2月23日 ， 北京奇安盘古实验室科技有限公司（以下简称“盘古实验室”）发布报告 ， 披露了来自美国的后门——“电幕行动”（Bvp47）的完整技术细节和攻击组织关联 。
盘古实验室称 ， 这是隶属于美国国安局（NSA）的超一流黑客组织“方程式”制造的顶级后门 ， 用于入侵后窥视并控制受害组织网络 ， 已侵害全球45个国家和地区 。
顶级后门程序偷数据如探囊取物
电幕（telescreen）是英国作家乔治·奥威尔在小说《1984》中想象的一个设备 ， 可以用来远程监控部署了电幕的人或组织 ， “思想警察”可以任意监视电幕的信息和行为 。
盘古实验室创始人韩争光说：“后门让黑客能够窥视被入侵机构的内部网络系统 ， 就好像给攻击对象安装了‘电幕’ ， 一切秘密尽在掌握 。 ”

文章图片

图片来源：盘古实验室
盘古实验室报告显示 ， “电幕行动”（Bvp47）在全球已肆虐十余年 ， 广泛入侵中国、俄罗斯、日本、德国、西班牙、意大利等45个国家和地区 ， 涉及287个重要机构目标 。 其中 ， 日本作为受害者 ， 还被利用作为跳板对其他国家目标发起攻击 。
按照信息安全国家工程研究中心的定义 ， APT是黑客以窃取核心资料为目的 ， 针对客户所发动的网络攻击和侵袭行为 ， 是一种蓄谋已久的“恶意商业间谍威胁” 。
韩争光介绍 ， 相较一般的APT攻击手段 ， “电幕行动”堪称顶级后门程序 ， 具有极高的技术复杂度、架构灵活性及超高强度的分析取证对抗特性 ， 搭配超级零日漏洞（也称零时差攻击 ， 指被发现后立即被恶意利用的安全漏洞） ， “方程式”组织即可在网络空间里畅通无阻 ， 数据获取如探囊取物 ， 在国家级的网络安全对抗中处于绝对的主导地位 。
技术分析显示 ， “电幕行动”后门可以攻击包括多数Linux发行版、AIX、Solaris、SUN等在内的所有操作系统 ， 其高超的代码混淆、隐蔽通信、自毁设计前所未见 ， 存在的时间可能已经接近20年 。
更持久 ， 更隐蔽 ， 却具有更强大破坏力 ， 全球APT攻击日益频繁 。 研究人员呼吁 ， 世界各国政府及产业链应携手合作有效应对威胁、捍卫网络安全 。
攻击行为完整技术证据链条首次曝光
这是中国研究员首次公开曝光来自美国方程式组织APT“电幕行动”攻击的完整技术证据链条 。
2013年 ， 盘古实验室研究人员在中国某受害者的主机里调查取证时 ， 提取了一个被复杂加密的疑似后门程序Bvp47 ， 在不能完全解密的情况下 ， 经研究发现这个后门程序需要与主机绑定的校验码才能正常运行 ， 随后研究人员又破解了校验码 ， 并成功运行了这个后门程序 ， 从部分行为功能上断定这是一个顶级APT后门程序 ， 但是进一步调查需要攻击者的非对称加密私钥才能激活远控功能 ， 研究人员的调查受阻 。
2016年 ， 知名黑客组织“影子经纪人”（The Shadow Brokers）宣称成功黑进了“方程式组织” ， 并于2016年和2017年先后公布了大量“方程式组织”的黑客工具和数据 。
盘古实验室成员从“影子经纪人”公布的文件中 ， 发现了一组疑似包含私钥的文件 ， 恰好是唯一可激活Bvp47顶级后门的非对称加密私钥 ， 可直接远程激活并控制Bvp47顶级后门 。 由此断定 ， Bvp47是属于“方程式组织”的黑客工具 。
盘古实验室报告称 ， 研究人员通过进一步研究发现 ， “影子经纪人”公开的多个程序和攻击操作手册 ， 与2013年前美国中情局分析师斯诺登在“棱镜门”事件中曝光的NSA网络攻击平台操作手册中所使用的唯一标识符完全吻合 。 鉴于美国政府以“未经允许传播国家防务信息和有意传播机密情报”等三项罪名起诉斯诺登 ， 可以认定“影子经纪人”公布的文件确属NSA无疑 ， 可充分证明 ， “方程式组织”隶属于NSA ， 即Bvp47是NSA的顶级后门 。