您的位置:首頁 >區(qū)域 >

黑客組織正對中國瘋狂實施網(wǎng)絡攻擊 ATW組織了解一下

2023-02-20 15:51:29 來源:環(huán)球時報

2月19日,《環(huán)球時報》記者從北京奇安盤古實驗室獨家獲悉一份報告,該報告揭秘了一個將中國作為主要攻擊目標的黑客組織AgainstTheWest(下稱“ATW”)的詳情內(nèi)幕。該組織核心成員來自于歐洲、北美地區(qū),對我國瘋狂實施網(wǎng)絡攻擊、數(shù)據(jù)竊取和披露炒作活動,對我國的網(wǎng)絡安全、數(shù)據(jù)安全構(gòu)成了嚴重危害。

這是奇安盤古繼去年公開曝光美國“方程式”組織“電幕行動”(Bvp47)完整技術細節(jié)之后,再次曝光了對華實施數(shù)據(jù)竊取和網(wǎng)絡攻擊的ATW組織真實面目,旨在讓幕后真兇浮出水面,斬斷危害中國數(shù)據(jù)安全的魔手。

據(jù)該機構(gòu)研究人員介紹,自2021年以來,ATW組織宣稱披露涉我國重要信息系統(tǒng)源代碼、數(shù)據(jù)庫等敏感信息70余次,涉及國家重要政府部門、航空、基礎設施等100余家單位的300余個信息系統(tǒng),并表達了頑固的反華立場。尤其2022年以來,ATW組織滋擾勢頭加劇,持續(xù)對中國的網(wǎng)絡目標實施大規(guī)模網(wǎng)絡掃描探測和“供應鏈”攻擊。

奇安盤古長期跟蹤發(fā)現(xiàn),ATW組織活躍成員多從事程序員、網(wǎng)絡工程師相關職業(yè),主要位于瑞士、法國、波蘭、加拿大等國。研究人員建議國家有關部門、安全團隊加強對非法網(wǎng)絡攻擊活動的監(jiān)測,及時預警攻擊動向,開展背景溯源和反制打擊。

詳細揭秘:瘋狂對華實施數(shù)據(jù)竊取的ATW組織

《環(huán)球時報》記者獲悉,北京奇安盤古實驗室通過長期跟蹤發(fā)現(xiàn),2021年10月以來,一自稱AgainstTheWest(下稱“ATW”)的黑客組織,將中國作為主要攻擊目標,瘋狂實施網(wǎng)絡攻擊、數(shù)據(jù)竊取和披露炒作活動,對我國的網(wǎng)絡安全、數(shù)據(jù)安全構(gòu)成嚴重危害。ATW組織究竟什么來頭?研究員進行了詳細揭秘,并給出應對建議。

(1)ATW組織及其主要攻擊活動

ATW組織成立于2021年6月,10月開始在“陣列論壇”(RaidForums)上大肆活動。雖然將賬號個性簽名設置為“民族國家組織”,但實際上,這是一個以歐洲、北美地區(qū)從事程序員、網(wǎng)絡工程師等職業(yè)的人員自發(fā)組織成立的松散網(wǎng)絡組織。

ATW組織自我介紹

ATW組織自成立伊始,便瘋狂從事反華活動,公開稱“將主要針對中國、朝鮮和其他國家發(fā)布政府數(shù)據(jù)泄密帖子”,還專門發(fā)布過一篇題為“ATW-對華戰(zhàn)爭”的帖子,赤裸裸地支持“臺獨”、鼓噪“港獨”、炒作新疆“人權(quán)問題”。

ATW組織發(fā)布的“ATW-對華戰(zhàn)爭”帖

2021年10月,ATW組織開始頻繁活動,不斷在電報群組(https://t.me/s/ATW2022,Email:AgainstTheWest@riseup.net,備份Email:apt49@riseup.net)、推特(@_AgainstTheWest,

https://mobile.twitter.com/_AgainstTheWest)、Breadched(賬號:AgainstTheWest)等境外社交平臺開設新賬號,擴大宣傳途徑,并表現(xiàn)出較明顯的親美西方政治傾向,多次聲明“攻擊目標是俄羅斯、白俄羅斯和中國、伊朗、朝鮮”、“愿意與美國、歐盟政府共享所有文件”、“愿受雇于相關機構(gòu)”。

ATW組織群組賬號

ATW組織推特賬號

據(jù)不完全統(tǒng)計,自2021年以來,ATW組織披露涉我重要信息系統(tǒng)源代碼、數(shù)據(jù)庫等敏感信息70余次,宣稱涉及100余家單位的300余個信息系統(tǒng)。實際上,所謂泄露的源代碼主要是中小型軟件開發(fā)企業(yè)所研發(fā)的測試項目代碼文件,不包含數(shù)據(jù)信息。但ATW組織為了博取關注,極盡歪曲解讀、夸大其詞之能事,動輒使用“大規(guī)模監(jiān)控”、“侵犯人權(quán)”、“侵犯隱私”等美西方慣用的“標簽”,意圖凸顯攻擊目標和所竊數(shù)據(jù)重要性,以至于看起來,一個比一個嚇人。

2021年10月14日,ATW在“陣列論壇”(RaidForums)發(fā)布題為“人民幣行動(Operation Renminbi)”的帖子,稱“出售中國某金融機構(gòu)相關軟件項目源代碼”。

2021年11月2日,ATW組織在“陣列論壇”發(fā)布信息,稱“中國某互聯(lián)網(wǎng)科技公司已被其攻破”,并提供了數(shù)據(jù)庫和SSH密鑰的下載方式。

2021年11月24日,ATW組織發(fā)布了16個政府網(wǎng)站大數(shù)據(jù)系統(tǒng)存在漏洞情況,涉及北京、浙江、四川、重慶、廣東、江蘇、湖北、湖南等地。

2022年1月7日,ATW組織聲稱出售“中國大量政府、非政府組織、機構(gòu)和公司數(shù)據(jù),待售數(shù)據(jù)涉及102家中國實體單位”。

2022年3月4日,ATW組織宣布解散,但3月5日又宣布經(jīng)費充足再次上線。

2022年3月6日,ATW在電報群組中發(fā)布消息稱“攻破了中國某投資公司,竊取了大量數(shù)據(jù)”,并提供了數(shù)據(jù)的下載鏈接。

2022年3月28日,宣稱“中國某商業(yè)銀行已被攻破”,發(fā)布“整個后端源代碼、maven 版本”等數(shù)據(jù)。

2022年4月5日,ATW組織發(fā)布“中國各省市共計48家醫(yī)院信息系統(tǒng)源代碼”。

2022年8月12日,ATW組織在推特發(fā)布數(shù)據(jù)售賣帖,稱其從中國某通訊科技公司服務器獲取了4000條警察人員的電話號碼和姓名數(shù)據(jù)。

2022年8月16日,ATW組織通過Breached黑客論壇公布中國某交通運輸公司源碼文件,內(nèi)容涉及中國某交通運輸公司的交易、排程等26個系統(tǒng)項目代碼。

(2) ATW組織主要成員

技術團隊長期跟蹤發(fā)現(xiàn),ATW組織平日活躍成員6名,多從事程序員、網(wǎng)絡工程師相關職業(yè),主要位于瑞士、法國、波蘭、加拿大等國。

梳理該組織成員活動時段發(fā)現(xiàn),其休息時間為北京時間15時至19時,工作時間集中在北京時間凌晨3時至13時,對應零時區(qū)和東1時區(qū)的西歐國家。其中,2名骨干成員身份信息如下:

蒂莉·考特曼(Tillie Kottmann),1999年8月7日生于瑞士盧塞恩,自稱是黑客、無政府主義者,以女性自居。其曾在瑞士BBZW Sursee思科學院、德國auticon GmbH公司、瑞士Egon AG公司工作。蒂莉·考特曼還是Dogbin網(wǎng)站(短鏈接轉(zhuǎn)換網(wǎng)站)的創(chuàng)始人和首席開發(fā)人員。

蒂莉·考特曼

2020年4月以來,蒂莉·考特曼通過“聲吶方塊”平臺漏洞獲取企業(yè)信息系統(tǒng)源代碼數(shù)據(jù);2020年7月,蒂莉·考特曼在互聯(lián)網(wǎng)上曝光了微軟、高通、通用電氣、摩托羅拉、任天堂、迪士尼50余家知名企業(yè)信息系統(tǒng)源代碼;2021年3月12日,瑞士警方搜查蒂莉·考特曼住所并扣押大量網(wǎng)絡設備;2021年3月18日,美國司法部發(fā)布對蒂莉·考特曼的起訴書,但3月底突然中止該案審理。此后,中國成了蒂莉·考特曼的主要目標之一。

美國司法部對蒂莉·考特曼的起訴書及公布照片

蒂莉·考特曼(Tillie Kottmann)的Twitter賬號@nyancrimew被推特公司停用后,于2022年2月重新注冊使用。個人簡介中自稱為“被起訴的黑客/安全研究員、藝術家、精神病患者”。2023年1月至今,發(fā)布及轉(zhuǎn)推78次。

帕韋爾?杜達(PawelDuda),波蘭人,軟件工程師。其曾在多家網(wǎng)絡公司從事軟件工程工作。

該人日常會進行黑客技術研究,并在Slides.com網(wǎng)站共享文件中設置了“成為更好的黑客”的座右銘。

此外,據(jù)了解,該組織成員有長期服用精神類藥物、吸食毒品等行為,包括吸食氯胺酮(K粉),還會將莫達非尼(治療嗜睡的藥物,具有成癮性)和可樂一起服用。

(3) ATW組織主要攻擊手法

調(diào)查發(fā)現(xiàn),ATW組織宣稱攻擊竊取涉我黨政機關、科研機構(gòu)等單位的數(shù)據(jù),實則均來源于為我重要單位提供軟件開發(fā)的中小型信息技術和軟件開發(fā)企業(yè),竊取數(shù)據(jù)也多為開發(fā)過程中的測試數(shù)據(jù)。

該組織的攻擊手法主要是針對SonarQube、Gogs、Gitblit等開源網(wǎng)絡系統(tǒng)存在的技術漏洞實施大規(guī)模掃描和攻擊,進而通過“拖庫”,竊取相關源代碼、數(shù)據(jù)等。相關信息可用于對涉及的網(wǎng)絡信息系統(tǒng)實施進一步漏洞挖掘和滲透攻擊,屬于典型的“供應鏈”攻擊。

該組織的行為與自我標榜的“道德黑客”著實相去甚遠,并非向存在漏洞的企業(yè)發(fā)布預警提示信息,以提高這些企業(yè)的安全防范能力。相反,更多的是利用這些漏洞實施攻擊滲透、竊取數(shù)據(jù),并在黑客論壇恣意曝光,炫耀“戰(zhàn)果”。2022年以來,ATW組織滋擾勢頭加劇,持續(xù)對中國的網(wǎng)絡目標實施大規(guī)模網(wǎng)絡掃描探測和“供應鏈”攻擊。為凸顯攻擊目標和所竊數(shù)據(jù)重要性,多次對所竊數(shù)據(jù)進行歪曲解讀、夸大其詞,竭力配合美西方政府為我扣上“網(wǎng)絡威權(quán)主義”帽子,并大力煽動、詆毀中國的數(shù)據(jù)安全治理能力,行徑惡劣,氣焰囂張,自我炒作、借機攻擊中國的意圖十分明顯。

(4) ATW組織漏洞攻擊利用情況

ATW對中國企業(yè)單位開展網(wǎng)絡攻擊過程中,大量使用了源代碼管理平臺、開源框架等存在的技術漏洞。主要包括:

SonarQube漏洞。漏洞編號為CVE-2020-27986,該漏洞描述為SonarQube系統(tǒng)存在未授權(quán)訪問漏洞。涉及版本:SnoarQube開源版<=9.1.0.47736;SonarQube穩(wěn)定版

VueJs框架漏洞。VueJs框架為JavaScript前端開發(fā)框架,VueJS源代碼在GitHub發(fā)布,同時本身具備較多漏洞,使用網(wǎng)絡指紋嗅探系統(tǒng)可直接掃描探測,GitHub上同樣存在專門針對VueJS的漏洞利用工具。

Gogs、GitLab、Gitblit等其他源代碼管理平臺漏洞。上述平臺存在的未授權(quán)訪問漏洞,無需特殊權(quán)限即可訪問和下載存儲在管理平臺上的系統(tǒng)源代碼數(shù)據(jù)。

通過對全網(wǎng)設備進行空間測繪,發(fā)現(xiàn)上述開源平臺在國內(nèi)使用廣泛。對存在風險的資產(chǎn)項目進行進一步分析發(fā)現(xiàn),其中包含涉及我國多家重要單位的系統(tǒng)源代碼。SonarQube、Gitblit、Gogs的各平臺使用情況如下:

(5) ATW組織攻擊使用碼址資源

為掩護其攻擊行為,ATW組織使用了一批“跳板”和代理服務器,主要分布在英國、北馬其頓、瑞典、羅馬尼亞等國家。相關IOC指標信息如下:

在RaidForums論壇上發(fā)現(xiàn)的ATW黑客組織關聯(lián)賬號包括,“AgainstTheWest”注冊于2021年10月12日,是發(fā)布泄露涉中國數(shù)據(jù)的主要賬號;“AgainstTheYankees”為該組織11月16日最新注冊帳號,地理位置標注在臺灣花蓮,職業(yè)為情報經(jīng)銷商,由“AgainstTheWest”推薦加入論壇;“Majestic-12”疑為匿名者黑客組織與ATW反華黑客組織的中間聯(lián)絡人,曾回復“ATW-對華戰(zhàn)爭”網(wǎng)帖,號召更多黑客、程序員加入,共同對抗中國;“NtRaiseHardError”在論壇多次售賣涉我數(shù)據(jù),表示只攻擊和收購中國政府數(shù)據(jù),不會攻擊美國、加拿大、英國、俄羅斯政府。該黑客與“AgainstTheWest”有數(shù)據(jù)交易,互動頻繁,關系密切;“Kristina”在論壇發(fā)帖稱中國某互聯(lián)網(wǎng)科技公司已被其攻破,并提供數(shù)據(jù)庫和SSH密鑰下載,涉及“國家政務服務平臺”、“內(nèi)蒙古自治區(qū)政府門戶網(wǎng)站”;“Ytwang”曾發(fā)帖表示要購買新疆營地、警察系統(tǒng)等數(shù)據(jù)庫信息,以及留言表示對某科技公司相關信息很感興趣。

其余賬號信息如下:

安全專家:中國企業(yè)亟需嚴防死守、做好安全加固

針對境外黑客組織對我國的瘋狂攻擊和抹黑行為,該如何應對?奇安盤古研究員給出了三項防范對策建議:

首先是建議軟件開發(fā)企業(yè)立即修復SonarQube、VueJs、Gogs、GitLab、Gitblit等軟件漏洞,嚴格控制公網(wǎng)訪問權(quán)限,及時修改默認訪問密碼,進一步提高對源代碼的安全管理能力。

其次是針對已在用戶單位部署的系統(tǒng)源代碼外泄情況,建議軟件開發(fā)企業(yè)應加強系統(tǒng)源代碼安全審計,及時發(fā)現(xiàn)并修復軟件安全漏洞,防止黑客利用系統(tǒng)漏洞進行攻擊,并對重要信息系統(tǒng)源碼及數(shù)據(jù)進行加密存儲,落實網(wǎng)絡安全防護措施。

最后建議國家有關職能部門、技術安全團隊加強對ATW組織非法網(wǎng)絡攻擊活動的監(jiān)測,及時預警攻擊動向,開展背景溯源和反制打擊。

奇安盤古研究員對《環(huán)球時報》表示,本報告公布ATW黑客組織的攻擊手法及使用的漏洞、網(wǎng)絡碼址,目的是使大家看清ATW組織長期以來針對中國實施網(wǎng)絡攻擊、數(shù)據(jù)竊取活動的本質(zhì),針對性修補漏洞,做好安全加固,不斷提升網(wǎng)絡安全、數(shù)據(jù)安全防護能力水平。同時也正告ATW等那些對中國懷有敵意的組織,他們的一舉一動,中國安全人員盡在掌握。后續(xù),技術團隊還將陸續(xù)公布對相關事件調(diào)查的更多技術細節(jié)。

(環(huán)球時報-環(huán)球網(wǎng) 樊巍 曹思琦)

標簽: 黑客組織正對中國瘋狂實施網(wǎng)絡攻擊 ATW組織主要成員介紹 網(wǎng)絡攻擊

相關文章

編輯推薦