“Pangu Lab”披露顶级后门“电幕行动”细节:或来自美国黑客组织“方程式” | 已侵害全球 45 个国家地区

简介: “Pangu Lab”披露顶级后门“电幕行动”细节:或来自美国黑客组织“方程式” | 已侵害全球 45 个国家地区

2 月 23 日,北京奇安盘古实验室科技有限公司(以下简称“盘古实验室”或 Pangu Lab)在其 www.pangulab.cn 网页上发布了一份报告,该报告内容对美国顶级后门 ——“电幕行动”(Bvp47)的完整技术细节和攻击组织关联进行了曝光。

image.png

“盘古实验室”方面表示,“电幕行动”(Bvp47)是一个隶属于 NSA(美国国安局)的超级黑客组织“方程式”所制造的用来入侵后窥视并控制受害组织网络的顶级后门,目前已侵害全球 45 个国家和地区。

在 Pangu Lab 页面上,“盘古实验室”列出了该顶级后门的完整技术证据链条:

image.png

“2013 年,盘古实验室研究员在针对某国内要害部门主机的调查过程中,提取了一个经过复杂加密的 Linux 平台后门,其使用的基于 SYN 包的高级隐蔽信道行为和自身的代码混淆、系统隐藏、自毁设计前所未见。在不能完全解密的情况下,进一步发现这个后门程序需要与主机绑定的校验码才能正常运行,随后研究人员又破解了校验码,并成功运行了这个后门程序,从部分行为功能上断定这是一个顶级APT后门程序,但是进一步调查需要攻击者的非对称加密私钥才能激活远控功能,至此研究人员的调查受阻。基于样本中最常见的字符串‘Bvp’和加密算法中使用数值 0x47,命名为‘Bvp47’。

2016 年,知名黑客组织‘影子经纪人’(The Shadow Brokers)宣称成功黑进了‘方程式组织’,并于 2016 年和 2017年先后公布了大量‘方程式组织’的黑客工具和数据。盘古实验室成员从‘影子经纪人’公布的文件中,发现了一组疑似包含私钥的文件,恰好正是唯一可以激活 Bvp47 顶级后门的非对称加密私钥,可直接远程激活并控制 Bvp47 顶级后门。可以断定,Bvp47 是属于‘方程式组织’的黑客工具。”

通过进一步研究后,盘古实验室发现“影子经纪人”公开的多个程序和攻击操作手册,与 2013 年斯诺登在“棱镜门”事件中曝光的 NSA 网络攻击平台操作手册中所使用的唯一标识符完全吻合。

盘古实验室方面表示,“鉴于美政府以‘未经允许传播国家防务信息和有意传播机密情报”等三项罪名起诉斯诺登,因此可以认定“影子经纪人’公布的文件确属 NSA 无疑。这也可以充分证明,方程式组织隶属于 NSA —— Bvp47 是 NSA 的顶级后门。”

据悉,“影子经济人”文档揭示的受害范围已超过 45 个国家和地区,共包括 287 个目标。

由此,“盘古实验室”根据英国作家乔治·奥威尔在小说《1984》中的假想设备“电幕(Telescreen)”,为多起 Bvp47 同源样本事件起了一个代号 —— “电幕行动”。

点击下载完整技术报告:

https://www.pangulab.cn/files...

相关文章
antd-procomponent中编辑表格动态数据设置的使用
antd-procomponent中编辑表格动态数据设置的使用
973 0
|
设计模式 存储 缓存
【ffmpeg 视频播放】深入探索:ffmpeg视频播放优化策略与设计模式的实践应用(二)
【ffmpeg 视频播放】深入探索:ffmpeg视频播放优化策略与设计模式的实践应用
488 0
|
11月前
|
SQL 数据可视化 数据挖掘
云上 · 百炼 MCP 数据分析与可视化 Demo 实战
一套跑在阿里云百炼上的“生成 SQL → 执行 → 分析 → 出图”闭环方案,端到端无本地依赖,可发布为组件/网页对外服务。
827 8
|
人工智能 运维 自然语言处理
对话蚂蚁开源蒋炜:让 Agent 把运维人员从 24 小时的待命中解放出来
当整个行业的智慧都集中在一件事情上时,比起闭门造车,开源一定能带来更好的技术迭代和发展。CodeFuse 「编码挑战季」活动火热进行中,诚邀广大开发者们参与编码挑战
984 3
对话蚂蚁开源蒋炜:让 Agent 把运维人员从 24 小时的待命中解放出来
|
人工智能
[AI Google] 三种新方法利用 Gemini 提高 Google Workspace 的生产力
Workspace 侧边栏中的 Gemini 现在将使用 Gemini 1.5 Pro,新的 Gemini for Workspace 功能即将登陆 Gmail 移动应用,等等。
[AI Google] 三种新方法利用 Gemini 提高 Google Workspace 的生产力
|
编解码 IDE Linux
VS2015报错:由于找不到opencv_wordxxx.dll,无法继续执行代码。重新安装程序可能会解决此问题。
VS2015报错:由于找不到opencv_wordxxx.dll,无法继续执行代码。重新安装程序可能会解决此问题。
1184 0
|
搜索推荐 SEO
域名ICP备案时网站备注到底该怎么写?全网最全教程来了
①我要搭建一个茶叶的科普网,你就可以详细的说明:本网站为个人网站,主要是分享关于茶叶的科普。主要包括 1、茶叶的分类,我国现种植的茶叶的分布、产量、市场规模;2、茶叶的科普,例如普洱、毛尖的生长周期、种植、营养元素 ……
13512 4
|
机器学习/深度学习 存储 监控
人脸识别系统技术方案
人脸识别系统技术方案
1463 0
|
机器学习/深度学习 自然语言处理 数据处理
基于TF-IDF与逻辑回归模型实现文本实体关系抽取任务
基于TF-IDF与逻辑回归模型实现文本实体关系抽取任务
552 0
基于TF-IDF与逻辑回归模型实现文本实体关系抽取任务
|
开发工具 芯片