方程式组织(EQGRP)并非NSA的技术解析

本文基于维基解密Vault 7泄露资料,深入分析方程式组织(EQGRP)的真实构成,揭示其实际是美国NSA的TAO部门和CIA的IOC部门联合运作的网络能力集合体,而非单纯归属NSA。

为什么方程式组织(EQGRP)不是NSA | xorl %eax, %eax

我在2021年的演讲《站在国家行为者的角度》中曾讨论过这个话题,但在我最近的博客文章之后,我再次看到人们将EQGRP称为NSA,这并不完全正确。EQGRP实际上是由(主要来自)NSA的TAO和CIA的IOC的网络操作人员组成的联合体。因此,更准确的说法是,EQGRP是美国情报界。以下是原因…

维基解密在2017年进行了Vault 7泄露。多年来,这已被确认为真实有效的泄露,它不仅提供了对CIA工具本身的空前访问,还揭示了CIA网络部门内部的文化和工作环境。这是本博客文章的核心来源。

CIA IOC简史

在9/11恐怖袭击之后,CIA在美国的反恐行动中担当领导角色,获得了近乎无限的预算、支持和资源以完成其任务。这也意味着CIA可以将其领域扩展到其专业领域——人力情报(HUMINT)之外,涵盖其他情报(和秘密行动)学科,包括信号情报(SIGINT)。换句话说,发展他们自己的网络能力。

2015年,CIA公开宣布成立一个新的部门,负责提升该机构的数字能力。据报道,这始于2013年CIA局长Brennan的一项倡议。它被命名为数字创新局(DDI),由首席信息官(CIO)领导,涵盖各种主题,如数字平台的现代化、手动流程的数字化、为CIA需求开发软件等。不出所料,CIA的DDI广泛依赖美国情报界的专家来发展这些能力,而迄今为止,在网络行动/SIGINT方面最成熟的美国机构是国防部的国家安全局(NSA)。

在DDI内部,CIA创建了网络情报中心(CCI),负责来自网络领域的情报支持。根据Vault 7泄露,这就是2016年“黑客部门”(维基解密所称)所属的地方,当时它有超过5000名注册用户,负责开发、维护、增强和使用网络能力以支持CIA的任务。基于Vault 7,这就是信息行动中心(IOC)。IOC是CIA CCI的网络操作人员。意味着他们使用CCI其他部门提供的能力,从网络空间支持CIA的情报行动。

基于泄露,我们可以确定CCI在2015年DDI公开宣布之前数年(至少自2008-2009年起)就已经运作(可能在不同的组织结构下)。

CIA EDG和TAC

CCI内部最大的部门之一是EDG(工程开发组),负责多个工程分支部门,这些部门为IOC操作人员、更广泛的美国情报界和亲密盟友开发和维护不同的网络能力。例如,应用工程部(AED)下设嵌入式开发分支(EDB)、远程开发分支(RDB)、行动支持分支(OSB)等。

EDG员工中的一个高级小组是EDG的技术咨询委员会(TAC)成员,顾名思义,该委员会旨在审查不同的技术挑战,并提供输入和专家建议。

TAC关于EQGRP的讨论

在卡巴斯基的《深入EquationDrug间谍平台》发布后,TAC开始了一场讨论,以识别导致卡巴斯基GReAT研究人员揭露大量美国网络能力并将其全部归入EQUATION GROUP (EQGRP)别名下的错误。您可以在维基解密上阅读完整的讨论串。

仅从这次讨论中,我们可以看到:

  • EQGRP实际上是主要由NSA的定制访问行动(TAO)和CIA的IOC的能力集合
  • 在某些情况下,同一植入物的部分由CIA和NSA共同编写
  • CIA IOC和NSA TAO在(重复)使用网络能力方面有不同的流程(或缺乏流程)

以及许多为避免未来其能力被泄露而学到的教训。总的来说,我强烈建议您阅读这个讨论串,因为它是一个很好的回顾,让我们得以一窥国家行为者在高质量威胁情报报告发布时的反应。

结论

新闻甚至一些网络威胁情报分析师重复EQGRP是NSA的说法几乎肯定是错误的。除非Vault 7是一次欺骗行动(在過去多年的研究后不太可能),我们可以得出结论,上述TAC的讨论非常清楚地表明,EQGRP是美国网络操作人员使用的网络能力集合,主要由NSA的TAO和CIA的IOC使用。

我知道说美国在背后操纵不如说NSA TAO在背后操纵那么吸引人;确实,我们可以做一些假设,即2000年代初的漏洞利用很可能来自NSA TAO,因为CIA要么尚未具备那种能力,要么仍处于早期开发阶段,严重依赖NSA的支持,或者使用其他方法将EQGRP分解为CIA、NSA和其他机构的更小行为者。然而,就目前所知的EQGRP,几乎可以肯定不是NSA单独行动。

最后,每当您谈论国家行为者归因时,不要忘记它被称为“情报界”是有原因的。情报界内的机构共享能力。一些(如同一个国家内的)几乎共享一切,其他(如五眼联盟)共享很多,而其他(如MAXIMATOR)共享更具体的能力和产品。并且请记住(这是我2021年演讲的摘录):

  • 国家行为者只是执行具有特定目标和绩效目标工作的人
  • (通常)很难知道意图。这就是为什么地缘政治监控很重要
  • APT的基础设施并不意味着同一APT执行了行动或他们对您感兴趣
  • APT组大部分收集是批量/自动化的,但几乎所有研究都集中在定制/定向访问上
  • 归因很难…在发布之前批判性思考
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次