NSA頂級后門遭中國研究員曝光

本報記者 曹思琦 范凌志

《環球時報》記者23日從北京奇安盤古實驗室科技有限公司（以下簡稱“盤古實驗室”）獨家獲得一份報告，該報告解密了來自美國的后門——“電幕行動（Bvp47)的完整技術細節和攻擊組織關聯。盤古實驗室稱，這是隸屬于美國國安局（NSA）的超一流黑客組織——“方程式”所制造的頂級后門，用于入侵后窺視并控制受害組織網絡，已侵害全球45個國家和地區的287個重要機構目標。該報告是中國研究員首次公開曝光來自美國“方程式”組織高級可持續威脅攻擊,簡稱APT，的完整技術證據鏈條。

“頂級后門”覆蓋所有操作系統：善隱藏、自毀滅、難追蹤

后門是網絡世界中常見的高級持續性威脅之一，指繞過安全控制獲取對網絡系統訪問權的方式，是網絡病毒的一種。盤古實驗室創始人韓爭光告訴《環球時報》記者，相較一般的APT攻擊手段，Bvp47堪稱頂級后門程序，具有極高的技術復雜度、架構靈活性以及超高強度的分析取證對抗特性，搭配超級零日漏洞，又叫零時差攻擊，是指被發現后立即被惡意利用的安全漏洞），可以讓“方程式”組織在網絡空間里暢通先阻,隱秘控制下的數據獲取如探囊取物，在國家級的網絡安全對抗中處于絕對的主導地位。

韓爭光表示，其帶領的研究團隊早在2013年便提取到“電幕行動”后門程序。當時，他們在國內某受害者的主機里調查取證時發現了“電幕”攻擊，技術人員將后門相應的惡意代碼命名為Bvp47，由后門樣本中常見的字符串Bvp及加密算法中的使用數值0x47組合而成，“相較一般攻擊手段，電幕后門結構復雜、架構靈活、適配性強，且能夠對抗高強度的分析取證，對全球網絡安全帶來極大挑戰”。

技術分析顯示，“電幕”后門可以攻擊包括多數Linux發行版、AIX、Solaris、SUN等在內所有操作系統，一其高超的代碼混淆、隱蔽通信、自毀設計前所未見，體現出高超的技術性、針對性和前瞻性，入侵成功后便于黑客組織長期控制受害組織，“這個后門最厲害的地方是極其隱蔽"受侵害的對象還沒有意識到危險時，信息就已經泄露，此后很難查到蹤跡?！表n爭光說。

研究人員對《環球時報》記者透露，據他們掌握的情況，中國至少有64個目標受到入侵。

與斯諾登“棱鏡門”高度關聯，一矛頭直指NSA

盤古實驗室團隊提供的技術證據顯示，上述后門源自美國黑客組織——“方程式，“方程式”是世界超一流的網絡攻擊組織，普遍被認為隸屬于NSA。

2013年，愛德華?斯諾登泄露了ANA網絡攻擊平臺操作手冊，操作手冊中包含一段用于攻擊操作的唯一標識符代碼ace02468bdf13579”。

2017年，知名黑客組織“影子經紀人公布了美國“方程式”攻擊工具中的多個程序和攻擊操作手冊，與斯諾登泄露的唯一標識符代碼完全一致，由此可證實“方程式”組織攻擊工具屬于NSA。

盤古實驗室成員經過長期追蹤分析發現，2013年提取到的Bvp47隱蔽后門，必須使用RSA非對稱加密私鑰激活，這一加密私鑰存在于“影子經紀人”泄露的“方程式”組織黑客工具tipoff-BIN中。

使用tipoff-BIN可以直接遠程激活B?PBS并控制入侵組織網絡，而RSA非對稱加密私鑰是不可被第三方偽造的。因此，確定Bvp47是“方程式”，組織創造的后門，屬于美國NSA。

肆虐全球十余年，窺視重要機構信息

“經過近十年的跟蹤研究，我們終于閉合了這一后門入侵全球的完整證據鏈?！表n爭光對記者表示：“電幕存在的時間可能已經接近20年。”

盤古實驗室的技術團隊將這一持續肆虐全球的APT攻擊行動命名為“電幕行劫”電幕是英國作家喬治?奧威爾在汰說《一九八四》中想象的一個設備，可以用來遠程監控部署了“電幕”的人或組織，“思想警察”可以'隨意監視任意“電幕”的信息和行為。

“后門讓黑客能夠窺視一個機構的內部網絡系統，就像給攻擊對象安裝了'電幕，一切秘密盡在掌握?！表n爭光說。研究人員透露，“電幕行動”已肆虐十余年，不斷迭代其攻擊能力。在我國，該后門主要分布于通行通信的基礎核心數據部門、知名大學及軍工相關單位。

在全球，“電幕行動”已侵害超過45個國家和地區的287個目標，包括俄羅斯、日本、西班牙、德國、意大利等，其中日本作為受害者，還被利用為助&板對其他國家目標發起攻擊，被攻擊的機構包括知名高校、科研機構、通信行業、政府部門等。

韓爭光認為，“電幕行動”長期入侵全球重要機構的網絡系統，竊取大量重要信息，危害非同凡響?！案Q視到受害者內幕情報之后，黑客能夠更有針對性地實施攻擊，后果不堪設想。”

相關研究人員告訴《環球時報》記者，這種后門搭配0day漏洞，發起一個隱蔽的敲門syn包就能入侵，整個發起過程受害者無感知，“這種頂級后門靠辦公操作層面的安全規范很難防范，需要建設一體化的網絡安全防御系統?！?/p>

“電幕行動”不是美國第一個大規模的網絡攻擊行動，也不會是最后一個。研究人員表示，目前全球的APT攻擊日益頻繁，侵犯范圍更廣、危害性和隱蔽性更強。

中國是全球受到APT攻擊最多的國家之一。世界各國政府及產業鏈攜手合作，才能有效應對威脅、捍衛網絡安全?！表n爭光對《環球時報》記著表示，未來該機構將持續進行攻防演練、繼續跟蹤Bvp47網絡入侵情況以及其他各種類型的APT攻擊，以技術能力守衛網絡凈土。▲