为什么方程式组织(EQGRP)不是NSA | xorl %eax, %eax
xorl %eax, %eax
为什么方程式组织(EQGRP)不是NSA
留下评论 »
我在2021年的演讲《站在国家行为体的角度》中曾讨论过这个话题,但在我最近的博客文章之后,我又看到人们将EQGRP称为NSA,这并不完全正确。EQGRP实际上是(主要)来自NSA的TAO和CIA的IOC的网络操作人员的组合。因此,更准确的说法是,EQGRP是美国情报界。原因如下……
维基解密在2017年泄露了Vault 7。多年来,这被证实是真实有效的泄露,它不仅提供了对CIA工具本身的前所未有的访问,还揭示了CIA网络部门内部的文化和工作环境。这是本博客文章的核心来源。
CIA IOC的简史
在9/11恐怖袭击之后,CIA领导了美国的反恐努力,获得了几乎无限的预算、支持和资源以实现其使命。这也意味着CIA现在可以将其领域扩展到其专业领域——人力情报(HUMINT)之外,到其他情报(和隐蔽行动)学科,包括信号情报(SIGINT)。换句话说,发展自己的网络能力。
2015年,CIA公开宣布成立一个新的部门,负责提高该机构的数字能力。据报道,这始于2013年CIA局长布伦南的一项倡议。它被命名为数字创新局(DDI),由首席信息官(CIO)领导,涵盖各种主题,如数字平台的现代化、手动流程的数字化、为CIA的需求开发软件等。不出所料,CIA的DDI广泛依赖美国情报界的专家来发展这些能力,而迄今为止最成熟的美国网络操作/SIGINT机构是国防部的国家安全局(NSA)。
在DDI内部,CIA创建了网络情报中心(CCI),负责从网络领域提供情报支持。根据Vault 7泄露,这是“黑客部门”(如维基解密所称)在2016年所属的地方,当时它有超过5000名注册用户,负责开发、维护、增强和使用网络能力以支持CIA的使命。基于Vault 7,这就是信息操作中心(IOC)。IOC是CIA的CCI的网络操作人员。意思是他们使用CCI其他部门提供的能力,从网络空间支持CIA的情报操作。
基于泄露,我们可以确定CCI在2015年公开宣布DDI之前多年就已经运作(可能 under 不同的组织结构),至少从2008-2009年开始。
CIA EDG和TAC
CCI内部最大的部门之一是EDG(工程开发组),负责多个工程分支的分部,这些分部分别为IOC操作人员、更广泛的美国情报界和亲密盟友开发和维护不同的网络能力。例如,应用工程分部(AED)有嵌入式开发分支(EDB)、远程开发分支(RDB)、操作支持分支(OSB)等。
EDG员工的一个高级小组是EDG的技术咨询委员会(TAC)的成员,正如其名称所示,该委员会负责审查不同的技术挑战,并提供输入和专家建议。
TAC关于EQGRP的讨论
在卡巴斯基的《Inside the EquationDrug Espionage Platform》发布后,TAC开始讨论以识别导致卡巴斯基GReAT研究人员揭露大量美国网络能力并将它们全部归为方程式组织(EQGRP)别名的错误。在这里,你可以在维基解密上阅读完整的线程。
仅从这次讨论中,我们可以看到:
- EQGRP实际上是主要由NSA的定制访问操作(TAO)和CIA的IOC的能力集合
- 在某些情况下,同一植入物的部分由CIA和NSA共同编写
- CIA IOC和NSA TAO在(重新)使用网络能力方面有不同的流程(或缺乏流程)
以及许多经验教训,以避免未来他们的能力受到损害。总的来说,我强烈建议你阅读这个线程,因为它是一个很好的回顾,让我们一窥国家行为体在高质量威胁情报报告发布时的反应。
结论
新闻甚至一些网络威胁情报分析师重复EQGRP是NSA的说法几乎肯定是错误的。除非Vault 7是一个欺骗操作(在过去多年的研究之后不太可能),我们可以得出结论,上述TAC的讨论非常清楚地表明,EQGRP是美国网络操作人员使用的网络能力集合,主要由NSA的TAO和CIA的IOC使用。
我知道说美国 behind it 不如说NSA TAO behind it 那么性感;确实,我们可以做出一些假设,即2000年代初的漏洞利用很可能来自NSA TAO,因为CIA要么还没有那种能力,要么还处于早期开发阶段,严重依赖NSA的支持,或者使用其他方法将EQGRP分解为CIA、NSA和其他人的较小行为体。然而,如今天所知的EQGRP,几乎肯定不是NSA alone。
最后,任何时候你谈论国家行为体归因时,不要忘记它被称为“情报界”是有原因的。情报界中的机构共享能力。一些(如在同一国家内)会共享几乎所有东西,其他(如五眼联盟)共享很多,而其他(如MAXIMATOR)共享更具体的能力和产品。还要记住(这是我2021年演讲的摘录):
- 国家行为体只是有特定目标和绩效目标的人在做工作
- 通常很难知道意图。这就是为什么地缘政治监控很重要
- APT的基础设施并不意味着同一个APT执行了操作或他们对您感兴趣
- APT组大部分收集是批量/自动化的,但几乎所有研究都集中在定制/定向访问上
- 归因很难……在发布之前批判性思考
分享此文章: 点击在Reddit上分享(在新窗口中打开) Reddit
点击在Facebook上分享(在新窗口中打开) Facebook
点击在X上分享(在新窗口中打开) X
点击通过电子邮件发送链接给朋友(在新窗口中打开) 电子邮件 Like Loading…
相关 来自NSA的SIGINT-enabled网络归因示例 | 2021年1月20日 | 在“威胁情报”中 关于归因:APT28、APT29…Turla:不,它们不是同一个 | 2021年1月25日 | 在“威胁情报”中 美国网络操作组 | 2021年4月18日 | 在“威胁情报”中
由xorl撰写 2022年7月6日 at 18:50
发布在威胁情报中
« 被遗忘的EQUATION GROUP的SUAVEEYEFUL FreeBSD软件植入物 BSides Cyprus: Cloud… Just somebody else’s computer »
留下评论
Δ
搜索:
分类 选择分类 管理 (28) 安卓 (1) 书籍 (43) C编程 (16) 会议/培训 (27) 戴尔 (4) FreeBSD (24) 富士通-西门子 (1) 趣味 (35) gera的不安全编程 (5) grsecurity (20) hax (27) 历史 (1) 惠普 (1) IBM (2) Linux (238) 恶意软件 (4) 错误 (6) 摩托车和汽车 (14) NetBSD (9) 新闻 (37) OpenBSD (7) 操作安全 (8) OSX (2) pfsense (1) phrack (3) 投票 (1) raptor的战争游戏 (2) 逆向工程 (11) 安全 (43) Solaris (19) 威胁情报 (36) 提示 (7) 未分类 (24) 漏洞 (446) 战争游戏 (9) Windows (10)
归档 选择月份 2024年2月 (2) 2023年1月 (1) 2022年12月 (2) 2022年7月 (1) 2022年6月 (1) 2022年4月 (1) 2021年12月 (1) 2021年10月 (3) 2021年8月 (1) 2021年7月 (2) 2021年5月 (3) 2021年4月 (10) 2021年3月 (2) 2021年2月 (1) 2021年1月 (4) 2020年8月 (2) 2020年6月 (1) 2020年5月 (2) 2020年3月 (2) 2020年1月 (2) 2019年12月 (6) 2018年7月 (1) 2018年3月 (5) 2018年2月 (8) 2018年1月 (4) 2017年12月 (18) 2017年11月 (38) 2013年5月 (10) 2012年9月 (4) 2012年8月 (3) 2012年6月 (1) 2012年5月 (5) 2012年4月 (1) 2012年2月 (1) 2012年1月 (5) 2011年12月 (5) 2011年10月 (7) 2011年9月 (1) 2011年8月 (10) 2011年7月 (11) 2011年6月 (10) 2011年5月 (22) 2011年4月 (17) 2011年3月 (16) 2011年2月 (8) 2011年1月 (24) 2010年12月 (27) 2010年11月 (29) 2010年10月 (16) 2010年9月 (14) 2010年4月 (5) 2010年2月 (4) 2010年1月 (27) 2009年12月 (9) 2009年11月 (40) 2009年10月 (26) 2009年8月 (24) 2009年7月 (39) 2009年6月 (24) 2009年5月 (38) 2009年4月 (51) 2009年3月 (28) 2009年2月 (24) 2009年1月 (50)
页面
关于 进攻性安全私人公司清单
通过电子邮件关注博客
点击关注此博客并通过电子邮件接收新文章通知。
电子邮件地址:
关注
APT映射
中国 朝鲜(北韩) 欧盟 伊朗 俄罗斯 美国
链接
.aware 攻击核心 dividead的博客 grsecurity ithilgore的网站 sin的博客 stealth的博客
博客在WordPress.com上。
评论
Reblog
订阅
已订阅
xorl %eax, %eax
加入149其他订阅者
注册我
已经有WordPress.com账户?立即登录。
xorl %eax, %eax
订阅
已订阅
注册 登录
复制短链接
报告此内容
在阅读器中查看文章
管理订阅
折叠此栏
加载评论中…
写评论…
电子邮件(必填)
名称(必填)
网站
%d
|
|