网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

奇安盘古实验室的分析报告披露，有充足证据显示操纵Bvp47的是美国黑客组织“方程式”。在美国外交关系协会的网站上，“方程式”被形容为是一家具有国家背景、疑似来自美国的高技术能力黑客团伙 。该组织的主要攻击方式为防火墙漏洞攻击或鱼叉邮件，首要目标包括中国、伊朗、俄罗斯、叙利亚等国。

鱼叉邮件是针对特定目标投递特定主题及内容的欺诈电子邮件，比一般的钓鱼邮件往往更具迷惑性，同时也可能具有更加隐秘的攻击目的。一位标记为“西北工业大学计算机学院硕士在读”的知乎用户“域星河”提到，至少从今年1月起，该校信息化建设与管理处已经多次发邮件提醒师生：有黑客组织通过互联网各类新闻统稿、科研论文等公开渠道收集师生姓名、职位信息，在Gmail、163等商业邮件系统中注册以该校机构、职工姓名的邮箱，假借学校机构、同事、朋友、领导名义，以“我有事找你”“帮我办件事”“年终财务津贴”为主题，给该校教职工发送通知邮件，但无具体邮件内容。

图片来源：知乎用户@域星河。

2016年，一个叫“影子经纪人”（The Shadow Brokers）的神秘黑客组织宣称成功黑进了“方程式”，获取了该组织使用的大量工具和数据，并在网上公开售卖。奇安盘古实验室成员从“影子经纪人”公布的文件中，发现了一组疑似包含私钥的文件，而这组文件恰好是唯一可以激活Bvp47顶级后门的非对称加密私钥，可以直接远程激活并控制Bvp47顶级后门。这证明Bvp47与“方程式”组织间存在联系。

北京奇安盘古实验室科技有限公司《Bvp47美国NSA方程式的顶级后门技术细节》报告截图。

不仅如此，当“影子经纪人”公布其宣称从“方程式”组织处获取的资料后，有研究人员发现，这些资料中有一串16位标识符（ace02468bdf13579），与2013年德国《明镜》杂志（SPIEGEL）在“棱镜门”事件后期曝光的美国国家安全局网络攻击平台操作手册中使用的唯一标识符相互吻合。这说明“影子经纪人”公布的材料总体可信，也意味着，“影子经纪人”公布的材料和《明镜》披露的美国国家安全局内部的文件很有可能出自同一处——“方程式”组织很有可能就是服务于美国国家安全局的黑客团伙，而Bvp47工具背后的操控者，也很有可能就是美国国家安全局。

“影子经纪人”泄露的压缩文件中，包含标识代码“ace02468bdf13579”。

除Bvp47中包含的“饮茶”工具外，在西北工业大学遭网络攻击事件中，研究人员还披露了攻击者使用的漏洞攻击突破类、持久化控制类、嗅探窃密类、隐蔽消痕类等其余40种武器。《调查报告（之一）》称这些都是美国NSA的“专用网络攻击武器装备”。《调查报告（之二）》则对西北工业大学遭攻击窃密中所用的41款不同的网络攻击武器工具进行了统计，发现有16款工具与“影子经纪人”曝光的“方程式”组织的武器完全一致；23款工具虽然与“影子经纪人”曝光的工具不完全相同，但其基因相似度高达97%，属于同一类武器；另有2款工具无法与“影子经纪人”曝光工具进行对应，但与美国NSA内部其它网络攻击武器具有同源性，需要搭配美国NSA的其它网络攻击工具使用。

国家计算机病毒应急处理中心和360公司联合组成的技术团队发现，部分针对西北工业大学的网络攻击行为发生在“影子经纪人”曝光美国NSA的黑客工具之前，当时这些工具仍属美国NSA的内部机密，大概率只能由美国NSA内部人员自己使用。此外，技术团队还从攻击时间、语言行为习惯、代码特征等方面，找到了暴露入侵者身份的证据，并最终综合五方面内容，锁定了西北工业大学遭受网络攻击的幕后黑手，系美国国家安全局。

“一个高度机密的部门”