德国Heise网站获得的多份保密文件显示,2009年,英国情报部门国家通信总局(GCHQ)将TCP端口扫描列为了一种针对目标国家进行情报活动的“标准工具”。在代号为“Hacienda”的项目中,共有27个国家成为了GCHQ的目标。
这些保密文件并没有描述对大规模端口扫描必要性进行评估的具体流程。此外值得指出的是,对整个国家的计算机进行端口扫描并非异想天开。2013年,一种名为Zmap的端口扫描工具得到部署。只需一台PC,这种端口扫描工具就可以在不到1小时的时间里对所有IPv4地址进行扫描。这种技术的大规模应用可能导致全球各地的服务器遭到恶意攻击。
这些文件中列出的、成为被扫描目标的网络服务包括HTTP和FTP,以及SSH和SNMP等常见的网络管理协议。与此同时,Zmap等端口扫描工具的发展使得任何人都可以进行复杂的扫描。因此,对于此次曝光的消息,令人震惊的并不是使用的技术,而是整个行动的规模。
在进行端口扫描的同时,GCHQ还会从被扫描服务器下载“欢迎”信息。这样的信息是一段文本,其中通常会显示相关服务器的系统和应用信息,例如版本号等。这些信息对于寻找漏洞,进行攻击很有帮助。进行如此大规模的扫描表明,这一情报活动并非针对特定目标,而是以各种方式收集情报,寻找存在漏洞的服务。
而筹划对SSH和SNMP协议进行攻击表明,GCHQ瞄准了关键的基础设施,例如网络运行系统。此前曾有消息称,GCHQ渗透了比利时电信和Stella的网络。根据报道,如果某一员工的计算机系统和网络信息可能是有用的,这样的系统和人员将成为攻击目标。
文件显示,GCHQ还与“Five Eyes”情报组织的其他成员,包括美国、加拿大、澳大利亚和新西兰,分享获得的情报。此外,Five Eyes的情报部门之间使用Mailorder作为安全传输协议,交换收集到的数据。
