Plausible Denial
Países / United States

NSA Tailored Access Operations

TAO

Brazo de élite de explotación de redes informáticas del Central Security Service — la unidad operativa responsable de la intrusión ofensiva contra redes extranjeras, el desarrollo de implantes específicos por objetivo y la mayor parte de los programas estadounidenses de recolección cibernética divulgados a través del archivo Snowden de 2013. Reorganizada en 2016 dentro de la Computer Network Operations Directorate; rastreada en la industria como el Equation Group.

0:00 / 0:00

Lectura en audio de este perfil.

Resumen

Tailored Access Operations fue la unidad de élite de explotación de redes informáticas de la National Security Agency desde su consolidación, aproximadamente en 1997, hasta su reorganización en 2016. Su misión era la intrusión ofensiva: obtener y mantener acceso a redes informáticas extranjeras de interés para la inteligencia, desarrollar las cadenas de herramientas de implantes y explotación específicas por objetivo necesarias para hacerlo, y producir la recolección que los analistas del resto del aparato de inteligencia de señales procesaban a continuación.1

En la reorganización NSA21 de 2016, TAO fue absorbida por la nueva Computer Network Operations Directorate bajo la Directorate of Operations, junto con los elementos de recolección de la antigua Signals Intelligence Directorate. El nombre TAO ya no es la designación institucional vigente — pero la continuidad operativa es directa y el nombre sigue en uso activo en la literatura de investigación de seguridad, periodística y académica, incluida la atribución que Kaspersky Lab hizo en 2015 del clúster Equation Group al conjunto de herramientas de TAO. La entrada que sigue usa "TAO" en todo momento por esa razón; el referente institucional posterior a 2016 es la Computer Network Operations Directorate.2

Historia y orígenes

TAO se consolidó dentro de la entonces Signals Intelligence Directorate de la NSA aproximadamente en 1997 como sede institucional de la misión de explotación de redes informáticas de la Agencia, que previamente había estado distribuida entre varias oficinas. La nueva unidad absorbió al personal y la carta operativa de las oficinas predecesoras de ataque a redes informáticas, y recibió la encomienda de desarrollar capacidades de implante contra cualquier red extranjera de interés para la inteligencia.3

Desde su establecimiento hasta mediados de la década de 2010, la dotación, organización interna y selección operativa de objetivos de TAO estuvieron clasificadas a nivel Top Secret / Sensitive Compartmented Information y no se divulgaron públicamente. El primer relato público detallado de las operaciones de TAO llegó a través de las divulgaciones de Snowden de 2013, y específicamente mediante la publicación por Der Spiegel en diciembre de 2013 del catálogo de productos ANT — un catálogo interno de la NSA de ofertas de hardware y software de implantes de TAO, que incluía implantes-bug para routers, firewalls y servidores, implantes retrorreflectores de RF, y la familia de herramientas de explotación e inyección de red FOXACID, QUANTUM y QUANTUMINSERT.4

La filtración de los Shadow Brokers de 2016 — la divulgación pública, entre agosto de 2016 y abril de 2017, por parte de un actor no identificado, de un alijo de exploits de TAO que incluía el exploit SMBv1 EternalBlue y el implante DoublePulsar — proporcionó la segunda base documental principal. El kit de herramientas filtrado de TAO fue posteriormente convertido en arma por otros actores, principalmente la Unit 74455 del GRU en el ataque destructor NotPetya de junio de 2017 y el brote de ransomware WannaCry de mayo de 2017 (atribuido por los gobiernos de EE. UU. y el Reino Unido al Lazarus Group de Corea del Norte).5

Huella operativa (documentada)

El archivo Snowden y la filtración de los Shadow Brokers, en conjunto, establecen una huella operativa documentada que abarca: la mayor parte del programa de explotación de redes informáticas de la NSA contra routers, switches, firewalls y servidores en jurisdicciones de interés para la inteligencia; el gusano Stuxnet contra la instalación iraní de enriquecimiento de uranio de Natanz (conjuntamente con Aman Unit 8200, véase el dossier de Stuxnet); el programa MUSCULAR dirigido al tráfico de red interno de Google y Yahoo entre centros de datos; operaciones de implante derivadas contra el operador belga de telecomunicaciones Belgacom (conjuntamente con GCHQ en la Operation SOCIALIST); y la infraestructura de implante y asignación de tareas subyacente a la capacidad de inyección FOXACID / QUANTUMINSERT divulgada entre 2013 y 2014.6

NSA/CSS Texas, el centro SIGINT de campo en Joint Base San Antonio-Lackland, es una de las tres principales ubicaciones operativas de TAO, junto con Fort Meade y NSA/CSS Hawaii (Kunia). La sede de Texas, que heredó su misión de la postura previa en Lackland de la Air Force Intelligence, Surveillance, and Reconnaissance Agency, alberga una parte sustancial del trabajo regional de operaciones remotas de TAO — el modelo geográficamente distribuido es intencional, ya que proporciona continuidad operativa, cobertura horaria y profundidad de plantilla a lo largo del conjunto de misiones global de la unidad.7

Atribución al Equation Group

El Global Research and Analysis Team de Kaspersky Lab publicó su primer informe técnico sobre el Equation Group en febrero de 2015, caracterizando un clúster de actividad de intrusión que se remontaba aproximadamente a 2001 y que presentaba las cadenas de herramientas de implantes más sofisticadas que la empresa había analizado hasta la fecha. El informe de Kaspersky no nombró a Estados Unidos por atribución; la inferencia institucional se desprendió de la coincidencia de herramientas con las familias de implantes de Stuxnet (conjuntamente NSA/Unit 8200) y Regin (conjuntamente NSA/GCHQ), el patrón geográfico y sectorial de selección de objetivos, y los artefactos operativos en idioma inglés presentes en los binarios.8

La atribución institucional quedó después establecida de manera concluyente mediante la filtración de los Shadow Brokers de 2016-17: la coincidencia del kit de herramientas filtrado con las firmas previas del Equation Group era exacta, y las herramientas filtradas incluían artefactos internos de compilación, scripting de mando y control, y documentación dirigida al operador coherentes con el perfil de tradecraft operativo de NSA TAO. El Department of Justice no ha imputado públicamente a ningún miembro del personal de TAO; la identidad institucional de la unidad queda establecida mediante el expediente documental anterior en lugar de mediante un escrito de acusación.9

Véase también

  • National Security Agency — servicio matriz
  • Divulgaciones de Snowden — la principal base documental del registro operativo de TAO
  • Stuxnet — operación conjunta de TAO y Aman Unit 8200 contra el programa nuclear iraní
  • Designación APT — la convención de denominación de inteligencia de amenazas bajo la cual TAO es rastreada como el Equation Group
  • Cybint — la categoría más amplia de disciplina de recolección

Fuentes y lecturas adicionales

  1. National Security Agency, Statement on the Reorganization of NSA (anuncio NSA21, febrero de 2016); James Bamford, Body of Secrets: Anatomy of the Ultra-Secret National Security Agency (Doubleday, 2001) — referencia temprana a la organización de explotación de redes informáticas de la NSA anterior a la consolidación de TAO.
  2. Anuncio de la reorganización NSA21, op. cit.; Kaspersky Lab Global Research and Analysis Team, Equation: The Death Star of Malware Galaxy (16 de febrero de 2015) — el informe técnico original sobre el Equation Group.
  3. James Bamford, The Shadow Factory: The Ultra-Secret NSA from 9/11 to the Eavesdropping on America (Doubleday, 2008), y la literatura secundaria posterior a 2013 sobre el archivo Snowden — principalmente Glenn Greenwald, No Place to Hide: Edward Snowden, the NSA, and the U.S. Surveillance State (Metropolitan, 2014); Bruce Schneier y diversos coautores en The Intercept y Der Spiegel.
  4. Jacob Appelbaum, Judith Horchert y Christian Stöcker, Shopping for Spy Gear: Catalog Advertises NSA Toolbox, Der Spiegel (29 de diciembre de 2013) — la publicación del catálogo ANT. Inside TAO: Documents Reveal Top NSA Hacking Unit, Der Spiegel (29 de diciembre de 2013).
  5. Andy Greenberg, Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers (Doubleday, 2019) — la fuente secundaria canónica sobre la filtración de los Shadow Brokers y las posteriores armatizaciones de EternalBlue y DoublePulsar en NotPetya y WannaCry; Microsoft Security Response Center, Customer Guidance for WannaCrypt attacks (mayo de 2017).
  6. Cobertura de los documentos de Snowden por Der Spiegel, The Intercept y Washington Post (2013-2015); Glenn Greenwald, op. cit.; Bruce Schneier, How the NSA Attacks Tor/Firefox Users with QUANTUM and FOXACID (octubre de 2013).
  7. Resumen público de la misión de NSA/CSS Texas; NSA Cryptologic Heritage, materiales de referencia sobre el sistema de centros criptológicos de campo; Air Force Times, cobertura sobre la consolidación de la misión de inteligencia en Lackland.
  8. Kaspersky Lab, Equation Group: Questions and Answers (informe técnico, febrero de 2015), e informes técnicos de seguimiento entre 2015 y 2017 que documentan las familias de implantes EQUATIONDRUG, GRAYFISH, FANNY y DOUBLEFANTASY. El informe de 2015 contiene el argumento original de coincidencia técnica que vincula al Equation Group con las operaciones de Stuxnet y Regin.
  9. Publicaciones públicas de los Shadow Brokers en Steemit y Medium, de agosto de 2016 a abril de 2017; análisis académico y periodístico posterior del kit filtrado, incluidos Matt Suiche (Comae Technologies), Mustafa Al-Bassam (University College London) y la cobertura de Wired / Wall Street Journal sobre las implicaciones institucionales de la filtración.