2月23日，北京奇安盤古實驗室科技有限公司（以下簡稱“盤古實驗室”）發(fā)布報告，披露了來自美國的后門——“電幕行動”（Bvp47）的完整技術細節(jié)和攻擊組織關聯。盤古實驗室稱，這是隸屬于美國國安局（NSA）的超一流黑客組織——“方程式”所制造的頂級后門，用于入侵后窺視并控制受害組織網絡，已侵害全球45個國家和地區(qū)。

這是中國研究員首次公開曝光來自美國方程式組織APT“電幕行動”攻擊的完整技術證據鏈條：

2013年，盤古實驗室研究人員在中國某受害者的主機里調查取證時，提取了一個被復雜加密的疑似后門程序Bvp47，在不能完全解密的情況下，經研究發(fā)現這個后門程序需要與主機綁定的校驗碼才能正常運行，隨后研究人員又破解了校驗碼，并成功運行了這個后門程序，從部分行為功能上斷定這是一個頂級APT后門程序，但是進一步調查需要攻擊者的非對稱加密私鑰才能激活遠控功能，至此研究人員的調查受阻。

2016年，知名黑客組織“影子經紀人”（The Shadow Brokers）宣稱成功黑進了“方程式組織”，并于2016年和2017年先后公布了大量“方程式組織”的黑客工具和數據。盤古實驗室成員從“影子經紀人”公布的文件中，發(fā)現了一組疑似包含私鑰的文件，恰好正是唯一可以激活Bvp47頂級后門的非對稱加密私鑰，可直接遠程激活并控制Bvp47頂級后門?？梢詳喽?，Bvp47是屬于“方程式組織”的黑客工具。

報告稱，研究人員通過進一步研究發(fā)現，“影子經紀人”公開的多個程序和攻擊操作手冊，與2013年前美國中情局分析師斯諾登在“棱鏡門”事件中曝光的NSA網絡攻擊平臺操作手冊中所使用的唯一標識符完全吻合。

鑒于美國政府以“未經允許傳播國家防務信息和有意傳播機密情報”等三項罪名起訴斯諾登，可以認定“影子經紀人”公布的文件確屬NSA無疑，這可以充分證明，方程式組織隸屬于NSA，即Bvp47是NSA的頂級后門。

研究人員為Bvp47起了一個代號“電幕行動”。電幕（telescreen）是英國作家喬治·奧威爾在小說《1984》中想象的一個設備，可以用來遠程監(jiān)控部署了電幕的人或組織，“思想警察”可以任意監(jiān)視電幕的信息和行為?！昂箝T讓黑客能夠窺視被入侵機構的內部網絡系統(tǒng)，就好像給攻擊對象安裝了‘電幕’，一切秘密盡在掌握?！北P古實驗室創(chuàng)始人韓爭光說。

報告顯示，“電幕行動”（Bvp47）在全球已肆虐十余年，廣泛入侵中國、俄羅斯、日本、德國、西班牙、意大利等45個國家和地區(qū)，涉及287個重要機構目標。其中日本作為受害者，還被利用作為跳板對其他國家目標發(fā)起攻擊。

盤古實驗室創(chuàng)始人韓爭光表示，相較一般的APT攻擊手段，“電幕行動”堪稱頂級后門程序，具有極高的技術復雜度、架構靈活性以及超高強度的分析取證對抗特性，搭配超級零日漏洞（又叫零時差攻擊，是指被發(fā)現后立即被惡意利用的安全漏洞），可以讓“方程式”組織在網絡空間里暢通無阻，隱秘控制下的數據獲取如探囊取物，在國家級的網絡安全對抗中處于絕對的主導地位。

技術分析顯示，“電幕行動”后門可以攻擊包括多數Linux發(fā)行版、AIX、Solaris、SUN等在內所有操作系統(tǒng)，其高超的代碼混淆、隱蔽通信、自毀設計前所未見，體現出高超的技術性、針對性和前瞻性，存在的時間可能已經接近20年。

目前全球的APT攻擊日益頻繁，侵犯范圍更廣、危害性和隱蔽性更強。中國是全球受到APT攻擊最多的國家之一。研究人員呼吁，世界各國政府及產業(yè)鏈應攜手合作有效應對威脅、捍衛(wèi)網絡安全。

記者了解到，北京奇安盤古實驗室科技有限公司是在知名安全團隊盤古實驗室基礎上成立，專注于高級安全研究和攻防對抗研究，在操作系統(tǒng)、虛擬化、物聯網和應用安全研究上擁有扎實的研究能力和經驗。

雷峰網(公眾號：雷峰網)

雷峰網版權文章，未經授權禁止轉載。詳情見轉載須知。