美国NSA旗下方程式黑客组织针对全球的Bvp47电幕行动曝光

2月23日，奇安信旗下盘古实验室发布报告，披露了美国网络攻击后门“电幕行动”（Bvp47）的完整技术细节和攻击组织关联，该后门是美国国安局NSA的黑客组织“方程式”制造并传播，用于入侵后窥视并控制受害组织网络，已入侵全球45个国家和地区。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，由于该后门程序多次引用字符串“ Bvp ”和加密算法中使用的数值“0x47”而被称为“Bvp47”，该后门是在2013年对国内关键部门的主机进行深入取证调查期间从Linux系统中提取到的。

该后门还配备了远程控制功能，使用加密算法进行保护，激活需要攻击者的私钥，安全研究人员在 2016 年 Shadow Brokers 黑客组织发布的泄密文件中发现了这一点。

2016年，黑客组织影子经纪人（Shadow Brokers）宣称成功黑进了方程式黑客组织，并公布了大量方程式组织的黑客工具和数据。盘古实验室在这些文件中发现了唯一可以激活Bvp47顶级后门的非对称加密私钥，远程激活控制该后门后，断定Bvp47是属于方程式组织的黑客工具。

盘古实验室分析的事件包括两个内部受损服务器，一个电子邮件和一个企业服务器，分别命名为 V1 和 V2，以及一个外部域，该后门采用一种新颖的双向通信机制从系统中窃取敏感数据。

外部主机A和V1服务器之间存在异常通信，具体来说，A首先向V1服务器的80端口发送一个264字节有效载荷的SYN数据包，然后V1服务器立即对外向A机的高端端口发起连接，并保持大量的交换数据。

同时，V1 通过SMB 服务连接到 V2执行多项操作，包括使用管理员帐户登录后者、尝试打开终端服务、枚举目录以及通过计划任务执行 PowerShell 脚本。

V2 本身也连接到 V1 以检索 PowerShell 脚本和加密的第二阶段有效负载，其加密的执行结果被发送回 V1，据安全研究人员称，充当数据传输一台机器和 V2 服务器。

安装在服务器上的 Bvp47 后门由两部分组成，加载程序负责解码并将实际有效负载加载到内存中。Bvp47 通常存在于与 Internet 通信的非军事区的 Linux 操作系统中，它主要承担整体攻击中的核心控制桥通信作用。

相较一般的APT攻击手段，“电幕行动”堪称顶级后门程序，具有极高的技术复杂度，从与方程式组织相关的攻击工具，包括 Bvp47 来看，方程式组织确实是一流的黑客组织。

Bvp47后门设计精良，功能强大，适应性广。其零日漏洞所配备的网络攻击能力势不可挡，隐蔽控制下的数据获取不费吹灰之力。这样的军事级网络对抗能力可以称为全球最强网络战争能力的代表。

获取《Bvp47技术报告(PDF)》请在极牛网公众号回复“方程式”即可获得下载链接。