2月23日，北京奇安盤(pán)古實(shí)驗(yàn)室科技有限公司（以下簡(jiǎn)稱“盤(pán)古實(shí)驗(yàn)室”）發(fā)布報(bào)告，披露了來(lái)自美國(guó)的后門(mén)——“電幕行動(dòng)”（Bvp47）的完整技術(shù)細(xì)節(jié)和攻擊組織關(guān)聯(lián)。盤(pán)古實(shí)驗(yàn)室稱，這是隸屬于美國(guó)國(guó)安局（NSA）的超一流黑客組織——“方程式”所制造的頂級(jí)后門(mén)，用于入侵后窺視并控制受害組織網(wǎng)絡(luò)，已侵害全球45個(gè)國(guó)家和地區(qū)。

這是中國(guó)研究員首次公開(kāi)曝光來(lái)自美國(guó)方程式組織APT“電幕行動(dòng)”攻擊的完整技術(shù)證據(jù)鏈條：

2013年，盤(pán)古實(shí)驗(yàn)室研究人員在中國(guó)某受害者的主機(jī)里調(diào)查取證時(shí)，提取了一個(gè)被復(fù)雜加密的疑似后門(mén)程序Bvp47，在不能完全解密的情況下，經(jīng)研究發(fā)現(xiàn)這個(gè)后門(mén)程序需要與主機(jī)綁定的校驗(yàn)碼才能正常運(yùn)行，隨后研究人員又破解了校驗(yàn)碼，并成功運(yùn)行了這個(gè)后門(mén)程序，從部分行為功能上斷定這是一個(gè)頂級(jí)APT后門(mén)程序，但是進(jìn)一步調(diào)查需要攻擊者的非對(duì)稱加密私鑰才能激活遠(yuǎn)控功能，至此研究人員的調(diào)查受阻。

2016年，知名黑客組織“影子經(jīng)紀(jì)人”（The Shadow Brokers）宣稱成功黑進(jìn)了“方程式組織”，并于2016年和2017年先后公布了大量“方程式組織”的黑客工具和數(shù)據(jù)。盤(pán)古實(shí)驗(yàn)室成員從“影子經(jīng)紀(jì)人”公布的文件中，發(fā)現(xiàn)了一組疑似包含私鑰的文件，恰好正是唯一可以激活Bvp47頂級(jí)后門(mén)的非對(duì)稱加密私鑰，可直接遠(yuǎn)程激活并控制Bvp47頂級(jí)后門(mén)?？梢詳喽?，Bvp47是屬于“方程式組織”的黑客工具。

報(bào)告稱，研究人員通過(guò)進(jìn)一步研究發(fā)現(xiàn)，“影子經(jīng)紀(jì)人”公開(kāi)的多個(gè)程序和攻擊操作手冊(cè)，與2013年前美國(guó)中情局分析師斯諾登在“棱鏡門(mén)”事件中曝光的NSA網(wǎng)絡(luò)攻擊平臺(tái)操作手冊(cè)中所使用的唯一標(biāo)識(shí)符完全吻合。

鑒于美國(guó)政府以“未經(jīng)允許傳播國(guó)家防務(wù)信息和有意傳播機(jī)密情報(bào)”等三項(xiàng)罪名起訴斯諾登，可以認(rèn)定“影子經(jīng)紀(jì)人”公布的文件確屬NSA無(wú)疑，這可以充分證明，方程式組織隸屬于NSA，即Bvp47是NSA的頂級(jí)后門(mén)。

研究人員為Bvp47起了一個(gè)代號(hào)“電幕行動(dòng)”。電幕（telescreen）是英國(guó)作家喬治·奧威爾在小說(shuō)《1984》中想象的一個(gè)設(shè)備，可以用來(lái)遠(yuǎn)程監(jiān)控部署了電幕的人或組織，“思想警察”可以任意監(jiān)視電幕的信息和行為?！昂箝T(mén)讓黑客能夠窺視被入侵機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)，就好像給攻擊對(duì)象安裝了‘電幕’，一切秘密盡在掌握?！北P(pán)古實(shí)驗(yàn)室創(chuàng)始人韓爭(zhēng)光說(shuō)。

報(bào)告顯示，“電幕行動(dòng)”（Bvp47）在全球已肆虐十余年，廣泛入侵中國(guó)、俄羅斯、日本、德國(guó)、西班牙、意大利等45個(gè)國(guó)家和地區(qū)，涉及287個(gè)重要機(jī)構(gòu)目標(biāo)。其中日本作為受害者，還被利用作為跳板對(duì)其他國(guó)家目標(biāo)發(fā)起攻擊。

盤(pán)古實(shí)驗(yàn)室創(chuàng)始人韓爭(zhēng)光表示，相較一般的APT攻擊手段，“電幕行動(dòng)”堪稱頂級(jí)后門(mén)程序，具有極高的技術(shù)復(fù)雜度、架構(gòu)靈活性以及超高強(qiáng)度的分析取證對(duì)抗特性，搭配超級(jí)零日漏洞（又叫零時(shí)差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞），可以讓“方程式”組織在網(wǎng)絡(luò)空間里暢通無(wú)阻，隱秘控制下的數(shù)據(jù)獲取如探囊取物，在國(guó)家級(jí)的網(wǎng)絡(luò)安全對(duì)抗中處于絕對(duì)的主導(dǎo)地位。

技術(shù)分析顯示，“電幕行動(dòng)”后門(mén)可以攻擊包括多數(shù)Linux發(fā)行版、AIX、Solaris、SUN等在內(nèi)所有操作系統(tǒng)，其高超的代碼混淆、隱蔽通信、自毀設(shè)計(jì)前所未見(jiàn)，體現(xiàn)出高超的技術(shù)性、針對(duì)性和前瞻性，存在的時(shí)間可能已經(jīng)接近20年。

目前全球的APT攻擊日益頻繁，侵犯范圍更廣、危害性和隱蔽性更強(qiáng)。中國(guó)是全球受到APT攻擊最多的國(guó)家之一。研究人員呼吁，世界各國(guó)政府及產(chǎn)業(yè)鏈應(yīng)攜手合作有效應(yīng)對(duì)威脅、捍衛(wèi)網(wǎng)絡(luò)安全。

記者了解到，北京奇安盤(pán)古實(shí)驗(yàn)室科技有限公司是在知名安全團(tuán)隊(duì)盤(pán)古實(shí)驗(yàn)室基礎(chǔ)上成立，專注于高級(jí)安全研究和攻防對(duì)抗研究，在操作系統(tǒng)、虛擬化、物聯(lián)網(wǎng)和應(yīng)用安全研究上擁有扎實(shí)的研究能力和經(jīng)驗(yàn)。

雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。