關(guān)鍵詞：Bvp47、電幕行動、NSA、方程式組織、斯諾登、棱鏡門、美國國安局、頂級后門

　　2013年，盤古實驗室研究員在針對某國內(nèi)要害部門主機的調(diào)查過程中，提取了一個經(jīng)過復雜加密的Linux平臺后門，其使用的基于SYN包的高級隱蔽信道行為和自身的代碼混淆、系統(tǒng)隱藏、自毀設(shè)計前所未見。在不能完全解密的情況下，進一步發(fā)現(xiàn)這個后門程序需要與主機綁定的校驗碼才能正常運行，隨后研究人員又破解了校驗碼，并成功運行了這個后門程序，從部分行為功能上斷定這是一個頂級APT后門程序，但是進一步調(diào)查需要攻擊者的非對稱加密私鑰才能激活遠控功能，至此研究人員的調(diào)查受阻?；跇颖局凶畛Ｒ姷淖址癇vp”和加密算法中使用數(shù)值0x47，命名為“Bvp47”。

　　2016年，知名黑客組織“影子經(jīng)紀人”（The Shadow Brokers）宣稱成功黑進了“方程式組織”，并于2016年和2017年先后公布了大量“方程式組織”的黑客工具和數(shù)據(jù)。盤古實驗室成員從“影子經(jīng)紀人”公布的文件中，發(fā)現(xiàn)了一組疑似包含私鑰的文件，恰好正是唯一可以激活Bvp47頂級后門的非對稱加密私鑰，可直接遠程激活并控制Bvp47頂級后門。可以斷定，Bvp47是屬于“方程式組織”的黑客工具。

　　研究人員通過進一步研究發(fā)現(xiàn)，“影子經(jīng)紀人”公開的多個程序和攻擊操作手冊，與2013年前美國中情局分析師斯諾登在“棱鏡門”事件中曝光的NSA網(wǎng)絡(luò)攻擊平臺操作手冊中所使用的唯一標識符完全吻合。

　　鑒于美國政府以“未經(jīng)允許傳播國家防務(wù)信息和有意傳播機密情報”等三項罪名起訴斯諾登，可以認定“影子經(jīng)紀人”公布的文件確屬NSA無疑，這可以充分證明，方程式組織隸屬于NSA，即Bvp47是NSA的頂級后門。

　　“影子經(jīng)濟人”的文檔揭示受害范圍超過45個國家287個目標，包括俄羅斯、日本、西班牙、德國、意大利等，持續(xù)十幾年時間，某日本受害者被利用作為跳板對目標發(fā)起攻擊。

　　盤古實驗室為多起B(yǎng)vp47同源樣本事件起了一個代號“電幕行動”。電幕（Telescreen）是英國作家喬治·奧威爾在小說《1984》中想象的一個設(shè)備，可以用來遠程監(jiān)控部署了電幕的人或組織，“思想警察”可以任意監(jiān)視任意電幕的信息和行為。

　　方程式組織是世界超一流的網(wǎng)絡(luò)攻擊組織，普遍認為隸屬于美國國家安全局NSA。從所獲取的包括Bvp47在內(nèi)的相關(guān)攻擊工具平臺來看，方程式組織確實堪稱技術(shù)一流，工具平臺設(shè)計良好、功能強大、廣泛適配，底層以0day漏洞體現(xiàn)的網(wǎng)絡(luò)攻擊能力在當時的互聯(lián)網(wǎng)上可以說暢通無阻，獲取被隱秘控制下的數(shù)據(jù)如探囊取物，在國家級的網(wǎng)空對抗中處于主導地位。