原標(biāo)題：意圖明顯,！一黑客組織正對中國瘋狂實施網(wǎng)絡(luò)攻擊

據(jù)報道,，黑客組織“ATW”正對我國瘋狂實施網(wǎng)絡(luò)攻擊，泄露港鐵系統(tǒng)源碼文件,、4000條警察人員的個人信息,、政府和機構(gòu)數(shù)據(jù)……

為凸顯攻擊目標(biāo)和所竊數(shù)據(jù)的重要性,，ATW多次對所竊數(shù)據(jù)進行歪曲解讀、夸大其詞,，并大力煽動,、詆毀中國的數(shù)據(jù)安全治理能力，自我炒作,、借機攻擊中國的意圖十分明顯,。

2022年4月5日，ATW組織發(fā)布“中國各省市共計48家醫(yī)院信息系統(tǒng)源代碼”,。

2022年8月12日,，ATW組織在推特發(fā)布數(shù)據(jù)售賣帖，稱其從中國某通訊科技公司服務(wù)器獲取了4000條警察人員的電話號碼和姓名數(shù)據(jù),。

2022年8月16日,，ATW組織通過Breached黑客論壇公布港鐵系統(tǒng)源碼文件，內(nèi)容涉及香港鐵路公司的交易,、排程等26個系統(tǒng)項目代碼,。

這是奇安盤古繼去年公開曝光美國“方程式”組織“電幕行動”（Bvp47）完整技術(shù)細節(jié)之后，再次曝光了對華實施數(shù)據(jù)竊取和網(wǎng)絡(luò)攻擊的ATW組織真實面目,，旨在讓幕后真兇浮出水面，斬斷危害中國數(shù)據(jù)安全的魔手,。

據(jù)該機構(gòu)研究人員介紹,，自2021年以來，ATW組織宣稱披露涉我國重要信息系統(tǒng)源代碼,、數(shù)據(jù)庫等敏感信息70余次,，涉及國家重要政府部門、航空、基礎(chǔ)設(shè)施等100余家單位的300余個信息系統(tǒng),，并表達了頑固的反華立場,。尤其2022年以來，ATW組織滋擾勢頭加劇,，持續(xù)對中國的網(wǎng)絡(luò)目標(biāo)實施大規(guī)模網(wǎng)絡(luò)掃描探測和“供應(yīng)鏈”攻擊,。

奇安盤古長期跟蹤發(fā)現(xiàn)，ATW組織活躍成員多從事程序員,、網(wǎng)絡(luò)工程師相關(guān)職業(yè),，主要位于瑞士、法國,、波蘭,、加拿大等國。研究人員建議國家有關(guān)部門,、安全團隊加強對非法網(wǎng)絡(luò)攻擊活動的監(jiān)測,，及時預(yù)警攻擊動向，開展背景溯源和反制打擊,。

北京奇安盤古實驗室通過長期跟蹤發(fā)現(xiàn),，2021年10月以來，一自稱AgainstTheWest（下稱“ATW”）的黑客組織,，將中國作為主要攻擊目標(biāo),，瘋狂實施網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取和披露炒作活動,，對我國的網(wǎng)絡(luò)安全,、數(shù)據(jù)安全構(gòu)成嚴(yán)重危害。ATW組織究竟什么來頭,？研究員進行了詳細揭秘,，并給出應(yīng)對建議。

（1） ATW組織及其主要攻擊活動

ATW組織成立于2021年6月,，10月開始在“陣列論壇”（RaidForums）上大肆活動,。雖然將賬號個性簽名設(shè)置為“民族國家組織”，但實際上,，這是一個以歐洲,、北美地區(qū)從事程序員、網(wǎng)絡(luò)工程師等職業(yè)的人員自發(fā)組織成立的松散網(wǎng)絡(luò)組織,。

ATW組織自我介紹

ATW組織自成立伊始,，便瘋狂從事反華活動，公開稱“將主要針對中國,、朝鮮和其他國家發(fā)布政府?dāng)?shù)據(jù)泄密帖子”,，還專門發(fā)布過一篇題為“ATW-對華戰(zhàn)爭”的帖子,，赤裸裸地支持“臺獨”、鼓噪“港獨”,、炒作新疆“人權(quán)問題”,。

ATW組織發(fā)布的“ATW-對華戰(zhàn)爭”帖

2021年10月，ATW組織開始頻繁活動,，不斷在電報群組（https：//t.me/s/ATW2022,，Email：[email protected]，備份Email：[email protected]）,、推特（@_AgainstTheWest,，https：//mobile.twitter.com/_AgainstTheWest）、Breadched（賬號：AgainstTheWest）等境外社交平臺開設(shè)新賬號,，擴大宣傳途徑,，并表現(xiàn)出較明顯的親美西方政治傾向，多次聲明“攻擊目標(biāo)是俄羅斯,、白俄羅斯和中國,、伊朗、朝鮮”,、“愿意與美國,、歐盟政府共享所有文件”、“愿受雇于相關(guān)機構(gòu)”,。

據(jù)不完全統(tǒng)計,，自2021年以來，ATW組織披露涉我重要信息系統(tǒng)源代碼,、數(shù)據(jù)庫等敏感信息70余次,，宣稱涉及100余家單位的300余個信息系統(tǒng)。實際上,，所謂泄露的源代碼主要是中小型軟件開發(fā)企業(yè)所研發(fā)的測試項目代碼文件,，不包含數(shù)據(jù)信息。但ATW組織為了博取關(guān)注,，極盡歪曲解讀,、夸大其詞之能事，動輒使用“大規(guī)模監(jiān)控”,、“侵犯人權(quán)”,、“侵犯隱私”等美西方慣用的“標(biāo)簽”，意圖凸顯攻擊目標(biāo)和所竊數(shù)據(jù)重要性,，以至于看起來,，一個比一個嚇人。

2021年10月14日,，ATW在“陣列論壇”（RaidForums）發(fā)布題為“人民幣行動（Operation Renminbi）”的帖子，稱“出售中國某金融機構(gòu)相關(guān)軟件項目源代碼”。

2021年11月2日,，ATW組織在“陣列論壇”發(fā)布信息,，稱“中國某互聯(lián)網(wǎng)科技公司已被其攻破”，并提供了數(shù)據(jù)庫和SSH密鑰的下載方式,。

2021年11月24日,，ATW組織發(fā)布了16個政府網(wǎng)站大數(shù)據(jù)系統(tǒng)存在漏洞情況，涉及北京,、浙江,、四川、重慶,、廣東,、江蘇、湖北,、湖南等地,。

2022年1月7日，ATW組織聲稱出售“中國大量政府,、非政府組織,、機構(gòu)和公司數(shù)據(jù)，待售數(shù)據(jù)涉及102家中國實體單位”,。

2022年3月4日,，ATW組織宣布解散，但3月5日又宣布經(jīng)費充足再次上線,。

2022年3月6日,，ATW在電報群組中發(fā)布消息稱“攻破了中國某投資公司，竊取了大量數(shù)據(jù)”,，并提供了數(shù)據(jù)的下載鏈接,。

2022年3月28日，宣稱“中國某商業(yè)銀行已被攻破”,，發(fā)布“整個后端源代碼,、maven 版本”等數(shù)據(jù)。

調(diào)查發(fā)現(xiàn),，ATW組織宣稱攻擊竊取涉我黨政機關(guān),、科研機構(gòu)等單位的數(shù)據(jù)，實則均來源于為我重要單位提供軟件開發(fā)的中小型信息技術(shù)和軟件開發(fā)企業(yè),，竊取數(shù)據(jù)也多為開發(fā)過程中的測試數(shù)據(jù),。

該組織的攻擊手法主要是針對SonarQube、Gogs,、Gitblit等開源網(wǎng)絡(luò)系統(tǒng)存在的技術(shù)漏洞實施大規(guī)模掃描和攻擊,，進而通過“拖庫”,，竊取相關(guān)源代碼、數(shù)據(jù)等,。相關(guān)信息可用于對涉及的網(wǎng)絡(luò)信息系統(tǒng)實施進一步漏洞挖掘和滲透攻擊,，屬于典型的“供應(yīng)鏈”攻擊。

該組織的行為與自我標(biāo)榜的“道德黑客”著實相去甚遠,，并非向存在漏洞的企業(yè)發(fā)布預(yù)警提示信息,，以提高這些企業(yè)的安全防范能力。相反,，更多的是利用這些漏洞實施攻擊滲透,、竊取數(shù)據(jù)，并在黑客論壇恣意曝光,，炫耀“戰(zhàn)果”,。2022年以來，ATW組織滋擾勢頭加劇,，持續(xù)對中國的網(wǎng)絡(luò)目標(biāo)實施大規(guī)模網(wǎng)絡(luò)掃描探測和“供應(yīng)鏈”攻擊,。為凸顯攻擊目標(biāo)和所竊數(shù)據(jù)重要性，多次對所竊數(shù)據(jù)進行歪曲解讀,、夸大其詞,，竭力配合美西方政府為我扣上“網(wǎng)絡(luò)威權(quán)主義”帽子，并大力煽動,、詆毀中國的數(shù)據(jù)安全治理能力,，行徑惡劣，氣焰囂張,，自我炒作,、借機攻擊中國的意圖十分明顯。

ATW對中國企業(yè)單位開展網(wǎng)絡(luò)攻擊過程中,，大量使用了源代碼管理平臺,、開源框架等存在的技術(shù)漏洞。主要包括：

SonarQube漏洞,。漏洞編號為CVE-2020-27986,，該漏洞描述為SonarQube系統(tǒng)存在未授權(quán)訪問漏洞。涉及版本：SnoarQube開源版<=9.1.0.47736,；SonarQube穩(wěn)定版<=8.9.3,。

VueJs框架漏洞。VueJs框架為JavaScript前端開發(fā)框架,，VueJS源代碼在GitHub發(fā)布,，同時本身具備較多漏洞，使用網(wǎng)絡(luò)指紋嗅探系統(tǒng)可直接掃描探測,，GitHub上同樣存在專門針對VueJS的漏洞利用工具,。

Gogs,、GitLab、Gitblit等其他源代碼管理平臺漏洞,。上述平臺存在的未授權(quán)訪問漏洞,，無需特殊權(quán)限即可訪問和下載存儲在管理平臺上的系統(tǒng)源代碼數(shù)據(jù)。

通過對全網(wǎng)設(shè)備進行空間測繪,，發(fā)現(xiàn)上述開源平臺在國內(nèi)使用廣泛。對存在風(fēng)險的資產(chǎn)項目進行進一步分析發(fā)現(xiàn),，其中包含涉及我國多家重要單位的系統(tǒng)源代碼,。

安全專家：中國企業(yè)亟需嚴(yán)防死守、做好安全加固

針對境外黑客組織對我國的瘋狂攻擊和抹黑行為,，該如何應(yīng)對,？奇安盤古研究員給出了三項防范對策建議：

首先是建議軟件開發(fā)企業(yè)立即修復(fù)SonarQube、VueJs,、Gogs,、GitLab、Gitblit等軟件漏洞,，嚴(yán)格控制公網(wǎng)訪問權(quán)限,，及時修改默認(rèn)訪問密碼，進一步提高對源代碼的安全管理能力,。

其次是針對已在用戶單位部署的系統(tǒng)源代碼外泄情況,，建議軟件開發(fā)企業(yè)應(yīng)加強系統(tǒng)源代碼安全審計，及時發(fā)現(xiàn)并修復(fù)軟件安全漏洞,，防止黑客利用系統(tǒng)漏洞進行攻擊,，并對重要信息系統(tǒng)源碼及數(shù)據(jù)進行加密存儲，落實網(wǎng)絡(luò)安全防護措施,。

最后建議國家有關(guān)職能部門,、技術(shù)安全團隊加強對ATW組織非法網(wǎng)絡(luò)攻擊活動的監(jiān)測，及時預(yù)警攻擊動向,，開展背景溯源和反制打擊,。

奇安盤古研究員對《環(huán)球時報》表示，本報告公布ATW黑客組織的攻擊手法及使用的漏洞,、網(wǎng)絡(luò)碼址,，目的是使大家看清ATW組織長期以來針對中國實施網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取活動的本質(zhì),，針對性修補漏洞,，做好安全加固，不斷提升網(wǎng)絡(luò)安全,、數(shù)據(jù)安全防護能力水平,。同時也正告ATW等那些對中國懷有敵意的組織,，他們的一舉一動，中國安全人員盡在掌握,。后續(xù),，技術(shù)團隊還將陸續(xù)公布對相關(guān)事件調(diào)查的更多技術(shù)細節(jié)。