揭秘!美军方部门采购了几乎覆盖全球互联网流量的监控工具及数据服务

作者:安数网络 发布时间:2022-09-26 09:08:07 浏览次数:235

据知名科技媒体Motherboard报道,Team Cymru公司的“Augury”工具收集了高度敏感的网络数据,此数据正在向美国军方出售。

1、事件

美国军方多个部门已经购买了一个强大的互联网监控工具,该工具声称可以覆盖全球90%以上的互联网流量,甚至在某些情况下可以访问用户的电子邮件数据、浏览历史记录等其他敏感信息,例如 cookie数据、合同和其他文件。 

美参议员Ron Wyden表示,一位举报人已经与他的办公室联系,涉及海军刑事调查局(NCIS)非授权购买和使用网络流量数据,此前他已就这份举报材料向美国国防部提出了投诉。这些数据涉及的工具名为 Augury,由网络安全公司Team Cymru开发,将大量数据打包在一起,作为付费服务提供给政府和企业客户。私营行业的网络安全分析师会使用Augury工具跟踪黑客的活动或溯源,政府领域的专家和刑事调查机构也购买过该工具。军事机构没有披露该工具的使用情况。然而,Team Cymru如何获得这些有争议的数据,并将其作为业务出售?事实真相或许会令人担忧。

Motherboard对一份美国政府采购记录中Augury工具的数据来源进行了调研:Augury工具的网络数据来自全球550多个采集点,包括欧洲、中东、南北美洲、非洲和亚洲的采集点,并且每天更新至少1000亿条新记录。Augury工具提供对PB量级的当前和历史数据的访问。美国海军、陆军、网络司令部和国防反间谍与安全局已经支付了至少350万美元来访问 Augury工具。这使得军方可以利用大量敏感信息追踪互联网数据及使用情况。大多数此类交易围绕着从智能手机收集的地理位置信息开展,购买Augury工具的行为表明,这类数据也延伸到了与互联网使用更直接相关的信息。

2、数据
分析采购记录可以得知,Augury工具向用户提供各种不同类型的互联网数据,包括与电子邮件、远程桌面和文件共享协议相关的据包捕获数据 (PCAP)。PCAP 通常包含对数据的完整捕获,并包含有关网络活动的非常详细的信息。比如,从一台服务器发送到另一台服务器的请求,以及后者对前者的响应。
密切关注数据交易的网络安全研究员扎克·爱德华兹表示:PCAP数据包含了网络流量的一切。Team Cymru透露,它确实限制了提供给使用者的数据,但没有说明实际上向平台的用户提供了哪些数据。与政府采购记录中列出的数据相比,一些私营行业用户对 Augury工具中某些数据类型的访问权限似乎更少。
Augury工具的数据还包括Web浏览器活动,例如访问的URL和cookie的使用情况。Cookie是网站在人们访问它们时植入计算机的敏感文件。鉴于其独特性,cookie可以有效地对用户活动进行跟踪。例如,Facebook和Google使用cookie来跟踪特定用户从一个网站到另一个网站的活动,然后,美国国家安全局随后利用这些 cookie来确定黑客攻击目标。Augury工具面板的截图显示了包含 cookie、访问的 URL 和电子邮件数据的结果。
Augury工具还包含了网络流量数据,它创建了整个网络的流量和流量图。这可以包括服务器之间的通信,这些信息通常只对服务器所有者自己或承载流量的互联网服务提供商可用。该网络流量数据可用于跟踪通过VPN访问的流量,并显示它们最终连接的服务器,因此可用于识别黑客正在使用的基础设施。Team Cymru从互联网服务提供商(ISP)获取此网络流量数据,作为回报,Team Cymru为ISP提供威胁情报。这种数据传输很可能在未经ISP的用户同意的情况下发生。用户几乎不知道他们的数据被提供给 Team Cymru,随后出售访问权限。目前尚不清楚Team Cymru究竟从何处获得PCAP和其他更敏感的信息。
Team Cymru并未直接回答Augury工具是否包含采购记录显示的cookies、访问的URL和PCAP数据,而是在一封电子邮件中透露:“Augury工具的设计不针对特定用户或用户活动。不拥有将数据记录与任何用户关联起来所需的信息。”
“Augury工具不提供用户/订户信息,也不提供显示任何生活模式的结果,防止其被用于针对个人。Augury工具只捕获有限的可用数据样本,只允许对有限的样本和有限的数据进行查询,这些数据都来自于恶意软件、恶意活动、蜜罐、扫描的第三方。”
不过,一些组织使用Team Cymru的数据作为调查的一部分来识别特定的计算机。2021年7月,Citizen Lab的研究人员发布的一份关于以色列间谍软件供应商Candiru的报告中写道,他们使用 Team Cymru的数据来识别疑似感染了Candiru恶意软件的计算机,随后基于这些数据关联到了该计算机的所有者。
3、可能的买家
Augury工具可以访问PCAP数据、URL和cookies的消息可能与美国海军部购买该工具的记录有关。美国海军部购买了一个“白金”级别Augury工具许可证。除此之外,尚不清楚Team Cymru的哪些美国政府客户可以访问更敏感的数据。美国陆军、网络司令部和国防反间谍与安全局的记录虽然没有明确包括白金许可证,但这些机构支付的金额与美国海军支付的相同。
这些与美国政府的交易是通过Argonne Ridge Group公司进行的,该公司与Team Cymru共享一个地址。事实上Argonne Ridge Group是Team Cymru的附属机构,处理与公共机构的合同。
尽管没有明确提及Augury工具,但Motherboard发现Argonne Ridge Group与美国FBI和特勤局之间存在多份合同。联邦调查局的一份合同称,“它将获得资金批准,以从一家商业供应商处购买网络全流量,并将其整合到网络情报分析师可用的现有网络流量数据中。” 
美国陆军、国防部反间谍和安全局未就有关购买Augury工具一事发表声明。
美国海军信息办公室的 Charles E. Spitos表示,NCIS根据所有适用的法律和法规进行调查和行动,使用净流量数据不需要搜查令。Spirtos补充道,NCIS在任何刑事调查期间都没有使用网络流量,但会将网络流量数据用于各种反间谍目的。
参议员Wyden表示他们收到的投诉特别涉及到NCIS的使用,后续发现该部门确实与Argonne Ridge集团有合同。
4、举报者的投诉
参议员Wyden在致美国国土安全部、司法部和国防部监督部门的信中写道:“我的办公室最近接到了一项举报,描述了他们对军事指挥系统提出的一系列正式投诉,涉及海军刑事调查局(NCIS)无授权购买和使用网络流量数据。” 
举报人声称NCIS正在从Cymru购买数据,其中包括网络流量记录和一些通信内容。Wyden审查了美国政府访问Augury工具的各种合同,并要求美国国土安全部、司法部和国防部的监督部门调查未经授权购买和使用互联网浏览记录的行为。对此,美国国防部监察长办公室并未对此发表任何言论。
5、Team Cymru背后的人
除了担任Team Cymru的CEO外,Rabbi Rob Thomas还担任Tor的董事会成员,这是一个维护TOR软件的专注于隐私的非营利组织。该软件是TOR匿名网络的基础,该网络由数千个志愿者运行的服务器组成,允许任何人匿名浏览互联网。 
TOR项目网站表示:“与TOR用户一样,开发者、研究者和创始人是一个多样化的群体。但是,所有参与TOR的人都因为一个共同的信念而团结在一起:互联网用户应该能够私下访问一个不受监控的网络。” 此外,Thomas同时还是一家互联网活动溯源公司的首席执行官。
6、一些历史事件
Motherboard此前曾披露过美国军方购买其他数据的行为。2020 年,Motherboard发现一款下载量超过 9800 万次的穆斯林祈祷应用程序将其位置数据出售给了X-Mode。X-Mode的客户也包括美国军事承包商。
Motherboard还发现美国特种作战司令部购买了Locate X,一种基于从普通应用程序中获取位置数据的监视工具。去年 3 月,一个执行无人机袭击作战任务的军事单位也购买了Locate X。
在 Motherboard公布调查结果后,参议员Wyden向美国国防部询问了有关其数据购买的更多信息。由于美国国防部随后的一些回应是以某种特殊形式(比如以密件形式)给出的,这意味着Wyden办公室无法合法地公布有关监视的细节。Wyden在2021年5月给国防部的第二封信中写道,“写信是为了敦促向公众公布有关国防部(DoD) 在无证据情况下对美国人进行监视的信息”,暗示五角大楼正在进行此类监视, Wyden 的一位助手表示,这个问题与美国国防部购买互联网元数据有关。
据Gizmodo当时报道,美国众议院8月批准了对明年军事预算的修正案,这将要求美国国防部开始披露任何通常需要授权的网络浏览或智能手机数据购买行为,但尚未得到美国参议院的批准。










及时掌握网络安全态势 尽在傻蛋网络安全监测系统

【网络安全监管部门】免费试用

本文来源:互联网

如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明