网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

2016年1月，时任TAO指挥官罗伯特·乔伊斯（Robert Joyce）在美国旧金山召开的Usenix恩尼格码安全会议上公布了TAO整合资源、发动进攻的常规思路。他表示，TAO在选定入侵目标后，会遵循六个步骤展开行动，即侦察、初步开采、持久攻击、工具安装、横向移动和数据收集和渗出。其中“侦察”不仅是指在系统之外对入侵目标进行扫描，也包括借助公开资料等找到重要人物及其电子邮件等信息。“开采”则是TAO内部常用的术语，TAO将其整套入侵流程称作“计算机网络开采（CNE）”。

乔伊斯的这种分享行为在NSA内部相对罕见。一部发行于2012年的纪录片《美国国家安全局揭秘：美国网络秘密》提到，由于害怕暴露身份，NSA的内部人员很少会在公开场合露面。尽管如此，那些受雇于TAO的人并非无迹可寻。在领英上围绕关键词“Tailored Access Operations”进行搜索，可以找到不少曾经或仍在为TAO服务的人员信息，例如在2010年2月至2011年6月担任TAO分析员的Teresa Pannell，拥有9年NSA工作经验、NSA黑客证书和NETA1100 TAO概述证书的信号专家John Lawrence，从麻省理工大学电子工程和计算机科学学院毕业、目前可能仍在TAO工作的系统软件专家Michelle Dinozzo（可能为化名）等。此外，有的网络安全威胁情报平台间或也会分享一些关于NSA黑客的溯源信息，多出于示警目的。

在领英上可以找到部分曾经或仍在为TAO服务的人员信息。

网络安全威胁情报平台分享的与美国NSA黑客有关的溯源信息。

只不过，相较于黑客们的身份，情报社区更关注的还是这些黑客掌握的技术，及其使用技术的意图。

2013年的“棱镜门”事件让世界意识到，美国国家安全局从微软、雅虎、谷歌、苹果等9家知名跨国服务商的服务器直接收集信息，其许可的监听对象不仅包括美国以外地区使用上述服务器的客户，也包括美国国内与海外有联系的公民。《明镜》在同年的报道中还指出，TAO内部的AT&O小组负责执行“网外行动”。该行动的实质即安排美国中央情报局的特工在海外的计算机或电信系统上秘密安装窃听装置，以便TAO的黑客从米德堡远程访问这些系统。

这些丑闻固然使NSA陷入信任危机，但按照《纽约时报》在2017年11月发表的一篇报道中的说法，它给NSA带来的威胁其实远不如3年后的“影子经纪人”事件：从2016年8月至2017年中旬，“影子经纪人”先后以拍卖、订阅和免费披露的方式公开了一系列被认为与TAO有密切联系的“方程式组织”的黑客工具。这些捆绑了实际代码的工具不仅可直接作用于对包括美国及其盟友在内的多国网络系统的攻击，导致WANNACRY等蠕虫式勒索病毒广泛传播，也将美国NSA的安保能力置于尴尬的境地。

多年来，美国联邦调查局通过广泛的调查，先后逮捕了哈罗德·托马斯·马丁三世（Harold T. Martin III）、Nghia H. Pho、贾雷·达尔克（Jareh Dalke）等多位将NSA的保密资料带离工作场所的雇员，但始终难以将他们与“影子经纪人”联系起来。“影子经纪人”的真实身份至今成谜。

另一方面，“影子经纪人”披露的一系列网络攻击武器也给世界上更多调查机构提供了研究TAO入侵思路及方法的机会。例如，总部位于瑞士的信息安全公司Kudelski Security在2017年5月发表博客，称其研究人员正通过测试“影子经纪人”发布的武器建立威胁情报（IOC）文档，以便识别被这些工具、漏洞和脚本针对的全球客户群。

随着研究的深入，威胁情报社区对TAO这个“幕后组织”也有了更多了解 。截至2022年6月22日，美国electrospaces.net网站已经累计整理了400余个和TAO相关的编码词，其中超过三分之一是关于TAO使用的入侵工具的代称，如STORMPIG（指代TAO在 TAONet上用于僵尸网络攻击的数据清理工具）和BANANAAID；还有一些是被认为由TAO发动的黑客入侵项目的代号，如MURPHYSLAW，或形容黑客的代词，如CUTEBOY和ALOOFNESS；但也有一些专有名词，例如ECLECTICPILOT和FINKCOAT，尽管已经在被认为与TAO有关的文件中发现，但具体指向仍然不明。

入侵的目标