本文轉自:環球時報
【環球時報記者 曹思琦 範凌志】23日,《環球時報》記者從北京奇安盤古實驗室獨家獲得一份報告,該報告解密了來自美國的後門——“電幕行動”(Bvp47)的完整技術細節和攻擊組織關聯。盤古實驗室稱,這是隸屬於美國國安局(NSA)的超一流駭客組織——“方程式”所製造的頂級後門,用於入侵後窺視並控制受害組織網路,已侵害全球45個國家和地區。
這是中國研究員首次公開曝光來自美國“方程式”組織APT(高階可持續威脅攻擊)攻擊的完整技術證據鏈條。
北京奇安盤古實驗室科技有限公司(以下簡稱“盤古實驗室”)釋出的技術報告稱,隸屬於美國國安局NSA的超一流駭客組織——“方程式”製造了頂級後門“電幕行動”(Bvp47),用於窺視和入侵控制受害組織網路,已侵害全球45個國家和地區的287個重要機構目標。該報告是中國研究員首次公開曝光來自美國方程式組織APT攻擊的完整技術證據鏈條,播發後立即引發全球關注。記者專訪了盤古實驗室負責人韓爭光(TB),獨家報道“電幕行動”(Bvp47)的破解過程、技術路徑及對全球網路安全的影響。
“頂級後門”覆蓋所有作業系統:善隱藏、自毀滅、難追蹤
後門是網路世界中常見的高階持續性威脅之一(AdvancedPersistent Threats,簡稱APT),指繞過安全控制獲取對網路系統訪問權的方式,是網路病毒的一種。
盤古實驗室創始人韓爭光告訴《環球時報》記者,相較一般的APT攻擊手段,“電幕行動”(Bvp47)堪稱頂級後門程式,具有極高的技術複雜度、架構靈活性以及超高強度的分析取證對抗特性,搭配超級零日漏洞(又叫零時差攻擊,是指被發現後立即被惡意利用的安全漏洞),可以讓“方程式”組織在網路空間裡暢通無阻,隱秘控制下的資料獲取如探囊取物,在國家級的網路安全對抗中處於絕對的主導地位。
韓爭光表示,其帶領的研究團隊早在2013年便提取到了“電幕行動”後門程式。當時,他們在國內某受害者的主機裡調查取證時發現了“電幕”攻擊,技術人員將後門相應的惡意程式碼命名為“Bvp47”,由後門樣本中常見的字串“Bvp”及加密演算法中的使用數值“0x47”組合而成,“相較一般攻擊手段,‘電幕’後門結構複雜、架構靈活、適配性強,且能夠對抗高強度的分析取證,對全球網路安全帶來極大挑戰。”韓爭光說。
技術分析顯示,“電幕”後門可以攻擊包括多數Linux發行版、AIX、Solaris、SUN等在內所有作業系統,其高超的程式碼混淆、隱蔽通訊、自毀設計前所未見,體現出高超的技術性、針對性和前瞻性,入侵成功後便於駭客組織長期控制受害組織,“這個後門最厲害的地方是極其隱蔽,受侵害的物件還沒有意識到危險時,資訊就已經洩露,此後很難查到蹤跡。”韓爭光說。
研究人員對《環球時報》記者透露,據他們掌握的情況,中國至少有64個目標受到入侵。
與斯諾登“稜鏡門”高度關聯,矛頭直指美國國家安全域性
盤古實驗室團隊提供的技術證據顯示,上述後門源自美國駭客組織——“方程式”(Equation-Group)。“方程式”是世界超一流的網路攻擊組織,普遍被認為隸屬於美國國家安全域性NSA(National Security Agency)。
2013年,CIA分析師愛德華· 斯諾登洩露了NSA網路攻擊平臺操作手冊,操作手冊中包含了一段用於攻擊操作的唯一識別符號程式碼“ace02468bdf13579”。
2017年,知名駭客組織“影子經紀人”(The Shadow Brokers)公佈了美國“方程式”攻擊工具中的多個程式和攻擊操作手冊,與愛德華· 斯諾登洩露的唯一識別符號程式碼完全一致,由此可證實“方程式”組織攻擊工具屬於NSA。
盤古實驗室成員經過長期追蹤分析發現,2013年提取到的“電幕行動”Bvp47隱蔽後門,必須使用RSA非對稱加密私鑰啟用,這一加密私鑰存在於“影子經紀人”洩露的“方程式”組織駭客工具tipoff-BIN中。
使用tipoff-BIN可以直接遠端啟用“電幕行動”(Bvp47)並控制入侵組織網路,而RSA非對稱加密私鑰是不可被第三方偽造的。
因此,確定“電幕行動”(Bvp47)是“方程式”組織創造的後門,屬於美國NSA。
“電幕”科幻成真:肆虐全球十餘年,窺視重要機構資訊
“經過近十年的跟蹤研究,我們終於閉合了這一後門入侵全球的完整證據鏈。”韓爭光對《環球時報》記者表示:“‘電幕’存在的時間可能已經接近20年。”
盤古實驗室的技術團隊將這一持續肆虐全球的APT攻擊行動命名為“電幕行動”。電幕(telescreen)是英國作家喬治·奧威爾在小說《一九八四》中想象的一個裝置,可以用來遠端監控部署了電幕的人或組織,“思想警察”可以任意監視任意電幕的資訊和行為。
“後門讓駭客能夠窺視一個機構的內部網路系統,就好像給攻擊物件安裝了‘電幕’,一切秘密盡在掌握。”韓爭光說。
研究人員透露,“電幕行動”已肆虐十餘年,不斷迭代其攻擊能力。在我國,該後門主要分佈於通行通訊的基礎核心資料部門、知名大學及軍工相關單位。
在全球,“電幕行動”已侵害了超過45個國家和地區的287個目標,包括俄羅斯、日本、西班牙、德國、義大利等,其中日本作為受害者,還被利用作為跳板對其他國家目標發起攻擊,被攻擊的機構包括知名高校、科研機構、通訊行業、政府部門等。
韓爭光認為,“電幕行動”長期肆虐世界數十個國家和地區併入侵重要機構的網路系統,竊取了大量重要資訊,危害非同凡響。“窺視到受害者內幕情報之後,駭客能夠更有針對性地實施攻擊,後果不堪設想。”韓爭光說。
相關研究人員告訴《環球時報》記者,這種後門搭配0day漏洞,發起一個隱蔽的敲門syn包就能入侵,整個發起過程受害者無感知,“這種頂級後門靠辦公操作層面的安全規範很難防範,需要建設一體化的網路安全防禦系統。”
“電幕行動”不是美國第一個大規模的網路攻擊行動,也不會是最後一個。研究人員表示,目前全球的APT攻擊日益頻繁,侵犯範圍更廣、危害性和隱蔽性更強。
“中國是全球受到APT攻擊最多的國家之一。世界各國政府及產業鏈攜手合作,才能有效應對威脅、捍衛網路安全。”韓爭光對《環球時報》記者表示,未來該機構將持續進行攻防演練、繼續跟蹤“Bvp47”網路入侵情況以及其他各種型別的APT攻擊,以技術能力守衛網路淨土。