Comment les États-Unis ont piraté ISIS – Un bon serveur Minecraft

La salle bondée attendait un mot: "Feu".

Tout le monde était en uniforme. il y avait des séances d'information prévues, des discussions de dernière minute, des répétitions finales. "Ils voulaient me regarder dans les yeux et dire: 'Es-tu sûr que ça va marcher?' "un opérateur nommé Neil a déclaré. "Chaque fois, je devais dire oui, peu importe ce que je pensais." Il était nerveux mais confiant. Le cyber commandement américain et la National Security Agency n’avaient jamais travaillé ensemble sur un projet de cette envergure.

Quatre équipes étaient assises à des postes de travail installés comme des carreaux de lycée. Les sergents étaient assis devant les claviers; les analystes du renseignement d'un côté, les linguistes et le personnel de soutien de l'autre. Chaque station était équipée de quatre écrans d'ordinateur à écran plat sur des bras ajustables et d'une pile de listes de cibles, d'adresses IP et d'alias en ligne. Ils étaient des cyber-guerriers et ils étaient tous assis dans le genre de sièges de bureau surdimensionnés sur lesquels les joueurs d'Internet s'installent avant une longue nuit.

"J'avais l'impression qu'il y avait plus de 80 personnes dans la salle, entre les équipes et ensuite, tout le monde alignait le mur du fond pour regarder", se souvient Neil. Il nous a demandé de n'utiliser que son prénom pour protéger son identité. "Je ne sais pas combien de personnes au téléphone ont écouté dans les forums de discussion."

Depuis son poste d'observation dans une petite baie surélevée à l'arrière de l'Operations Floor, Neil avait une vue dégagée sur tous les écrans des opérateurs. Et ce qu'ils contenaient ne constituait pas une ligne de code brillante: à la place, Neil pouvait voir les écrans de connexion – les écrans de connexion des membres d'ISIS à l'autre bout du monde. Chacune d'elles soigneusement présélectionnée et inscrite sur une liste cible qui, le jour de l'opération, était devenue si longue qu'il était accroché au mur, sur une feuille de papier de 3 pieds sur 7 pieds.

Cela ressemblait à une carte de bingo géante. Chaque numéro représente un membre différent de l'opération multimédia ISIS. Un numéro représentait un éditeur, par exemple, et tous les comptes et adresses IP qui lui étaient associés. Un autre pourrait être le graphiste du groupe. Alors que les membres du groupe terroriste dormaient, une salle remplie de cyber-opérateurs militaires à Fort Meade, dans le Maryland, près de Baltimore, était prête à prendre en charge les comptes et à les écraser.

Tout ce qu'ils attendaient, c'était Neil, pour dire ce mot: "Feu".

En août 2015, la NSA et le Cyber ​​Command américain, le principal bras virtuel de l'armée, étaient à la croisée des chemins sur la manière de réagir face à un nouveau groupe terroriste qui avait fait irruption sur les lieux avec une férocité et une violence sans pareilles. La seule chose sur laquelle tout le monde semblait être d’accord, c’est que l’Etat islamique avait trouvé le moyen de faire quelque chose que d’autres organisations terroristes n’avaient pas fait: il avait transformé le Web en arme. ISIS a régulièrement utilisé des applications cryptées, des médias sociaux et des magazines et vidéos en ligne volumineux pour diffuser son message, trouver des recrues et lancer des attaques.

Une réponse à ISIS nécessitait un nouveau type de guerre. La NSA et le Cyber ​​Command américain ont donc créé un groupe de travail secret, une mission spéciale et une opération qui allait devenir l’une des plus importantes et des plus longues opérations de cyber offensive de l’histoire militaire américaine. Peu de détails sur la force opérationnelle interarmées ARES et Operation Glowing Symphony ont été rendus publics.

Chargement…

"C'était un château de cartes"

Steve Donald, capitaine de la Réserve navale, est spécialisé dans les opérations de cryptologie et de cyber, et lorsqu'il ne porte pas l'uniforme, il lance des startups en cybersécurité à l'extérieur de Washington, DC Il est pâle, à lunettes et a le comportement un peu timide d'un geek . Au printemps 2016, il a reçu un appel du chef de son unité de réserve. Il avait besoin de Donald pour entrer.

"J'ai dit, eh bien, je ne suis pas en uniforme [and he said] peu importe, si un badge vous est envoyé ", a déclaré Donald. Je ne peux pas croire que je puisse dire cela, mais ils ont mis sur pied un groupe de travail chargé de mener des cyber-opérations offensives contre ISIS."

Donald devait trouver une équipe de spécialistes pour faire quelque chose qui n’avait jamais été fait auparavant: pirater l’opération médiatique d’une organisation terroriste et la réduire à néant. La plupart des forces sont venues du quartier général des forces conjointes, une cyber opération de l'armée en Géorgie. Donald a également fait appel à des experts en lutte contre le terrorisme qui comprennent l’État islamique et qui l’ont vu évoluer d’une équipe hétéroclite d’islamistes irakiens à un statut plus ambitieux. Il y avait des opérateurs – les personnes qui seraient aux claviers pour trouver et désactiver les serveurs de clés dans le réseau d'ISIS – et des spécialistes en criminalistique numérique qui connaissaient parfaitement les systèmes d'exploitation informatiques.

"Ils peuvent dire que c'est bon, c'est mauvais, c'est ici que se trouvent les fichiers qui nous intéressent", a-t-il déclaré. Il a rencontré des analystes, des experts en logiciels malveillants, des comportementalistes et des personnes qui avaient passé des années à étudier les moindres habitudes des principaux acteurs d'ISIS. La mission, leur a-t-il expliqué, était de soutenir la défaite de l'Etat islamique – de les nier, de les dégrader et de les perturber dans le cyberespace.

C'était plus compliqué qu'il n'y paraissait.

La bataille contre le groupe avait été épisodique à ce point. Le Cyber ​​Command américain avait organisé des attaques réseau contre le groupe, mais presque dès qu'un serveur serait en panne, les concentrateurs de communication réapparaissent. La cible d'ISIS était toujours en mouvement et le groupe disposait d'une bonne sécurité opérationnelle. Il ne suffisait pas de supprimer physiquement les serveurs ISIS. Toute opération contre le groupe devait également comporter une composante psychologique.

"Cet environnement cyber implique des personnes", a déclaré Neil. "Cela concerne leurs habitudes. La façon dont ils fonctionnent. La manière dont ils nomment leurs comptes. Quand ils entrent dans la journée, quand ils partent, quels types d'applications ils ont sur leur téléphone. Est-ce qu'ils cliquent sur tout ce qui entre dans leur Ou sont-ils très étroits et restrictifs dans ce qu'ils utilisent? Tous ces éléments sont ce que nous examinons, pas seulement le code. "

Neil est un réserviste de la marine âgé de 30 ans et il ne serait pas exagéré de dire que l’opération Glowing Symphony était son idée. "Nous étions au sous-sol de la NSA et nous avons eu une épiphanie", a-t-il déclaré. Cela faisait des mois qu'il suivait le bras de propagande de l'Etat islamique – il recherchait minutieusement les vidéos et les magazines téléchargés jusqu'à leur source, cherchant des motifs révélant la manière dont ils avaient été distribués ou qui les téléchargeait. Puis il a remarqué quelque chose qu'il n'avait jamais vu auparavant: ISIS utilisait seulement 10 comptes principaux et serveurs pour gérer la distribution de son contenu dans le monde entier.

"Chaque compte, chaque adresse IP, chaque domaine, chaque compte financier, chaque compte de messagerie … tout", a déclaré Neil. Les administrateurs réseau du groupe n'étaient pas aussi prudents qu'ils auraient dû l'être. Ils ont pris un raccourci et ont continué à consulter les mêmes comptes pour gérer l’ensemble du réseau de supports ISIS. Ils ont acheté des choses en ligne via ces nœuds; ils ont téléchargé les médias ISIS; ils ont fait des transactions financières. Ils ont même eu le partage de fichiers à travers eux. "Si nous pouvions les prendre en main," dit Neil en souriant, "nous allions tout gagner".

Le jeune Marine s'est rendu dans le bureau de sa direction à la NSA, a saisi un marqueur et a commencé à dessiner des cercles et des lignes loufoques sur un tableau blanc. "Je visais partout et je disais: 'Tout est lié. Ce sont les points clés. Allons-y", se souvient-il. "Je me sentais comme si j'étais dans Il fait toujours beau à Philadelphie, quand il fait l'enquête mystère pour Pepe Silvia. Des images sur le mur et du fil rouge partout et personne ne me comprenait. "

Mais alors que Neil n'arrêtait pas d'expliquer et de dessiner, il pouvait voir les leaders commencer à hocher la tête. "J'ai dessiné ce pneu de vélo avec des rayons et tout ce qui était lié à ce nœud, puis il y en avait un autre", a-t-il déclaré. "C'était un château de cartes."

Nous avons confirmé ce compte avec trois personnes qui étaient là à l'époque. Et à partir de ces gribouillis, la mission appelée Operation Glowing Symphony a commencé à prendre forme. L'objectif était de constituer une équipe et une opération permettant de nier, de dégrader et de perturber le fonctionnement des médias d'ISIS.

Le cyber équivalent d'une grève chirurgicale

Le printemps et l'été 2016 ont été consacrés à la préparation de l'attaque. Et, bien que les membres de la force opérationnelle ARES n'aient pas révélé tout ce qu'ils avaient fait pour pénétrer dans le réseau d'ISIS, ils ont tout de suite utilisé une alerte de piratage informatique: un courrier électronique de phishing. Les membres de l'Etat islamique "ont cliqué sur quelque chose ou ils ont fait quelque chose qui nous a ensuite permis de prendre le contrôle et de commencer à bouger", a déclaré le général Edward Cardon, le premier commandant de la force opérationnelle ARES.

Presque chaque piratage commence par pirater un humain, déchiffrer un mot de passe ou trouver une vulnérabilité de bas niveau non corrigée dans un logiciel. "La première chose que vous faites quand vous y entrez, c'est que vous devez faire preuve de persistance et vous étendre", a déclaré Cardon, ajoutant que l'idéal était d'obtenir un compte d'administrateur. "Vous pouvez opérer librement à l'intérieur du réseau car vous ressemblez à un informaticien normal." (ISIS ne comptait pas uniquement des informaticiens; il avait tout un département informatique.)

Une fois que les opérateurs ARES se trouvaient dans le réseau ISIS, ils ont commencé à ouvrir leurs portes et à supprimer les logiciels malveillants sur les serveurs tout en recherchant des dossiers contenant des informations utiles ultérieurement, telles que des clés de cryptage ou des dossiers avec des mots de passe. L'ARES plus profond est entré Le réseau d'ISIS, plus il semblait que la théorie sur les 10 nœuds était correcte.

Mais il y avait un problème. Ces nœuds n'étaient pas en Syrie et en Irak. Ils étaient partout – sur des serveurs du monde entier, assis juste à côté de contenu civil. Et ça complique les choses. "Sur chaque serveur, il pourrait y avoir des choses d'autres entités commerciales", a déclaré le général de l'armée de l'air, Tim Haugh, le premier commandant adjoint de la FOI ARES travaillant sous les ordres de Cardon. "Nous allions seulement toucher ce petit coin de l'espace de l'adversaire et ne pas perturber les autres."

Si l'Etat islamique avait stocké quelque chose dans le cloud ou sur un serveur installé en France, par exemple, ARES devait montrer aux responsables du département de la défense et aux membres du Congrès que les cyber-opérateurs américains avaient les compétences nécessaires pour réaliser l'équivalent cyber d'une frappe chirurgicale: attaquer l'ISIS matériel sur un serveur sans enlever le matériel civil assis juste à côté.

Ils ont passé des mois à lancer de petites missions qui montraient qu’ils pouvaient attaquer le contenu ISIS sur un serveur contenant également un élément aussi vital que les dossiers hospitaliers. Être capable de faire cela signifiait qu'ils pouvaient cibler du matériel ISIS en dehors de la Syrie et de l'Irak. "Et j'ai regardé ce jeune Marine et lui ai dit:" Quelle taille pouvons-nous aller? " et il a dit, 'Monsieur, nous pouvons faire global.' J'ai dit: 'C'est ça – écrivez-le, nous allons le remettre au général Cardon.' "

Ce marine était Neil. Il a commencé à donner des idées à la direction. Il leur a parlé non seulement du piratage d'une personne … ou de l'Etat islamique en Syrie et en Irak, mais également de la façon de détruire l'ensemble du réseau mondial de l'opération des médias. "C'est comme ça que ces attaques fonctionnent", a déclaré Neil. "Ils commencent très simples et deviennent plus complexes."

La force opérationnelle ARES présentait un autre aspect différent: de jeunes opérateurs comme Neil informaient directement les généraux. "Beaucoup de [ideas] comme cela a été dit, "nous pourrions accéder aux fichiers et le faire." Vraiment? Vous pouvez le faire? 'Oh oui.' Quelqu'un le remarquerait-il? 'Bien, peut-être, mais les chances sont faibles.' C'est comme, hmmm, c'est intéressant, inscris-le sur la liste. "

Cardon a déclaré que les jeunes opérateurs de la force opérationnelle interarmées ARES comprenaient le piratage de manière viscérale et, à de nombreux égards, comprenaient mieux ce que l'on pouvait dans le cyberespace que les officiers commandants. Il était donc essentiel de pouvoir contacter directement les personnes qui prennent les décisions.

"Une ruée incroyable"

À l'automne 2016, il y avait une équipe, la force opérationnelle interarmées ARES; il y avait un plan appelé Operation Glowing Symphony, et il y avait des briefings – qui étaient allés jusqu'au président. Ce fut seulement à ce moment-là qu'il y eut finalement une tentative. Ce compte rendu de la première nuit de l'opération Glowing Symphony est basé sur des entretiens avec une demi-douzaine de personnes directement impliquées.

Après des mois passés à regarder des pages Web statiques et à se frayer un chemin à travers les réseaux d'ISIS, le groupe de travail a commencé à se connecter en tant qu'ennemi. Ils ont supprimé des fichiers. Mots de passe modifiés. "Cliquez ici", dirait un expert en criminalistique numérique. "Nous sommes", répondait l'opérateur.

Il y a eu des moments non intentionnellement comiques. Neil se souvient que six minutes se sont écoulées. "Internet était un peu lent", dit-il sans ironie. "Et puis vous savez les minutes sept, huit, neuf, dix, ça a commencé à affluer et mon cœur a recommencé à battre."

Ils ont commencé à se déplacer dans les réseaux ISIS qu’ils avaient cartographiés pendant des mois. Les participants le décrivent comme regarder une équipe de nettoyage défrichant une maison, sauf que tout était en ligne. Se connecter aux comptes qu’ils avaient suivis. En utilisant des mots de passe, ils ont découvert. Ensuite, juste au moment où leur progression dans les cibles commençait à s'accélérer, un obstacle: une question de sécurité. Une question de sécurité type "quelle était votre mascotte de lycée".

La question: "Quel est le nom de votre animal de compagnie?"

La chambre se calma.

"Et nous sommes coincés dans nos traces", a déclaré Neil. "Nous nous regardons tous et nous nous demandons ce que nous pouvons faire. Il est hors de question que nous entrions. Cela va arrêter les 20 ou 30 cibles après cela."

Puis un analyste s'est levé au fond de la pièce.

"Monsieur, 1-2-5-7," dit-il.

"On est comme quoi, quoi?" Dit Neil.

"Monsieur, 1-2-5-7."

"Comment sais-tu ça? [And he said] «Je regarde ce gars depuis un an. Il le fait pour tout. Et nous sommes comme, d'accord … votre animal de compagnie préféré. 1-2-5-7.

"Et boum, on est dedans."

Après cela, la dynamique a commencé à se développer. Une équipe prendrait des captures d'écran pour recueillir des informations pour plus tard; un autre verrouillerait les vidéastes ISIS de leurs propres comptes.

"Réinitialiser avec succès" dirait un écran.

"Répertoire du dossier supprimé", a déclaré un autre.

Les écrans qu’ils voyaient au rez-de-chaussée sur le campus de la NSA étaient les mêmes que ceux que quelqu'un en Syrie aurait pu regarder en temps réel, jusqu’à ce que quelqu'un en Syrie revienne à l’actualité. Une fois qu'il aurait fait cela, il verrait: erreur 404: Destination illisible.

"La cible 5 est terminée", crierait quelqu'un.

Quelqu'un d'autre traverserait la pièce et rayerait le numéro de la grande feuille de cibles sur le mur. "Nous rayons des noms de la liste. Nous rayons des comptes de la liste. Nous rayons des adresses IP de la liste", a déclaré Neil. Et chaque fois qu’un nombre diminuait, ils criaient un mot: "Jackpot!"

"Nous avons tracé la ligne et des piles de papier sont apparues au coin de mon bureau", a déclaré Neil. "Je savais en environ 15 minutes que nous étions sur le point d'accomplir exactement ce que nous devons accomplir."

Une fois qu'ils ont pris le contrôle des 10 nœuds et bloqué les personnes clés de leurs comptes, les opérateurs d'ARES continuent de parcourir la liste des cibles. "Nous avons passé les cinq ou six heures suivantes à tirer du poisson dans un baril", a déclaré Neil. "Nous attendions cela depuis longtemps et nous avions vu beaucoup de mauvaises choses arriver et nous étions heureux de les voir partir."

Et il y avait autre chose que Neil avait dit difficile à décrire. "Lorsque vous atteignez l'ordinateur et que de l'autre côté se trouve une organisation terroriste, et que vous êtes si proches, et que vous touchez quelque chose qui leur appartient, qu'elles possèdent, elles ont mis beaucoup de temps et d'efforts pour blesser vous, c’est une ruée incroyable, "at-il dit. "Vous avez le contrôle pour enlever ça."

Assez pour te rendre fou

Brick. Le général Jennifer Buckner était l’une des personnes qui ont pris les rênes du groupe de travail ARES après Glowing Symphony avait commencé. Et après cette première nuit, la mission est passée à une deuxième phase, consistant à maintenir la pression sur ISIS avec essentiellement cinq lignes d’efforts: maintenir la pression sur les médias, rendre difficile pour ISIS de fonctionner sur le Web plus généralement, utiliser pour aider les forces sur le terrain à combattre l'État islamique, entraver sa capacité à collecter des fonds et collaborer avec d'autres agences aux États-Unis et des alliés à l'étranger.

Une fois les centres de distribution bloqués, la deuxième phase de la mission était plus créative. Les opérateurs ARES de la force opérationnelle interarmées ont commencé à rendre fou tout ce qui vous rend fou de la technologie d'aujourd'hui – téléchargements lents, connexions interrompues, accès refusé, problèmes de programme – et cela a commencé à toucher les combattants ISIS. "Certains de ces effets ne sont pas sophistiqués, mais ils n'ont pas besoin de l'être", a déclaré Buckner. "L'idée que, hier, je puisse accéder à mon compte Instagram et aujourd'hui, je ne le peux pas est source de confusion."

Et potentiellement enrageant. Que faites-vous lorsque vous ne pouvez pas accéder à un compte de messagerie? Vous pensez: Peut-être que j'ai mal entré le nom d'utilisateur ou le mot de passe. Donc, vous le réintroduisez et cela ne fonctionne toujours pas. Ensuite, vous tapez plus délibérément. Et chaque fois que vous tapez, appuyez sur Entrée et que vous êtes refusé, vous devenez un peu plus frustré. Si vous êtes au travail, vous appelez le service informatique, vous expliquez le problème, puis ils vous demandent si vous êtes sûr d'avoir saisi correctement votre identifiant et votre mot de passe. Il suffit de vous rendre fou. Il se peut que ni vous, ni ISIS, ne se rende compte que cela pourrait faire partie d'une cyberattaque.

C'est ce que les phases suivantes de l'opération Glowing Symphony étaient à propos. Psy-ops avec une touche de haute technologie. Un membre d'ISIS passait la nuit à monter un film et à demander à un autre membre d'ISIS de le télécharger. Les exploitants de JTF ARES le feraient pour qu’il ne se pose pas tout à fait à destination. Le membre d'ISIS qui est resté éveillé toute la nuit commence à demander à l'autre membre de ISIS pourquoi il n'a pas fait ce qu'il avait demandé. Il se met en colère. Etc.

"Nous avons dû comprendre, comment tout cela a-t-il fonctionné?" Dit Buckner. "Et alors, quel est le meilleur moyen de semer la confusion en ligne?"

Les idées émanant d’opérateurs comme Neil étaient sans fin. Vidons leurs batteries de téléphones portables; ou insérer des photos dans des vidéos qui n'étaient pas supposées être là. La force opérationnelle ARES surveillerait, réagirait et ajusterait ses plans. Cela changerait les mots de passe, ou achèterait des noms de domaine, supprimerait du contenu, le tout de manière à donner l’impression (généralement) que c’était comme de simples problèmes informatiques courants.

"Les rouets de la mort; le réseau fonctionne très lentement", Cardon ne put s'empêcher de sourire en parcourant la liste. "Les gens sont frustrés."

Selon trois personnes qui étaient au courant des reportages après l'action, les opérations médiatiques d'ISIS étaient devenues une ombre de soi six mois après que Neil ait déclaré "Feu" pour lancer Operation Glowing Symphony. La plupart des serveurs d’exploitation des médias étaient en panne et le groupe n’avait pas été en mesure de les reconstituer.

Il y avait de nombreuses raisons à cela, notamment parce qu'il est difficile de se procurer un nouveau serveur au beau milieu d'une zone de guerre située au cœur de la Syrie. ISIS disposait de beaucoup d’argent liquide, mais peu de cartes de crédit, de comptes bancaires ou d’e-mails fiables lui permettant de commander de nouveaux serveurs hors du pays. L'achat de nouveaux noms de domaine, utilisés pour identifier les adresses IP, est également compliqué.

Le magazine en ligne populaire d'ISIS, Dabiq, a commencé à manquer des échéances et s'est finalement plié. Les sites Web du groupe en langues étrangères – allant du bengali à l'ourdou – ne sont jamais revenus. L'application mobile pour Amaq Agency, le service d'information officiel du groupe, a disparu.

"Dans les 60 premières minutes, je savais que nous avions du succès", a déclaré le général Paul Nakasone, directeur de la NSA, à NPR lors d'un entretien. "Nous verrions les objectifs commencer à baisser. C'est difficile à décrire, mais vous pouvez le sentir directement dans l'atmosphère, que les opérateurs savent qu'ils vont très bien. Ils ne le disent pas, mais vous ' es là et tu le sais. "

Nakasone était présent parce qu'il dirigeait la force opérationnelle interarmées ARES lors du lancement de l'opération Glowing Symphony. Nakasone a déclaré qu'avant ARES, la lutte contre ISIS dans le cyberespace était épisodique. La JTF ARES veille à ce qu’elle soit continue. "Nous allions nous assurer que, chaque fois que l'Etat islamique collecterait des fonds ou communiquerait avec ses suiveurs, nous serions présents."

Certains critiques ont affirmé que le simple fait qu'ISIS soit toujours sur le Web signifie que l'opération Glowing Symphony n'a pas fonctionné. Nakasone, naturellement, voit les choses différemment. Il dit que ISIS a dû changer sa façon de fonctionner. Dans le cyberespace, il n’est pas aussi fort qu’il l’était. C'est toujours là, oui, mais pas de la même manière.

"Nous étions en train de voir un adversaire capable de mobiliser cyber pour réunir une énorme somme d'argent à des fins de prosélytisme", a-t-il déclaré. "Nous avons visionné une série de vidéos, de publications et de produits médiatiques haut de gamme. Nous ne l'avons pas vue récemment. … Alors que l'ISIS montre sa capacité ou montre sa capacité d'agir, nous serons sur place. "

Trois ans après que Neil ait dit "Feu", ARES est toujours dans les réseaux ISIS. Le général Matthew Glavy est maintenant le commandant de la force opérationnelle interarmées ARES. Il dit que ses opérateurs ont toujours le pouce sur les opérations médiatiques d'ISIS. le groupe a encore beaucoup de mal à fonctionner librement sur le Web. Mais il est difficile de savoir pourquoi. Tandis que ARES piratait ISIS dans le cyberespace, des forces sur le terrain ont chassé le groupe de la majeure partie de la Syrie et de l'Irak.

ISIS lui-même s'est étendu. Il y a maintenant des combattants en Libye, au Mali et même aux Philippines. Glavy dit que ses opérateurs sont toujours là. "Nous ne pouvons pas leur permettre de gagner l'élan que nous avons vu dans le passé", m'a-t-il dit. "Nous devons apprendre cette leçon."

"Le but de la machine apocalyptique"

Pour la majeure partie de l'administration Obama, les responsables ont refusé de parler de cyberattaques. À présent, les États-Unis ont non seulement confirmé l’existence des cyberarmes, mais ont commencé à informer les journalistes, comme ceux de NPR, de la manière dont ils les utilisent. Les cyberattaques, autrefois taboues à discuter, sont de plus en plus normalisées. Dans son projet de loi sur les autorisations militaires l'année dernière, le Congrès a autorisé le secrétaire à la Défense à autoriser certaines cyberattaques sans passer par la Maison-Blanche.

Mais il y a un côté sombre à ce nouvel arsenal. Les États-Unis ne sont pas le seul pays à s’être tourné vers le cyber. Considérons le cas de Washington Post le journaliste Jamal Khashoggi, assassiné dans une ambassade saoudienne à la fin de l'année dernière; On pense que les cyber-outils ont également fait partie de cette affaire. "Une grande partie de la préparation et de la préparation de ce projet concernait l'Arabie saoudite qui utilisait des armes offensives", a déclaré Ron Deibert, directeur du Citizen Lab de la Munk School of Global Affairs de l'Université de Toronto.

Les chercheurs de Deibert ont découvert que des cyber-outils offensifs suivaient le journaliste et son entourage. "Lorsque nous parlons d'opérations cyber offensives, je pense qu'il est important de comprendre que cela ne vient pas toujours de la même manière", a déclaré Deibert, ajoutant que l'affaire Khashoggi était loin d'être une exception. Rien qu'au Mexique, Citizen Lab a dénombré 27 cas d'infractions cybernétiques de ce type à l'encontre de rivaux politiques, de journalistes et d'avocats des droits de l'homme. Il y a six ans, il a été découvert que la Chine avait piraté les réseaux informatiques du Dalaï Lama.

Deibert s'inquiète de l'escalade. "Vous créez réellement les conditions propices à une escalade de la course aux armements dans le cyberespace qui pourrait vraiment revenir hanter les États-Unis à long terme", a déclaré Deibert. "Il y a un effet de démonstration. Les équipements, les logiciels, les méthodes, les capacités prolifèrent." Deibert a déclaré que la réticence des États-Unis à utiliser un cyber offensif avait disparu. "Maintenant … nous parlons de quelque chose de plus actif", a-t-il déclaré.

Nakasone a expliqué que les choses avaient changé quand il a parlé à NPR il y a quelques mois sur le campus de la NSA à Fort Meade. Il utilise des termes tels que "engagement persistant" et "défendre en avant". Il dit qu'ils font "partie de la stratégie cybernétique du DOD qui parle d'agir en dehors de nos frontières pour veiller à ce que nous maintenions le contact avec nos adversaires dans le cyberespace".

En d'autres termes, vous n'attendez pas d'être attaqué dans le cyberespace. Vous faites des choses qui vous permettraient de revenir en arrière s'il y avait une attaque dans le futur. Cela pourrait être le déploiement d'une petite équipe dans un autre pays qui demande de l'aide ou "la recherche de logiciels malveillants sur nos réseaux, ou ce pourrait être comme dans Operation Glowing Symphony, l'idée de pouvoir influer sur l'infrastructure dans le monde entier", a-t-il déclaré. .

Tout cela est important à présent, car vous pouvez tracer une ligne droite entre la force opérationnelle interarmées ARES et une nouvelle unité de la NSA et du Cyber ​​Command: le petit groupe de la Russie. Tout comme la force opérationnelle interarmées ARES s'est concentrée sur ISIS, le petit groupe russe est organisé de la même manière autour des cyberattaques russes.

En juin, le New York Times ont rapporté que les États-Unis s'étaient infiltrés dans le réseau électrique russe et y avaient installé des logiciels malveillants. Nakasone ne confirmerait pas le Fois histoire, mais il n’est pas difficile de voir comment la mise en place de logiciels malveillants en prévision de leur utilisation ultérieure s’intégrerait dans les activités de Russia Small Group si elle était calquée sur ARES.

Nakasone a déclaré que la première chose qu'il avait faite lorsqu'il est devenu directeur de la NSA en 2018 était de passer en revue ce que les Russes avaient fait dans la perspective de l'élection présidentielle américaine, afin que le Cyber ​​Command américain puisse en tirer des enseignements et procéder à une ingénierie inverse pour voir comment cela fonctionnait. "Cela nous a fourni une très, très bonne feuille de route de ce qu'ils pourraient faire à l'avenir", a déclaré Nakasone. Il a ajouté que Cyber ​​Command était prêt à agir si les Russes tentaient de pirater les élections de 2020. "Nous imposerons des coûts", a-t-il déclaré, "aux adversaires qui tentent d'influencer nos élections. Je pense qu'il est important que le public américain comprenne que, comme dans tout domaine – aérien, terrestre, maritime ou spatial – le cyberespace est identique. notre nation a une force ".

Alors pourquoi Nakasone en parle-t-il maintenant?

Deibert pense que cela fait partie d'une justification dissuasive. "Les cyber-opérations ne peuvent décourager de manière significative vos adversaires que s'ils savent que vous avez ces capacités", a-t-il déclaré. "Mais ce qui n'est probablement pas discuté ou apprécié, c'est la mesure dans laquelle il y a un effet systémique de l'utilisation de ces opérations. D'autres pays en tiennent compte."

À la fin du film de Stanley Kubrick Dr. Strangelove Il existe une scène emblématique dans laquelle la bombe de fin du monde est considérée comme le moyen de dissuasion ultime, mais elle ne le fait que si les gens savent qu'elle existe. Si vous n'en parlez à personne, à quoi sert-il? "Le but de la machine de fin du monde est perdu si vous le gardez secret", conclut Peter Sellers dans le film.

On pourrait dire la même chose des cyber-opérations offensives américaines. Ils ont été si furtifs pendant si longtemps, peut-être que les gens ne réalisent pas que nous les avons.

Nous entendons tous parler des campagnes d'influence de la Russie, des vols de propriété intellectuelle chinois et des pirates iraniens qui contrôlent les infrastructures américaines, mais nous n'entendons jamais parler de manière détaillée de la réaction américaine. Nakasone semble commencer à résoudre ce problème.

L'ironie est que la cible la plus riche en cyber offensive est nous. "Les Etats-Unis sont le pays le plus dépendant de ces technologies", a déclaré Deibert. "Et sans doute les plus vulnérables à ce type d'attaques. Je pense qu'il faudrait accorder plus d'attention à la réflexion sur des systèmes de sécurité appropriés, à la défense."

Cela signifierait essayer de trouver un moyen de renforcer les objectifs moins contraignants à travers le pays, d’amener les entreprises privées à renforcer leur cybersécurité et de faire en sorte que le gouvernement des États-Unis impose des normes. De toute façon, le cyberoffensive peut sembler plus facile à ce stade.

Adelina Lancianese de NPR a contribué à cette histoire.

Copyright 2019 NPR. Pour en voir plus, visitez https://www.npr.org.

DINA TEMPLE-RASTON (HOST): De NPR, je vous verrai, une série en quatre parties sur les technologies qui nous observent. Je suis Dina Temple-Raston. Le 24 août 2015, TriCk, un pirate informatique britannique âgé de 21 ans, est sorti d'un cybercafé de Raqqa, en Syrie, et est monté dans sa voiture. Il ne le savait pas, mais il était sous surveillance depuis des jours. Il est entré dans une station-service et, juste au moment où il a commencé à remplir le réservoir, un seul missile Hellfire est tombé sur lui comme un météore venu du ciel. Il a été tué sur le coup. CARDON (LT GEN, US ARMY): Il était l’informaticien – l’un des informaticiens d’Isis. Il était très bon. Il n'y en a probablement pas d'autre comme lui.TEMPLE-RASTON: C'est le général Ed Cardon, et il joue un rôle clé dans une histoire jamais racontée auparavant. CARTON: Dans cet espace, je sais une chose: le talent compte. Et quand le talent n’est pas là, ce n’est pas aussi bon.TEMPLE-RASTON: C’est une histoire de hackers terroristes et de la façon dont une unité militaire secrète les a combattus dans le cyberespace. Lorsque TriCk a été tué, ISIS était à son plus fort. Un an auparavant, l'Etat islamique avait surpris tout le monde en capturant la ville de Mossoul des forces irakiennes en seulement quatre jours. (SONORE INTERDIT DE NEWS MONTAGE) REPORTER NON IDENTIFIÉ (REPORTER): Des militants islamiques ont pris le contrôle de la deuxième ville d'Irak, mardi. JOURNALISTE NON IDENTIFIÉ N ° 2 (JOURNALISTE): Les militants ont commencé à imposer la charia islamique, la charia radicale … SCOTT PELLEY (JOURNALISTE): Un autre élément majeur de la lutte américaine pour l'Irak a été perdu aujourd'hui.TEMPLE-RASTON: Quand Eric Rosenbach était secrétaire adjoint à la Défense nationale et à la Sécurité mondiale et s'inquiétait du succès du groupe sur un autre champ de bataille.ERIC ROSENBACH (ANCIEN SECRÉTAIRE ADJOINT DE LA DÉFENSE DE LA MAISON ET DE LA SÉCURITÉ MONDIALE): Le Le centre de gravité n'était pas seulement leur territoire mais leur capacité à utiliser Internet.TEMPLE-RASTON: ISIS utilisait Internet d'une manière qu'aucune autre organisation terroriste n'avait jamais connue. Il a créé ce qu'il a appelé le Cyber ​​Califat, une division dédiée à la transmission du message de l'Etat islamique à des adeptes du monde entier. Ils ont publié un magazine en ligne très populaire, Dabiq, qui a déchiré une page du livre de jeu d'Al-Qaida et publié des articles sur la manière de le lancer. attaques. Le Cyber ​​Caliphate avait des équipes dédiées à la publication sur Facebook et Twitter; tout un département média rempli de cameramen, de graphistes et même de rédacteurs; et des vidéos de très haute qualité qui ne pouvaient être décrites que comme des films à priser ISIS décrivant des décapitations, l'incendie de prisonniers vivants – toutes filmées avec des drones et des caméras GoPro. Le plus célèbre de leurs offres était un long métrage appelé "Flames Of War". (SONDE DE L'ARTILLERIE TIRANT) TEMPLE-RASTON: Ne restez pas assis là, semblait-il dire. Viens en Syrie; faire partie de la lutte. Et les jeunes hommes et femmes écoutaient, faisant la queue à la frontière turque pour tenter de se rendre à Raqqa. Et il était clair que les États-Unis devaient trouver un moyen de retirer ISIS d'Internet. (SONORE DE MUSIQUE) CHANTEURS NON INDENTIFIÉS (CHANTEURS): (Chanter en langue étrangère) .TEMPLE-RASTON: Ces jours-ci, à peu près tous les conflits armés incluent cyber, que ce soit pour traquer la poussière numérique d’un ennemi ou pour pirater ses réseaux. Lorsque les gens parlent de cyber offensive, c'est ce qu'ils veulent dire: des attaques dans le cyberespace. Et la plus célèbre de ces attaques est probablement celle qui est tombée dans la nature en 2010. Elle était connue sous le nom de Stuxnet. (SONORE ARCHIVED RECORDING) PERSONNE NON IDENTIFIÉE N ° 1 (OFFICIEL DU GOUVERNEMENT): Un virus informatique a été découvert caché dans le Des banques de données de centrales électriques, de systèmes de contrôle du trafic et d'usines du monde entier.TEMPLE-RASTON: Stuxnet n'a jamais été supposé être découvert, et encore moins se retrouver dans des systèmes de contrôle du monde entier. Il a été conçu pour couvrir les travaux d'une usine d'enrichissement d'uranium très spécifique en Iran. Et même beaucoup plus tard, personne ne veut en parler. (PERSONNE SONORE NON IDENTIFIÉE N ° 2 (OFFICIEL DU GOUVERNEMENT): Parce que c'est classé. PERSONNE NON IDENTIFIÉE N ° 3 (OFFICIEL DU GOUVERNEMENT): Malheureusement, je ne peux rien dire. PERSONNE NON IDENTIFIÉE N ° 4 (FONCTIONNAIRE GOUVERNEMENTAL): Je ne sais pas comment répondre à cette question. PERSONNE NON IDENTIFIÉE N ° 5 (FONCTIONNAIRE GOUVERNEMENTAL): Deux réponses avant même de commencer. Je ne sais pas. Et si je le faisais, nous n'en parlerions de toute façon pas.TEMPLE-RASTON: Malgré tout, c'est un secret de Polichinelle: en 2007, le Président Obama avait approuvé une cyberattaque secrète qui aurait pour effet d'échouer le programme d'armes nucléaires de l'Iran, et Stuxnet est venu avec. The zeros and ones had the same effect a bomb might have had. The virus made the centrifuges in the enrichment plant spin too fast, and they literally blew up.ROSENBACH: You could spend years developing an option for one specific case.TEMPLE-RASTON: Like, say, a specific Iranian enrichment facility – but the U.S. had nothing in its arsenal that could be used more generally against anyone.ROSENBACH: It's evolving that way in cyberspace, but it had not been like that five or 10 years ago.TEMPLE-RASTON: When ISIS burst on the scene, Cyber Command, or Cybercom, hadn't developed ways to respond to all the new apps and new programs that gave groups like ISIS new advantages. Encryption, for example, used to be something that only Fortune 500 companies or governments had access to.Now anyone can send an encrypted message with apps like WhatsApp and Telegram. Those programs use something called public key encryption. If you encode a message using a person's public key, they can decode it using their matching private key. The keys aren't physical, of course; they're actually huge numbers generated by very complicated mathematical equations.(SOUNDBITE OF MUSIC)NEIL (RESERVIST, US MARINE CORPS): Think of it as two locks around a box.TEMPLE-RASTON: This is a guy named Neil (ph), and we're not using his last name for reasons that will become clear in a minute.NEIL: I can give a lock and a key out publicly and say anyone can lock this lock with my public key, and then I can come on the backside of that same lock and open it with my private key. And that ensures that I can – am the only one that can open it.TEMPLE-RASTON: Your private key would be almost like a master key?NEIL: A master key to messages intended for me.TEMPLE-RASTON: You can't just intercept them. You have to go to the accounts themselves where the messages began. Or alternatively, you steal those private keys so you can read them. Encrypted messaging is common practice now. WhatsApp alone has over a billion active users in over 180 countries. And Telegram, the app ISIS preferred, it's been very popular with pro-democracy protesters.(SOUNDBITE OF ARCHIVED RECORDING)UNIDENTIFIED REPORTER #3 (REPORTER): Protests are still raging in Hong Kong nine weeks after an extradition bill was introduced. That bill…TEMPLE-RASTON: According to App Annie, a mobile analytics firm that tracks downloads, Telegram was the most downloaded app in Hong Kong this summer. And that's likely because of its strong encryption. We're talking about all this now because these were the kinds of apps ISIS was using to communicate secretly four or five years ago, which says something about just how tech-savvy the group was. Its members were completely comfortable in cyberspace – in a lot of ways, more comfortable than Cybercom was. And that made leaders there start to rethink what a cyberattack really entailed. It didn't have to be so complicated. It could even be a hacker standby.CARDON: The most common way that you read about that we are all subject to…TEMPLE-RASTON: That we can talk about.CARDON: …Well, is – is phishing, right? Phishing is still very, very effective.TEMPLE-RASTON: Phishing, those emails you're not supposed to open but sometimes you do anyway. That's General Ed Cardon again. And when he was organizing the fight against ISIS, the people making decisions at Cybercom were in their 40s and 50s. iPhones were new to them. They didn't grow up with social media. The people running ISIS' cyber operations were in their early 20s or 30s. That hacker who was killed by a drone in Raqqa? He was a well-known hacktivist in the U.K. long before he'd ever heard of the Islamic State. In fact, he was kind of famous. He and his friends were part of something called TeaMp0isoN…(SOUNDBITE OF ARCHIVED RECORDING)UNIDENTIFIED REPORTER #4 (REPORTER): TeaMp0isoN, an anarchist hacktivist group began by…TEMPLE-RASTON: …Computer-savvy teenagers whose specialty was doing high-visibility hacks. Among other things, they rather famously launched a denial of service attack against the U.K.'s Secret Intelligence Service, MI6.(SOUNDBITE OF ARCHIVED RECORDING)UNIDENTIFIED REPORTER #4: And by jamming the U.K.'s counterterrorist hotline with hundreds of computer-generated calls…TEMPLE-RASTON: They cracked into accounts at 10 Downing Street and posted personal information from Prime Minister Tony Blair's address book. They broke into Facebook accounts and Twitter feeds. TeaMp0isoN seemed to be everywhere.(SOUNDBITE OF SONG)LYRICIST JINN (MUSICAL ARTIST): (Rapping) I linked with PoisAnoN to try and get the message across. We let them poison us, and now we getting memory loss.TEMPLE-RASTON: There was even a rap song about them.(SOUNDBITE OF SONG)

LYRICIST JINN: (Rapping) I'm getting tired of the system, trying to break out 'cause all my life I've been a victim in this place howl (ph).TEMPLE-RASTON: So you had young hip-hackers like TriCk working for ISIS, and those were the people Cybercom had to learn to fight.(SOUNDBITE OF LYRICIST JINN SONG)STEVE DONALD (US NAVAL RESERVE OFFICER/TECHNICAL DIRECTOR, DEPUTY CHIEF TECHNOLOGY OFFICER, US ARMY CYBER COMMAND): So I'm Steve Donald. I'm a United States Naval officer. I specialize in cryptologic and cyber operations.TEMPLE-RASTON: Captain Steve Donald is a reservist. And when he's not in uniform, he's launching cybersecurity startups. And he's part of the story because in the spring of 2016, a phone call from the head of his reserve unit changed everything.DONALD: And he said, Steve, I – I need you to – I need you to come in. I said, well, I'm not in uniform. Ça n'a pas d'importance. If you have – if you have a badge, come on in.I can't believe I can actually say this, but they were building a task force to conduct offensive cyber operations against ISIS.TEMPLE-RASTON: He can't believe he can say that because until now, details about the task force were classified.DONALD: And I was like, oh, muck yeah. I'm not a guy who typically yells expletives, but that day I think I did.TEMPLE-RASTON: Donald was asked to pull together a team for something called Task Force ARES.DONALD: In "Ocean's Eleven" parlance – right? – you know, I'm not sure I'm terribly comfortable saying that I'm the Brad Pitt guy. But…TEMPLE-RASTON: But he was the Brad Pitt guy – Brad Pitt in "Ocean's Eleven." George Clooney plays Danny Ocean. Pitt plays his aide-de-camp.(SOUNDBITE OF FILM, "OCEAN'S ELEVEN")GEORGE CLOONEY (ACTOR): (As Danny Ocean) It's never been done before.BRAD PITT (ACTOR): (As Rusty Ryan) You want to knock over a casino. Three casinos?TEMPLE-RASTON: And to do the job, Pitt and Clooney had to find people with very specific expertise – pickpockets, bagmen, explosives guys. You get the idea.(SOUNDBITE OF FILM, "OCEAN'S ELEVEN")PITT: (As Rusty Ryan) You'd need at least a dozen guys doing a combination of cons.CLOONEY: (As Danny Ocean) Ten ought to do it, don't you think?TEMPLE-RASTON: That's kind of how Task Force ARES came together. Steve Donald had to find a team of specialists to do something that had never been done before – hack into a terrorist organization's media operation and bring it down.(SOUNDBITE OF FILM, "OCEAN'S ELEVEN")PITT: (As Rusty Ryan) All right. Who's in?DONALD: The vast majority of forces flowed in from joint force's headquarters.TEMPLE-RASTON: That's an Army cyber operation in Georgia. Donald brought in experts in counterterrorism who understood ISIS and had watched it evolve from a ragtag team of Iraqi Islamists to something bigger. There were operators, the people who would be at the keyboards finding key servers in ISIS' network and disabling them. He found experts in digital forensics, who knew every twist and turn of computer operating systems.DONALD: They can say this is good, this is bad, this is where the files are located that we're interested in.TEMPLE-RASTON: Files that contain things like those encryption keys we talked about earlier.(SOUNDBITE OF FILM, "OCEAN'S ELEVEN")CLOONEY: (As Danny Ocean) Who else is on the list?TEMPLE-RASTON: Analysts, malware experts, behavioralists – people who had spent years studying the smallest habits of key ISIS players – and they all came together with one goal.DONALD: Supporting the defeat of ISIS – right? – deny, degrade, disrupt, and manipulate ISIS' info space.TEMPLE-RASTON: Deny, degrade and disrupt – which is harder than it sounds because ISIS used encryption and remote servers. It was global, and its followers understood social media and how to abuse it. They knew how to set up dummy accounts, and they had pretty good operational security. So from a technology standpoint, it was hard enough. But to be successful, they needed to exploit a psychological component, as well.NEIL: This cyber environment involves people. It involves their habits, the way that they operate, the way that they name their accounts…TEMPLE-RASTON: Neil, again.NEIL: …When they come in during the day, when they leave, what types of apps they have on their phone. Do they click everything that comes into their inbox, or are they very tight and, you know, restrictive in what they use? All of those pieces are what we look at, not just the code.TEMPLE-RASTON: What we look at, he said. Neil has asked us to only use his first name to protect his identity because the Task Force ARES' mission against ISIS, something they called Operation Glowing Symphony, it was largely his idea.NEIL: I was the lead planner as well as the mission commander. I was the one that said go.TEMPLE-RASTON: Coming up, we go behind the scenes of Operation Glowing Symphony. This is I'LL BE SEEING YOU, a four-part series about the technologies that watch us, from NPR. I'm Dina Temple-Raston. Stay with us.(SOUNDBITE OF MUSIC)TEMPLE-RASTON: This is I'LL BE SEEING YOU, a four-part series about the technologies that watch us, from NPR. I'm Dina Temple-Raston. On the show today, a classified offensive cyber mission called Operation Glowing Symphony. This is the first time details of this mission have been revealed publicly by the people who lived it.NEIL: We'll just go with first names, so you can just call me Neil.TEMPLE-RASTON: What's your call sign?NEIL: My call sign is Shadow Recon. That's the hacker handle that I use.TEMPLE-RASTON: Neil is a Marine reservist in his 30s. And we're only using his first name because he wasn't just the one who said go to start Operation Glowing Symphony, it was his idea.NEIL: So we were down in the basement at NSA, and we had an epiphany of how this…TEMPLE-RASTON: The epiphany was how ISIS distributed its propaganda. It turns out, they weren't as careful as they could have been. They did what all hackers do; they took shortcuts. They got a little lazy. Nearly all their propaganda was passing through, to use a geeky computer term, the same 10 nodes.NEIL: Every account, every IP, every domain, every…TEMPLE-RASTON: Think of a node as a kind of hub. You may be creating content on the laptop on your desk, but when you send it to someone else or to the outside world, you're sending it through this hub. If the node or hub is attacked, then your content can't go out. And if someone is sitting inside the node without you knowing about it, they can see and control everything.(SOUNDBITE OF MUSIC)TEMPLE-RASTON: This was Neil's epiphany. He ran into the leadership's office, grabbed a magic marker and started drawing crazy circles and lines on a whiteboard.NEIL: Pointing everywhere and saying, it's all connected. These are the key points. Let's go. I felt like I was in "It's Always Sunny In Philadelphia," when he's doing the mystery investigation for Pepe Silvia – pictures on the wall and red yarn everywhere – and nobody was understanding me.TEMPLE-RASTON: But as Neil kept explaining and drawing, this kind of bicycle tire thing started to emerge.NEIL: Bicycle tire with spokes, all of the things that were tied to that one node. And then there was another one. I said, everything's tied to these three language websites.TEMPLE-RASTON: And as what he was saying started to sink in, everything shifted.NEIL: We could take those over. We were going to win everything. It was a house of cards.TEMPLE-RASTON: And from those frantic scrawls, a plan to deny, degrade and disrupt.NEIL: We were focused on completely dismantling it in a systematic fashion so that it was in no way, shape or form recognizable from where it was that day.TEMPLE-RASTON: And while we don't understand everything they did to crack into ISIS' network, we do know that they used an old standby to start – a phishing email.CARDON: You know, they clicked on something or they did something that then allowed us to gain control and then start to move.TEMPLE-RASTON: That's General Ed Cardon again. He was Task Force ARES' first commander.In Task Force ARES, did you have like a – phishing specialty people?CARDON: We have people that are very good at mapping networks.TEMPLE-RASTON: Mapping a network is about understanding the dynamics of an organization. If you get someone to click on a phishing email, then that gives you an opportunity to explore a little bit. You can root around someone's email account to see who they talk to. Which emails get answered right away? Maybe that's a boss. Which ones just kind of sit there? Maybe that's someone they have a problem with or someone they don't respect. What do the emails say? This is the data collection you used to get with human sources that now is typically done online.CARDON: The first thing you do when you get in there is you got to get some persistence and spread out.TEMPLE-RASTON: So if you want to get into ISIS' networks, you might send them a phishing email that they can't help clicking on. And then, with a little exploring, you get yourself an administrator's account.CARDON: You can operate freely inside the network because you look like a normal IT person.TEMPLE-RASTON: And ISIS had IT people?CARDON: Oh, yes.TEMPLE-RASTON: They had a whole IT department?CARDON: Yes, they did.TEMPLE-RASTON: The spring and summer of 2016 was spent preparing for attack. It meant dropping malware on servers or looking for folders that contained things that might be helpful later, like those encryption keys we talked about before. And the deeper ARES got inside ISIS' network, the more it looked like their theory of the 10 nodes was correct. And those nodes weren't just in Syria and Iraq, they were everywhere, on servers around the world, which meant ARES had a new problem. It had to figure out how to target just the part of the server that contained ISIS material and nothing else.TIM HAUGH (MAJOR GEN, US AIR FORCE): On every server, there might be things from other commercial entities. We are only going to touch that little sliver of the adversary space and not perturb anybody else.TEMPLE-RASTON: Air Force General Tim Haugh was the first deputy commander of JTF ARES. He worked with General Cardon. And that server issue was one of the problems he had to solve. If ISIS had stored something in the cloud or in a server sitting in, say, Germany, ARES had to show that it could attack the ISIS material and leave everything else on the server unscathed. And they spent months launching small missions that showed it could be done. Then one day, General Haugh turned to a young Marine and asked out loud what everybody was thinking.HAUGH: How big can we go? And he said, sir, we can do global. I said, that's it. Write it down. We're going to take it to General Cardon. So – so that officer really set the stage.TEMPLE-RASTON: And that aggressive Marine – you may have guessed – it was Neil. He began peppering the leadership with ideas. He talked to them not just about hacking one person or ISIS in Syria and Iraq but how to take down the media operation's entire global network.NEIL: That's how these attacks work. They start very simple, and they become more complex.CARDON: Actually, a lot of them come up that way. Like, we could do this.TEMPLE-RASTON: That's General Cardon again.CARDON: Somebody says, well, we could gain access and do this to the files. Really? You can do that? Oh, yeah. Would anyone notice? Well, maybe. But the chances are low. It's like, that's interesting. Put that on the list.TEMPLE-RASTON: And there's something else going on here that's important. Neil was briefing general officers directly. That was a purposeful, organizational decision that made Task Force ARES different. Instead of a top-down traditional military hierarchy, ARES was built around trust, access, the competition of ideas and a willingness to take risks. It was organized so people like Neil wouldn't get buried. In a way, that was a revolution, too.So that's how Glowing Symphony became a global offensive cyber mission. And at the time, in 2016, that was a big deal. Remember; back then, offensive cyber operations meant doing the kind of thing North Korea was doing in 2014, when it hacked into Sony Pictures, or what the Iranians did two years earlier when they fried all the hard drives at Saudi Aramco, the state oil company. So the thought of the U.S. going on the offensive in that way – for a lot of people, it was scary. General Haugh again.HAUGH: When we think about how we all operate every day in the digital environment, we don't think a lot about the architecture that's behind it. It took a lot of explanation at all levels.TEMPLE-RASTON: In other words, a lot of people don't know how the Internet works, just that it does. And Haugh had to convince members of Congress and leaders at the Defense Department that Task Force ARES wasn't going to break the Internet. So there was a team – Joint Task Force ARES. There was a plan – Operation Glowing Symphony. There were briefings to secure approvals, right up to the president. And then, finally, a go.NEIL: The day of the operation was a very long day – coordination, final rehearsals, everybody wanted to be briefed. And then they also wanted to look me in the eye and say, are you sure this is going to work? And every time, I had to say, yes, no matter what I thought.TEMPLE-RASTON: They'd organized four separate teams at workstations set up like carols. Sergeants at the keyboard, sitting next to intelligence people, sitting next to linguists. Each station had four flat screen computer monitors on adjustable arms. And the operators sat in those huge chairs you see Internet gamers settle into before a long night. The room was packed.NEIL: I felt like there were over 80 people in the room between the teams and then everybody lining the back wall that wanted to watch.TEMPLE-RASTON: Neil was standing in a small, elevated bay at the back, from which he could see all the screens in front of him. And there weren't just glowing numbers or lines of code, he could see log-in screens – actual ISIS log-in screens – each carefully preselected and put on a target list that was so long it was on a 3 foot by 7 foot piece of paper hung on the wall.HAUGH: It was almost like a very large bingo card.TEMPLE-RASTON: General Haugh said there were numbers on that bingo card that corresponded with specific targets. Number five may have been one of the editors of the media operation, and it included all the accounts and IP addresses associated with him. Number 12 might have been the group's graphic designer. As they slept, the ISIS members had no idea that, half a world away, a room full of military cyber operators were about to take over their accounts and crash them.What follows is a pretty good approximation of what our reporting says happened that first night. It's based on interviews with half a dozen people who were there. Neil ordered the teams to start the operation.NEIL: Fire.TEMPLE-RASTON: After months of looking at static webpages and picking their way through ISIS networks, the task force started logging in as the enemy. They deleted files, changed passwords – click here, a digital forensic expert would say. We're in, the operator would respond. And then…NEIL: There was like six minutes where nothing was really happening because the Internet was a little slow.TEMPLE-RASTON: Yes, he just said the Internet was a little slow.NEIL: And then, you know, minute seven, eight, nine, 10, it started to flow in and I – you know, my heart started beating again.TEMPLE-RASTON: They began moving through the ISIS networks they had mapped for months. It was like watching a raid team clearing a house, except it was all online. And then – an unexpected hiccup.NEIL: We get prompted a security question.TEMPLE-RASTON: A security question – you've seen them before. What's the name of the street you grew up on? What's the first name of your best friend from childhood? The room quieted down.NEIL: And we're stuck dead in our tracks. What is the name of your pet? How could the team possibly know that? We all looked to each other and we're like, what can we do? There's no way we're going to get in. This is going to stop the 20 or 30 targets after this. And one of our best analysts stands up and he goes, sir, one-two-five-seven. And we're like, what? One-two-five-seven. We're like, how do you know that? I've been looking at this guy for a year. He does it for everything. We're like, all right. Your favorite pet – one-two-five-seven. Boom. We're in.TEMPLE-RASTON: After that, momentum started to build. One team would be taking screenshots to gather intelligence for later. Another would be logging ISIS videographers out of their own accounts. Reset successful, the screen would say – folder directory deleted. The screens they were seeing at the NSA campus were the same ones someone in Syria might have been looking at in real time – that is, until someone in Syria hit refresh. Once they did that, they'd see 404 error – destination unreadable. Target five is done, someone would yell, and someone else would walk across the room and cross the number off the big target sheet on the wall.NEIL: We're crossing names off the list. We're crossing accounts off the list. We're crossing IPs off the list.TEMPLE-RASTON: Every time a number went down, they would yell one word.NEIL: Jackpot.TEMPLE-RASTON: Neil gave us an idea of how it went.NEIL: They were running back and forth, on scratch pieces of yellow paper – the number five – five, jackpot – or a username that they had taken control of – 44, jackpot. And then we'd draw the line out. And I had stacks of paper coming up on the corner of my desk – 18, three, number six – jackpot, jackpot, jackpot, jackpot. I knew in about the first 15 minutes that we were on pace to accomplish exactly what we needed to accomplish.TEMPLE-RASTON: Once they'd taken over the 10 nodes and they blocked key people out of their accounts, they just kept chewing your way through the target list.NEIL: We spent the next five or six hours just shooting fish in a barrel. We had been waiting a long time to do that, and we had seen a lot of bad things happen. And we were happy to see them go away.TEMPLE-RASTON: And while nothing was ever going to stop random ISIS fighters from grabbing laptops and setting up new networks, there were some indications of success. Active servers were down, key accounts locked, files erased. And there were other small victories. Dabiq, the popular ISIS online magazine we mentioned before – it started missing deadlines.NEIL: These magazines had been coming out at a regular basis – like, every 28 to 30 days. And after Glowing Symphony, we saw variance. I think it was 36 days, which was the longest time between Dabiqs that ever happened.TEMPLE-RASTON: Why that happened is unclear. Was it because folders had been deleted and servers were down? Or because ISIS was under pressure on the ground, losing more and more territory in Syria and Iraq? It was impossible to tell, but the delays were eating away at the magazine's following. Dabiq eventually folded.NEIL: All these delays made it so they weren't as an effective media organization.TEMPLE-RASTON: For ISIS members, there was no ambiguity about whether they'd been attacked. It was clear. They couldn't get into accounts, couldn't use servers, lost key files. And while these insider details about how ARES hacked ISIS are new, the tools they used to do so – they are exactly the kind of thing nation-state hackers typically use. It's how the Iranians hacked into the Sands Casino in 2014. It's how the Russians got into election systems in the Midwest. And now it was how Cyber Com and the NSA were fighting ISIS. They started looking for new ways to keep the mission going – for new ways to deny, degrade and disrupt the enemy.JENNIFER BUCKNER (BRIGADIER GENERAL, US ARMY): I'm Brigadier General Jennifer Buckner. I go by Jen. I'm an Army officer.TEMPLE-RASTON: Buckner was one of the people who took the reins of Task Force ARES after Glowing Symphony had started. And after that first night, the mission shifted into a second phase. To keep pressure on ISIS, Operation Glowing Symphony began to revolve around five lines of effort. In addition to media targets, ARES wanted to make it hard for ISIS to operate on the Internet more generally. They wanted to help the forces on the ground that were pushing ISIS out of Syria and Iraq and make it harder for ISIS to raise money and attract recruits. They also started partnering more. They had people from State and DHS and Treasury actually working with the task force, and they deployed members of ARES to other countries. And because the team was based at the NSA campus at Fort Meade, getting reinforcements to do those things often just required a walk down the hall.BUCKNER: There was a lot of junior talent that we contributed to this. We pulled whoever knew – we thought could do the job and knew the mission.TEMPLE-RASTON: Best geek.BUCKNER: Absolutely, best geek.TEMPLE-RASTON: And after the first night of crossing targets off that bingo card, the mission continued, though in a more creative way. Joint Task Force ARES operators started making all those things that drive you crazy about today's technology – slow downloads, dropped connections, access denied, program glitches – they made them start happening to ISIS fighters.BUCKNER: Some of these are not sophisticated effects, but they don't need to be. The idea that, yesterday, I could get into my Instagram account and today I can't is confusing.TEMPLE-RASTON: If this sounds like something you've experienced, that's exactly the point.(SOUNDBITE OF KEYBOARD KEYS CLICKING)TEMPLE-RASTON: If you can't get into an email account, what do you do? You think, maybe I mistyped the log-in or password, so you put it in again – still doesn't work. Then you type it in more deliberately. And every time you type it, press enter and are denied, you get a little more frustrated.(SOUNDBITE OF COMPUTER BEEPING)TEMPLE-RASTON: If you're at work, you call the IT department, and you explain the issue. And then they ask you if you're sure you typed in your log-in and password correctly. It's enough to drive you nuts. It would never occur to you or to me or ISIS that this might be part of a cyberattack.BUCKNER: It just looks like I messed something up or something's wrong with the platform.TEMPLE-RASTON: That's what the follow-on phases of Operation Glowing Symphony were all about; that psychological component – eroding morale. One member of ISIS would stay up all night editing a film, and then he'd ask a fellow ISIS member to upload it. But operators with Glowing Symphony would make it so it didn't quite land at its destination. The ISIS member who stayed up all night starts asking the other ISIS member why he didn't do what he'd asked him to do. He gets angry, and so on.BUCKNER: We had to understand, how did all of that work? And so what is the best way to cause confusion online?TEMPLE-RASTON: Let's drain their cellphone batteries or insert photographs into videos that aren't supposed to be there. Task Force ARES would watch, react and adjust their plans. They'd change passwords, delete content, shut people out of their accounts; all in a way that made it look like it was just run-of-the-mill IT problems.CARDON: Pinwheels of death – the network's working really slow. People get frustrated.TEMPLE-RASTON: That's General Ed Cardon again. And he says, after more than two years on the mission, the operators had developed a kind of organizational memory.CARDON: This is built through repetition – when you do a lot – is you just sort of know what that person's going to do.TEMPLE-RASTON: Operation Glowing Symphony still isn't over. Task Force ARES, now led by General Matthew Glavy, is still sitting in ISIS networks – still driving them crazy. This is I'LL BE SEEING YOU from NPR. When we come back, something we haven't mentioned – the very dark side of offensive cyber.UNIDENTIFIED PERSON #6: This is not anything that was clean or virtual, it was something that had very lethal impacts.TEMPLE-RASTON: And a rare, exclusive interview – NSA Director General Paul Nakasone. I'm Dina Temple-Raston. Stay with us.(SOUNDBITE OF MUSIC)TEMPLE-RASTON: This is I'LL BE SEEING YOU from NPR, a four-part series about the technologies that watch us. And today's show is about offensive cyberattacks. Specifically, we're talking about a classified mission – a mission in which the U.S. military hacked one of the most dangerous and tech-savvy terrorist organizations in the world. The military cyber arm, something called U.S. Cyber Command, and the NSA put together a special unit to knock ISIS off the Internet. They called it Joint Task Force Ares, and in the fall of 2016, something called Operation Glowing Symphony began. And it's still going on today.MATTHEW GLAVY (US GENERAL, TASK FORCE ARES COMMANDER): ISIS came in using the information domain, using Samsung phones with some HD graphics, to use information warfare in a way that's never been used before.TEMPLE-RASTON: That's General Matthew Glavy. He's the current commander of Task Force Ares.GLAVY: Atrocious, heinous, dark side – but nonetheless, they used information warfare probably better than anybody else ever has.TEMPLE-RASTON: Glavy said the five lines of effort on which Ares focused three years ago are still there. Ares still has its thumb on ISIS' media operations. The group is still having a lot of trouble operating freely on the web. Ground forces have been successful in driving them out of most of Syria and Iraq, but there are still pockets where ISIS has a presence. And they have moved to other countries like Libya, and Mali, and even the Philippines.Ares is still sitting on ISIS to prevent it from raising money and attracting recruits. Those original so-called lines of effort still apply, but they've evolved.GLAVY: They've morphed a little bit. But let's face it, we got to be ever so diligent and vigilant about the media piece. And we cannot have – for them to gain the momentum that we saw in the past. So we – we've – we have to learn that lesson.TEMPLE-RASTON: Remember that Hellfire missile that came roaring out of the Syrian sky to kill the ISIS hacker? His real name was Junaid Hussain, and he was just 21 years old when he died in Syria – a hacker deemed so dangerous the American military decided to kill him.Lorraine Murphy is a digital journalist who writes about technology and hacktivism, and she knew Hussain when he was just a teenager with a computer and a cause. She says ISIS must have seen him coming.LORRAINE MURPHY (DIGITAL JOURNALIST): He emerged at the right time. He was in the right place. He had all of the ingredients. He had connections. He had a significant social media following.TEMPLE-RASTON: By August 2014, he had traveled to Syria and began to call himself Abu Hussain al-Britani, and he joined their Cyber Caliphate.MURPHY: He was fluent in all of the things that fundamentalists tend not to be fluent in, like technology, like social media. He could be charming. He could be a gifted propagandist so I mean, they couldn't have invented a more perfect head of hacking for ISIS.TEMPLE-RASTON: You can sit at home and play "Call Of Duty," one of his most famous tweets from Syria read, or you can come here and respond to the real call of duty. The choice is yours.He also rather famously hacked into U.S. Central Command's Twitter account and released a list of U.S. military personnel with names and addresses, and then called on ISIS members to kill them. It's not surprising that Cyber Command demanded a response.(SOUNDBITE OF ARCHIVED RECORDING)UNIDENTIFIED REPORTER #5 (REPORTER): U.S. spy drones followed and tracked notorious British-born ISIS hacker Junaid Hussain for days in the middle of heavily…ROSENBACH: And I know to some NPR listeners this will sound like a bitter pill.TEMPLE-RASTON: Again, former Defense Department official Eric Rosenbach.ROSENBACH: If there are a very small number of individuals in a country who know how to build a nuclear weapon and you try to think about ways to prevent those people from accomplishing their mission, that can be very effective – same thing in cyberspace. When you think about Junaid Hussain or others, we thought about ways to neuter his cybercapability to prevent them from getting online. It is really important to remember this is a war.TEMPLE-RASTON: Officials familiar with his case said that he double-clicked on a phishing email from Cybercom that allowed them to track his phone, to follow him, and eventually kill him at that gas station.ROSENBACH: For cyber problems, you can't just use cyber tools. When it's in a warzone, using kinetic physical force to address that issue – which is eventually what it came down to in that case.TEMPLE-RASTON: Even if you think Hussain's work with ISIS made him a legitimate target for attack, the problem is that this kind of thing doesn't stop there. The U.S. isn't the only country using offensive cyber this way. Remember the much more alarming case of the Washington Post journalist Jamal Khashoggi?(SOUNDBITE OF ARCHIVED RECORDING)UNIDENTIFIED REPORTER #6 (REPORTER): Turkish officials have audio and video recordings of the gruesome murder of journalist Jamal Khashoggi inside the Saudi Arabian…UNIDENTIFIED REPORTER #7 (REPORTER): He went to the consulate to obtain paperwork to marry his fiancee and was never seen again.TEMPLE-RASTON: He was brutally murdered in a Saudi embassy late last year, and his body was never recovered. Offensive cyber appears to have played a key role in his death, too. Just as Cybercom followed Junaid Hussain by putting something on his phone, that seems to have happened in Khashoggi's case as well.RON DEIBERT (DIRECTOR, CITIZEN LAB): So when we – we talk about offensive cyber operations, I think it's important to understand that it doesn't always come in one flavor.TEMPLE-RASTON: Ron Deibert is the director of the Citizen Lab at the University of Toronto's Munk School of Global Affairs. The Citizen Lab does news-breaking research on digital security and human rights. Six years ago, it rather famously discovered that China had been hacking into the Dalai Lama's computer networks. And last year, it looked into another case of state-sponsored offensive cyber.DEIBERT: If you look at the murder of Jamal Khashoggi, I would say that a lot of the preparation for that and the lead up to it had to do with Saudi Arabia using offensive cyber weapons.TEMPLE-RASTON: Deibert's researchers dug into the case and they found offensive cyber tools tracking the journalist and his inner circle. Citizen Lab says it's figured out a way to detect if a phone has been targeted by programs that can infiltrate encrypted phones and apps. And they found just such a program in this case. A Saudi dissident who is an associate of Khashoggi's filed a lawsuit that says he found tracking spyware on his phone. He said it allowed the Saudis to secretly listen to his calls, read his messages and track his Internet history. Allegedly, it could also turn on the phone's microphone and camera. And the Saudi case isn't an outlier. In Mexico alone, Citizen Lab found 27 cases of this kind of offensive cybertool targeting political rivals, reporters and civil rights lawyers.DEIBERT: I think there's a control problem here.TEMPLE-RASTON: That's Ron Deibert again.DEIBERT: You really create conditions for an escalation of an arms race in cyberspace that really could come back to haunt the United States in the long run.TEMPLE-RASTON: Deibert says even if the United States is being careful in its use of offensive cyber, the mere fact that America is using it gives license to others to do the same.DEIBERT: There is a demonstration effect, and the equipment, the software, the methods, the capabilities proliferate.TEMPLE-RASTON: Large cyber operations like Glowing Symphony worry Deibert, too. He says offensive cyber is blurring the lines between military and civilian targets. Remember those servers with ISIS material outside of Syria and Iraq? Well, they had civilian material on them as well.UNIDENTIFIED PERSON #7: We're effectively talking about military operations that are in our common communications infrastructure. These type of operations are – are effectively maneuvering through what is essentially a public sphere on a global level.TEMPLE-RASTON: It's like using a missile in a regular city.UNIDENTIFIED PERSON #7: Exactly.TEMPLE-RASTON: Last August, President Trump signed an order that allows the secretary of Defense to conduct cyber operations more freely. Now they can launch an attack without necessarily needing presidential approval. It was meant to replace an Obama-era order known as Presidential Policy Directive 20, which set out a strict framework to keep cyber operations in check. The new directive, which has not been publicly released, is supposed to remove bureaucratic obstacles that the Defense Department thought were preventing them from fighting off cyberthreats fast enough. The subtle uses of cyber, hacks like phase two of Operation Glowing Symphony, raise other questions. What if, instead of the pinwheel of death or inserting photographs, enemies hacked into health records and changed just one thing, like, say, blood type? Imagine the damage that could cause.DEIBERT: I think there's always been a recognition of the value of offensive capabilities in cyberspace from a U.S. perspective.TEMPLE-RASTON: Ron Deibert again.DEIBERT: There may have been some reticence to deploy these widely, perhaps for legal reasons or the precedent that they set for other countries and for potential arms race in cyberspace, but those concerns seem to have lessened. And now with discussions of persistent engagement, what we're talking about is something that is more active.(SOUNDBITE OF MUSIC)TEMPLE-RASTON: Persistent engagement and defend forward – these terms come from NSA director and Cybercom Commander General Paul Nakasone, and he talked about them when he gave NPR a rare exclusive interview a few months ago at the NSA campus at Fort Meade.PAUL NAKASONE (COMMANDER GENERAL, CYBERCOM): Defend forward is part of the DOD cyber strategy that talks about acting outside our borders to ensure that we maintain contact with our adversaries in cyberspace.TEMPLE-RASTON: In other words, you don't want to wait to be attacked in cyberspace. You do things that allow you to hack back if there's an attack in the future, and that could be deploying a small team in another country that asks for help.NAKASONE: That can be hunting on a network to look for malware, or it could be, as we did in Operation Glowing Symphony, the idea of being able to impact infrastructure worldwide.TEMPLE-RASTON: Those targeted attacks that let them take down ISIS material on a server without affecting anyone else – the U.S. used to focus on defending its networks. Now it seems to be leaning more on offensive capabilities. You can draw a straight line from Task Force ARES to a new unit the NSA and Cyber Command have just started discussing publicly – something called the Russia Small Group. Just as ARES focused on ISIS, the Russia Small Group is organizing around countering Russian cyberattacks. We've known for some time that Russia has been trying to plant malware in key infrastructure targets in the U.S. The intelligence community has made clear that Russia used social media to meddle in the 2016 elections, and they expect that to continue in the 2020 elections as well. General Nakasone talked about this during our interview at the NSA.But first, there were some funny things about that interview. Because the National Security Agency is one of the most secretive organizations in the world, all the sound you hear from inside the NSA – it is from inside the building but they wouldn't let us record it for ourselves. They recorded it and then sent it to us in a file called Unclassified Sounds of The NSA. Think of it as a kind of NSA greatest hits. We heard all these things when we were there, of course, but we couldn't get them on tape. We were permitted to record General Nakasone, however. We sat down at a teak conference table that seats several dozen, and there's a kind of backbencher row of seats like in a movie theater.NAKASONE: A little bit of a big room but I thought it would be easier than probably doing it in my office, so…TEMPLE-RASTON: Army General Paul Nakasone has two jobs. He's the director of the nation's largest spy agency, the NSA. And he also leads U.S. Cyber Command, the military's top cyber arm. Whenever you hear about American cyberattacks, the people behind them are at Cybercom. The ones you don't hear about probably came out of the NSA. Before becoming NSA director last year, Nakasone was the head of the Army's Cyber Command, and he was in charge of Joint Task Force ARES when the cyber mission against ISIS, Operation Glowing Symphony, first started. And while he wasn't convinced the mission was a success in the first 15 minutes like Neil was, he said it was clear the mission was working from very early on.NAKASONE: Within the first 60 minutes of go, I knew we were having success.TEMPLE-RASTON: And you saw things crumble.NAKASONE: We would see the targets start to come down. It's hard to describe, but you can just sense it from being in the atmosphere that the operators, they know they're doing really well. And they're not saying that, but you're there and you know it.TEMPLE-RASTON: Nakasone said that before Ares, the fight against ISIS in cyberspace was episodic. Now it's continuous.NAKASONE: We were going to make sure that any time ISIS was going to raise money or communicate – we were going to be there.TEMPLE-RASTON: And the fact that Cybercom and Task Force Ares are there has meant that ISIS has had to change the way they operate. They aren't as strong in cyberspace as they were. They're still there but not in the same way.NAKASONE: We were seeing an adversary that was able to leverage cyber to raise a tremendous amount of money, to proselytize. And we were seeing a series of videos and posts and media products that were high-end. We haven't seen that recently.TEMPLE-RASTON: And, of course, that's good.NAKASONE: And that's one of the things that we will continue to do as ISIS shows their head or shows an ability to act. We're going to be right there.TEMPLE-RASTON: Back in June, The New York Times reported that the U.S. had cracked into Russia's electrical power grid and had planted malware there, which…(SOUNDBITE OF MONTAGE)UNIDENTIFIED REPORTER #8 (REPORTER): Has the potential, presumably, to take them offline.UNIDENTIFIED REPORTER #9 (REPORTER): Multiple security officials confirmed the report.UNIDENTIFIED REPORTER #10 (REPORTER): Cyber Command is gaming out what would happen if Russia attacks key states just as America goes to vote in 2020.TEMPLE-RASTON: Though Nakasone wouldn't confirm The New York Times story, it isn't hard to see how that would fit into a Russia small groups operation if it's modeled on Ares. The assumption has always been that Russia is in American networks in the event of a conflict with the U.S. in the future. Nakasone suggested that the U.S. has been doing the same, not just a response to what Russia is trying to do now but what it might attempt to do later.Nakasone said the first thing he did when he became NSA director in the spring of 2018 was to review what the Russians had done in the runup to the U.S. presidential elections. He wanted Cybercom to learn from it, to reverse engineer it and see how it works.NAKASONE: What does an adversary do? How do they try to create influence? It provided us a very, very good roadmap of what they might do in the future.TEMPLE-RASTON: Nakasone said the American people shouldn't worry about the 2020 elections because Cybercom is prepared to prevent the Russians from repeating what they did in 2016.NAKASONE: I think it's important for the American public to understand that, as with any domain – air, land, sea or space – cyberspace is the same way. Our nation has a force. We are going to make sure that we're poised, trained and ready to act when authorized.TEMPLE-RASTON: Even saying that much is new. Remember – offensive cyber not so long ago was something they didn't talk about, and now, all of a sudden, they seem to be. So why is General Nakasone talking about this now?DEIBERT: What's happening here is part of a deterrent justification.TEMPLE-RASTON: That's Ron Deibert from the Citizen Lab again.DEIBERT: You can't have cyber operations meaningly (ph) deter your adversaries unless they know that you have these capabilities and they understand what you can do with them. But what's not probably being discussed or appreciated is the extent to which there is a systemic effect of the use of these operations. Other countries take notice. Other actors take notice.TEMPLE-RASTON: At the end of Stanley Kubrick's "Dr. Strangelove," there was an iconic scene in which Peter Sellers talks about the doomsday bomb as the ultimate deterrent. But it only works as a deterrent if people know it exists.(SOUNDBITE OF FILM, "DR. STRANGELOVE OR: HOW I LEARNED TO STOP WORRYING AND LOVE THE BOMB")PETER SELLERS (ACTOR): (As Dr. Strangelove) Deterrence is the art of producing in the mind of the enemy the fear to attack.TEMPLE-RASTON: And they come to the conclusion – if you don't tell anybody about it, what good is it?(SOUNDBITE OF FILM, "DR. STRANGELOVE OR: HOW I LEARNED TO STOP WORRYING AND LOVE THE BOMB")SELLERS: (As Dr. Strangelove) The whole point of the doomsday machine is lost if you keep it a secret.TEMPLE-RASTON: If you keep it a secret – you could say the same thing about American offensive cyber operations. They've been so stealthy for so long, maybe people don't realize the U.S. has them.We all hear about Russia's influence campaigns. The Chinese have been stealing intellectual property. Iranian hackers have been trolling around in our infrastructure. But we rarely hear much about the American response. This may be an effort to try to change that. The irony is that offensive cyber's richest target is us. Ron Deibert again.DEIBERT: The United States is a country most highly dependent on these technologies and arguably the most vulnerable to these sorts of attacks. I think there should be far more attention devoted to thinking about proper systems and security to defense.TEMPLE-RASTON: Doing that, of course, isn't so easy, either.This is I'LL BE SEEING YOU from NPR. Next time – an old-fashioned spy story with a high-tech twist.UNIDENTIFIED PERSON #8: I just said, it doesn't take a rocket scientist to see what's going on here because a god**** Soviet spy.TEMPLE-RASTON: The show was written and hosted by me, Dina Temple-Raston. Our producer is Adelina Lancianese, and she scored the show, too.(SOUNDBITE OF MUSIC)TEMPLE-RASTON: Special thanks to Eric Mennel for his field production, NPR Investigations, the Story Lab and Josephine Wolff at Tufts University. If you missed one of our previous shows, just go to npr.org/illbeseeingyou or find us on NPR One. I'm Dina Temple-Raston, and I'LL BE SEEING YOU.(SOUNDBITE OF MUSIC)NEIL: My friend texted me, and he said, so I hear you're doing the interview. It's General Nakasone, General Haugh, General Cardon and Neil.TEMPLE-RASTON: (Laughter).NEIL: I'm a recon Marine as well, so if you get compromised, you have to buy everybody a case of beer.TEMPLE-RASTON: I think you're going to be buying a lot of beer.NEIL: Yeah. That's OK. That's OK. Transcript provided by NPR, Copyright NPR.