關鍵詞：Bvp47、電幕行動、NSA、方程式組織、斯諾登、棱鏡門、美國國安局、頂級后門

　　2013年，盤古實驗室研究員在針對某國內要害部門主機的調查過程中，提取了一個經過復雜加密的Linux平臺后門，其使用的基于SYN包的高級隱蔽信道行為和自身的代碼混淆、系統隱藏、自毀設計前所未見。在不能完全解密的情況下，進一步發現這個后門程序需要與主機綁定的校驗碼才能正常運行，隨后研究人員又破解了校驗碼，并成功運行了這個后門程序，從部分行為功能上斷定這是一個頂級APT后門程序，但是進一步調查需要攻擊者的非對稱加密私鑰才能激活遠控功能，至此研究人員的調查受阻。基于樣本中最常見的字符串“Bvp”和加密算法中使用數值0x47，命名為“Bvp47”。

　　2016年，知名黑客組織“影子經紀人”（The Shadow Brokers）宣稱成功黑進了“方程式組織”，并于2016年和2017年先后公布了大量“方程式組織”的黑客工具和數據。盤古實驗室成員從“影子經紀人”公布的文件中，發現了一組疑似包含私鑰的文件，恰好正是唯一可以激活Bvp47頂級后門的非對稱加密私鑰，可直接遠程激活并控制Bvp47頂級后門。可以斷定，Bvp47是屬于“方程式組織”的黑客工具。

　　研究人員通過進一步研究發現，“影子經紀人”公開的多個程序和攻擊操作手冊，與2013年前美國中情局分析師斯諾登在“棱鏡門”事件中曝光的NSA網絡攻擊平臺操作手冊中所使用的唯一標識符完全吻合。

　　鑒于美國政府以“未經允許傳播國家防務信息和有意傳播機密情報”等三項罪名起訴斯諾登，可以認定“影子經紀人”公布的文件確屬NSA無疑，這可以充分證明，方程式組織隸屬于NSA，即Bvp47是NSA的頂級后門。

　　“影子經濟人”的文檔揭示受害范圍超過45個國家287個目標，包括俄羅斯、日本、西班牙、德國、意大利等，持續十幾年時間，某日本受害者被利用作為跳板對目標發起攻擊。

　　盤古實驗室為多起Bvp47同源樣本事件起了一個代號“電幕行動”。電幕（Telescreen）是英國作家喬治·奧威爾在小說《1984》中想象的一個設備，可以用來遠程監控部署了電幕的人或組織，“思想警察”可以任意監視任意電幕的信息和行為。

　　方程式組織是世界超一流的網絡攻擊組織，普遍認為隸屬于美國國家安全局NSA。從所獲取的包括Bvp47在內的相關攻擊工具平臺來看，方程式組織確實堪稱技術一流，工具平臺設計良好、功能強大、廣泛適配，底層以0day漏洞體現的網絡攻擊能力在當時的互聯網上可以說暢通無阻，獲取被隱秘控制下的數據如探囊取物，在國家級的網空對抗中處于主導地位。