根据提供的[斯诺登文件](Going Through Snowden Documents, Part 1 - Libroot.org)分析(特别是《XKEYSCORE中的计算机网络利用(CNE)分析》这份2009年NSA内部培训文档),美国国家安全局(NSA)实施的“窃密”手段主要包括以下几类,均属于主动式、侵入性的计算机网络利用(Computer Network Exploitation, CNE):
1. 深度网络渗透与邮件基础设施监控
- 目标示例:中国北方工业集团(Norinco)及其子公司振华石油。
- 手段:
- 通过植入恶意程序,全面渗透企业邮件系统。
- 不仅截获单一节点邮件,还能追踪同一封邮件在多个服务器(如 mail.norinco.cn、bmi.msgfocus.com、zhenhuaoil.com 等)之间的路由路径。
- 实现对企业级通信的全链路监控,暴露内部组织结构与业务往来(如“28-10 印度高级联系人”)。
2. 键盘记录(Keylogging)
- 目标示例:中国使用QQ、Excel、Access的办公人员。
- 手段:
- 植入支持多语言(包括中文)的键盘记录器(如 GREENCHAOS15 植入物)。
- 不仅记录按键内容,还能捕获:
- 窗口标题(如聊天对象)
- 删除/编辑操作
- 特殊字符的十六进制编码
- 应用程序上下文(如 Excel 单元格引用、文件名)
- 可还原用户完整工作流程和敏感文档内容(如“3C认证导入周报”)。
3. 浏览器活动全面监控(HTTP/HTTPS 会话窃取)
- 植入工具:FOGGYBOTTOM 插件。
- 手段:
- 在目标计算机本地运行,绕过HTTPS加密(因在数据加密前捕获)。
- 记录完整浏览历史,包括:
- URL、POST 数据(如登录账号密码)
- 语言偏好、本地时间、时区
- 社交媒体活动(如 Facebook 登录尝试)、新闻与论坛访问
- 适用于监控目标兴趣、社交关系、地理位置等。
4. 文件系统与文档内容扫描
- 手段:
- 对目标硬盘执行目录遍历(directory walk),提取私人文档(如 Word、Excel)。
- 自动扫描文件和邮件中的关键词(如 “vpn”、“pptp”),使用“tech strings”通用搜索机制。
- 可识别目标使用的安全工具、网络架构、内部服务器信息,为后续攻击提供情报。
5. Windows 注册表取证
- 监控对象:UserAssist 注册表项。
- 手段:
- 记录用户运行过的所有程序、运行次数和最后使用时间。
- 用于行为分析、身份确认和横向移动(如识别特权账户常用软件)。
6. 针对关键基础设施的定向入侵
- 案例:
- 伊朗:入侵海关与铁路系统工作人员的笔记本电脑,窃取内部文档。
- 墨西哥:攻破联邦警察(ssp.gob.mx、pfp.local)邮件系统,获取边境地区每日情报简报。
- 特点:全部标记为 CNE,表明是主动黑客攻击,而非被动监听。
7. 利用专用攻击平台与代号系统
- 攻击框架:
- TUCKER:类似 UNITEDRAKE 的多功能植入平台,支持 OLYMPUS、UNIX 等子模块。
- FOXACID:不仅是漏洞投递服务器,也是长期数据采集源(如 FOXACID6654)。
- 数据采集源代号:
- SHADOWQUEST、WAYTIDE、GREENCHAOS 等,按任务/地区/团队区分,收集无线情报、键盘记录等。
总结
NSA 的窃密手段高度自动化、系统化、上下文感知,其核心特点是:
- 不依赖网络监听,而是通过植入恶意程序直接在目标设备上操作;
- 跨应用、跨语言、跨协议全面收集数据;
- 结合技术与人力情报(如邮件内容、联系人、工作文档),形成深度画像;
- 长期潜伏、持续回传,具备企业级甚至国家级基础设施的渗透能力。
这些手段不仅针对敌对国家,也包括盟友(如墨西哥执法机构),且多数行动在对方毫不知情的情况下进行。
