凤凰网汽车

数年前，斯诺登透露的“棱镜计划”和维基解密，解开了美国利用网络对他国进行攻击与控制的庞大黑幕，令世界为之哗然。而在中国研究员的“火眼金睛”下，美国情报机构对他国进行隐秘网络攻击与控制的恶行再次无所遁形。

2月23日，北京奇安盘古实验室科技有限公司披露了来自美国的后门——“电幕行动”（Bvp47）的完整技术细节和攻击组织关联。盘古实验室称， 这是隶属于美国国安局（NSA）的超一流黑客组织——“方程式”所制造的顶级后门，用于入侵后窥视并控制受害组织网络，已侵害全球45个国家和地区。

奇安盘古实验室披露的报告封面

这是中国网络安全研究员首次公开曝光来自美国“方程式”组织APT（高级可持续威胁攻击）攻击的完整技术证据链条。

在2月24日的外交部例行记者会上，发言人华春莹对记者的有关提问进行了表态——中方注意到有关报道和技术报告。对报告曝光的不负责任的恶意网络活动表示严重关切，强烈敦促美方作出解释，并立即停止此类活动，中方将采取必要措施维护中国的网络安全和自身利益。

2月24日，外交部发言人华春莹主持例行记者会。

1

顶级后门侵害四十多国十余年

APT攻击，也被称作网络后门，是网络世界中常见的高级持续性威胁之一，指绕过安全控制获取对网络系统访问权的方式，是网络病毒的一种。 按照信息安全国家工程研究中心的定义，APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。然而， 实际上，APT攻击早就超出了商业的范畴，涉及到了政治、经济等多个领域。

中国研究人员这次曝光的“电幕行动”，堪称顶级后门程序，可以攻击包括多数Linux发行版、AIX、Solaris、SUN等在内所有操作系统，其高超的代码混淆、隐蔽通信、自毁设计前所未见，体现出高超的技术性、针对性和前瞻性，入侵成功后，黑客组织可以在网络空间里畅通无阻，隐秘控制下的数据获取如探囊取物，在国家级的网络安全对抗中处于绝对的主导地位。

盘古实验室负责人韩争光表示：“这个后门最厉害的地方是极其隐蔽，受侵害的对象还没有意识到危险时，信息就已经泄露，此后很难查到踪迹。“

图源：奇安盘古实验室

“电幕行动”的命名来自小说中想象的一个设备——电幕（telescreen），小说“思想警察”可以任意远程监控监视部署了电幕的人或组织的信息和行为。韩争光说： “这个后门让黑客能够窥视被入侵机构的内部网络系统，就好像给攻击对象安装了‘电幕’，一切秘密尽在掌握。”

盘古实验室报告显示， “电幕行动”(Bvp47)在全球已肆虐十余年，广泛入侵中国、俄罗斯、日本、德国、西班牙、意大利等45个国家和地区，涉及287个重要机构目标，包括知名高校、科研机构、通信行业、政府部门等。其中，日本作为受害者，还被利用作为跳板对其他国家目标发起攻击。盘古的研究人员透露，据他们掌握的情况，中国至少有64个目标受到入侵，该后门主要分布于通行通信的基础核心数据部门、知名大学及军工相关单位。

图源：奇安盘古实验室

2

闭环证据链指向美国国安局

“电幕行动”后门程序的痕迹暴露，源于盘古实验室研究团队2013年在国内某受害者的主机里调查取证时的发现。 技术人员将后门相应的恶意代码命名为“Bvp47”，由后门样本中常见的字符串“Bvp”及加密算法中的使用数值“0x47”组合而成。

2016年，知名黑客组织“影子经纪人”(The Shadow Brokers)宣称成功黑进了“方程式组织””(Equation-Group)，并于2016年和2017年先后公布了大量“方程式组织”的黑客工具和数据。“方程式”是世界超一流的网络攻击组织，普遍被认为隶属于美国国家安全局NSA。

盘古实验室成员从“影子经纪人”公布的文件中，发现了一组疑似包含私钥的文件，恰好是唯一可激活Bvp47顶级后门的RSA非对称加密私钥，可直接远程激活并控制Bvp47顶级后门。 RSA非对称加密私钥是不可被第三方伪造的，由此断定，Bvp47是属于“方程式组织”的黑客工具。

2013年，CIA分析师爱德华· 斯诺登曾泄露了NSA网络攻击平台操作手册，操作手册中包含了一段用于攻击操作的唯一标识符代码“ace02468bdf13579”。 而“影子经纪人”公布的美国“方程式”攻击工具中的多个程序和攻击操作手册，与斯诺登泄露的唯一标识符代码完全一致，由此可证实“方程式”组织攻击工具属于NSA。

至此，经过中国研究人员近十年的跟踪研究，美国国安局利用这一后门入侵全球网络的完整证据链得到了闭合，而这些证据也表明，“电幕行动”与斯诺登披露的“棱镜计划”有着高度关联。”

研究人员还透露， “电幕行动”已肆虐十余年，还在不断迭代其攻击能力，其存在的时间可能已经接近20年。

3

美国是网络攻击最大黑手

“电幕行动”的证据曝光，无疑是打在美国脸上的一记响亮的耳光，让美国情报机构利用网络攻击他国进行窃密的丑恶行径再度被昭示天下。

美国一直以来无端指责中国对外发动网络攻击，但却拿不出一丁点的证据。同时，美国还以中国电信设备有后门，以所谓危害国家安全为由，阻止和打压中国华为、中兴等电信设备企业在西方国家正常的市场行为。

其实，当今世界，是谁在利用网络霸权实施网络攻击？是谁在网络安全问题上一副双标嘴脸？是谁在威胁全球网络空间安全？包括这次“电幕行动”曝光，已经有太多证据表明， 利用自身在互联网领域积累的信息技术优势建立起互联网霸权，不断对他国实施网络攻击和非法窃听的黑手，正是美国！

在去年7月21日的外交部记者会上，发言人赵立坚指出，美国是对中国网络攻击的最大来源国。数据显示，2020年，中国相关机构捕获超过4200万个恶意程序样本，在境外来源的恶意程序样本中，有53%来自美国。要论全球头号黑客，如果美国自称第二，没人敢称第一。中国国家互联网应急中心数据显示，2020年位于境外的约5.2万个计算机恶意程序控制服务器，控制了中国境内约531万台主机。就控制中国境内主机数量来看，美国及其北约盟国分列前三位。

华春莹在外交部记者会上也指出， 美国的情报法允许美国政府对全世界，包括其盟友进行大规模、无差别的信息和数据窃密。此次盘古公司的报告曝光的内容表明，除了中国及亚非拉的主要发展中国家，美国连自己的盟友和伙伴也没有放过，其网络攻击的范围甚至包括其欧洲盟友、“印太四国”和“五眼联盟”的成员。

2015年维基解密披露称，美国国家安全局窃听德国总理默克尔多年，对德国官员使用的125个电话号码进行了长期监听，还对法国前总统希拉克、萨科齐、奥朗德搞监听。

去年丹麦广播电视台报道，美国国家安全局利用与丹麦情报部门的合作，监听了包括默克尔在内的德国、法国、挪威、瑞典、荷兰等欧洲多国政要短信和通话内容。

斯诺登曝光的美国“特等舱”项目显示，美国在其近100个驻外使领馆内安装监听设备，对驻在国进行窃密。经营了半个世纪的瑞士“克里普托AG”加密设备公司行销120多国的加密设备，已被证实其实一直是美国中情局的窃密机器。

美国还是世界上最早成立网络军队的国家，共有133支网络作战部队，规模在6200人左右，2020年已具备作战能力。美国推动网络军事化的做法，造成全球网络空间的人为割裂和不必要的网络军备竞赛成本，在降低互联网的福利和效用的同时，也阻碍了全球网络空间治理。

美国政府控制的黑客组织对中国的相关攻击最早可以追溯到2005年，持续到2015年之后。华春莹也表示：这就不得不让人怀疑美方履行中美2015年达成的网络安全共识的诚意。目前，美正在全球以帮助各国提升能力为名，积极开展网络安全的多双边合作，这也不得不让人怀疑美方的真实意图到底是什么？

华春莹强调，网络空间是人类共同的家园，网络安全也是各国面临的共同挑战，希望美方能够在网络空间采取负责任的态度，与国际社会各方一道，通过对话与合作，共同维护网络空间的和平与安全。

“电幕行动”被曝光，美国是该给个说法，不光是对中国，也是对全世界。