美英情报机构如何窃听亚洲数据

“

有报道指出美英两国情报部门疑似利用先进技术手段侵入亚洲和欧洲多条重要海底电缆进行数据窃听活动。据悉这些光缆是通信的核心组成部分，连接着不同的国家和地区，承载着海量的信息传输。 

”

从披露的文件显示，美国国家安全局第四大电缆窃听计划（代号为 INCENSER）的数据来源只有一个：连接亚洲和欧洲的海底光缆。

到目前为止，只知道 INCENSER 是 WINDSTOP 的一个子计划，每月收集大约 140 亿条互联网数据。

据透露，一系列数据原来是在英国的Cable & Wireless（现为Vodafone集团的一部分，代号为GERONTIC）的鼎力协助下诞生的。这数据收集地点位于康沃尔郡，一个代号为NIGELLA的秘密之地。

通过开源情报，本文梳理了整个拦截链，从母程序一直到物理拦截设施。在这里，我们将从最近和早期的一些文件中拼凑出关于这些不同阶段和计划的已知信息。

图：GERONTIC 根据 INCENSER 和 WINDSTOP 项目在 NIGELLA 接入的光缆。

代号NIGELLA分析

英国广播公司 Channel 4、德国地区广播公司 WDR 和 NDR 以及德国报纸《南德意志报》联合报道，将NIGELLA 确定为位于Skewjack 和 Reliance 光缆交汇处的拦截设施。

解释一下，Skewjack 是英国英格兰康沃尔郡西部一块土地的名称，位于 Land's End 以东约2 公里处的 B3315 公路上。曾是英国皇家空军  RAF Sennen 的所在地，现在是全球光纤连接终端大楼的所在地。

图：全球光纤连接终__端大楼。

大西洋1号光缆 

FLAG Atlantic 1 (FA1)

就在康沃尔郡 Polgigga Cottage 的西北，有一座大型建筑，于 2001 年为 FLAG Telecom UK Ltd 建造，耗资 530 万英镑，是海底光缆两端的终点站：一端来自大西洋彼岸，另一端横跨英吉利海峡到达法国的布列塔尼。

大西洋1号 FLAG Atlantic 1 (FA1)连接北美东海岸和英国及法国（6,000 公里）。

FLAG（全文Fibre-optic Link Around the Globe）意思是全球光纤连接。

大西洋1号光缆连接美国，由 6 对光纤组成，每对光纤可承载 40 个（最终可达 52 个）独立光波长，每个波长可承载 10 Gigabit/s 的流量。

这意味着每条光缆的潜在容量为 2.4 TB/s。然而，2009 年实际使用的流量仅为 640 Gigabit/s，而 2011 年显然已上升至 921 Gigabit/s。

图：康沃尔郡 Skewjack Farm 的 FLAG 终点站。

该光缆最初归 FLAG Telecom 所有，FLAG 代表全球光纤连接。该公司成为印度公司 Reliance Communications (RCOM) 的全资子公司后更名为 Reliance Globalcom。2014 年 3 月，Reliance Globalcom 再次更名，现更名为 Global Cloud Xchange (GCX)。

欧亚光缆

FLAG Europe-Asia （FEA）

更重要的是另一条更长的海底光缆，也归该公司所有，其登陆点位于 Skewjack Farm 西南几英里处的 Porthcurno 海岸。

该线路通过地中海将英国与日本连接起来，登陆点位于埃及、沙特半岛、印度、马来西亚、泰国、CN、中国香港、台湾地区、韩国和日本。

该光缆有 2 对光纤，每对光纤能够承载多达 40 个不同的光波长，每个波长可以再次承载 10 千兆位/秒的流量。

这提供了 800 千兆位/秒的潜在容量，但在 2009 年仅使用了 70 千兆位/秒，2011 年上升到 130 千兆位/秒，仍然是难以想象的每秒 130,000,000,000 比特。

图：FA1 和 FEA登陆点和 Skewjack Farm 终点站。

大西洋1号光缆 (FA1) 和欧亚光缆 (FEA) 之间的回程连接由 Cable & Wireless 的局域网提供，该局域网还将两条海底电缆连接到其陆地互联网骨干网络。

根据 2009 年新披露的英国通讯总部（GCHQ）光缆主列表，FA1 和 FEA 光缆的拦截发生在与此回程连接的交叉点：

该列表还显示，这两条光缆的拦截伴随着代号为 PFENNING ALPHA 的计算机网络利用 (CNE) 或黑客行动。

由于光缆所有者（Reliance Globalcom，现为 Global Cloud Xchange）不是 GCHQ 的合作伙伴，因此他们侵入 GCHQ 的网络以获取额外的路由器监控网页和GTE [全球电信开发] 的性能统计数据。

拦截设备

实际拦截如何进行，可以从 2013 年 6 月《卫报》的一篇文章中了解，该文章提供了有关光缆窃听点高度复杂的计算机设备的一些详细信息。

首先，数据流通过所谓的 MVR进行过滤，该技术会立即拒绝高容量、低价值的流量，例如点对点下载。

提取情报

下一步是提取，如电话号码和电子邮件、重要IP 和 MAC 地址的信息包。据《卫报》报道，2011 年，英国政府通信总部 (GCHQ) 选择了其中的 40,000 个，美国国家安全局 (NSA) 选择了 31,000 个。

这种过滤很可能是由波音子公司 Narus 的设备完成的，这些设备可以实时分析大量互联网流量。

一台 NarusInsight 机器可以监控高达 10 Gigabit/秒的流量，这意味着必须有多达十几台机器才能过滤来自 FA1 和 FEA 海底光缆的相关流量，以这种方式提取的大部分信息都是互联网内容，例如电子邮件。

除了使用特定选择器进行过滤外，数据还会进行提取对话内容，所有类型的 IP 流量（如 VoIP、电子邮件、网络邮件和即时消息）都会被重建。

这些完整记录会话以滚动缓冲区的形式存储在 XKEYSCORE 服务器上：内容数据仅存储三到五天，元数据存储长达 30 天。

但根据 2008 年的一份 NSA 文件，在某些站点，每天收到的数据量（20+ TB）只能存储短短 24 小时。

目标是提取流经接入点的流量中最好的 7.5%，然后通过两个 10 千兆位/秒的通道，从分接点回程到英国政府通信总部大楼。这可能是一条专用电缆，或一条通过连接大楼和康沃尔西南部的常规 Cable & Wireless 主干网的安全 VPN 路径：

图：康沃尔郡的 Cable & Wireless 互联网主干线（黄色）和与海底光缆的连接（红色）。

GERONTIC（Cable & Wireless）

关于这些光缆窃听行动的秘密文件仅提到了合作电信提供商，其化名是 GERONTIC。真实名称受到 STRAP 2 传播限制的保护。但尽管如此，德国媒体去年已经透露 GERONTIC 就是 Cable & Wireless。

2012 年 7 月，Cable & Wireless Worldwide 被沃达丰以 10.4 亿英镑收购，但根据英国政府通信总部文件，GERONTIC 这个化名一直延续，并且至少在 2013 年 4 月之前一直有效。

根据新闻报道，英国政府通信总部可以访问 63 条海底互联网光缆，其中 29 条是在 GERONTIC 的帮助下访问的。这占到 2009 年 GCHQ 可以访问的互联网数据总量的 70% 左右。

Cable & Wireless 参与了这 29 条电缆的建设，因为它拥有直接光缆所有权 (DCO)、不可撤销使用权 (IRU) 或租用容量 (LC)。

除此之外，2009 年的 GCHQ 光缆主列表还将 GERONTIC 列为以下九条光缆的登陆合作伙伴：

1. 大西洋1号光缆 （FA1）

2. 欧亚光缆（FEA）

3. 阿波罗北光缆

4. 阿波罗南光缆

5. 索拉斯光缆

6. 英国-荷兰 14号光缆

7. 英国-法国 3号光缆

8. 欧洲印度门户光缆 （EIG）

9. GLO-1光缆

英国政府通信总部V基页面披露的摘录显示，Cable & Wireless 从 2008 年起至少在 2010 年与英国政府通信总部定期举行会议，以提高接入可能性，例如选择哪些光缆和波长将为捕获想要的通信提供最佳机会。

英国政府通信总部还向 Cable & Wireless 支付了数千万英镑的费用。例如，2009 年 2 月支付了 600 万英镑，2010 年预算提到向该公司支付了 2030 万英镑。

相比之下，美国安全局(NSA)在 2013 年向其所有合作电信公司支付了总计 2.78 亿美元。

INCENSER (DS-300)

在有关英国政府通信总部光缆窃听的文件中，还有一小部分内部词汇表，其中包含一个关于 INCENSER 的条目，说这是该机构的一个特殊源收集系统，进一步被指定为来自 NIGELLA 访问的 GERONTIC 交付。

这个条目也出现在德国电视杂志 Monitor 中，虽然不是完整的，但没有删节，所以从这个来源知道了出于某种原因被删节的几个额外单词。

该条目还说，INCENSER 流量被标记为 TICKETWINDOW，带有 SIGINT 活动指示器 (Sigad) DS-300。

从另一个来源知道 TICKETWINDOW 是一个使第二方合作伙伴可以使用光缆窃听收集的系统。以 DS 开头的 Sigads 的确切含义仍不清楚，但可能也表示第二方收集。

TEMPORA

英国政府通信总部设有区域处理中心 (RPC)，2012 年，该中心在 TEMPORA 计划下拥有所谓的“深度处理”能力，可处理 23 个 10 千兆位/秒的通道。

TEMPORA 包含不同的组件，例如光纤电缆的实际接入点、大规模容量缩减 (MVR) 功能、代号为 POKERFACE 的消毒程序和 XKEYSCORE 系统。

分析数据

这些收集系统可以远程指示任务，甚至也可以从美国安全总部指示。一方面，这涉及输入电话号码和互联网地址等强选择器。另一方面，这是通过使用 XKEYSCORE 的附加功能。

由于后者系统缓冲了完整的会话，分析师还可以使用关键词对英语、阿拉伯语和中文的电子邮件和聊天消息正文、数字文档和电子表格进行查询。

XKEYSCORE 还允许分析师查找加密的使用情况、VPN 或 TOR 网络的使用情况，以及可能导致目标的其他一些因素。

这对于追踪匿名执行的目标互联网活动特别有用，因此仅通过查找目标的已知电子邮件地址无法找到这些活动。

找到此类内容后，分析师可能能够找到新的情报，然后可以使用它们开始传统搜索。

黑客行动

根据 2014 年 12 月 The Intercept 发布的 2010 年 NSA 演示文稿，INCENSER 访问还能够支持 QUANTUMBOT（IRC 僵尸网络劫持）、QUANTUMBISQUIT（针对大型代理背后的目标）和 QUANTUMINSERT（HTML 网页重定向）黑客技术。

QUANTUMTHEORY 计算机网络开发框架的另外两个组件 QUANTUMSQUEEL（用于注入 MySQL 数据库）和 QUANTUMSPIM（用于即时消息传递）已经过测试，但尚未投入使用。

这意味着在 INCENSER 收集站点 NIGELLA，还有 TURMOIL 传感器，可以检测目标用户的数据包是否在流过的流量中。

TURMOIL 会向代号为 TURBINE 的中央自动指挥和控制系统发出警报，然后该系统会按照美国安全局黑客部门 Tailored Access Operations (TAO) 的指示发起一次或多次 QUANTUM 攻击。

可能的目标

从披露的英国政府通讯总部文件没有包含 INCENSER 计划的具体目标或目的，这为 Channel 4 提供了机会，声称 Cable & Wireless/Vodafone 的这种访问允许英国间谍收集全球数百万互联网用户的私人通信。沃达丰在德国电信市场也占有很大的份额，甚至与窃听默克尔总理有关。

默克尔的电话可能被其他方式窃听，而且英国和美国都不关心普通互联网用户的私人通信。相反，通过窃听连接亚洲和中东的海底光缆，INCENSER 更关注后者地区的高优先级目标。

相关链接请点击：

对美国国家安全局绝密文件分析

图：英国政府通讯内部词汇表中以 IR 和 YM 开头的案例符号的删节源三字母组似乎指向伊朗（伊拉克为 IQ）和也门，它们是 INCENSER 计划的目标国家。

形成报告

尽管就收集量而言，INCENSER 是美国国家安全部门第四大光缆窃听计划，但情报分析师能够据此撰写的情报报告仅排在总统每日简报的第 11 位。 

INCENSER 计划下收集的数据不仅由英国政府使用，还由美国使用，美国安全部门将此类第二方来源归类为代号 WINDSTOP。

因此，INCENSER 首次出现在《华盛顿邮报》于 2013 年 10 月发布的关于 MUSCULAR 计划的演示文稿中。

根据美国安全局2013 年外国合作伙伴访问预算（该预算于去年 6 月由 Information and The Intercept 发布），WINDSTOP 涉及所有第二方国家（主要是英国，但也包括加拿大、澳大利亚和新西兰），重点是通过一个综合的总体收集系统访问进出欧洲和中东的通信。

MUSCULAR 是一个计划，根据该计划，连接 Google 和 Yahoo 大数据中心的光缆会被窃听。窃听设施也位于英国某处，数据由英国和美国 在联合处理中心 (JPC) 使用 XKEYSCORE 的第 2 阶段版本进行处理。

此前《南德意志报》发布了关于 WINDSTOP 的演示文稿，其中透露了第三个项目代号为 TRANSIENT THURIBLE。《卫报》曾在 2013 年 6 月报道过关于该项目的报道，称这是 GHCQ 管理的 XKeyscore Deep Dive 功能，元数据自 2012 年 8 月起流入 NSA 存储库。

2013 年 11 月，《华盛顿邮报》发布了 BOUNDLESSINFORMANT 的截图，其中显示了 WINDSTOP 项目下数据收集的数字。2012 年 12 月 10 日至 2013 年 1 月 8 日期间，收集了超过 140 亿条元数据记录。

顶部的条形图按日期显示数字，DNR（电话）为绿色，DNI（互联网）为蓝色。下部中间的部分显示这些数据由以下程序收集：

DS-300（INCENSER）：141 亿条记录

DS-200B（MUSCULAR）：1.81 亿条记录

INCENSER 每月收集的互联网数据超过 140 亿条，是美国国家安全局第四大光缆窃听计划，占负责收集互联网电缆数据的部门特别来源行动 (SSO) 收集总量的 9%。

根据另一张 BOUNDLESSINFORMANT 图表，美国国家安全局的五大光缆窃听计划如下：

令人惊讶的是，仅一条光缆接入（位于康沃尔郡的 NIGELLA）就提供了 NSA 从互联网光缆收集到的所有信息的近十分之一。这也意味着，除了大量小型光缆接入外，美国安全局似乎仅依靠几条重要的光缆就从此类来源收集到了约 2/3 的信息。

识别下方二维码

立即加入

地缘信息

知识分享平台

开启全球情报探索之旅

洞察世界

一手掌握全球情报动态！

[

探索美国总统的秘密通话工具：揭秘专用手机的加密技术！

2024-07-10

](https://mp.weixin.qq.com/s?__biz=MzA3Mjc1MTkwOA==&mid=2650552496&idx=1&sn=0107628d5f96be902080bba155bff5cb&chksm=871116fbb0669fedd961f99142d7df388f7e3b6841f1fe4baa14444467beef66efaa9b466ae4&scene=21#wechat_redirect)

[

对境外某有组织犯罪头目的轨迹研判

2024-07-09

](https://mp.weixin.qq.com/s?__biz=MzA3Mjc1MTkwOA==&mid=2650552227&idx=1&sn=5e866ea3ca88d0e7ee0eee8c94cb6279&chksm=871119e8b06690fe83cfff51956a9d4d8c9ff00153deb648929be63f4517e2d0e6d357f3b168&scene=21#wechat_redirect)

[

对美国国家安全局绝密文件分析

2024-07-08

](https://mp.weixin.qq.com/s?__biz=MzA3Mjc1MTkwOA==&mid=2650552194&idx=1&sn=37a0054bc572beb2191b1a0e6beb2543&chksm=871119c9b06690dfa248a484af032fa90f57b74468e6519a761c7fc9e0aac8a36c985252a186&scene=21#wechat_redirect)

[

揭秘间谍行动中的高超伪装技巧

2024-07-06

](https://mp.weixin.qq.com/s?__biz=MzA3Mjc1MTkwOA==&mid=2650551976&idx=1&sn=c34f8774c4b277bd74d2b79ff2581004&chksm=871118e3b06691f588155334a250a4f96c37658ffa6087617e4b89cd460201a62c2dcbdd6140&scene=21#wechat_redirect)

[

【370页必读书】开源情报方法和工具：在线情报实用指南

2024-07-10

](https://mp.weixin.qq.com/s?__biz=MzA3Mjc1MTkwOA==&mid=2650552496&idx=2&sn=1157a086e7af27bea276da84342e76f8&chksm=871116fbb0669fed849757b34830bca6c1fae8c66d07c59142c4645f01d651f4e6d0e7d588d0&scene=21#wechat_redirect)