Konteks Etis & Legal

QUANTUM adalah program ofensif jaringan aktif milik NSA yang diungkap oleh Edward Snowden pada 2013. Informasi di bawah berasal dari dokumen yang bocor, analisis forensik oleh peneliti keamanan, serta laporan threat intelligence. Pembahasan ini murni edukasional dan defensif. Tidak ada instruksi atau advokasi untuk melakukan serangan serupa. Tujuan: membekali defender dengan pemahaman tentang ancaman injeksi jaringan tingkat negara.


🧬 Apa Itu QUANTUM?

QUANTUM adalah program ofensif jaringan aktif NSA yang memungkinkan agen untuk mengalihkan, mencegat, dan memanipulasi traffic internet secara real-time. Ini adalah salah satu program paling rahasia NSA yang diungkap oleh Edward Snowden, dan merupakan fondasi teknis dari banyak operasi mata-mata digital AS.

Jika UPSTREAM dan TEMPORA adalah pengawasan pasif (mendengarkan), QUANTUM adalah pengawasan ofensif β€” ia mengubah traffic yang sedang berjalan untuk mengarahkan target ke server exploit (FOXACID) atau menyuntikkan malware langsung ke sesi browsing mereka.

QUANTUM vs QUANTUM Insert

Sering ada kebingungan antara istilah ini:

IstilahMakna
QUANTUM (program)Program NSA secara keseluruhan untuk network attack aktif.
QUANTUM InsertTeknik spesifik: HTTP race condition injection.
QUANTUM TheoryTeknik BGP hijack untuk mengalihkan traffic.
QUANTUM DNSDNS poisoning/spoofing untuk mengarahkan ulang target.

QUANTUM adalah payung besar, sedangkan QUANTUM Insert, QUANTUM Theory, dan QUANTUM DNS adalah teknik-teknik di bawahnya.


πŸ—οΈ Arsitektur QUANTUM

QUANTUM bergantung pada posisi strategis di backbone internet. NSA menempatkan server QUANTUM di titik-titik pertukaran internet (IXP) utama dan di dalam jaringan operator telekomunikasi besar (AT&T, Verizon, dll. melalui program FAIRVIEW dan STORMBREW).

Komponen Utama

KomponenFungsi
QUANTUM ServerServer yang memonitor traffic backbone secara real-time dan menyuntikkan respons palsu.
QUANTUM BGP EngineUntuk mengumumkan rute BGP palsu dan mengalihkan traffic target.
QUANTUM DNS EngineUntuk melakukan DNS spoofing terhadap permintaan target.
Target DatabaseBerisi selector (IP, cookie, username) dari target yang telah diidentifikasi.
FOXACID IntegrationIntegrasi langsung dengan server exploit delivery FOXACID.
TURBINE IntegrationIntegrasi dengan sistem manajemen implant otomatis.

Arsitektur Alur Serangan

[Target] ── HTTP/DNS Request ──► [Internet] ──► [Server Asli]
   β”‚                                β”‚
   β”‚                                β–Ό
   β”‚                     [QUANTUM Server di Backbone]
   β”‚                     (Monitor traffic, cocokkan
   β”‚                      dengan Target Database)
   β”‚                                β”‚
   β”‚                     β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”Όβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
   β”‚                     β–Ό          β–Ό          β–Ό
   β”‚              [Match!]    [No Match]   [Error]
   β”‚                     β”‚
   β”‚                     β–Ό
   β”‚              [QUANTUM Action]
   β”‚         (Pilih teknik terbaik:
   β”‚          - Race condition injection
   β”‚          - BGP hijack
   β”‚          - DNS poisoning)
   β”‚                     β”‚
   β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜
                         β”‚
                         β–Ό
                [Target menerima respons palsu]
                         β”‚
                         β–Ό
                [Target diarahkan ke FOXACID
                 atau langsung menerima malware]

πŸ”¬ Teknik Serangan QUANTUM

1. QUANTUM Insert (HTTP Race Condition Injection)

Ini adalah teknik paling umum dan sudah dibahas secara mendalam di dokumen Quantum Insert + Blackpearl.

Ringkasan:

  • QUANTUM memonitor traffic HTTP target.
  • Ketika target melakukan GET ke website tertentu, QUANTUM mengirimkan respons HTTP 302 Redirect palsu.
  • Respons palsu harus menang race condition dengan respons server asli (QUANTUM lebih dekat ke target secara jaringan).
  • Target diarahkan ke server FOXACID.

Keunggulan:

  • Cepat (milidetik).
  • Tidak memerlukan BGP hijack.
  • Bekerja pada traffic yang tidak terenkripsi (HTTP) atau jika SSL bisa di-bypass.

2. QUANTUM Theory (BGP Hijack)

Teknik ini jauh lebih kuat dan memungkinkan pengalihan semua traffic target, bukan hanya HTTP.

Cara Kerja:

  1. NSA memiliki akses ke router BGP di beberapa ISP besar (melalui program FAIRVIEW/STORMBREW).
  2. Untuk mengalihkan traffic target, NSA mengumumkan BGP prefix yang lebih spesifik untuk IP server yang menjadi tujuan target.
  3. Karena prefix yang lebih spesifik menang dalam routing BGP, traffic target dialihkan melalui router NSA.
  4. NSA sekarang menjadi Man-in-the-Middle penuh β€” bisa melihat, memodifikasi, atau mengalihkan traffic.

Contoh:

  • Target ingin mengakses mail.google.com (IP: 142.250.185.206).
  • NSA mengumumkan prefix 142.250.185.206/32 (lebih spesifik dari /24 milik Google).
  • Traffic dialihkan ke server NSA.
  • NSA bisa menyajikan halaman login palsu, mengintersep kredensial, atau mengalihkan ke FOXACID.

Keunggulan:

  • Bisa mengintersep traffic terenkripsi (HTTPS) jika target menerima sertifikat palsu.
  • Tidak bergantung pada race condition.
  • Bisa menarget semua protokol (HTTP, HTTPS, SMTP, FTP, dll.).

Kelemahan:

  • Lebih mudah terdeteksi (BGP monitoring).
  • Memerlukan akses ke router BGP besar.
  • Hanya bisa dilakukan untuk waktu singkat (menit/jam) sebelum terdeteksi.

3. QUANTUM DNS (DNS Poisoning / Spoofing)

Teknik ini mengalihkan target dengan memalsukan respons DNS.

Cara Kerja:

  1. QUANTUM memonitor permintaan DNS target.
  2. Ketika target meminta resolusi www.target-website.com, QUANTUM mengirimkan respons DNS palsu dengan IP server FOXACID/NSA.
  3. Browser target terhubung ke IP palsu, mengira itu adalah website asli.

Keunggulan:

  • Tidak perlu race condition di layer HTTP.
  • Bisa mengalihkan seluruh domain, bukan hanya satu halaman.

Kelemahan:

  • Hanya berfungsi jika permintaan DNS tidak terenkripsi (DNSSEC dan DoH/DoT mempersulit).
  • Cache DNS di resolver lokal bisa menyimpan respons asli.

🧠 QUANTUM + FOXACID + TURBINE: Trio Serangan Otomatis

QUANTUM tidak beroperasi sendiri. Ia adalah bagian dari triad serangan otomatis NSA:

[Target] ────► [QUANTUM] ────► [FOXACID] ────► [TURBINE]
  β”‚                β”‚                β”‚                β”‚
  β”‚                β”‚                β”‚                └── Manajemen implant
  β”‚                β”‚                └── Payload delivery      otomatis
  β”‚                └── Redirect/Traffic hijack
  └── Target browsing internet
  1. QUANTUM mendeteksi dan mengalihkan traffic target.
  2. FOXACID menerima target, melakukan fingerprinting, dan mengirimkan exploit.
  3. TURBINE mengelola implant yang berhasil ditanamkan β€” menyediakan C2, mengumpulkan data, dan memungkinkan operator mengakses target.

Ketiganya terintegrasi secara real-time: QUANTUM mendeteksi target dalam milidetik, FOXACID menginfeksi dalam detik, TURBINE mengonfirmasi infeksi dalam menit.


πŸ“Š Skala Operasi QUANTUM

Dokumen Snowden mengungkapkan skala QUANTUM yang masif:

MetrikAngka (Estimasi 2012-2013)
Server QUANTUM globalPuluhan (di lokasi strategis)
Target per hariRibuan
Jenis targetDiplomat, militer, ilmuwan, jurnalis, administrator sistem
InfrastrukturFAIRVIEW (AT&T), STORMBREW (Verizon), mitra Five Eyes
Negara targetChina, Rusia, Iran, Korea Utara, Venezuela, dan lainnya

QUANTUM digunakan untuk:

  • Mata-mata diplomatik: Menginfeksi kedutaan dan misi diplomatik.
  • Kontra-terorisme: Mengalihkan komunikasi teroris ke server NSA.
  • Spionase ekonomi: Mengintersep komunikasi perusahaan asing.
  • Penegakan sanksi: Memata-matai entitas yang melanggar sanksi internasional.

πŸ” Deteksi & Countermeasures

1. Deteksi QUANTUM Insert (Race Condition)

MetodeDetail
TTL AnalysisResponse palsu sering memiliki TTL berbeda dari server asli.
Duplicate ResponseTarget menerima dua respons HTTP (302 redirect + 200 OK asli).
Network TimingResponse yang tiba β€œterlalu cepat” (lebih cepat dari geografis memungkinkan).

2. Deteksi BGP Hijack (QUANTUM Theory)

MetodeAlat
BGP MonitoringBGPMon, Qrator, RIPE RIS β€” alert jika prefix Anda tiba-tiba diumumkan oleh AS lain.
RPKI ValidationResource Public Key Infrastructure β€” memvalidasi otorisasi rute BGP.
Latency SpikeRerouting traffic melalui NSA akan menambah latency.

3. Deteksi DNS Spoofing

MetodeAlat
DNSSEC ValidationMemvalidasi respons DNS dengan tanda tangan kriptografis.
Response MismatchDNS respons dari IP yang tidak dikenal (bukan resolver tepercaya).

4. Countermeasures Umum

LapisanTindakan
HTTPS + HSTSMencegah HTTP race condition injection. Preload HSTS.
DoH/DoTDNS over HTTPS / DNS over TLS mencegah DNS spoofing.
RPKIOperator jaringan harus menerapkan RPKI untuk mencegah BGP hijack.
VPN/TorMenyembunyikan IP target dan mengenkripsi traffic, mempersulit QUANTUM.
Certificate PinningMencegah MITM dengan sertifikat palsu.

↔️ Dual-Use Spectrum

DEFENSE ◄──────────────────────────────────────────► OFFENSE

Kontra-Terorisme          Intelijen Luar Negeri     Serangan ofensif
β”‚                         β”‚                        β”‚
Mengalihkan traffic       Memata-matai             Menanamkan implant
teroris untuk             musuh asing              untuk sabotase
pengawasan                                        atau perang siber
β”‚                         β”‚                        β”‚
β”‚                         β”‚                        β–Ό
β–Ό                         β–Ό                        QUANTUM Theory
Operasi sah               Spionase                 (BGP hijack) adalah
(dengan warrant)          (kontroversial)          pelanggaran serius
                                                   kedaulatan internet

QUANTUM, terutama QUANTUM Theory (BGP hijack), adalah eskalasi ofensif yang sangat kontroversial. Mengumumkan rute BGP palsu adalah tindakan yang melanggar norma internet global dan dianggap sebagai serangan terhadap infrastruktur internet itu sendiri.


πŸ”— Koneksi dalam Vault

  • foxacid β€” QUANTUM adalah trigger redirect; FOXACID adalah payload delivery. Keduanya adalah satu kesatuan.
  • Quantum Insert + Blackpearl β€” Dokumen tersebut membahas teknik QUANTUM Insert secara mendalam; dokumen ini fokus pada program QUANTUM secara keseluruhan.
  • UPSTREAM & TEMPORA β€” Backbone interception pasif yang menjadi fondasi untuk QUANTUM (harus bisa melihat traffic sebelum bisa mengalihkan).
  • muscular β€” Intersep internal data center; QUANTUM digunakan untuk mengalihkan traffic ke titik MUSCULAR.
  • BGP Hijack β€” QUANTUM Theory adalah implementasi BGP hijack yang paling canggih.
  • drfm β€” DRFM meniru sinyal radar; QUANTUM meniru respons jaringan. Prinsip spoofing yang identik di domain berbeda.

πŸ“š Referensi

  • Snowden, E. (2013). NSA Documents: QUANTUM, FOXACID, and TURBINE (The Guardian, Der Spiegel).
  • Gallagher, R. (2014). How the NSA Plans to Infect Millions of Computers with Malware. The Intercept.
  • Cimpanu, C. (2018-2023). BGP Hijack Incidents: Analysis and Attribution. ZDNet.
  • MITRE ATT&CK: T1583.004 (Acquire Infrastructure: Server), T1189 (Drive-by Compromise), T1557 (Man-in-the-Middle).

QUANTUM (NSA) Deep Dive | Active Network Attack & BGP Hijack Program | SIGINT Offensive Operations