2月23日,北京奇安盘古实验室科技有限公司(以下简称“盘古实验室”)发布报告,披露了来自美国的后门——“电幕行动”(Bvp47)的完整技术细节和攻击组织关联。盘古实验室称,这是隶属于美国国安局(NSA)的超一流黑客组织——“方程式”所制造的顶级后门,用于入侵后窥视并控制受害组织网络,已侵害全球45个国家和地区。
这是中国研究员首次公开曝光来自美国方程式组织APT“电幕行动”攻击的完整技术证据链条:
2013年,盘古实验室研究人员在中国某受害者的主机里调查取证时,提取了一个被复杂加密的疑似后门程序Bvp47,在不能完全解密的情况下,经研究发现这个后门程序需要与主机绑定的校验码才能正常运行,随后研究人员又破解了校验码,并成功运行了这个后门程序,从部分行为功能上断定这是一个顶级APT后门程序,但是进一步调查需要攻击者的非对称加密私钥才能激活远控功能,至此研究人员的调查受阻。
2016年,知名黑客组织“影子经纪人”(The Shadow Brokers)宣称成功黑进了“方程式组织”,并于2016年和2017年先后公布了大量“方程式组织”的黑客工具和数据。盘古实验室成员从“影子经纪人”公布的文件中,发现了一组疑似包含私钥的文件,恰好正是唯一可以激活Bvp47顶级后门的非对称加密私钥,可直接远程激活并控制Bvp47顶级后门。可以断定,Bvp47是属于“方程式组织”的黑客工具。
报告称,研究人员通过进一步研究发现,“影子经纪人”公开的多个程序和攻击操作手册,与2013年前美国中情局分析师斯诺登在“棱镜门”事件中曝光的NSA网络攻击平台操作手册中所使用的唯一标识符完全吻合。
鉴于美国政府以“未经允许传播国家防务信息和有意传播机密情报”等三项罪名起诉斯诺登,可以认定“影子经纪人”公布的文件确属NSA无疑,这可以充分证明,方程式组织隶属于NSA,即Bvp47是NSA的顶级后门。
研究人员为Bvp47起了一个代号“电幕行动”。电幕(telescreen)是英国作家乔治·奥威尔在小说《1984》中想象的一个设备,可以用来远程监控部署了电幕的人或组织,“思想警察”可以任意监视电幕的信息和行为。“后门让黑客能够窥视被入侵机构的内部网络系统,就好像给攻击对象安装了‘电幕’,一切秘密尽在掌握。”盘古实验室创始人韩争光说。
报告显示,“电幕行动”(Bvp47)在全球已肆虐十余年,广泛入侵中国、俄罗斯、日本、德国、西班牙、意大利等45个国家和地区,涉及287个重要机构目标。其中日本作为受害者,还被利用作为跳板对其他国家目标发起攻击。
盘古实验室创始人韩争光表示,相较一般的APT攻击手段,“电幕行动”堪称顶级后门程序,具有极高的技术复杂度、架构灵活性以及超高强度的分析取证对抗特性,搭配超级零日漏洞(又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞),可以让“方程式”组织在网络空间里畅通无阻,隐秘控制下的数据获取如探囊取物,在国家级的网络安全对抗中处于绝对的主导地位。
技术分析显示,“电幕行动”后门可以攻击包括多数Linux发行版、AIX、Solaris、SUN等在内所有操作系统,其高超的代码混淆、隐蔽通信、自毁设计前所未见,体现出高超的技术性、针对性和前瞻性,存在的时间可能已经接近20年。
目前全球的APT攻击日益频繁,侵犯范围更广、危害性和隐蔽性更强。中国是全球受到APT攻击最多的国家之一。研究人员呼吁,世界各国政府及产业链应携手合作有效应对威胁、捍卫网络安全。
北京奇安盘古实验室科技有限公司是在知名安全团队盘古实验室基础上成立,专注于高级安全研究和攻防对抗研究,在操作系统、虚拟化、物联网和应用安全研究上拥有扎实的研究能力和经验。