中国盘古实验室披露美国国家安全局的黑客行动 - 栋科技

北京奇安盘古实验室日前发布报告，披露美国国家安全局(NSA)开发利用顶级 Linux 平台 APT 后门 Bvp47 黑客行为。

盘古实验室的安全人员在2013年针对某国内要害部门主机的调查过程中，提取到一个经过复杂加密的Linux平台后门。

该后门程序所使用的的基于 SYN 包的高级隐蔽信道行为和自身的代码混淆、系统隐藏、自毁功能设计可谓前所未见。

安全人员对后门程序进行分析后，发现在无法完全解密的情况下，后门程序需要与主机绑定的校验码才能正常运行。

于是安全人员直接破解了校验码，并成功运行了后门程序，从其部分行为功能上判定这是一个顶级的 APT 后门程序。

但如果要进一步分析该后门程序的远程控制功能，则需要使用开发者的非对称加密私钥，研究人员的调查被迫受阻。

安全人员基于其样本中使最常见的字符串“Bvp”和加密算法中使用数值 0x47，所以将这个 Linux 后门命名为“Bvp47”。

而在2016年时，影子经纪人(The Shadow Brokers)黑客团队宣称成功黑入世界一流的方程式组织(Equation Group)。

2016年和2017年，方程式组织大量黑客工具和数据被公诸于众，目标包括俄罗斯、日本、西班牙、德国、意大利等。

盘古实验室人员从公开文档中发现一组疑似包含密钥的文件，恰好是唯一能激活 Bvp47 顶级后门的非对称加密私钥。

这组非对称加密私钥可以直接远程激活并控制 Bvp47 顶级后门程序，因而可以判定Bvp47 属于方程式组织网络组织。

而鉴于方程式组织隶属于美国国家安全局NSA，也就可以推断这个强大的 Bvp47 后门程序其实属于美国国家安全局。

当然，美国国家安全局所使用的网络攻击武器非常精良，技术一流，功能更强大、适配广泛，且漏洞利用能力一流。

盘古实验室将多起 Bvp47 同源样本事件命名了电幕行动的代号，意为远程监控部署随意监视任意电木的信息和行动。

就目前披露的如 Bvp47 在内的相关攻击工具来说，美国国家安全局在发动网络攻击、窃取情报等方面能力不容小觑。

图文来源：北京奇安盘古实验室官网