Серверы «Лисья кислота» были напрямую подсоединены к Интернету, имели самые обычные доменные имена и были доступны для любых браузеров безо всяких ограничений. Определить истинную принадлежность этих серверов было невозможно. Когда пользователь перенаправлялся на них с одного из серверов «Квант», использовался специальный адрес переадресации, который выглядел вполне невинно. Однако этот адрес снабжался тэгом, обнаружив который, сервер «Лисья кислота» пытался тайно внедрить шпионскую программу в компьютер перенаправленного посетителя.
Шпионские программы из арсенала серверов «Лисья кислота» были строго ранжированы. Самые изощренные из них использовались только против наиболее важных мишеней. Остальные задействовались в зависимости от технических особенностей атакуемой компьютерной системы. Например, против пользователей системы «Тор» применялся эксплойт[16] «Самолюбивый жираф», которые был основан на слабостях браузера «Огненный лис» компании «Мозилла».
В первую очередь внедренные шпионские программы собирали информацию о конфигурации и местонахождении компьютеров, в которых обосновались. Эта информация отсылалась в штаб-квартиру АНБ и использовалась, чтобы точнее определить способы дальнейшего заражения. Например, выбрать наиболее подходящие «имплантаты»– программные фильтры для просеивания хранимой на компьютере пользовательской информации. В 2008 году общее количество «имплантатов», установленных АНБ по всему миру, составило порядка двадцати тысяч. В середине 2012 году оно достигло пятидесяти тысяч. «Имплантаты» имели дистанционное управление и активировались из штаб-квартиры АНБ простым нажатием кнопки.
В ноябре 2013 года стало известно об операции «Социалист», в ходе которой был в ЦПС получен тайный доступ к маршрутизаторам бельгийской телекоммуникационной компании «Белгаком» в целях перехвата ее сетевого трафика, отслеживания перемещения ее абонентов и внедрения вредоносного программного обеспечения в их устройства. Операция началась с того, что в самой крупной в мире социальной сети для делового общения «ЛинкедИн» были выявлены системные администраторы и инженеры «Белгаком». На каждого из них было заведено отдельное досье, которое включало адреса электронной почты, учетные записи в социальных сетях, посещаемые интернет-сайты и личные пристрастия. При помощи серверов «Квант» им подсунули фальшивые веб-страницы, имитировавшие интернет-сайт «ЛинкедИн» и содержавшие шпионские программы. Заражение компьютеров этими программами, которое на жаргоне хакеров из ЦПС называлось «прививкой», считалось весьма эффективным средством, срабатывавшим более чем в 80 % случаев.