据资料现在都可以存进钥匙环大小的设备里。
美国国家安全局已经主动对至少三位前美国国家安全局员工或合同工展开了调查,有两人曾在特别入侵办公室工作。目前,其中一名软件开发人员的身份尚未公开,他曾将黑客工具带回家,导致俄罗斯黑客从他家电脑上窃取了工具,并因此于2015 年遭到了秘密逮捕。另一名是一位名叫哈罗德·T·马丁三世(Harold T. Martin III)的合同工,他在去年被捕:当时,联邦调查局官员发现他的家中、花园棚屋和车里都塞满了敏感的机构文件和存储设备。他的律师说,这都是他这些年来没控制住在家工作的习惯才带回家的。第三位是一名年轻的美国国家安全局语言学家Reality Winner。她于今年6 月遭到逮捕,被指控向新闻网站The Intercept 泄露了一份关于俄罗斯攻击美国选举系统供应商的机密报告。
马丁偷来的大量文件中有许多是“影子经纪人”掌握的。作为可能泄密的来源之一,他受到了调查人员的详细审查。官员表示,他们不认为马丁会故意向黑客提供这些文件材料,不过他们还是检查了他是否有可能被窃贼或黑客当成了目标。
但据一些和现任美国国家安全局员工仍有联系的前员工表示,负责黑客组织“影子经纪人”盗窃案的调查专员显然在担心,至今仍然有一名或多名泄密者在机构内工作。部分特定入侵行动办公室员工被要求交出他们的护照,并接受停职调查。一小部分曾在特定入侵行动办公室和美国中央情报局工作过的专家也被要求受到特别监查,因为他们怀疑,“影子经纪人”事件和中情局的Vault7 泄密事件都出自同一名泄密者。
再就是“影子经纪人”所写的文字内容似乎表明他们拥有美国文化背景。去年4 月,威廉姆斯发现“影子经纪人”很熟悉特定入侵行动办公室内部的一些运作方式。大约在同一时间,“影子经纪人”发表了一篇文章,对美国总统特朗普说:“请不要忘本。”(Don’t Forget Your Base.)他们就像经验丰富的权威人士一样悠然自得,四处发布和讨论美国白宫前首席战略顾问斯蒂芬·班农(Stephen K. Bannon)的资料、众议院自由党团(Freedom Caucus)、“深层政府”(deep state,指非经民选,幕后真正控制国家的集团——译注)、《外侨和煽动叛乱法案》(the Alien and Sedition Acts)和白人至上主义的话题。
这篇博文写道:“‘影子经纪人’希望看到你(特朗普)获得成功。‘影子经纪人’希望美国再次成为伟大的国家。”
前任员工表示,这次寻找叛徒的行动不可避免地令机构充满了怀疑和不安的气氛。虽然对于高水平的情报人员来说,国家安全局的吸引力很大,毕竟这里是唯一一个他们能够进行合法黑客攻击的地方。但是,私营公司对网络安全人才的招聘热潮,给了特定入侵行动办公室的资深员工极为丰厚的诱惑。
有安全专家表示,在特定入侵行动办公室工作的年轻黑客如果足够幸运,一年最多也只能赚8 万美元,而那些离职的员工很容易就可以找到10 万美元的高薪工作。当然,对于许多员工来说,国家安全局的任务吸引力已经远远超过了收入上的差价。但一些特定入侵行动办公室的前任员工表示,在过去的一年里,有越来越多同事打电话给他们,表示有意愿寻找私营企业的工作,包括一些他们以为这一辈子都会在国家安全局工作的元老级员工。
一名特定入侵行动办公室分析师说:“斯诺登事件大挫了士气,但至少我们知道他是谁。而现在的情况是,组织在质疑那些完全效忠于任务的员工,还指着他们说,他们是骗子。”
由于国家安全局黑客部在过去10 年间迅速扩张,所以潜在的泄密者人数已经达到数百人。机构内人们相互间的信任受到了影响,因为任何曾接触过被泄露的代码的人都有可能是罪魁祸首。
机构内一些资深员工工作了10 年之久的项目也被迫停止,因为他们一直依赖的植入软件被“影子经纪人”在网上泄露了。新行动的数量有所下降,因为他们要先重建新的恶意软件工具。事情似乎变得没完没了。
一位特定入侵行动办公室的前任员工问:“泄密事件还要持续到什么时候?国家安全局不知道要如何阻止它,他们甚至不知道这个‘它’到底是什么。”
海军上将迈克尔·罗杰斯(Michael S. Rogers)可以说是位于这个组织的最高层,作为国家安全局的局长,以及它的姐妹军事组织——美国网络司令部(United States Cyber Command)的指挥官,“影子经纪人”令他的职业生涯岌岌可危。奥巴马政府的美国国家情报总监小詹姆斯·克拉柏(James R. Clapper Jr.)和国防部长阿什顿·卡特(Ashton B. Carter)曾建议将海军上将罗杰斯撤职,以作为对这次泄密事件的问责。
但当时奥巴马并没有采纳这一建议,部分原因是海军上将罗杰斯所指挥的部门正在调查2016 年俄罗斯干扰美国大选的事件,特朗普也延长了罗杰斯的任职时间。但在上周六(11 月4 日——编注),特朗普还对其情报组织关于俄罗斯和选举事件的调查结果提出质疑。一些前情报官员说,当他们发现罗杰斯竟然还能任职,简直觉得不可思议。
与俄罗斯之间的影子战争?
在关于“影子经纪人”的调查上,美国官员深信,这是俄罗斯方面的所作所为。他们说,这种在几个月的时间内相继公布被盗文件的模式,与去年俄罗斯黑客盗取民主党电子邮件然后慢慢公布的方式如出一辙。
但是,关于美国和俄罗斯之间的竞争由来已久。
多年来,美国的一群安全研究人员一直在追踪由俄罗斯国家资助的黑客团体。从2014 年起,他们开始曝光关于这些俄罗斯黑客的一系列研究报告。赛门铁克(Symantec)、CrowdStrike 和FireEye 等美国网络安全公司发表报告称,俄罗斯方面是某些网络攻击事件的幕后黑手,并找出了一些由俄罗斯政府资助的黑客团体。
卡巴斯基实验室位于莫斯科的总部。这家俄罗斯网络安全公司专门发现和清除美国国家安全局的恶意软件。图片版权:Kirill Kudryavtsev/Agence France-Presse — Getty Images
与此同时,俄罗斯最著名的网络安全公司卡巴斯基实验室已经着手进行一份调查报告,公布后会将问题重新指向美国方面。官员表示,报告的一部分是靠斯诺登所拍摄的文件和记者发布的文件上的关键字和代码名称,从而找出由美国国家安全局黑客植入的恶意软件。
从某种意义上说,卡巴斯基对美国国家安全局所做的事情,与美国公司曾对俄罗斯情报局做的事情是一样的,那就是揭露他们的行动。而美国官员认为,俄罗斯情报局支持卡巴斯基不择手段地到处去查找和发现美国国家安全局的秘密。特定入侵行动办公室的黑客们知道,一旦卡巴斯基更新其流行的杀毒软件来查找并阻止美国国家安全局的恶意软件,它将同时阻止美国当局在世界各地进行的间谍行动。
因此,特定入侵行动办公室员工赶紧用新的恶意软件替换掉原来在很多国家植入的恶意软件,他们相信卡巴斯基应该不能检测出这些新的恶意软件。
接着,在2015 年2 月,卡巴斯基发布了针对Equation Group(特定入侵行动办公室组织的黑客团体名称)的报告,并更新了其防病毒软件,以清除美国国家安全局重新植入的恶意软件。美国国家安全局也因此暂时无法获得大量的情报。据称,让美国国家安全局官员感到欣慰的是,卡巴斯基报告中漏掉了一些他们担心会被发现的工具。
而后来的事实证明,美国官员高兴得太早了。
去年8 月13 日,一个以“影子经纪人”为名字的Twitter 帐户大张旗鼓地拍卖所窃取的美国国家安全局黑客工具。
“影子经纪人”表示:“我们入侵了Equation Group,发现了很多很多的网络武器。”
在美国国家安全局内部,这则声明如同一个重磅炸弹般炸开了。网上发布的一个Zip 格式压缩文件中,包含了美国国家安全局黑客工具的第一个免费样品。显然,“影子经纪人”并没有说谎,而美国国家安全局也陷入了困境。
泄密事件再次激起一场讨论:美国国家安全局是否应当将它在商业软件中发现的漏洞保密,用来进行间谍行动?还是要立即提醒软件制造商修补漏洞?该机构声称,它已与业界分享了90% 以上被发现的漏洞,仅保留其中对其黑客最有价值的一小部分。但是,如果它不能防止这些漏洞信息被泄漏,譬如像去年的事件那样,这种行为将会对世界各地的企业和普通电脑用户造成巨大损害。特朗普政府表示将很快宣布修订制度,使之更透明。
威廉姆斯说,可能还要再过几年,才能完全清楚“影子经纪人”泄密事件所造成的全部后果。他补充道,即使是找到了泄密者,也可能无法结束这些后果,因为这些老练的黑客可能已经准备了一个“杀手锏”,在他们被捕时自动公布所有剩余的保密文件。
他说:“显然,他们都是精通操作安全知识的人,整个执法体系和情报系统都在寻找他们的下落,可是他们还没落网。”
翻译:熊猫译社孙泰明钱功毅李秋群
题图版权:theintercept
相关阅读
- 03-12营口沿海银行助力企业复工复产 打赢
- 03-12企业医院白皮书V1.0 ——ISTPOS白皮
- 03-12BBG纸尿裤助力一线安心战疫,为“医二
- 03-12长沙市侨联致海外侨胞的一封信
- 03-122020中国(吉林)安全与应急产业博览会
- 03-12中国经济传媒协会联系企业向抗疫一线