本報記者 曹思琦 范凌志

《環(huán)球時報》記者23日從北京奇安盤古實驗室科技有限公司（以下簡稱“盤古實驗室”）獨家獲得一份報告，該報告解密了來自美國的后門——“電幕行動（Bvp47)的完整技術(shù)細節(jié)和攻擊組織關(guān)聯(lián)。盤古實驗室稱，這是隸屬于美國國安局（NSA）的超一流黑客組織——“方程式”所制造的頂級后門，用于入侵后窺視并控制受害組織網(wǎng)絡(luò)，已侵害全球45個國家和地區(qū)的287個重要機構(gòu)目標。該報告是中國研究員首次公開曝光來自美國“方程式”組織高級可持續(xù)威脅攻擊,簡稱APT，的完整技術(shù)證據(jù)鏈條。

“頂級后門”覆蓋所有操作系統(tǒng)：善隱藏、自毀滅、難追蹤

后門是網(wǎng)絡(luò)世界中常見的高級持續(xù)性威脅之一，指繞過安全控制獲取對網(wǎng)絡(luò)系統(tǒng)訪問權(quán)的方式，是網(wǎng)絡(luò)病毒的一種。盤古實驗室創(chuàng)始人韓爭光告訴《環(huán)球時報》記者，相較一般的APT攻擊手段，Bvp47堪稱頂級后門程序，具有極高的技術(shù)復(fù)雜度、架構(gòu)靈活性以及超高強度的分析取證對抗特性，搭配超級零日漏洞，又叫零時差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞），可以讓“方程式”組織在網(wǎng)絡(luò)空間里暢通先阻,隱秘控制下的數(shù)據(jù)獲取如探囊取物，在國家級的網(wǎng)絡(luò)安全對抗中處于絕對的主導(dǎo)地位。

韓爭光表示，其帶領(lǐng)的研究團隊早在2013年便提取到“電幕行動”后門程序。當時，他們在國內(nèi)某受害者的主機里調(diào)查取證時發(fā)現(xiàn)了“電幕”攻擊，技術(shù)人員將后門相應(yīng)的惡意代碼命名為Bvp47，由后門樣本中常見的字符串Bvp及加密算法中的使用數(shù)值0x47組合而成，“相較一般攻擊手段，電幕后門結(jié)構(gòu)復(fù)雜、架構(gòu)靈活、適配性強，且能夠?qū)垢邚姸鹊姆治鋈∽C，對全球網(wǎng)絡(luò)安全帶來極大挑戰(zhàn)”。

技術(shù)分析顯示，“電幕”后門可以攻擊包括多數(shù)Linux發(fā)行版、AIX、Solaris、SUN等在內(nèi)所有操作系統(tǒng)，一其高超的代碼混淆、隱蔽通信、自毀設(shè)計前所未見，體現(xiàn)出高超的技術(shù)性、針對性和前瞻性，入侵成功后便于黑客組織長期控制受害組織，“這個后門最厲害的地方是極其隱蔽"受侵害的對象還沒有意識到危險時，信息就已經(jīng)泄露，此后很難查到蹤跡?！表n爭光說。

研究人員對《環(huán)球時報》記者透露，據(jù)他們掌握的情況，中國至少有64個目標受到入侵。

與斯諾登“棱鏡門”高度關(guān)聯(lián)，一矛頭直指NSA

盤古實驗室團隊提供的技術(shù)證據(jù)顯示，上述后門源自美國黑客組織——“方程式，“方程式”是世界超一流的網(wǎng)絡(luò)攻擊組織，普遍被認為隸屬于NSA。

2013年，愛德華?斯諾登泄露了ANA網(wǎng)絡(luò)攻擊平臺操作手冊，操作手冊中包含一段用于攻擊操作的唯一標識符代碼ace02468bdf13579”。

2017年，知名黑客組織“影子經(jīng)紀人公布了美國“方程式”攻擊工具中的多個程序和攻擊操作手冊，與斯諾登泄露的唯一標識符代碼完全一致，由此可證實“方程式”組織攻擊工具屬于NSA。

盤古實驗室成員經(jīng)過長期追蹤分析發(fā)現(xiàn)，2013年提取到的Bvp47隱蔽后門，必須使用RSA非對稱加密私鑰激活，這一加密私鑰存在于“影子經(jīng)紀人”泄露的“方程式”組織黑客工具tipoff-BIN中。

使用tipoff-BIN可以直接遠程激活B?PBS并控制入侵組織網(wǎng)絡(luò)，而RSA非對稱加密私鑰是不可被第三方偽造的。因此，確定Bvp47是“方程式”，組織創(chuàng)造的后門，屬于美國NSA。

肆虐全球十余年，窺視重要機構(gòu)信息

“經(jīng)過近十年的跟蹤研究，我們終于閉合了這一后門入侵全球的完整證據(jù)鏈?！表n爭光對記者表示：“電幕存在的時間可能已經(jīng)接近20年。”

盤古實驗室的技術(shù)團隊將這一持續(xù)肆虐全球的APT攻擊行動命名為“電幕行劫”電幕是英國作家喬治?奧威爾在汰說《一九八四》中想象的一個設(shè)備，可以用來遠程監(jiān)控部署了“電幕”的人或組織，“思想警察”可以'隨意監(jiān)視任意“電幕”的信息和行為。

“后門讓黑客能夠窺視一個機構(gòu)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)，就像給攻擊對象安裝了'電幕，一切秘密盡在掌握?！表n爭光說。研究人員透露，“電幕行動”已肆虐十余年，不斷迭代其攻擊能力。在我國，該后門主要分布于通行通信的基礎(chǔ)核心數(shù)據(jù)部門、知名大學(xué)及軍工相關(guān)單位。

在全球，“電幕行動”已侵害超過45個國家和地區(qū)的287個目標，包括俄羅斯、日本、西班牙、德國、意大利等，其中日本作為受害者，還被利用為助&板對其他國家目標發(fā)起攻擊，被攻擊的機構(gòu)包括知名高校、科研機構(gòu)、通信行業(yè)、政府部門等。

韓爭光認為，“電幕行動”長期入侵全球重要機構(gòu)的網(wǎng)絡(luò)系統(tǒng)，竊取大量重要信息，危害非同凡響。“窺視到受害者內(nèi)幕情報之后，黑客能夠更有針對性地實施攻擊，后果不堪設(shè)想?！?/p>

相關(guān)研究人員告訴《環(huán)球時報》記者，這種后門搭配0day漏洞，發(fā)起一個隱蔽的敲門syn包就能入侵，整個發(fā)起過程受害者無感知，“這種頂級后門靠辦公操作層面的安全規(guī)范很難防范，需要建設(shè)一體化的網(wǎng)絡(luò)安全防御系統(tǒng)。”

“電幕行動”不是美國第一個大規(guī)模的網(wǎng)絡(luò)攻擊行動，也不會是最后一個。研究人員表示，目前全球的APT攻擊日益頻繁，侵犯范圍更廣、危害性和隱蔽性更強。

中國是全球受到APT攻擊最多的國家之一。世界各國政府及產(chǎn)業(yè)鏈攜手合作，才能有效應(yīng)對威脅、捍衛(wèi)網(wǎng)絡(luò)安全?！表n爭光對《環(huán)球時報》記著表示，未來該機構(gòu)將持續(xù)進行攻防演練、繼續(xù)跟蹤Bvp47網(wǎng)絡(luò)入侵情況以及其他各種類型的APT攻擊，以技術(shù)能力守衛(wèi)網(wǎng)絡(luò)凈土。▲