【環(huán)球時(shí)報(bào)-環(huán)球網(wǎng)報(bào)道記者 樊巍 曹思琦】2月19日，《環(huán)球時(shí)報(bào)》記者從北京奇安盤古實(shí)驗(yàn)室獨(dú)家獲悉一份報(bào)告，該報(bào)告揭秘了一個(gè)將中國作為主要攻擊目標(biāo)的黑客組織AgainstTheWest（下稱“ATW”）的詳情內(nèi)幕。該組織核心成員來自于歐洲、北美地區(qū)，對我國瘋狂實(shí)施網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取和披露炒作活動(dòng)，對我國的網(wǎng)絡(luò)安全、數(shù)據(jù)安全構(gòu)成了嚴(yán)重危害。

(相關(guān)資料圖)

這是奇安盤古繼去年公開曝光美國“方程式”組織“電幕行動(dòng)”（Bvp47）完整技術(shù)細(xì)節(jié)之后，再次曝光了對華實(shí)施數(shù)據(jù)竊取和網(wǎng)絡(luò)攻擊的ATW組織真實(shí)面目，旨在讓幕后真兇浮出水面，斬?cái)辔：χ袊鴶?shù)據(jù)安全的魔手。

據(jù)該機(jī)構(gòu)研究人員介紹，自2021年以來，ATW組織宣稱披露涉我國重要信息系統(tǒng)源代碼、數(shù)據(jù)庫等敏感信息70余次，涉及國家重要政府部門、航空、基礎(chǔ)設(shè)施等100余家單位的300余個(gè)信息系統(tǒng)，并表達(dá)了頑固的反華立場。尤其2022年以來，ATW組織滋擾勢頭加劇，持續(xù)對中國的網(wǎng)絡(luò)目標(biāo)實(shí)施大規(guī)模網(wǎng)絡(luò)掃描探測和“供應(yīng)鏈”攻擊。

奇安盤古長期跟蹤發(fā)現(xiàn)，ATW組織活躍成員多從事程序員、網(wǎng)絡(luò)工程師相關(guān)職業(yè)，主要位于瑞士、法國、波蘭、加拿大等國。研究人員建議國家有關(guān)部門、安全團(tuán)隊(duì)加強(qiáng)對非法網(wǎng)絡(luò)攻擊活動(dòng)的監(jiān)測，及時(shí)預(yù)警攻擊動(dòng)向，開展背景溯源和反制打擊。

詳細(xì)揭秘：瘋狂對華實(shí)施數(shù)據(jù)竊取的ATW組織

《環(huán)球時(shí)報(bào)》記者獲悉，北京奇安盤古實(shí)驗(yàn)室通過長期跟蹤發(fā)現(xiàn)，2021年10月以來，一自稱AgainstTheWest（下稱“ATW”）的黑客組織，將中國作為主要攻擊目標(biāo)，瘋狂實(shí)施網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取和披露炒作活動(dòng)，對我國的網(wǎng)絡(luò)安全、數(shù)據(jù)安全構(gòu)成嚴(yán)重危害。ATW組織究竟什么來頭？研究員進(jìn)行了詳細(xì)揭秘，并給出應(yīng)對建議。

（1） ATW組織及其主要攻擊活動(dòng)

ATW組織成立于2021年6月，10月開始在“陣列論壇”（RaidForums）上大肆活動(dòng)。雖然將賬號個(gè)性簽名設(shè)置為“民族國家組織”，但實(shí)際上，這是一個(gè)以歐洲、北美地區(qū)從事程序員、網(wǎng)絡(luò)工程師等職業(yè)的人員自發(fā)組織成立的松散網(wǎng)絡(luò)組織。

ATW組織自成立伊始，便瘋狂從事反華活動(dòng)，公開稱“將主要針對中國、朝鮮和其他國家發(fā)布政府?dāng)?shù)據(jù)泄密帖子”，還專門發(fā)布過一篇題為“ATW-對華戰(zhàn)爭”的帖子，赤裸裸地支持“臺獨(dú)”、鼓噪“港獨(dú)”、炒作新疆“人權(quán)問題”。

2021年10月，ATW組織開始頻繁活動(dòng)，不斷在電報(bào)群組（https：//t.me/s/ATW2022，Email：AgainstTheWest@riseup.net，備份Email：apt49@riseup.net）、推特（@_AgainstTheWest，https：//mobile.twitter.com/_AgainstTheWest）、Breadched（賬號：AgainstTheWest）等境外社交平臺開設(shè)新賬號，擴(kuò)大宣傳途徑，并表現(xiàn)出較明顯的親美西方政治傾向，多次聲明“攻擊目標(biāo)是俄羅斯、白俄羅斯和中國、伊朗、朝鮮”、“愿意與美國、歐盟政府共享所有文件”、“愿受雇于相關(guān)機(jī)構(gòu)”。

據(jù)不完全統(tǒng)計(jì)，自2021年以來，ATW組織披露涉我重要信息系統(tǒng)源代碼、數(shù)據(jù)庫等敏感信息70余次，宣稱涉及100余家單位的300余個(gè)信息系統(tǒng)。實(shí)際上，所謂泄露的源代碼主要是中小型軟件開發(fā)企業(yè)所研發(fā)的測試項(xiàng)目代碼文件，不包含數(shù)據(jù)信息。但ATW組織為了博取關(guān)注，極盡歪曲解讀、夸大其詞之能事，動(dòng)輒使用“大規(guī)模監(jiān)控”、“侵犯人權(quán)”、“侵犯隱私”等美西方慣用的“標(biāo)簽”，意圖凸顯攻擊目標(biāo)和所竊數(shù)據(jù)重要性，以至于看起來，一個(gè)比一個(gè)嚇人。

2021年10月14日，ATW在“陣列論壇”（RaidForums）發(fā)布題為“人民幣行動(dòng)（Operation Renminbi）”的帖子，稱“出售中國人民銀行相關(guān)軟件項(xiàng)目源代碼”。

2021年11月2日，ATW組織在“陣列論壇”發(fā)布信息，稱“廣州政企互聯(lián)科技有限公司已被其攻破”，并提供了數(shù)據(jù)庫和SSH密鑰的下載方式。

2021年11月24日，ATW組織發(fā)布了16個(gè)政府網(wǎng)站大數(shù)據(jù)系統(tǒng)存在漏洞情況，涉及北京、浙江、四川、重慶、廣東、江蘇、湖北、湖南等地。

2022年1月7日，ATW組織聲稱出售“中國大量政府、非政府組織、機(jī)構(gòu)和公司數(shù)據(jù)，待售數(shù)據(jù)涉及102家中國實(shí)體單位”。

2022年3月4日，ATW組織宣布解散，但3月5日又宣布經(jīng)費(fèi)充足再次上線。

2022年3月6日，ATW在電報(bào)群組中發(fā)布消息稱“攻破了中央?yún)R金投資公司，竊取了大量數(shù)據(jù)”，并提供了數(shù)據(jù)的下載鏈接。

2022年3月28日，宣稱“廣發(fā)銀行已被攻破”，發(fā)布“整個(gè)后端源代碼、maven 版本”等數(shù)據(jù)。

2022年4月5日，ATW組織發(fā)布“中國各省市共計(jì)48家醫(yī)院信息系統(tǒng)源代碼”。

2022年8月12日，ATW組織在推特發(fā)布數(shù)據(jù)售賣帖，稱其從中興通訊公司服務(wù)器獲取了4000條警察人員的電話號碼和姓名數(shù)據(jù)。

2022年8月16日，ATW組織通過Breached黑客論壇公布港鐵系統(tǒng)源碼文件，內(nèi)容涉及香港鐵路公司的交易、排程等26個(gè)系統(tǒng)項(xiàng)目代碼。

（2） ATW組織主要成員

技術(shù)團(tuán)隊(duì)長期跟蹤發(fā)現(xiàn)，ATW組織平日活躍成員6名，多從事程序員、網(wǎng)絡(luò)工程師相關(guān)職業(yè)，主要位于瑞士、法國、波蘭、加拿大等國。

梳理該組織成員活動(dòng)時(shí)段發(fā)現(xiàn)，其休息時(shí)間為北京時(shí)間15時(shí)至19時(shí)，工作時(shí)間集中在北京時(shí)間凌晨3時(shí)至13時(shí)，對應(yīng)零時(shí)區(qū)和東1時(shí)區(qū)的西歐國家。其中，2名骨干成員身份信息如下：

蒂莉·考特曼（Tillie Kottmann），1999年8月7日生于瑞士盧塞恩，自稱是黑客、無政府主義者，以女性自居。其曾在瑞士BBZW Sursee思科學(xué)院、德國auticon GmbH公司、瑞士Egon AG公司工作。蒂莉·考特曼還是Dogbin網(wǎng)站（短鏈接轉(zhuǎn)換網(wǎng)站）的創(chuàng)始人和首席開發(fā)人員。2020年4月以來，蒂莉·考特曼通過“聲吶方塊”平臺漏洞獲取企業(yè)信息系統(tǒng)源代碼數(shù)據(jù)；2020年7月，蒂莉·考特曼在互聯(lián)網(wǎng)上曝光了微軟、高通、通用電氣、摩托羅拉、任天堂、迪士尼50余家知名企業(yè)信息系統(tǒng)源代碼；2021年3月12日，瑞士警方搜查蒂莉·考特曼住所并扣押大量網(wǎng)絡(luò)設(shè)備；2021年3月18日，美國司法部發(fā)布對蒂莉·考特曼的起訴書，但3月底突然中止該案審理。此后，中國成了蒂莉·考特曼的主要目標(biāo)之一。

蒂莉·考特曼（Tillie Kottmann）的Twitter賬號@nyancrimew被推特公司停用后，于2022年2月重新注冊使用。個(gè)人簡介中自稱為“被起訴的黑客/安全研究員、藝術(shù)家、精神病患者”。2023年1月至今，發(fā)布及轉(zhuǎn)推78次。

帕韋爾?杜達(dá)（PawelDuda），波蘭人，軟件工程師。其曾在多家網(wǎng)絡(luò)公司從事軟件工程工作。

該人日常會(huì)進(jìn)行黑客技術(shù)研究，并在Slides.com網(wǎng)站共享文件中設(shè)置了“成為更好的黑客”的座右銘。

此外，據(jù)了解，該組織成員有長期服用精神類藥物、吸食毒品等行為，包括吸食氯胺酮（K粉），還會(huì)將莫達(dá)非尼（治療嗜睡的藥物，具有成癮性）和可樂一起服用。

（3） ATW組織主要攻擊手法

調(diào)查發(fā)現(xiàn)，ATW組織宣稱攻擊竊取涉我黨政機(jī)關(guān)、科研機(jī)構(gòu)等單位的數(shù)據(jù)，實(shí)則均來源于為我重要單位提供軟件開發(fā)的中小型信息技術(shù)和軟件開發(fā)企業(yè)，竊取數(shù)據(jù)也多為開發(fā)過程中的測試數(shù)據(jù)。

該組織的攻擊手法主要是針對SonarQube、Gogs、Gitblit等開源網(wǎng)絡(luò)系統(tǒng)存在的技術(shù)漏洞實(shí)施大規(guī)模掃描和攻擊，進(jìn)而通過“拖庫”，竊取相關(guān)源代碼、數(shù)據(jù)等。相關(guān)信息可用于對涉及的網(wǎng)絡(luò)信息系統(tǒng)實(shí)施進(jìn)一步漏洞挖掘和滲透攻擊，屬于典型的“供應(yīng)鏈”攻擊。

該組織的行為與自我標(biāo)榜的“道德黑客”著實(shí)相去甚遠(yuǎn)，并非向存在漏洞的企業(yè)發(fā)布預(yù)警提示信息，以提高這些企業(yè)的安全防范能力。相反，更多的是利用這些漏洞實(shí)施攻擊滲透、竊取數(shù)據(jù)，并在黑客論壇恣意曝光，炫耀“戰(zhàn)果”。2022年以來，ATW組織滋擾勢頭加劇，持續(xù)對中國的網(wǎng)絡(luò)目標(biāo)實(shí)施大規(guī)模網(wǎng)絡(luò)掃描探測和“供應(yīng)鏈”攻擊。為凸顯攻擊目標(biāo)和所竊數(shù)據(jù)重要性，多次對所竊數(shù)據(jù)進(jìn)行歪曲解讀、夸大其詞，竭力配合美西方政府為我扣上“網(wǎng)絡(luò)威權(quán)主義”帽子，并大力煽動(dòng)、詆毀中國的數(shù)據(jù)安全治理能力，行徑惡劣，氣焰囂張，自我炒作、借機(jī)攻擊中國的意圖十分明顯。

（4） ATW組織漏洞攻擊利用情況

ATW對中國企業(yè)單位開展網(wǎng)絡(luò)攻擊過程中，大量使用了源代碼管理平臺、開源框架等存在的技術(shù)漏洞。主要包括：

SonarQube漏洞。漏洞編號為CVE-2020-27986，該漏洞描述為SonarQube系統(tǒng)存在未授權(quán)訪問漏洞。涉及版本：SnoarQube開源版

VueJs框架漏洞。VueJs框架為JavaScript前端開發(fā)框架，VueJS源代碼在GitHub發(fā)布，同時(shí)本身具備較多漏洞，使用網(wǎng)絡(luò)指紋嗅探系統(tǒng)可直接掃描探測，GitHub上同樣存在專門針對VueJS的漏洞利用工具。

Gogs、GitLab、Gitblit等其他源代碼管理平臺漏洞。上述平臺存在的未授權(quán)訪問漏洞，無需特殊權(quán)限即可訪問和下載存儲在管理平臺上的系統(tǒng)源代碼數(shù)據(jù)。

通過對全網(wǎng)設(shè)備進(jìn)行空間測繪，發(fā)現(xiàn)上述開源平臺在國內(nèi)使用廣泛。對存在風(fēng)險(xiǎn)的資產(chǎn)項(xiàng)目進(jìn)行進(jìn)一步分析發(fā)現(xiàn)，其中包含涉及我國多家重要單位的系統(tǒng)源代碼。SonarQube、Gitblit、Gogs的各平臺使用情況如下：

（5） ATW組織攻擊使用碼址資源

為掩護(hù)其攻擊行為，ATW組織使用了一批“跳板”和代理服務(wù)器，主要分布在英國、北馬其頓、瑞典、羅馬尼亞等國家。相關(guān)IOC指標(biāo)信息如下：

在RaidForums論壇上發(fā)現(xiàn)的ATW黑客組織關(guān)聯(lián)賬號包括，“AgainstTheWest”注冊于2021年10月12日，是發(fā)布泄露涉中國數(shù)據(jù)的主要賬號；“AgainstTheYankees”為該組織11月16日最新注冊帳號，地理位置標(biāo)注在臺灣花蓮，職業(yè)為情報(bào)經(jīng)銷商，由“AgainstTheWest”推薦加入論壇；“Majestic-12”疑為匿名者黑客組織與ATW反華黑客組織的中間聯(lián)絡(luò)人，曾回復(fù)“ATW-對華戰(zhàn)爭”網(wǎng)帖，號召更多黑客、程序員加入，共同對抗中國；“NtRaiseHardError”在論壇多次售賣涉我數(shù)據(jù)，表示只攻擊和收購中國政府?dāng)?shù)據(jù)，不會(huì)攻擊美國、加拿大、英國、俄羅斯政府。該黑客與“AgainstTheWest”有數(shù)據(jù)交易，互動(dòng)頻繁，關(guān)系密切；“Kristina”在論壇發(fā)帖稱廣州政企互聯(lián)科技有限公司已被其攻破，并提供數(shù)據(jù)庫和SSH密鑰下載，涉及“國家政務(wù)服務(wù)平臺”、“內(nèi)蒙古自治區(qū)政府門戶網(wǎng)站”；“Ytwang”曾發(fā)帖表示要購買新疆營地、警察系統(tǒng)等數(shù)據(jù)庫信息，以及留言表示對滴普科技相關(guān)信息很感興趣。

其余賬號信息如下：

安全專家：中國企業(yè)亟需嚴(yán)防死守、做好安全加固

針對境外黑客組織對我國的瘋狂攻擊和抹黑行為，該如何應(yīng)對？奇安盤古研究員給出了三項(xiàng)防范對策建議：

首先是建議軟件開發(fā)企業(yè)立即修復(fù)SonarQube、VueJs、Gogs、GitLab、Gitblit等軟件漏洞，嚴(yán)格控制公網(wǎng)訪問權(quán)限，及時(shí)修改默認(rèn)訪問密碼，進(jìn)一步提高對源代碼的安全管理能力。

其次是針對已在用戶單位部署的系統(tǒng)源代碼外泄情況，建議軟件開發(fā)企業(yè)應(yīng)加強(qiáng)系統(tǒng)源代碼安全審計(jì)，及時(shí)發(fā)現(xiàn)并修復(fù)軟件安全漏洞，防止黑客利用系統(tǒng)漏洞進(jìn)行攻擊，并對重要信息系統(tǒng)源碼及數(shù)據(jù)進(jìn)行加密存儲，落實(shí)網(wǎng)絡(luò)安全防護(hù)措施。

最后建議國家有關(guān)職能部門、技術(shù)安全團(tuán)隊(duì)加強(qiáng)對ATW組織非法網(wǎng)絡(luò)攻擊活動(dòng)的監(jiān)測，及時(shí)預(yù)警攻擊動(dòng)向，開展背景溯源和反制打擊。

奇安盤古研究員對《環(huán)球時(shí)報(bào)》表示，本報(bào)告公布ATW黑客組織的攻擊手法及使用的漏洞、網(wǎng)絡(luò)碼址，目的是使大家看清ATW組織長期以來針對中國實(shí)施網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取活動(dòng)的本質(zhì)，針對性修補(bǔ)漏洞，做好安全加固，不斷提升網(wǎng)絡(luò)安全、數(shù)據(jù)安全防護(hù)能力水平。同時(shí)也正告ATW等那些對中國懷有敵意的組織，他們的一舉一動(dòng)，中國安全人員盡在掌握。后續(xù)，技術(shù)團(tuán)隊(duì)還將陸續(xù)公布對相關(guān)事件調(diào)查的更多技術(shù)細(xì)節(jié)。

關(guān)鍵詞： 網(wǎng)絡(luò)攻擊 核心成員