科技日報記者 劉艷 實習記者 都芃
2月23日,北京奇安盤古實驗室科技有限公司(以下簡稱“盤古實驗室”)發布報告,披露了來自美國的后門——“電幕行動”(Bvp47)的完整技術細節和攻擊組織關聯。
盤古實驗室稱,這是隸屬于美國國安局(NSA)的超一流黑客組織“方程式”制造的頂級后門,用于入侵后窺視并控制受害組織網絡,已侵害全球45個國家和地區。
頂級后門程序偷數據如探囊取物
電幕(telescreen)是英國作家喬治·奧威爾在小說《1984》中想象的一個設備,可以用來遠程監控部署了電幕的人或組織,“思想警察”可以任意監視電幕的信息和行為。
盤古實驗室創始人韓爭光說:“后門讓黑客能夠窺視被入侵機構的內部網絡系統,就好像給攻擊對象安裝了‘電幕’,一切秘密盡在掌握。”
圖片來源:盤古實驗室
盤古實驗室報告顯示,“電幕行動”(Bvp47)在全球已肆虐十余年,廣泛入侵中國、俄羅斯、日本、德國、西班牙、意大利等45個國家和地區,涉及287個重要機構目標。其中,日本作為受害者,還被利用作為跳板對其他國家目標發起攻擊。
按照信息安全國家工程研究中心的定義,APT是黑客以竊取核心資料為目的,針對客戶所發動的網絡攻擊和侵襲行為,是一種蓄謀已久的“惡意商業間諜威脅”。
韓爭光介紹,相較一般的APT攻擊手段,“電幕行動”堪稱頂級后門程序,具有極高的技術復雜度、架構靈活性及超高強度的分析取證對抗特性,搭配超級零日漏洞(也稱零時差攻擊,指被發現后立即被惡意利用的安全漏洞),“方程式”組織即可在網絡空間里暢通無阻,數據獲取如探囊取物,在國家級的網絡安全對抗中處于絕對的主導地位。
技術分析顯示,“電幕行動”后門可以攻擊包括多數Linux發行版、AIX、Solaris、SUN等在內的所有操作系統,其高超的代碼混淆、隱蔽通信、自毀設計前所未見,存在的時間可能已經接近20年。
更持久,更隱蔽,卻具有更強大破壞力,全球APT攻擊日益頻繁。研究人員呼吁,世界各國政府及產業鏈應攜手合作有效應對威脅、捍衛網絡安全。
攻擊行為完整技術證據鏈條首次曝光
這是中國研究員首次公開曝光來自美國方程式組織APT“電幕行動”攻擊的完整技術證據鏈條。
2013年,盤古實驗室研究人員在中國某受害者的主機里調查取證時,提取了一個被復雜加密的疑似后門程序Bvp47,在不能完全解密的情況下,經研究發現這個后門程序需要與主機綁定的校驗碼才能正常運行,隨后研究人員又破解了校驗碼,并成功運行了這個后門程序,從部分行為功能上斷定這是一個頂級APT后門程序,但是進一步調查需要攻擊者的非對稱加密私鑰才能激活遠控功能,研究人員的調查受阻。
2016年,知名黑客組織“影子經紀人”(The Shadow Brokers)宣稱成功黑進了“方程式組織”,并于2016年和2017年先后公布了大量“方程式組織”的黑客工具和數據。
盤古實驗室成員從“影子經紀人”公布的文件中,發現了一組疑似包含私鑰的文件,恰好是唯一可激活Bvp47頂級后門的非對稱加密私鑰,可直接遠程激活并控制Bvp47頂級后門。由此斷定,Bvp47是屬于“方程式組織”的黑客工具。
盤古實驗室報告稱,研究人員通過進一步研究發現,“影子經紀人”公開的多個程序和攻擊操作手冊,與2013年前美國中情局分析師斯諾登在“棱鏡門”事件中曝光的NSA網絡攻擊平臺操作手冊中所使用的唯一標識符完全吻合。鑒于美國政府以“未經允許傳播國家防務信息和有意傳播機密情報”等三項罪名起訴斯諾登,可以認定“影子經紀人”公布的文件確屬NSA無疑,可充分證明,“方程式組織”隸屬于NSA,即Bvp47是NSA的頂級后門。
關鍵詞:
營業執照公示信息