隐蔽的基础设施

“TURBINE”植入系统的运行并非孤立。这一系统连接至NSA在全球多地安装的庞大监控传感器网络，并依靠这一网络来发挥功能。NSA位于马里兰州的总部也是这一网络的一部分，而其他窃听基地则位于日本三泽市和英格兰的Menwith Hill。

NSA的这些传感器代号为“TURMOIL”，是一类高科技监控收集装置，能监控在整个互联网上传送的数据包。

当“TURBINE”获取来自被感染计算机系统的数据时，“TURMOIL”传感器能自动识别这些数据，并将其发回NSA进行分析。当目标计算机进行通信时，“TURMOIL”系统可以向“TURBINE”发送提示，初始化一次恶意软件攻击。

基于一系列数据“分拣器”，NSA能识别监控目标的数据传输。内部文件显示，这些“分拣器”包含电子邮件地址、IP地址，或是来自谷歌、Facebook、Hotmail、雅虎和Twitter等网站、含有用户名或其他识别信息的cookies。

NSA使用的其他“分拣器”还包括用于追踪用户浏览习惯的谷歌广告cookies、能追踪特定用户的加密密钥指纹，以及当Windows计算机升级或崩溃时发送的计算机标识符等。

此外，“TURBINE”系统的运行也得到了其他国家政府的支持，其中一些国家还参与了恶意软件攻击。斯诺登曝光文档上的保密标志表明，NSA曾与所谓“Five Eyes”监控联盟的其他国家分享过恶意软件的使用情况。这一联盟中的其他国家包括英国、加拿大、新西兰和澳大利亚。

英国情报部门GCHQ在NSA的恶意软件应用策略中扮演了非常重要的角色。位于英格兰北部的Menwith Hill窃听基地是“TURMOIL”网络的一部分，NSA这一基地的运行获得了GCHQ的密切合作。

绝密文件显示，这一被NSA称作“MHS”的英国基地是“TURBINE”恶意软件基础设施的有机组成部分，并被用于测试针对雅虎和Hotmail用户的恶意软件攻击。

2010年的一份文件列出了至少5种Menwith Hill可选的“QUANTUM”攻击方式。这份文件还显示，GCHQ协助整合了3款“QUANTUM”恶意软件，并对另两款进行了测试。这是GCHQ代号为“INSENSER”监控系统的一部分。

GCHQ参与了黑客攻击，但试图确保其行为的合法性。斯诺登公布的一份文件显示，2013年4月，GCHQ明确拒绝参与部署“QUANTUM”恶意软件，而原因是“法律和政策限制”。GCHQ下属部门的一名代表于2010年会见了电信标准委员会的一名委员，并表示为监控而进行“积极地”黑客攻击在英国的法律框架下“可能违法”。

GCHQ拒绝对参与秘密黑客行动的活动置评。该部门在一份官腔的声明中表示：“GCHQ的全部工作都严格符合法律和政策框架，确保我们的活动得到授权，是必要而适当的，此外也得到了有力的监督。”

无论英国和美国情报机构对计算机网络的攻击是否合法，斯诺登的文件都有着重要的意义。这些文件前所未有地曝光了监控技术，而这些技术此前是保密的，并未得到公众的探讨。而NSA担心的主要一点是，外国情报机构也将采取类似的做法。

在2012年的一份绝密文件中，NSA的一名分析师表示：“在一段时间里，攻击路由器对我们和‘Five Eye”合作伙伴而言很有价值。但很明显，其他国家也在加强这方面的能力，并进入这一领域。“

宾夕法尼亚大学的布雷兹表示，“中间人”攻击被大规模使用的潜力“似乎非常令人困扰”。这种做法将无差别地监控整个网络，而不是瞄准单个目标。

他表示：“令我感到警惕的一点是，其中提到了‘网络节点’。这是最不应当允许情报部门涉足的基础设施，因为这意味着大规模监控技术。”

为了部署某些恶意软件，NSA利用了火狐和IE等互联网浏览器共同的信息安全漏洞。NSA的黑客还利用了路由器以及一些热门软件插件，例如Flash和Java的信息安全缺陷，从而将恶意代码植入目标计算机中。

这些恶意软件可以绕开杀毒软件，而NSA已采取大量措施，确保其黑客技术难以被检测。一款名为“VALIDATOR”的恶意软件被用于向目标计算机上传下载数据，同时可以实现自我销毁，即在设定的时间过期后自动从计算机中删除。

在许多情况下，防火墙和其他信息安全保护措施对NSA而言并不是问题。NSA的黑客有信心绕开保护计算机和网络的任何安全机制。在一份机密文件中，NSA的黑客表示：“如果可以让目标用户通过浏览器访问我们，那么我们就可以掌握控制权。唯一的问题在于如何实现。”

“大规模使用”的潜力

在利用恶意软件获得数据或攻击某一系统之前，NSA首先需要在目标计算机或网络中安装恶意软件。

根据2012年时的一份绝密文件，NSA通过发送垃圾邮件并吸引目标点击恶意链接来传播恶意软件。一旦恶意软件激活，那么一款“后门工具”将在8秒钟时间内干扰用户的计算机。

这一代号为“WILLOWVIXEN”的工具只有一个问题。根据文件的介绍，通过垃圾邮件来传播的做法近年来成功率下降，因为互联网用户开始对来源不明的电子邮件提高警惕，不太可能点击看起来可疑的链接。

因此，NSA开始探索更新、更先进的黑客技术，例如所谓的“中间人（man-in-the-middle）”和“旁观者（man-on-the-side）”攻击方式。这些攻击方式能将用户的互联网浏览器悄悄定向至NSA的服务器，从而感染这些计算机。

为了进行“旁观者”攻击，NSA使用秘密的全球数据访问网络来监控目标的互联网流量。当目标访问某一网站时，NSA将可借此进行攻击。此时，NSA的监控传感器将提示“TURBINE”系统，后者将在一秒钟时间内向目标计算机的IP地址“灌输”数据包。

在一种代号为“QUANTUMHAND”的“旁观者”攻击中，NSA将自己伪装成Facebook（67.72, -1.11, -1.61%）服务器。当目标登录Facebook网站时，NSA将发送恶意数据包，使目标计算机认为其正在访问真正的Facebook网站。通过将恶意软件隐藏在看似普通的Facebook页面中，NSA将可以攻击目标计算机，并从计算机硬盘中获取数据。一段绝密的动画演示了这种攻击方式。

文件显示，在对十余名目标验证有效之后，“QUANTUMHAND”于2010年10月投入使用。

根据宾夕法尼亚大学监控和加密专家马特·布雷兹（Matt Blaze）的说法，“QUANTUMHAND”似乎是瞄准特定的目标。不过他也担心，这一工具如何被整合至NSA自动化的“TURBINE”系统。

布雷兹表示：“如果你将这种能力置于主干基础设施中，那么像我一样的软件和信息安全工程师都会认为非常可怕。请忘记NSA如何使用这一工具。我们如何知晓这一工具被正确地使用，以及仅被用于NSA希望的目标？而在本身就很可疑的情况下，即使NSA采取正确的做法，如何确保这一工具受控？”

在发送给The Intercept的一份电子邮件声明中，Facebook发言人杰伊·南卡洛（Jay Nancarrow）表示，Facebook没有获得有关这种活动的任何证据。他表示，去年Facebook部署了HTTPS加密功能，使浏览器会话不太容易受恶意软件攻击。

南卡洛同时指出，除Facebook之外的其他服务同样可能遭到NSA的攻击。他表示：“如果政府情报机构有权访问网络服务提供商，任何基于无加密HTTP协议的网站都可能遭遇流量被秘密重定向的问题。”

“中间人”攻击方式与此类似，但更加积极。通过这种黑客技术，NSA将自身置于两台计算机的通信线路之间，从而部署其恶意软件。

通过这种方式，NSA不仅可以监控及重定向浏览器会话，甚至可以修改两台计算机传送的内容包。例如，当两人相互发送消息时，这种攻击方式可以修改消息的内容，而通信双方都不会知道内容遭到了第三方的纂改。同样的技术也被用于普通黑客的欺诈活动。

2012年一份绝密的NSA文件显示，NSA部署了名为“SECONDDATE”的“中间人”攻击技术，以“影响客户端和服务器之间的实时通信”，并“将网页浏览器秘密重定向”至NSA名为“FOXACID”的恶意软件服务器。去年10月，《卫报》报道了“FOXACID”的细节。其中显示，这一技术被用于攻击互联网匿名服务Tor的用户。

不过，“SECONDDATE”不仅可以用于针对特定嫌疑人的“手术刀式”攻击，也可以被用于发起大规模恶意软件攻击。

根据2012年的这份文件，这一技术“对通过某些网络节点的客户端具有大规模利用的潜力”。

一份未标注日期的NSA机密文档，就描述了“涡轮”系统如何将NSA的CNE和CNA两大植入网络的规模，从几百台电脑扩充到几百万台。CNE专门从电脑和网络中截取情报，CNA则负责对电脑和网络实施破坏。

之前有报道称，斯诺登提供的文件表明，NSA已经在全世界的8.5万至10万台电脑中植入了恶意软件，今后还计划继续扩大这一数字。

文件显示，NSA还将“涡轮”项目列为一个名为“拥有网络”（Owning the Net）的大型项目的一部分。该机构去年为“拥有网络”项目申请了6760万美元的资金，其中有一部分被分配给“涡轮”系统，用于扩大该系统的范围，并提升自动化程度。