中國安全公司披露 NSA 黑客行動

北京奇安盤古實驗室發布報告（PDF），披露了 NSA 的黑客行動。報告稱，2013 年盤古實驗室研究員在針對某國內要害部門主機的調查過程中，提取了一個經過復雜加密的 Linux 平臺后門，其使用的基于 SYN 包的高級隱蔽信道行為和自身的代碼混淆、系統隱藏、自毀設計前所未見。在不能完全解密的情況下，進一步發現這個后門程序需要與主機綁定的校驗碼才能正常運行，隨后研究人員又破解了校驗碼，并成功運行了這個后門程序，從部分行為功能上斷定這是一個頂級 APT 后門程序，但是進一步調查需要攻擊者的非對稱加密私鑰才能激活遠控功能，至此研究人員的調查受阻。基于樣本中最常見的字符串“Bvp”和加密算法中使用數值 0x47，命名為“Bvp47”。2016 年 The Shadow Brokers 宣稱成功黑進了“方程式組織”，并于 2016 年和 2017 年先后公布了大量黑客工具和數據。盤古實驗室成員從其公布的文件中，發現了一組疑似包含私鑰的文件，恰好正是唯一可以激活 Bvp47 頂級后門的非對稱加密私鑰，可直接遠程激活并控制 Bvp47 頂級后門。可以斷定，Bvp47 是屬于“方程式組織”的黑客工具。方程式組織隸屬于 NSA，即 Bvp47 是 NSA 的頂級后門。盤古實驗室為多起 Bvp47 同源樣本事件起了一個代號“電幕行動”。電幕（Telescreen）是英國作家喬治·奧威爾在小說《1984》中想象的一個設備，可以用來遠程監控部署了電幕的人或組織，“思想警察”可以任意監視任意電幕的信息和行為。