關(guān)鍵詞:Bvp47,、電幕行動(dòng),、NSA,、方程式組織,、斯諾登、棱鏡門,、美國(guó)國(guó)安局,、頂級(jí)后門
2013年,,盤古實(shí)驗(yàn)室研究員在針對(duì)某國(guó)內(nèi)要害部門主機(jī)的調(diào)查過(guò)程中,,提取了一個(gè)經(jīng)過(guò)復(fù)雜加密的Linux平臺(tái)后門,其使用的基于SYN包的高級(jí)隱蔽信道行為和自身的代碼混淆,、系統(tǒng)隱藏,、自毀設(shè)計(jì)前所未見。在不能完全解密的情況下,,進(jìn)一步發(fā)現(xiàn)這個(gè)后門程序需要與主機(jī)綁定的校驗(yàn)碼才能正常運(yùn)行,,隨后研究人員又破解了校驗(yàn)碼,并成功運(yùn)行了這個(gè)后門程序,,從部分行為功能上斷定這是一個(gè)頂級(jí)APT后門程序,,但是進(jìn)一步調(diào)查需要攻擊者的非對(duì)稱加密私鑰才能激活遠(yuǎn)控功能,至此研究人員的調(diào)查受阻,?;跇颖局凶畛R姷淖址癇vp”和加密算法中使用數(shù)值0x47,命名為“Bvp47”,。
2016年,,知名黑客組織“影子經(jīng)紀(jì)人”(The Shadow Brokers)宣稱成功黑進(jìn)了“方程式組織”,并于2016年和2017年先后公布了大量“方程式組織”的黑客工具和數(shù)據(jù),。盤古實(shí)驗(yàn)室成員從“影子經(jīng)紀(jì)人”公布的文件中,,發(fā)現(xiàn)了一組疑似包含私鑰的文件,恰好正是唯一可以激活Bvp47頂級(jí)后門的非對(duì)稱加密私鑰,,可直接遠(yuǎn)程激活并控制Bvp47頂級(jí)后門,??梢詳喽ǎ珺vp47是屬于“方程式組織”的黑客工具,。
研究人員通過(guò)進(jìn)一步研究發(fā)現(xiàn),,“影子經(jīng)紀(jì)人”公開的多個(gè)程序和攻擊操作手冊(cè),與2013年前美國(guó)中情局分析師斯諾登在“棱鏡門”事件中曝光的NSA網(wǎng)絡(luò)攻擊平臺(tái)操作手冊(cè)中所使用的唯一標(biāo)識(shí)符完全吻合,。
鑒于美國(guó)政府以“未經(jīng)允許傳播國(guó)家防務(wù)信息和有意傳播機(jī)密情報(bào)”等三項(xiàng)罪名起訴斯諾登,,可以認(rèn)定“影子經(jīng)紀(jì)人”公布的文件確屬NSA無(wú)疑,這可以充分證明,,方程式組織隸屬于NSA,,即Bvp47是NSA的頂級(jí)后門。
“影子經(jīng)濟(jì)人”的文檔揭示受害范圍超過(guò)45個(gè)國(guó)家287個(gè)目標(biāo),,包括俄羅斯,、日本、西班牙,、德國(guó),、意大利等,持續(xù)十幾年時(shí)間,,某日本受害者被利用作為跳板對(duì)目標(biāo)發(fā)起攻擊,。
盤古實(shí)驗(yàn)室為多起B(yǎng)vp47同源樣本事件起了一個(gè)代號(hào)“電幕行動(dòng)”。電幕(Telescreen)是英國(guó)作家喬治·奧威爾在小說(shuō)《1984》中想象的一個(gè)設(shè)備,,可以用來(lái)遠(yuǎn)程監(jiān)控部署了電幕的人或組織,,“思想警察”可以任意監(jiān)視任意電幕的信息和行為。
方程式組織是世界超一流的網(wǎng)絡(luò)攻擊組織,,普遍認(rèn)為隸屬于美國(guó)國(guó)家安全局NSA,。從所獲取的包括Bvp47在內(nèi)的相關(guān)攻擊工具平臺(tái)來(lái)看,方程式組織確實(shí)堪稱技術(shù)一流,,工具平臺(tái)設(shè)計(jì)良好,、功能強(qiáng)大、廣泛適配,,底層以0day漏洞體現(xiàn)的網(wǎng)絡(luò)攻擊能力在當(dāng)時(shí)的互聯(lián)網(wǎng)上可以說(shuō)暢通無(wú)阻,,獲取被隱秘控制下的數(shù)據(jù)如探囊取物,在國(guó)家級(jí)的網(wǎng)空對(duì)抗中處于主導(dǎo)地位,。
