中国盘古实验室披露美国国家安全局的黑客行动

北京奇安盘古实验室日前发布报告,披露美国国家安全局(NSA)开发利用顶级 Linux 平台 APT 后门 Bvp47 黑客行为。

盘古实验室的安全人员在2013年针对某国内要害部门主机的调查过程中,提取到一个经过复杂加密的Linux平台后门。

该后门程序所使用的的基于 SYN 包的高级隐蔽信道行为和自身的代码混淆、系统隐藏、自毁功能设计可谓前所未见。

安全人员对后门程序进行分析后,发现在无法完全解密的情况下,后门程序需要与主机绑定的校验码才能正常运行。

于是安全人员直接破解了校验码,并成功运行了后门程序,从其部分行为功能上判定这是一个顶级的 APT 后门程序。

但如果要进一步分析该后门程序的远程控制功能,则需要使用开发者的非对称加密私钥,研究人员的调查被迫受阻。

安全人员基于其样本中使最常见的字符串“Bvp”和加密算法中使用数值 0x47,所以将这个 Linux 后门命名为“Bvp47”。

而在2016年时,影子经纪人(The Shadow Brokers)黑客团队宣称成功黑入世界一流的方程式组织(Equation Group)。

中国盘古实验室披露美国国家安全局的黑客行动

2016年和2017年,方程式组织大量黑客工具和数据被公诸于众,目标包括俄罗斯、日本、西班牙、德国、意大利等。

盘古实验室人员从公开文档中发现一组疑似包含密钥的文件,恰好是唯一能激活 Bvp47 顶级后门的非对称加密私钥。

这组非对称加密私钥可以直接远程激活并控制 Bvp47 顶级后门程序,因而可以判定Bvp47 属于方程式组织网络组织。

而鉴于方程式组织隶属于美国国家安全局NSA,也就可以推断这个强大的 Bvp47 后门程序其实属于美国国家安全局。

当然,美国国家安全局所使用的网络攻击武器非常精良,技术一流,功能更强大、适配广泛,且漏洞利用能力一流。

盘古实验室将多起 Bvp47 同源样本事件命名了电幕行动的代号,意为远程监控部署随意监视任意电木的信息和行动。

就目前披露的如 Bvp47 在内的相关攻击工具来说,美国国家安全局在发动网络攻击、窃取情报等方面能力不容小觑。

图文来源:北京奇安盘古实验室官网

文章来源:栋科技
版权链接:中国盘古实验室披露美国国家安全局的黑客行动
正文到此结束
EMLOG

热门推荐

喜欢就评论一下吧!

发表评论

    avatar
    • 嘻嘻 大笑 可怜 吃惊 抛媚眼 调皮 鄙视 示爱 哭 开心 偷笑 嘘 奸笑 委屈 抱抱 怒 思考 流汗
    0
    努力提交中...