揭秘方程式组织(EQGRP):为何它不等于NSA

本文通过分析维基解密Vault 7泄露文件,详细解析方程式组织(EQGRP)的真实构成,指出其并非单纯隶属于NSA,而是由NSA的TAO部门和CIA的IOC部门共同组成的网络能力集合,并探讨了美国情报机构的网络作战体系架构。

为什么方程式组织(EQGRP)不是NSA | xorl %eax, %eax

我在2021年的演讲《站在国家行为体的角度》中已经讨论过这个话题,但最近在我的博客文章发布后,我又看到人们将EQGRP称为NSA,这并不完全正确。EQGRP实际上是(主要)来自NSA的TAO和CIA的IOC的网络操作人员的组合。因此,更准确的说法是,EQGRP是美国情报界。原因如下……

维基解密在2017年进行了Vault 7泄露。多年来,这被证实是一次真实/有效的泄露,它不仅提供了对CIA工具本身的空前访问,还揭示了CIA网络部门内部的文化和工作环境。这是本博客文章的核心来源。

CIA IOC的简史

9/11恐怖袭击后,CIA在美国的反恐努力中担任领导角色,获得了几乎无限的预算、支持和资源以实现其使命。这也意味着CIA现在可以将其领域扩展到其专业领域——人力情报(HUMINT)之外,到其他情报(和秘密行动)学科,包括信号情报(SIGINT)。换句话说,发展他们自己的网络能力。

2015年,CIA公开宣布了一个新的部门,负责提高该机构的数字能力。据报道,这始于2013年CIA局长Brennan的一项倡议。它被命名为数字创新局(DDI),由首席信息官(CIO)领导,涵盖各种主题,如数字平台的现代化、手动流程的数字化、为CIA的需求开发软件等。不出所料,CIA的DDI广泛依赖美国情报界的专家来发展这些能力,而迄今为止最成熟的美国网络作战/SIGINT机构是国防部的国家安全局(NSA)。

在DDI内部,CIA创建了网络情报中心(CCI),负责从网络领域提供情报支持。根据Vault 7泄露,这就是“黑客部门”(如维基解密所称)在2016年所属的地方,当时它有超过5000名注册用户,负责开发、维护、增强和使用网络能力以支持CIA的使命。基于Vault 7,这就是信息操作中心(IOC)。IOC是CIA的CCI的网络操作人员。意思是他们使用CCI其他部门提供的能力,从网络空间支持CIA的情报操作。

基于泄露,我们可以确定CCI在2015年DDI公开宣布之前就已经运作(可能在不同的组织结构下),至少从2008-2009年开始。

CIA的EDG和TAC

CCI内部最大的部门之一是EDG(工程开发组),负责多个工程分支的部门,这些部门为IOC操作人员、更广泛的美国情报界和亲密盟友开发并维护不同的网络能力。例如,应用工程部门(AED)拥有嵌入式开发分支(EDB)、远程开发分支(RDB)、操作支持分支(OSB)等。

EDG员工的一个高级小组是EDG的技术咨询委员会(TAC)的成员,顾名思义,该委员会旨在审查不同的技术挑战并提供输入和专家建议。

TAC关于EQGRP的讨论

在卡巴斯基的《Inside the EquationDrug Espionage Platform》发布后,TAC开始了一场讨论,以识别导致卡巴斯基GReAT研究人员揭露大量美国网络能力并将它们全部归因于EQUATION GROUP(EQGRP)别名的错误。你可以在维基解密上阅读完整的线程。

仅从这次讨论中,我们可以看到:

  • EQGRP实际上是主要由NSA的定制访问操作(TAO)和CIA的IOC的能力集合
  • 在某些情况下,同一植入物的部分由CIA和NSA共同编写
  • CIA IOC和NSA TAO在(重新)使用网络能力方面有不同的流程(或缺乏流程)

以及许多经验教训,以避免未来他们的能力受到损害。总的来说,我强烈建议你阅读这个线程,因为它是一个很好的回顾,让你一窥国家行为体在高质量威胁情报报告发布时的反应。

结论

新闻,甚至一些网络威胁情报分析师,重复EQGRP是NSA的说法几乎肯定是错误的。除非Vault 7是一次欺骗行动(在过去多年的研究后不太可能),我们可以得出结论,上述TAC的讨论非常清楚地表明,EQGRP是美国网络操作人员使用的网络能力集合,主要由NSA的TAO和CIA的IOC使用。

我知道说美国 behind it 不如说NSA TAO behind it 那么性感;确实,我们可以做出一些假设,即2000年代初的漏洞利用很可能来自NSA TAO,因为CIA要么还没有那种能力,要么还处于早期开发阶段,严重依赖NSA的支持,或者使用其他方法将EQGRP分解为更小的行为体,如CIA、NSA和其他。然而,就今天所知的EQGRP而言,几乎可以肯定不是NSA alone。

最后,任何时候你谈论国家行为体归因时,不要忘记它被称为“情报界”是有原因的。情报界中的机构共享能力。一些(如同一个国家内)会共享几乎所有东西,其他(如五眼联盟)共享很多,而其他(如MAXIMATOR)共享更具体的能力和产品。还要记住(这是我2021年演讲的摘录):

  • 国家行为体只是有特定目标和绩效目标的人在做工作
  • (通常)很难知道意图。这就是为什么地缘政治监控很重要
  • APT的基础设施并不意味着同一个APT执行了操作或他们对您感兴趣
  • APT组大部分收集是批量/自动化的,但几乎所有的研究都集中在定制/定向访问上
  • 归因很难……在发布之前批判性思考
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次