中国盘古实验室披露美国国家安全局的黑客行动
北京奇安盘古实验室日前发布报告,披露美国国家安全局(NSA)开发利用顶级 Linux 平台 APT 后门 Bvp47 黑客行为。
盘古实验室的安全人员在2013年针对某国内要害部门主机的调查过程中,提取到一个经过复杂加密的Linux平台后门。
该后门程序所使用的的基于 SYN 包的高级隐蔽信道行为和自身的代码混淆、系统隐藏、自毁功能设计可谓前所未见。
安全人员对后门程序进行分析后,发现在无法完全解密的情况下,后门程序需要与主机绑定的校验码才能正常运行。
于是安全人员直接破解了校验码,并成功运行了后门程序,从其部分行为功能上判定这是一个顶级的 APT 后门程序。
但如果要进一步分析该后门程序的远程控制功能,则需要使用开发者的非对称加密私钥,研究人员的调查被迫受阻。
安全人员基于其样本中使最常见的字符串“Bvp”和加密算法中使用数值 0x47,所以将这个 Linux 后门命名为“Bvp47”。
而在2016年时,影子经纪人(The Shadow Brokers)黑客团队宣称成功黑入世界一流的方程式组织(Equation Group)。
2016年和2017年,方程式组织大量黑客工具和数据被公诸于众,目标包括俄罗斯、日本、西班牙、德国、意大利等。
盘古实验室人员从公开文档中发现一组疑似包含密钥的文件,恰好是唯一能激活 Bvp47 顶级后门的非对称加密私钥。
这组非对称加密私钥可以直接远程激活并控制 Bvp47 顶级后门程序,因而可以判定Bvp47 属于方程式组织网络组织。
而鉴于方程式组织隶属于美国国家安全局NSA,也就可以推断这个强大的 Bvp47 后门程序其实属于美国国家安全局。
当然,美国国家安全局所使用的网络攻击武器非常精良,技术一流,功能更强大、适配广泛,且漏洞利用能力一流。
盘古实验室将多起 Bvp47 同源样本事件命名了电幕行动的代号,意为远程监控部署随意监视任意电木的信息和行动。
就目前披露的如 Bvp47 在内的相关攻击工具来说,美国国家安全局在发动网络攻击、窃取情报等方面能力不容小觑。
图文来源:北京奇安盘古实验室官网