这些恶意软件还能追踪通过Skype和其他VoIP软件进行的通话,显示拨打电话用户的用户名。如果VoIP对话的音频数据通过无加密的RTP(实时传输协议)包来发送,那么恶意软件还能记录音频数据,并发送至NSA供进一步分析。

NSA的工具如何监控Skype等VoIP服务中的流量

  不过根据机密文件,NSA的恶意软件并非全部用于收集情报。某些情况下,NSA的目标是干扰通信,而非监控通信。例如,2004年开发的一款恶意软件“QUANTUMSKY”被用于阻止目标对象访问某些网站。而2008年首次测试的软件“QUANTUMCOPPER”能破坏目标的文件下载。这两种“攻击”技术出现在一个机密列表中。这一列表列出了NSA的9款黑客工具,其中6款用于情报收集。此外还有1款工具用于“防御”目的,即保护美国政府的网络不受入侵。

  “大规模使用”的潜力

  在利用恶意软件获得数据或攻击某一系统之前,NSA首先需要在目标计算机或网络中安装恶意软件。

  根据2012年时的一份绝密文件,NSA通过发送垃圾邮件并吸引目标点击恶意链接来传播恶意软件。一旦恶意软件激活,那么一款“后门工具”将在8秒钟时间内干扰用户的计算机。

  这一代号为“WILLOWVIXEN”的工具只有一个问题。根据文件的介绍,通过垃圾邮件来传播的做法近年来成功率下降,因为互联网用户开始对来源不明的电子邮件提高警惕,不太可能点击看起来可疑的链接。

  因此,NSA开始探索更新、更先进的黑客技术,例如所谓的“中间人(man-in-the-middle)”和“旁观者(man-on-the-side)”攻击方式。这些攻击方式能将用户的互联网浏览器悄悄定向至NSA的服务器,从而感染这些计算机。

  为了进行“旁观者”攻击,NSA使用秘密的全球数据访问网络来监控目标的互联网流量。当目标访问某一网站时,NSA将可借此进行攻击。此时,NSA的监控传感器将提示“TURBINE”系统,后者将在一秒钟时间内向目标计算机的IP地址“灌输”数据包。

  在一种代号为“QUANTUMHAND”的“旁观者”攻击中,NSA将自己伪装成Facebook(68.83, -2.05, -2.89%)服务器。当目标登录Facebook网站时,NSA将发送恶意数据包,使目标计算机认为其正在访问真正的Facebook网站。通过将恶意软件隐藏在看似普通的Facebook页面中,NSA将可以攻击目标计算机,并从计算机硬盘中获取数据。一段绝密的动画演示了这种攻击方式。

  文件显示,在对十余名目标验证有效之后,“QUANTUMHAND”于2010年10月投入使用。

  根据宾夕法尼亚大学监控和加密专家马特·布雷兹(Matt Blaze)的说法,“QUANTUMHAND”似乎是瞄准特定的目标。不过他也担心,这一工具如何被整合至NSA自动化的“TURBINE”系统。

  布雷兹表示:“如果你将这种能力置于主干基础设施中,那么像我一样的软件和信息安全工程师都会认为非常可怕。请忘记NSA如何使用这一工具。我们如何知晓这一工具被正确地使用,以及仅被用于NSA希望的目标?而在本身很可疑的情况下,即使NSA采取正确的做法,如何确保这一工具受控?”

  在发送给The Intercept的一份电子邮件声明中,Facebook发言人杰伊·南卡洛(Jay Nancarrow)表示,Facebook没有获得有关这种活动的任何证据。他表示,去年Facebook部署了HTTPS加密功能,使浏览器会话不太容易受恶意软件攻击。

  南卡洛同时指出,除Facebook之外的其他服务同样可能遭到NSA的攻击。他表示:“如果政府情报机构有权访问网络服务提供商,任何基于无加密HTTP协议的网站都可能遭遇流量被秘密重定向的问题。”

  “中间人”攻击方式与此类似,但更加积极。通过这种黑客技术,NSA将自身置于两台计算机的通信线路之间,从而部署其恶意软件。

  通过这种方式,NSA不仅可以监控及重定向浏览器会话,甚至可以修改两台计算机传送的内容包。例如,当两人相互发送消息时,这种攻击方式可以修改消息的内容,而通信双方都不会知道内容遭到了第三方的纂改。同样的技术也被用于普通黑客的欺诈活动。