Cách các cơ quan đặc biệt khai thác cáp mạng toàn cầu

Cho đến nay, người ta chỉ mới biết rằng Incenser là một chương trình con của WINDSTOP và nó đã thu thập khoảng 14 tỷ mẫu dữ liệu mạng / tháng. Những tiết lộ mới đây nhất cho thấy các dữ liệu này được thu thập với sự trợ giúp từ công ty Cable & Wireless (Anh, tên mã là Gerontic, giờ đây là một phần của Vodafone) tại một địa điểm ở xứ Cornwall (Anh) có tên mã Nigella. Lần đầu tiên, nó đã cung cấp một chuỗi đánh chặn toàn bộ, từ chương trình mẹ đến các cơ sở đánh chặn.

Bí mật về Nigella

Báo cáo chung vào tháng 1-2018 của đài truyền hình Anh, Channel 4, cùng các đài truyền hình khu vực của Đức như WDR và NDR, báo Đức – Suddeutsche Zeitung, đã xác định Nigella là một cơ sở đánh chặn ngay tại giao lộ của Cáp & Không dây (Cable & Wireless) và các cáp Reliance ở trại Skewjack.

Tại đó, ở phía Tây Bắc của Polgigga Cottage (Cornwall) là một tòa nhà lớn được xây dựng từ năm 2001 dùng cho hãng viễn thông FLAG Telecom UK Ltd với chi phí 5,3 triệu bảng Anh. Nó đóng vai trò là ga cuối cho 2 đầu của tuyến cáp quang biển: một đầu từ xuyên Đại Tây Dương và hạ cánh từ một bãi biển ở gần Sennen, còn đầu kia xuyên eo biển Manche đến Brittany (Pháp).

Các cáp khai thác tại Nigella của hãng Cable & Wireless (GERONTIC) thuộc hai chương trình khai thác cáp ngầm Incenser và Windstop.

Trước hết hãy nói về tuyến cáp quang biển FLAG Atlantic 1 (FA1). Tuyến này kết nối duyên hải phía Đông của Bắc Mỹ đến Anh và Pháp (dài 6.000 km). Cáp FA1 đến Mỹ gồm 6 cặp cáp quang, mỗi cặp có thể mang theo 40 (cuối cùng là 52) bước sóng ánh sáng riêng biệt, và mỗi bước sóng có thể mang theo 10 Gigabit/ giây lưu lượng.

Buổi ban đầu FA1 do hãng viễn thông FLAG làm chủ, trong đó FLAG là chữ viết tắt của Cáp quang liên kết quanh địa cầu. Công ty này được đổi tên thành Reliance Globalcom khi nó thuộc sở hữu hoàn toàn của công ty Reliance Communications (RCOM, Ấn Độ). Tháng 3 năm 2014, Reliance Globalcom lại đổi tên thành Global Cloud Xchange (GCK). Quan trọng hơn là một tuyến cáp biển dài hơn cũng thuộc sở hữu của GCK, và nó hạ cánh trên bờ Porthcurno, cách Trại Skewjack (Cornwall, Anh) chỉ vài dặm về hướng Tây Nam.

Tiếp theo là về tuyến cáp quang biển FLAG Europe – Asia (FEA). Tuyến này kết nối Vương quốc Anh với Nhật Bản xuyên Địa Trung Hải, rồi hạ cánh tại các điểm ở Ai Cập, bán đảo Arab, Ấn Độ, Malaysia, Thái Lan, Hongkong, Trung Quốc, Đài Loan (Trung Quốc), Hàn Quốc và Nhật Bản (dài 28.000 km). Kết nối giữa FA1 và FEA được cung cấp bởi một mạng khu vực địa phương của Cable & Wireless, cũng kết nối cả cáp biển đến mạng lưới trục mạng nội bộ của nó.

Theo tiết lộ mới nhất của Danh sách tổng thể cáp GHCQ năm 2009 thì hoạt động đánh chặn của các cáp FA1 và FEA đã diễn ra tại giao lộ có kết nối giữa. Danh sách này cũng cho thấy sự đánh chặn của 2 loại cáp này đi kèm với Khai thác mạng lưới máy tính (CNE) hoặc hoạt động xâm nhập có tên mã Peenning Alpha. Vì chủ nhân của các tuyến cáp (Reliance Globalcom, giờ đây là Global Cloud Xchange) không phải là đối tác hợp tác với GCHQ, nên họ đã xâm nhập vào mạng lưới của mình nhằm lấy thêm “các trang web giám sát bộ định tuyến” và “những thống kê hiệu suất cho Khai thác viễn thông toàn cầu – GTE”.

Thiết bị đánh chặn

Có thể biết được thực tế vụ đánh chặn đã diễn ra như thế nào từ một bài báo được đăng trên tờ The Guardian (Anh) từ tháng 6 năm 2013, trong đó cung cấp một số chi tiết về công cụ máy tính siêu tinh vi tại những điểm khai thác cáp. Trước hết, luồng dữ liệu được lọc thông qua cái được gọi là MVR (giảm khối lượng tối đa), ngay lập tức loại bỏ khối lượng lớn và giá trị thấp, chẳng hạn như các hoạt động tải mạng ngang hàng. Việc giảm dung lượng này đạt khoảng 30%.

Hãy nói về các bộ chọn. Bước tiếp đó là lấy ra các gói thông tin có chứa những bộ chọn như số điện thoại và thư điện tử (email), các loại địa chỉ IP và MAC mà người dùng quan tâm. Theo tờ The Guardian thì chỉ riêng năm 2011, khoảng 4 vạn bộ chọn đã được lựa chọn bởi GCHQ và 3,1 vạn bộ chọn bởi NSA.

Một tài liệu của NSA trích dẫn năm 2008 cho biết: “Ở một số điểm, số lượng dữ liệu mà chúng tôi nhận được mỗi ngày (20+ Terabyte) chỉ có thể được lưu trữ ít nhất trong 24 giờ”. Nó nhắm mục đích trích xuất 7,5% lưu lượng tốt nhất đi qua truy cập, sau đó được sửa chữa lại từ điểm khai thác cáp đến Trạm tổ chức tín hiệu tổng hợp của GCHQ (GCHQ Bude) thông qua 2 kênh 10 Gigabit / giây (năng lực “đầu ra”). Đây có thể là một cáp chuyên dụng hoặc một đường dẫn VPN an toàn qua đường trục Cable & Wireless kết nối Bude với Tây Nam Cornwall.

Trạm cuối FLAG ở Trại Skewjack (Cornwall, Anh).

Bí mật hợp tác giữa GERONTIC và GCHQ

Những tài liệu tuyệt mật của GCHQ về các hoạt động khai thác cáp dạng này chỉ được đề cập đến một nhà cung cấp liên lạc viễn thông với tên mã là GERONTIC. Tên thật được bảo vệ bởi những hạn chế phổ biến STRAP 2. Nhưng dù sao đi nữa thì gần đây, truyền thông Đức đã khẳng định rằng GERONTIC chính là Cable & Wireless. Theo báo chí đưa tin thì GCHQ có quyền truy cập vào 63 tuyến cáp mạng dưới biển, 29 cáp trong số đó có sự giúp đỡ của GERONTIC.

Bên cạnh đó, Danh sách tổng thể cáp GCHQ từ năm 2009 đã liệt kê GERONTIC cũng là đối tác hạ cánh cho 8 loại cáp như: FLAG Atlantic 1 (FA1); FLAG Europe-Asia (FEA); Apollo North; Apollo South; Solas; UK-Netherlands 14; UK-France 3; Europe India Gateway (EIG)- GLO-1. Những đoạn trích từ các trang wiki nội bộ của GCHQ cho thấy Cable & Wireless đã tổ chức thường xuyên những hội thảo với GCHQ từ năm 2008 đến ít nhất năm 2010, nhằm cải thiện năng lực truy cập, chẳng hạn như việc lựa ra các cáp và bước sóng nào có thể cung cấp những cơ hội tốt nhất để bắt liên lạc mà GCHQ mong muốn.

GCHQ cũng đã trả cho Cable & Wireless hàng chục triệu bảng Anh cho các dạng chi phí. Đơn cử như hồi tháng 2 năm 2009, khoảng 6 triệu bảng được chi và một số tham chiếu ngân sách năm 2010 cho thấy một khoản tiền 20,3 triệu bảng Anh được trả cho công ty này.

Để so sánh thì chỉ riêng năm 2013, NSA đã trả tổng số tiền 278 triệu bảng Anh cho tất cả các hãng viễn thông hợp tác với mình. Sự hợp tác giữa Cable & Wireless và GCHQ có thể không gây ngạc nhiên cho những người muốn biết thêm một chút về lịch sử tình báo Anh. Cable & Wireless đã làm việc với những người tiền nhiệm của GHCQ trong suốt Thế chiến I: tất cả các bức điện tín quốc tế đều được chuyển giao trước khi chúng có thể được sao chép trước khi được gửi đi, cách này đã được tiếp dụng trong vòng nửa thế kỷ sau đó.

Ngoài ra, trong số những tài liệu về khai thác cáp của GCHQ cũng còn có một phần nhỏ của bảng thuật ngữ nội bộ. Nó chứa một mục về INCENSER, khẳng định rằng đây là hệ thống thu thập nguồn đặc biệt tại Bude. Mục nhập cũng nói rằng lưu lượng INCENSER được dán nhãn TICKETWINDOW với Bộ thiết kế hoạt động tín hiệu (Sigad) DS-300.

Những hoạt động xâm nhập

Theo trình bày của NSA năm 2010 và được công bố bởi tờ The Intercept vào tháng 12 năm 2014, thì quyền truy cập của INCENSER cũng có khả năng hỗ trợ QUANTUMBOT (chiếm đoạt mạng RC), QUANTUMBISQUIT (các mục tiêu được nhắm bởi người đứng sau các đại diện lớn) và những kỹ thuật xâm nhập QUANTUMINSERT (chuyển hướng trang web HTML). Hai thành phần khác của khung khai thác mạng máy tính QUANTUMTHEORY là QUANTUMSQUEEL (để đưa vào cơ sở dữ liệu MySQL) và QUANTUMSPIM (gửi tin nhắn nhanh) đã được thử nghiệm nhưng chưa hoạt động. Điều này có nghĩa là điểm thu thập Nigella của Incenser cũng có các cảm biến Turmoil để phát hiện khi các gói của người dùng được nhắm mục tiêu trong số lưu lượng đi qua.

Turmoil tắt hệ thống kiểm soát và chỉ huy tự động trung tâm có tên mã là Turbine mà tiếp đó sẽ khởi động một hoặc nhiều cuộc tấn công QUANTUM, theo chỉ dẫn của bộ phận xâm nhập Các hoạt động truy cập tinh chỉnh (TAO) của NSA. Trang Wired có bài giải thích về hoạt động của phương thức này. Những tài liệu được giải mật của GCHQ cho thấy không có các mục tiêu cụ thể của chương trình Incenser, từ đó cung cấp cho Kênh 4 cơ hội để tuyên bố rằng quyền truy cập Cable & Wireless/Vodafone cho phép “các điệp viên Anh thu thập liên lạc riêng tư của hàng triệu người dùng mạng toàn cầu.

Vodafone cũng có thị phần lớn trên thị trường viễn thông ở Đức, ngay cả khi dính líu tới vụ nghe lén điện thoại của cựu Thủ tướng Merkel. Điện thoại của bà Merkel có lẽ đã bị khai thác theo nhiều cách, cũng như cả GCHQ lẫn NSA đều không quan tâm tới liên lạc riêng tư của người dùng mạng thông thường.

Ngược lại bằng cách khai thác cáp ngầm nối Châu Á và Trung Đông, Incenser thường tập trung vào những mục tiêu ưu tiên cao ở khu vực này. Lưu ý: Đoạn mã nguồn được biên soạn lại bằng các ký hiệu trong nội bộ của GCHQ thường được bắt đầu bằng IR và YM dường như ám chỉ đến Iran (Iraq là IQ) và Yemen là những quốc gia mục tiêu của chương trình Incenser.

Bản báo cáo tuyệt mật

Mặc dù Incenser là chương trình khai thác cáp lớn thứ 4 của NSA liên quan đến khối lượng dữ liệu mà nó thu thập, nhưng những nhà phân tích báo cáo tình báo đã khẳng định rằng nó chỉ đứng thứ 11 trong số những chương trình đóng góp cho Bản vắn tắt báo cáo hàng ngày của Tổng thống – theo công bố của một bản trình chiếu từ năm 2010 về Thu thập nguồn đặc biệt được công bố bởi tờ The Washington Post.

Dữ liệu do chương trình Incenser thu thập không chỉ được sử dụng bởi GHCQ mà cả NSA, các nhóm của nguồn Bên thứ hai được ký hiệu bằng tên mã WINDSTOP. Lần đầu tiên Incenser được đề cập bởi một trang trình bày trên tờ Washington Post vào khoảng tháng 10 năm 2013 xoay quanh một câu chuyện về chương trình MUSCULAR.

Theo ngân sách Tiếp cận đối tác nước ngoài (FPA) của NSA trong năm 2013 được công bố bởi tờ The Intercept thì Windstop bao gồm toàn bộ các nước Bên thứ 2 (chủ yếu là Anh, nhưng cũng có Canada, Australia và New Zealand) và tập trung vào truy cập (chủ yếu là mạng) vào liên lạc Châu Âu và Trung Đông thông qua một hệ thống thu thập tích hợp và bao quát. Muscular là chương trình mà các tuyến liên kết cáp với những trung tâm dữ liệu lớn của Google và Yahoo được khai thác.

Cơ sở đánh chặn này cũng nằm đâu đó trong nước Anh và dữ liệu được xử lý bởi GCHQ và NSA tại Trung tâm xử lý chung (JPC) bằng cách dùng Phiên bản giai đoạn 2 của Xkeyscore. Một bản trình chiếu mới về Windstop được công bố bởi báo Süddeutsche Zeitung vào ngày 25 tháng 11 năm 2013, trong đó hé lộ rằng chương trình thứ 3 có tên mã là Transient Thurible. Chương trình này đã được tờ The Guardian công bố một lần trong tháng 6 năm 2013 một khả năng “lặn sâu” của XKeyscore do GHCQ quản lý với siêu dữ liệu được chuyển vào kho của NSA kể từ tháng 8 năm 2012.

Hồi tháng 11 năm 2013, tờ Washington Post đã công bố một bức ảnh chụp màn hình từ Boundlessinformant với những con số về việc thu thập dữ liệu của chương trình Windstop. Giữa ngày 10 tháng 12 năm 2012 đến ngày 8 tháng Giêng năm 2013 đã có hơn 14 tỷ bản ghi siêu dữ liệu được thu thập. Xkeyscore được sử dụng để lập chỉ mục và tìm kiếm dữ liệu được thu thập trong chương trình Incenser.

Với chỉ hơn 14 tỷ mẫu dữ liệu mạng được khai thác mỗi tháng, Incenser là chương trình khai thác cáp lớn thứ 4 của NSA, chiếm khoảng 9% tổng dữ liệu được thu thập bởi Hoạt động nguồn đặc biệt (SSO) – bộ phận chịu trách nhiệm thu thập dữ liệu từ các cáp mạng. Sau cùng, NSA dường như lệ thuộc vào một vài tuyến cáp quan trọng cho khoảng 2/3 thu thập dữ liệu mạng.

Phan Bình (Tổng hợp)