您的位置:首页 >要闻 >

【全球新要闻】这个核心成员来自欧美的组织,正对中国疯狂实施网络攻击!

2023-02-20 07:28:51    来源:环球时报

2月19日,《环球时报》记者从北京奇安盘古实验室独家获悉一份报告,该报告揭秘了一个将中国作为主要攻击目标的黑客组织AgainstTheWest(下称“ATW”)的详情内幕。该组织核心成员来自于欧洲、北美地区,对我国疯狂实施网络攻击、数据窃取和披露炒作活动,对我国的网络安全、数据安全构成了严重危害。

这是奇安盘古继去年公开曝光美国“方程式”组织“电幕行动”(Bvp47)完整技术细节之后,再次曝光了对华实施数据窃取和网络攻击的ATW组织真实面目,旨在让幕后真凶浮出水面,斩断危害中国数据安全的魔手。

据该机构研究人员介绍,自2021年以来,ATW组织宣称披露涉我国重要信息系统源代码、数据库等敏感信息70余次,涉及国家重要政府部门、航空、基础设施等100余家单位的300余个信息系统,并表达了顽固的反华立场。尤其2022年以来,ATW组织滋扰势头加剧,持续对中国的网络目标实施大规模网络扫描探测和“供应链”攻击。


【资料图】

奇安盘古长期跟踪发现,ATW组织活跃成员多从事程序员、网络工程师相关职业,主要位于瑞士、法国、波兰、加拿大等国。研究人员建议国家有关部门、安全团队加强对非法网络攻击活动的监测,及时预警攻击动向,开展背景溯源和反制打击。

详细揭秘:疯狂对华实施数据窃取的ATW组织

《环球时报》记者获悉,北京奇安盘古实验室通过长期跟踪发现,2021年10月以来,一自称AgainstTheWest(下称“ATW”)的黑客组织,将中国作为主要攻击目标,疯狂实施网络攻击、数据窃取和披露炒作活动,对我国的网络安全、数据安全构成严重危害。ATW组织究竟什么来头?研究员进行了详细揭秘,并给出应对建议。

(1)ATW组织及其主要攻击活动

ATW组织成立于2021年6月,10月开始在“阵列论坛”(RaidForums)上大肆活动。虽然将账号个性签名设置为“民族国家组织”,但实际上,这是一个以欧洲、北美地区从事程序员、网络工程师等职业的人员自发组织成立的松散网络组织。

ATW组织自我介绍

ATW组织自成立伊始,便疯狂从事反华活动,公开称“将主要针对中国、朝鲜和其他国家发布政府数据泄密帖子”,还专门发布过一篇题为“ATW-对华战争”的帖子,赤裸裸地支持“台独”、鼓噪“港独”、炒作新疆“人权问题”。

ATW组织发布的“ATW-对华战争”帖

2021年10月,ATW组织开始频繁活动,不断在电报群组(https://t.me/s/ATW2022,Email:AgainstTheWest@riseup.net,备份Email:apt49@riseup.net)、推特(@_AgainstTheWest,https://mobile.twitter.com/_AgainstTheWest)、Breadched(账号:AgainstTheWest)等境外社交平台开设新账号,扩大宣传途径,并表现出较明显的亲美西方政治倾向,多次声明“攻击目标是俄罗斯、白俄罗斯和中国、伊朗、朝鲜”、“愿意与美国、欧盟政府共享所有文件”、“愿受雇于相关机构”。

ATW组织群组账号 、ATW组织推特账号

据不完全统计,自2021年以来,ATW组织披露涉我重要信息系统源代码、数据库等敏感信息70余次,宣称涉及100余家单位的300余个信息系统。实际上,所谓泄露的源代码主要是中小型软件开发企业所研发的测试项目代码文件,不包含数据信息。但ATW组织为了博取关注,极尽歪曲解读、夸大其词之能事,动辄使用“大规模监控”、“侵犯人权”、“侵犯隐私”等美西方惯用的“标签”,意图凸显攻击目标和所窃数据重要性,以至于看起来,一个比一个吓人。

2021年10月14日,ATW在“阵列论坛”(RaidForums)发布题为“人民币行动(Operation Renminbi)”的帖子,称“出售中国人民银行相关软件项目源代码”。

2021年11月2日,ATW组织在“阵列论坛”发布信息,称“广州政企互联科技有限公司已被其攻破”,并提供了数据库和SSH密钥的下载方式。

2021年11月24日,ATW组织发布了16个政府网站大数据系统存在漏洞情况,涉及北京、浙江、四川、重庆、广东、江苏、湖北、湖南等地。

2022年1月7日,ATW组织声称出售“中国大量政府、非政府组织、机构和公司数据,待售数据涉及102家中国实体单位”。

2022年3月4日,ATW组织宣布解散,但3月5日又宣布经费充足再次上线。

2022年3月6日,ATW在电报群组中发布消息称“攻破了中央汇金投资公司,窃取了大量数据”,并提供了数据的下载链接。

2022年3月28日,宣称“广发银行已被攻破”,发布“整个后端源代码、maven 版本”等数据。

2022年4月5日,ATW组织发布“中国各省市共计48家医院信息系统源代码”。

2022年8月12日,ATW组织在推特发布数据售卖帖,称其从中兴通讯公司服务器获取了4000条警察人员的电话号码和姓名数据。

2022年8月16日,ATW组织通过Breached黑客论坛公布港铁系统源码文件,内容涉及香港铁路公司的交易、排程等26个系统项目代码。

(2)ATW组织主要成员

技术团队长期跟踪发现,ATW组织平日活跃成员6名,多从事程序员、网络工程师相关职业,主要位于瑞士、法国、波兰、加拿大等国。

梳理该组织成员活动时段发现,其休息时间为北京时间15时至19时,工作时间集中在北京时间凌晨3时至13时,对应零时区和东1时区的西欧国家。其中,2名骨干成员身份信息如下:

蒂莉·考特曼(Tillie Kottmann),1999年8月7日生于瑞士卢塞恩,自称是黑客、无政府主义者,以女性自居。其曾在瑞士BBZW Sursee思科学院、德国auticon GmbH公司、瑞士Egon AG公司工作。蒂莉·考特曼还是Dogbin网站(短链接转换网站)的创始人和首席开发人员。2020年4月以来,蒂莉·考特曼通过“声呐方块”平台漏洞获取企业信息系统源代码数据;2020年7月,蒂莉·考特曼在互联网上曝光了微软、高通、通用电气、摩托罗拉、任天堂、迪士尼50余家知名企业信息系统源代码;2021年3月12日,瑞士警方搜查蒂莉·考特曼住所并扣押大量网络设备;2021年3月18日,美国司法部发布对蒂莉·考特曼的起诉书,但3月底突然中止该案审理。此后,中国成了蒂莉·考特曼的主要目标之一。

美国司法部对蒂莉·考特曼的起诉书及公布照片

蒂莉·考特曼(Tillie Kottmann)的Twitter账号@nyancrimew被推特公司停用后,于2022年2月重新注册使用。个人简介中自称为“被起诉的黑客/安全研究员、艺术家、精神病患者”。2023年1月至今,发布及转推78次。

帕韦尔∙杜达(PawelDuda),波兰人,软件工程师。其曾在多家网络公司从事软件工程工作。

该人日常会进行黑客技术研究,并在Slides.com网站共享文件中设置了“成为更好的黑客”的座右铭。

此外,据了解,该组织成员有长期服用精神类药物、吸食毒品等行为,包括吸食氯胺酮(K粉),还会将莫达非尼(治疗嗜睡的药物,具有成瘾性)和可乐一起服用。

(3)ATW组织主要攻击手法

调查发现,ATW组织宣称攻击窃取涉我党政机关、科研机构等单位的数据,实则均来源于为我重要单位提供软件开发的中小型信息技术和软件开发企业,窃取数据也多为开发过程中的测试数据。

该组织的攻击手法主要是针对SonarQube、Gogs、Gitblit等开源网络系统存在的技术漏洞实施大规模扫描和攻击,进而通过“拖库”,窃取相关源代码、数据等。相关信息可用于对涉及的网络信息系统实施进一步漏洞挖掘和渗透攻击,属于典型的“供应链”攻击。

该组织的行为与自我标榜的“道德黑客”着实相去甚远,并非向存在漏洞的企业发布预警提示信息,以提高这些企业的安全防范能力。相反,更多的是利用这些漏洞实施攻击渗透、窃取数据,并在黑客论坛恣意曝光,炫耀“战果”。2022年以来,ATW组织滋扰势头加剧,持续对中国的网络目标实施大规模网络扫描探测和“供应链”攻击。为凸显攻击目标和所窃数据重要性,多次对所窃数据进行歪曲解读、夸大其词,竭力配合美西方政府为我扣上“网络威权主义”帽子,并大力煽动、诋毁中国的数据安全治理能力,行径恶劣,气焰嚣张,自我炒作、借机攻击中国的意图十分明显。

(4)ATW组织漏洞攻击利用情况

ATW对中国企业单位开展网络攻击过程中,大量使用了源代码管理平台、开源框架等存在的技术漏洞。主要包括:

SonarQube漏洞。漏洞编号为CVE-2020-27986,该漏洞描述为SonarQube系统存在未授权访问漏洞。涉及版本:SnoarQube开源版<=9.1.0.47736;SonarQube稳定版<=8.9.3。

VueJs框架漏洞。VueJs框架为JavaScript前端开发框架,VueJS源代码在GitHub发布,同时本身具备较多漏洞,使用网络指纹嗅探系统可直接扫描探测,GitHub上同样存在专门针对VueJS的漏洞利用工具。

Gogs、GitLab、Gitblit等其他源代码管理平台漏洞。上述平台存在的未授权访问漏洞,无需特殊权限即可访问和下载存储在管理平台上的系统源代码数据。

通过对全网设备进行空间测绘,发现上述开源平台在国内使用广泛。对存在风险的资产项目进行进一步分析发现,其中包含涉及我国多家重要单位的系统源代码。SonarQube、Gitblit、Gogs的各平台使用情况如下:

(5)ATW组织攻击使用码址资源

为掩护其攻击行为,ATW组织使用了一批“跳板”和代理服务器,主要分布在英国、北马其顿、瑞典、罗马尼亚等国家。相关IOC指标信息如下:

在RaidForums论坛上发现的ATW黑客组织关联账号包括,“AgainstTheWest”注册于2021年10月12日,是发布泄露涉中国数据的主要账号;“AgainstTheYankees”为该组织11月16日最新注册帐号,地理位置标注在台湾花莲,职业为情报经销商,由“AgainstTheWest”推荐加入论坛;“Majestic-12”疑为匿名者黑客组织与ATW反华黑客组织的中间联络人,曾回复“ATW-对华战争”网帖,号召更多黑客、程序员加入,共同对抗中国;“NtRaiseHardError”在论坛多次售卖涉我数据,表示只攻击和收购中国政府数据,不会攻击美国、加拿大、英国、俄罗斯政府。该黑客与“AgainstTheWest”有数据交易,互动频繁,关系密切;“Kristina”在论坛发帖称广州政企互联科技有限公司已被其攻破,并提供数据库和SSH密钥下载,涉及“国家政务服务平台”、“内蒙古自治区政府门户网站”;“Ytwang”曾发帖表示要购买新疆营地、警察系统等数据库信息,以及留言表示对滴普科技相关信息很感兴趣。

其余账号信息如下:

安全专家:中国企业亟需严防死守、做好安全加固

针对境外黑客组织对我国的疯狂攻击和抹黑行为,该如何应对?奇安盘古研究员给出了三项防范对策建议:

首先是建议软件开发企业立即修复SonarQube、VueJs、Gogs、GitLab、Gitblit等软件漏洞,严格控制公网访问权限,及时修改默认访问密码,进一步提高对源代码的安全管理能力。

其次是针对已在用户单位部署的系统源代码外泄情况,建议软件开发企业应加强系统源代码安全审计,及时发现并修复软件安全漏洞,防止黑客利用系统漏洞进行攻击,并对重要信息系统源码及数据进行加密存储,落实网络安全防护措施。

最后建议国家有关职能部门、技术安全团队加强对ATW组织非法网络攻击活动的监测,及时预警攻击动向,开展背景溯源和反制打击。

奇安盘古研究员对《环球时报》表示,本报告公布ATW黑客组织的攻击手法及使用的漏洞、网络码址,目的是使大家看清ATW组织长期以来针对中国实施网络攻击、数据窃取活动的本质,针对性修补漏洞,做好安全加固,不断提升网络安全、数据安全防护能力水平。同时也正告ATW等那些对中国怀有敌意的组织,他们的一举一动,中国安全人员尽在掌握。后续,技术团队还将陆续公布对相关事件调查的更多技术细节。

标签: 网络攻击 核心成员

相关推荐

当前热点-奋进的春天|多点发力 开局之年谋发展

【写意中国探寻汉字起源】河南安阳殷墟博物苑:穿越时空,一览三千年前的帝都

环球热资讯!日本民众与熊猫香香道别 众多抽签落选粉丝在园外含泪祝福

上戏时隔三年恢复线下艺考 表演系考生高考成绩须达一本线70%

观察:截至2月19日14时30分,北京62条公交线路因雪临时停驶

北京西部北部阵风可达五六级!谨防高空坠物,山区游客注意防风

焦点讯息:我国一次性建设最大原油商业储备库投用

世界快看点丨新物种!余杭苕溪首次发现

天天实时:6月份启动入驻!国家药监局六大中心落地经开区

【报资讯】内蒙古霍林郭勒:草原雪景美如画

天天视点!东方甄选还能留董宇辉多久?

食安专家说食安 | 食用油选购Tips

【当前独家】江西上栗民警辅警查酒驾时被刺,3人牺牲,嫌疑人已归案

北京查获不达标玻尿酸2489支!未流入市场,已十倍处罚!

焦点热文:特朗普一说要去俄亥俄“毒列车”事发地,美政府速派支援

还没到公司就精疲力尽了,这个班还能上吗?

堪称“奇观”!美国曾大量投放高空间谍气球:一个月内516个

天天观点:特朗普说要去俄亥俄“毒列车”事发地,美政府速派人,特朗普嘲讽

指认俄罗斯开展间谍活动 荷兰限制俄驻荷外交官人数

全球新资讯:美媒:美海军陆战队员军营中死亡 军方称死因可疑正调查

环球最新:股价不振却是机构“团宠”,这家公司年内被“叩门”300次

非盟峰会上代表团被“请出”,以色列将抗议矛头对准南非阿尔及利亚

今热点:俄罗斯外交部:将对荷兰限制俄外交人员人数做出对等回应

全球资讯:荷兰一家博物馆中国文物被盗 馆长讲述事发经过

天天消息!星空有约丨21日晚十点前后迎来“二月二,龙抬头”

焦点短讯!我国科学家绘出首张蛛丝形成机制分子细胞图谱

杭州一公寓发生燃气爆燃,致1人死亡

天天微头条丨铁路、地铁、公交、航站楼、码头!这个枢纽全都有

焦点热讯:节气 · 雨水|北京动物园景象——东风解冻,万物萌发

天天关注:因有半马比赛,北京园博园2月25日7:30-12:00闭园

世界热门:农村年轻人结婚是否要在城里买房?看看他们怎么回答

环球观焦点:搭上ChatGPT顺风车 水泥股单周暴涨31%

环球快讯:间接持有近460万市值!这家公司核心技术人员离职,系原料药首席科学家

天天速读:今年流行的“春外套”,提醒我拿出闲置了好久的几款下装,真洋气

天天速看:强信心·开新局|“无废工厂”里的绿色转型“密码”

天天观焦点:设计时速350公里!两条高铁建设迎来新进展

当前快播:构筑区域高质量发展人才新优势

环球聚焦:“为世界经济复苏注入更多稳定力量”

微视频|奋楫再出发

微视频|奋楫再出发

世界即时:提前还款10万、月供能减约600元 多方呼吁银行减免等待期利息

当前快看:谁在造就百岁房贷的时代焦虑?

海南美兰国际机场正式开通海口往返韩国仁川货运航线

世界资讯:速滑世界杯总决赛中国队获得女子短距离团体追逐铜牌

快消息!越禁越爱吃?台媒:岛内夜市越来越多摊位卖螺蛳粉、酸辣粉

【环球速看料】【一线调研】一条制造业产业链的跃升

独生子女不能全部继承父母遗产?答案来了!

让水更清鱼欢畅——长江上游珍稀鱼类保护记

全球今日报丨一组数字看《粤港澳大湾区发展规划纲要》发布四周年累累硕果→

调查记者西摩·赫什:美国政府永远不会承认破坏“北溪”管道

当前消息!中国三大数学奖在武汉揭晓

世界滚动:叙利亚首都一居民楼被导弹击中,现场火光冲天

快资讯丨旗县区看点|玉泉区:人勤春来早 工地复工忙

环球聚焦:【创城进行时】海西路办事处综合路社区新时代文明实践站开展“青城有爱 创城...

呼和浩特商贸服务型国家物流枢纽项目:抢抓时机 提速提效

字节高管为何多数都在新加坡?

冷空气南下北方雨雪收敛 南方局地降温超10℃隔天如换季

天天快消息!山寨叶圣陶杯被封 中介仍有竞赛资源

每日消息!辽上京皇城遗址发现大型建筑基址

全球快资讯:北京“南水”利用总量达到85亿立方米

“数字藏品”背后的“数字骗局”

环球讯息:雨水节气天放晴!通州大运河广场,秧歌扭起来

山西长治发现3座唐代纪年墓,出土成套茶具

天天看点:北京地铁:明日首班车至16时30分,雍和宫站F口封闭

天天视点!土耳其卫生部长:强震发生以来灾区共6447名婴儿出生

【播资讯】三晋有花 处处芬芳——山西特色专业镇集群经济一线观察

世界通讯!下周一正式开闸!北交所迎资金活水,36只个股被首批做市

环球快资讯丨跌成这样还买!北向资金连续28天加仓“宁王”,有何“底牌”?

天天热头条丨牙齿掉了一颗怎么办最好_牙齿掉了一颗怎么办

世界观天下!山西发布大风蓝色预警 预警区域为全省大部分地区

《太原市村庄布局专项规划(2020-2035年)》(草案)公示

今日热门!省退役军人事务厅:春季招聘会助力退役军人就业

【天天速看料】国家艺术院团澳门演出季上演舞剧《沂蒙》

环球微动态丨山西出台养老托育服务业扶持政策 提出7方面措施

澳门接种新冠疫苗逾167万剂,九成人口完成初种系列

【世界时快讯】退役军人事务部等8部门联合印发意见加强就业困难退役军人帮扶工作

每日时讯!北京:到2035年各类博物馆将超460座

苦尽甘来!中企公益项目让巴西原住民喝上汩汩清泉

消息!听,“雨水”

外媒:以色列凌晨空袭叙利亚首都 致5人死15人伤

每日简讯:连续报告病例,潜伏期7-15天!浙江一地疾控最新提醒

【环球快播报】美“毒火车”事件发生地居民:待在这里绝不可能安全

环球要闻:叙利亚大马士革遭以色列空袭 致5死15伤

土耳其强震已致超4万人遇难,一儿童被困12天后获救

北上资金看上铝业龙头,最新持股量翻倍股揭秘

环球看点!房产中介公司收多人十万诚意金后疑跑路,法人代表:我只是个外卖员

留学也开始出现断供潮了……

关注:征战太空,交出精彩答卷

去年我国风电光伏发电量首超一万亿千瓦时 可再生能源高水平消纳利用

最新资讯:奋进的春天|全国多地重大项目加速推进 促就业保民生

致命的美式安全丨火车脱轨爆炸 枪案此起彼伏,美国安全观已脱靶

规范手机预置软件势在必行

全球视讯!青岛街头5万元现金被大风刮得满街飞,众人捡拾……后续暖了

招聘岗位多、单位行业覆盖面广,各地招聘会人头攒动

天天即时看!痛心!荷兰馆藏4件中国文物被盗7件被毁

焦点速看:开学了,孩子家长老师如何预防流感、诺如病毒?

今日热搜:马克龙:有人想“击垮俄罗斯”,但这从来不是法国立场

焦点报道:2022年山西全省累计收购粮食616万吨

当前快播:送医上门!让空巢老人少跑腿,北京好医生已坚持半年多

环球聚焦:征战太空,交出精彩答卷 ——神舟十四号航天员乘组与记者见面会侧记