2 月 23 日,北京奇安盘古实验室科技有限公司(以下简称“盘古实验室”或 Pangu Lab)在其 www.pangulab.cn 网页上发布了一份报告,该报告内容对美国顶级后门 ——“电幕行动”(Bvp47)的完整技术细节和攻击组织关联进行了曝光。
“盘古实验室”方面表示,“电幕行动”(Bvp47)是一个隶属于 NSA(美国国安局)的超级黑客组织“方程式”所制造的用来入侵后窥视并控制受害组织网络的顶级后门,目前已侵害全球 45 个国家和地区。
在 Pangu Lab 页面上,“盘古实验室”列出了该顶级后门的完整技术证据链条:
“2013 年,盘古实验室研究员在针对某国内要害部门主机的调查过程中,提取了一个经过复杂加密的 Linux 平台后门,其使用的基于 SYN 包的高级隐蔽信道行为和自身的代码混淆、系统隐藏、自毁设计前所未见。在不能完全解密的情况下,进一步发现这个后门程序需要与主机绑定的校验码才能正常运行,随后研究人员又破解了校验码,并成功运行了这个后门程序,从部分行为功能上断定这是一个顶级APT后门程序,但是进一步调查需要攻击者的非对称加密私钥才能激活远控功能,至此研究人员的调查受阻。基于样本中最常见的字符串‘Bvp’和加密算法中使用数值 0x47,命名为‘Bvp47’。
2016 年,知名黑客组织‘影子经纪人’(The Shadow Brokers)宣称成功黑进了‘方程式组织’,并于 2016 年和 2017年先后公布了大量‘方程式组织’的黑客工具和数据。盘古实验室成员从‘影子经纪人’公布的文件中,发现了一组疑似包含私钥的文件,恰好正是唯一可以激活 Bvp47 顶级后门的非对称加密私钥,可直接远程激活并控制 Bvp47 顶级后门。可以断定,Bvp47 是属于‘方程式组织’的黑客工具。”
通过进一步研究后,盘古实验室发现“影子经纪人”公开的多个程序和攻击操作手册,与 2013 年斯诺登在“棱镜门”事件中曝光的 NSA 网络攻击平台操作手册中所使用的唯一标识符完全吻合。
盘古实验室方面表示,“鉴于美政府以‘未经允许传播国家防务信息和有意传播机密情报”等三项罪名起诉斯诺登,因此可以认定“影子经纪人’公布的文件确属 NSA 无疑。这也可以充分证明,方程式组织隶属于 NSA —— Bvp47 是 NSA 的顶级后门。”
据悉,“影子经济人”文档揭示的受害范围已超过 45 个国家和地区,共包括 287 个目标。
由此,“盘古实验室”根据英国作家乔治·奥威尔在小说《1984》中的假想设备“电幕(Telescreen)”,为多起 Bvp47 同源样本事件起了一个代号 —— “电幕行动”。
点击下载完整技术报告:
