美尖端後門程式侵45地 華專家解密曝光

美國安局一流黑客編制 遠程監控如小說《1984》

北京奇安盤古實驗室昨日發布報告，解密了來自美國的網絡通訊後門Bvp47的完整技術細節和攻擊組織關聯。盤古實驗室稱，Bvp47是屬於美國國家安全局（NSA）旗下超一流黑客組織「方程式」製造的頂級黑客工具，用於入侵後監視並控制受害組織網絡，全球已有多達45個國家和地區受害。

盤古實驗室表示，2013年研究人員在中國某部被黑客入侵的電腦中調查取證時，發現了一個被複雜加密的疑似後門程式Bvp47，在不能完全解密的情況下，研究人員發現這個後門程式需要與主機綁定的校驗碼才能正常運行，隨後研究人員又破解了校驗碼，並成功運行了這個後門程式，從部分行為功能上斷定這是一個頂級APT（高級可持續威脅攻擊）後門程式，但是進一步調查需要攻擊者的非對稱加密私鑰才能激活遠控功能，令調查受阻。

到2016年，著名黑客組織「影子經紀人」宣稱成功入侵「方程式組織」，並於2016年和2017年先後公布了大量「方程式組織」的黑客工具和數據。盤古實驗室成員從「影子經紀人」公布的文件中，發現了一組疑似包含私鑰的文件，恰好正是唯一可以激活Bvp47頂級後門的非對稱加密私鑰，可直接遠程激活並控制Bvp47頂級後門。盤古實驗室因此斷定，Bvp47是屬於「方程式組織」的黑客工具。

與斯諾登曝光資料相符

報告指，研究人員通過進一步研究發現，「影子經紀人」公開的多個程式和攻擊操作手冊，與2013年美國中情局前分析師斯諾登在「棱鏡門」事件中曝光的NSA網絡攻擊平台操作手冊中，所使用的唯一標識符完全吻合。鑑於美國政府以「未經允許傳播國家防務訊息和有意傳播機密情報」等3項罪名起訴斯諾登，可以認定「影子經紀人」公布的文件確屬NSA無疑，這可以充分證明「方程式組織」隸屬於NSA，即Bvp47是NSA的頂級後門。

研究人員為Bvp47起了一個代號「電幕行動」。「電幕」是英國作家奧威爾在小說《1984》中想像的一個設備，可以用來遠程監控部署了電幕的人或組織，「思想警察」可以任意監視電幕的訊息和行為。盤古實驗室創始人韓爭光說：「後門讓黑客能夠窺視被入侵機構的內部網絡系統，就好像給攻擊對像安裝了『電幕』，一切秘密盡在掌握。」

攻擊287重要機構 美盟友也受害

報告顯示，Bvp47在全球已肆虐十多年，廣泛入侵中國、俄羅斯、日本、德國、西班牙、意大利等45個國家和地區，涉及287個重要機構目標。其中日本作為受害者，還被利用作為跳板對其他國家目標發起攻擊。盤古實驗室創始人韓爭光表示，相較一般的APT攻擊手段，Bvp47堪稱頂級後門程式，具有極高的技術複雜度、架構靈活性以及超高強度的分析取證對抗特性，搭配超級零日漏洞（被發現後立即被惡意利用的安全漏洞），可以讓「方程式組織」在網絡空間裡暢通無阻，肆無忌憚竊取數據，在國家級的網絡安全對抗中處於絕對的主導地位。

目前全球的APT攻擊日益頻繁，侵犯範圍更廣、危害性和隱蔽性更強。中國是全球受到APT攻擊最多的國家之一。研究人員呼籲，世界各國政府及產業鏈應攜手合作有效應對威脅、捍衛網絡安全。 ◆綜合報道