2月23日,北京奇安盘古实验室科技有限公司(以下简称“盘古实验室”)发布报告,披露了来自美国的后门——“电幕行动”(Bvp47)的完整技术细节和攻击组织关联。盘古实验室称,这是隶属于美国国安局(NSA)的超一流黑客组织——“方程式”所制造的顶级后门,用于入侵后窥视并控制受害组织网络,已侵害全球45个国家和地区。其完整技术证据链条如下:
2013年,盘古实验室在中国某受害者的主机中提取了一个被复杂加密的疑似后门程序Bvp47,在不能完全解密的情况下,经研究发现这个后门程序需要与主机绑定的校验码才能正常运行,随后研究人员又破解了校验码,并成功运行了这个后门程序,从部分行为功能上断定这是一个顶级APT后门程序,但由于缺少非对称加密私钥致调查受阻。
2016年,黑客组织“影子经纪人”(The Shadow Brokers)宣称成功黑进了“方程式组织”,并公布了大量“方程式组织”的黑客工具和数据。盘古实验室在这些文件中发现了唯一可以激活Bvp47顶级后门的非对称加密私钥,远程激活控制该后门后,断定Bvp47是属于“方程式组织”的黑客工具。
研究人员表示,“电幕行动”(Bvp47)在全球已肆虐十余年,广泛入侵中国、俄罗斯、日本、德国、西班牙、意大利等45个国家和地区,涉及287个重要机构目标。其中日本作为受害者,还被利用作为跳板对其他国家目标发起攻击。
盘古实验室创始人韩争光表示,相较一般的APT攻击手段,“电幕行动”堪称顶级后门程序,具有极高的技术复杂度、架构灵活性以及超高强度的分析取证对抗特性,搭配超级零日漏洞(又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞),可以让“方程式”组织在网络空间里畅通无阻,在隐秘控制下获取数据,一度在国家级的网络安全对抗中被广泛使用。
完整报告链接:
https://www.pangulab.cn/post/the_bvp47_a_top-tier_backdoor_of_us_nsa_equation_group/
原文始发于微信公众号(安全牛):盘古实验室曝光美国国安局顶级后门完整技术细节
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论