“Pangu Lab”披露顶级后门“电幕行动”细节：或来自美国黑客组织“方程式” | 已侵害全球 45 个国家地区

2 月 23 日，北京奇安盘古实验室科技有限公司（以下简称“盘古实验室”或 Pangu Lab）在其 www.pangulab.cn 网页上发布了一份报告，该报告内容对美国顶级后门 ——“电幕行动”（Bvp47）的完整技术细节和攻击组织关联进行了曝光。

“盘古实验室”方面表示，“电幕行动”（Bvp47）是一个隶属于 NSA（美国国安局）的超级黑客组织“方程式”所制造的用来入侵后窥视并控制受害组织网络的顶级后门，目前已侵害全球 45 个国家和地区。

在 Pangu Lab 页面上，“盘古实验室”列出了该顶级后门的完整技术证据链条：

“2013 年，盘古实验室研究员在针对某国内要害部门主机的调查过程中，提取了一个经过复杂加密的 Linux 平台后门，其使用的基于 SYN 包的高级隐蔽信道行为和自身的代码混淆、系统隐藏、自毁设计前所未见。在不能完全解密的情况下，进一步发现这个后门程序需要与主机绑定的校验码才能正常运行，随后研究人员又破解了校验码，并成功运行了这个后门程序，从部分行为功能上断定这是一个顶级APT后门程序，但是进一步调查需要攻击者的非对称加密私钥才能激活远控功能，至此研究人员的调查受阻。基于样本中最常见的字符串‘Bvp’和加密算法中使用数值 0x47，命名为‘Bvp47’。

2016 年，知名黑客组织‘影子经纪人’（The Shadow Brokers）宣称成功黑进了‘方程式组织’，并于 2016 年和 2017年先后公布了大量‘方程式组织’的黑客工具和数据。盘古实验室成员从‘影子经纪人’公布的文件中，发现了一组疑似包含私钥的文件，恰好正是唯一可以激活 Bvp47 顶级后门的非对称加密私钥，可直接远程激活并控制 Bvp47 顶级后门。可以断定，Bvp47 是属于‘方程式组织’的黑客工具。”

通过进一步研究后，盘古实验室发现“影子经纪人”公开的多个程序和攻击操作手册，与 2013 年斯诺登在“棱镜门”事件中曝光的 NSA 网络攻击平台操作手册中所使用的唯一标识符完全吻合。

盘古实验室方面表示，“鉴于美政府以‘未经允许传播国家防务信息和有意传播机密情报”等三项罪名起诉斯诺登，因此可以认定“影子经纪人’公布的文件确属 NSA 无疑。这也可以充分证明，方程式组织隶属于 NSA —— Bvp47 是 NSA 的顶级后门。”

据悉，“影子经济人”文档揭示的受害范围已超过 45 个国家和地区，共包括 287 个目标。

由此，“盘古实验室”根据英国作家乔治·奥威尔在小说《1984》中的假想设备“电幕（Telescreen）”，为多起 Bvp47 同源样本事件起了一个代号 —— “电幕行动”。

点击下载完整技术报告：
https://www.pangulab.cn/files...