Le Tailored Access Operations Office (TAO)
Le Tailored Access Operations Office (TAO), devenu Computer Network Operations, et structuré sous le nom de S32,[1] est une unité de collecte de renseignements sur la cyberguerre de la National Security Agency (NSA).[2 ] Il est actif depuis au moins 1998, peut-être 1997, mais n'a été nommé ou structuré en tant que TAO que "dans les derniers jours de 2000", selon le général Michael Hayden.[3][4][5]
TAO identifie, surveille, infiltre et collecte des informations sur les systèmes informatiques utilisés par des entités étrangères aux États-Unis. plus de 1 000 pirates militaires et civils, analystes du renseignement, spécialistes du ciblage, concepteurs de matériel et de logiciels et ingénieurs électriciens. »[4]
Fuite Snowden
Un document divulgué par l'ancien sous-traitant de la NSA, Edward Snowden, décrivant le travail de l'unité, indique que TAO dispose de modèles logiciels qui lui permettent de pénétrer dans le matériel couramment utilisé, notamment "les routeurs, les commutateurs et les pare-feu de plusieurs gammes de fournisseurs de produits".[11] Les ingénieurs de TAO préfèrent exploiter des réseaux plutôt que des ordinateurs uniques, car il existe généralement de nombreux appareils sur un seul réseau.[11]
Le siège de TAO s'appelle le Remote Operations Center (ROC) et est basé au siège de la NSA à Fort Meade, Maryland. TAO s'est également étendu à la NSA Hawaii (Wahiawa, Oahu), à la NSA Georgia (Fort Gordon, Géorgie), à la NSA Texas (Joint Base San Antonio, Texas) et à la NSA Colorado (Buckley Space Force Base, Denver).[4]
S321 - Remote Operations Center (ROC) Dans le Remote Operations Center, 600 employés collectent des informations du monde entier.[12][13]
S323 - Data Network Technologies Branch (DNT): développe des logiciels espions automatisés
S3231 - Division d'accès (ACD)
S3232 – Division des technologies des cyber-réseaux (CNT)
S3233 –
S3234 - Division de la technologie informatique (CTD)
S3235 - Division de la technologie des réseaux (NTD)
Direction des technologies des réseaux de télécommunications (TNT) : amélioration des méthodes de piratage réseau et informatique[14]
Branche des technologies de l'infrastructure de la mission : exploite le logiciel fourni ci-dessus[15]
S328 - Branche des opérations des technologies d'accès (ATO) : comprendrait du personnel détaché de la CIA et du FBI, qui effectuent ce qui est décrit comme des "opérations hors réseau", ce qui signifie qu'ils s'arrangent pour que des agents de la CIA installent subrepticement des dispositifs d'écoute sur les ordinateurs et les systèmes de télécommunications à l'étranger afin que les pirates TAO puissent y accéder à distance depuis Fort Meade.[4] Des sous-marins spécialement équipés, actuellement l'USS Jimmy Carter[16], sont utilisés pour exploiter les câbles à fibres optiques dans le monde entier.
S3283 - Opérations d'accès expéditionnaire (EAO)
S3285 – Division Persistance
Machines à sous virtuelles
Les détails[17] d'un programme appelé QUANTUMSQUIRREL indiquent la capacité de la NSA à se faire passer pour n'importe quel hôte IPv4 ou IPv6 routable.[18] Cela permet à un ordinateur de la NSA de générer de fausses informations d'identification géographique et d'identification personnelle lors de l'accès à Internet à l'aide de QUANTUMSQUIRREL.[19]
Leadership
De 2013 à 2017,[20] le chef du TAO était Rob Joyce, un employé de plus de 25 ans qui travaillait auparavant à la Direction de l'assurance de l'information (IAD) de la NSA. En janvier 2016, Joyce a fait une rare apparition publique lorsqu'il a présenté à la conférence Enigma d'Usenix.
Le TAO a développé une suite d'attaques qu'ils appellent QUANTUM. Il s'appuie sur un routeur compromis qui duplique le trafic Internet, généralement des requêtes HTTP, afin qu'elles soient acheminées à la fois vers la cible prévue et vers un site NSA (indirectement). Le site NSA exécute le logiciel FOXACID qui renvoie les exploits qui se chargent en arrière-plan dans le navigateur Web cible avant que la destination prévue n'ait eu la chance de répondre (il n'est pas clair si le routeur compromis facilite cette exécution lors du voyage de retour). Avant le développement de cette technologie, le logiciel FOXACID effectuait des attaques de harponnage que la NSA appelait spam. Si le navigateur est exploitable, d'autres "implants" permanents (rootkits, etc.) sont déployés dans l'ordinateur cible, par ex. OLYMPUSFIRE pour Windows, qui donne un accès à distance complet à la machine infectée.[23] Ce type d'attaque fait partie de la famille des attaques man-in-the-middle, bien qu'il soit plus précisément appelé une attaque man-in-the-side. Il est difficile de réussir sans contrôler une partie de la dorsale Internet.[24]
Il existe de nombreux services que FOXACID peut exploiter de cette manière. Les noms de certains modules FOXACID sont donnés ci-dessous :[25]
alibabaFg machines vulnérables est l'interception du trafic de rapport d'erreurs Windows, qui est connecté à XKeyscore.[28]
Les attaques QUANTUM lancées à partir des sites NSA peuvent être trop lentes pour certaines combinaisons de cibles et de services, car elles tentent essentiellement d'exploiter une condition de concurrence, c'est-à-dire que le serveur NSA essaie de battre le serveur légitime avec sa réponse.[29] À la mi-2011, la NSA prototypait une capacité nommée QFIRE, qui impliquait d'intégrer leurs serveurs de distribution d'exploits dans des machines virtuelles (fonctionnant sur VMware ESX) hébergées plus près de la cible, dans le réseau dit de sites de collecte spéciaux (SCS). à l'échelle mondiale. L'objectif de QFIRE était de réduire la latence de la réponse usurpée, augmentant ainsi la probabilité de succès.[30][31][32]
COMMENDEER [sic] est utilisé pour réquisitionner (c'est-à-dire compromettre) des systèmes informatiques non ciblés. Le logiciel est utilisé dans le cadre de QUANTUMNATION, qui comprend également le scanner de vulnérabilité logicielle VALIDATOR. L'outil a été décrit pour la première fois au Chaos Communication Congress de 2014 par Jacob Appelbaum, qui l'a qualifié de tyrannique[33][34][35].
QUANTUMCOOKIE est une forme d'attaque plus complexe qui peut être utilisée contre les utilisateurs de Tor.[36]
REF.: https://en.wikipedia.org/wiki/Tailored_Access_Operations
https://www.techtarget.com/searchsecurity/tip/NSA-TAO-What-Tailored-Access-Operations-unit-means-for-enterprises
