中国研究员首次曝光美国国安局顶级后门—“方程式组织”

2月23日，北京奇安盘古实验室科技有限公司发布了一份报告，该报告详细解密了来自美国的后门，名为“电幕行动”（Bvp47）的完整技术细节和攻击组织关联。盘古实验室表示，这是隶属于美国国安局（NSA）的超一流黑客组织——“方程式”所制造的顶级后门，用于入侵后窥视并控制受害组织网络，已侵害全球45个国家和地区。

该报告是中国研究员首次公开曝光来自美国“方程式组织”APT（高级可持续威胁攻击）攻击的完整技术证据链条。以下是具体内容：

研究人员调查受阻

2013年，盘古实验室研究员在针对某国内要害部门主机的调查过程中，提取了一个经过复杂加密的Linux平台后门，其使用的基于SYN包的高级隐蔽信道行为和自身的代码混淆、系统隐藏、自毁设计前所未见。在不能完全解密的情况下，进一步发现这个后门程序需要与主机绑定的校验码才能正常运行，随后研究人员又破解了校验码，并成功运行了这个后门程序，从部分行为功能上断定这是一个顶级APT后门程序，但是进一步调查需要攻击者的非对称加密私钥才能激活远控功能，至此研究人员的调查受阻。

研究人员确定Bvp47属于“方程式组织”的黑客工具

2016年，知名黑客组织“影子经纪人”（The Shadow Brokers）宣称成功黑进了“方程式组织”，并于2016年和2017年先后公布了大量“方程式组织”的黑客工具和数据。盘古实验室成员从“影子经纪人”公布的文件中，发现了一组疑似包含私钥的文件，恰好正是唯一可以激活Bvp47顶级后门的非对称加密私钥，可直接远程激活并控制Bvp47顶级后门。可以断定，Bvp47是属于“方程式组织”的黑客工具。

方程式组织（Equation Group）与美国国安局（NSA）

方程式组织（Equation Group）是一个由卡巴斯基实验室发现的尖端网络犯罪组织，后者将其称为世界上最尖端的网络攻击组织之一，同震网（Stuxnet）和火焰（Flame）病毒的制造者紧密合作且在幕后操作。

从所获取的包括Bvp47在内的相关攻击工具平台来看，方程式组织确实堪称技术一流，工具平台设计良好、功能强大、广泛适配，底层以0day漏洞体现的网络攻击能力在当时的互联网上可以说畅通无阻，获取被隐秘控制下的数据如探囊取物，在国家级的网空对抗中处于主导地位。

在进一步研究中发现，“影子经纪人”公开的多个程序和攻击操作手册，与2013年前美国中情局分析师斯诺登在“棱镜门”事件中曝光的NSA网络攻击平台操作手册中所使用的唯一标识符完全吻合。

鉴于美国政府以“未经允许传播国家防务信息和有意传播机密情报”等三项罪名起诉斯诺登，可以认定“影子经纪人”公布的文件确属NSA无疑，这可以充分证明，方程式组织隶属于NSA，即Bvp47是NSA的顶级后门。

“电幕行动”（Bvp47）已在全球破坏十几年，在“影子经济人”公布的文档中，揭示了受害范围超过45个国家287个目标，包括俄罗斯、日本、西班牙、德国、意大利等，持续十几年时间，某日本受害者被利用作为跳板对目标发起攻击。

目前，全球范围内的APT攻击越来越频繁，范围更广，危害更大，隐蔽性更强。 环球时报记者了解到，中国是世界上受APT攻击最多的国家之一。 研究人员呼吁世界各国政府和产业链共同努力，有效应对威胁，捍卫网络安全。