來(lái)源:環(huán)球時(shí)報(bào)-環(huán)球網(wǎng)
【環(huán)球時(shí)報(bào)-環(huán)球網(wǎng)報(bào)道記者 樊巍 曹思琦】2月19日���,《環(huán)球時(shí)報(bào)》記者從北京奇安盤(pán)古實(shí)驗(yàn)室獨(dú)家獲悉一份報(bào)告�,該報(bào)告揭秘了一個(gè)將中國(guó)作為主要攻擊目標(biāo)的黑客組織AgainstTheWest(下稱(chēng)“ATW”)的詳情內(nèi)幕����。該組織核心成員來(lái)自于歐洲、北美地區(qū)�����,對(duì)我國(guó)瘋狂實(shí)施網(wǎng)絡(luò)攻擊�����、數(shù)據(jù)竊取和披露炒作活動(dòng)���,對(duì)我國(guó)的網(wǎng)絡(luò)安全、數(shù)據(jù)安全構(gòu)成了嚴(yán)重危害���。
這是奇安盤(pán)古繼去年公開(kāi)曝光美國(guó)“方程式”組織“電幕行動(dòng)”(Bvp47)完整技術(shù)細(xì)節(jié)之后���,再次曝光了對(duì)華實(shí)施數(shù)據(jù)竊取和網(wǎng)絡(luò)攻擊的ATW組織真實(shí)面目�,旨在讓幕后真兇浮出水面�����,斬?cái)辔:χ袊?guó)數(shù)據(jù)安全的魔手��。
據(jù)該機(jī)構(gòu)研究人員介紹���,自2021年以來(lái)��,ATW組織宣稱(chēng)披露涉我國(guó)重要信息系統(tǒng)源代碼����、數(shù)據(jù)庫(kù)等敏感信息70余次�,涉及國(guó)家重要政府部門(mén)、航空�����、基礎(chǔ)設(shè)施等100余家單位的300余個(gè)信息系統(tǒng)����,并表達(dá)了頑固的反華立場(chǎng)�。尤其2022年以來(lái)�����,ATW組織滋擾勢(shì)頭加劇��,持續(xù)對(duì)中國(guó)的網(wǎng)絡(luò)目標(biāo)實(shí)施大規(guī)模網(wǎng)絡(luò)掃描探測(cè)和“供應(yīng)鏈”攻擊�。
奇安盤(pán)古長(zhǎng)期跟蹤發(fā)現(xiàn),ATW組織活躍成員多從事程序員��、網(wǎng)絡(luò)工程師相關(guān)職業(yè)�,主要位于瑞士、法國(guó)��、波蘭���、加拿大等國(guó)。研究人員建議國(guó)家有關(guān)部門(mén)���、安全團(tuán)隊(duì)加強(qiáng)對(duì)非法網(wǎng)絡(luò)攻擊活動(dòng)的監(jiān)測(cè)���,及時(shí)預(yù)警攻擊動(dòng)向,開(kāi)展背景溯源和反制打擊����。
詳細(xì)揭秘:瘋狂對(duì)華實(shí)施數(shù)據(jù)竊取的ATW組織
《環(huán)球時(shí)報(bào)》記者獲悉��,北京奇安盤(pán)古實(shí)驗(yàn)室通過(guò)長(zhǎng)期跟蹤發(fā)現(xiàn)���,2021年10月以來(lái),一自稱(chēng)AgainstTheWest(下稱(chēng)“ATW”)的黑客組織�,將中國(guó)作為主要攻擊目標(biāo),瘋狂實(shí)施網(wǎng)絡(luò)攻擊��、數(shù)據(jù)竊取和披露炒作活動(dòng)����,對(duì)我國(guó)的網(wǎng)絡(luò)安全、數(shù)據(jù)安全構(gòu)成嚴(yán)重危害���。ATW組織究竟什么來(lái)頭�����?研究員進(jìn)行了詳細(xì)揭秘�,并給出應(yīng)對(duì)建議����。
(1)ATW組織及其主要攻擊活動(dòng)
ATW組織成立于2021年6月�,10月開(kāi)始在“陣列論壇”(RaidForums)上大肆活動(dòng)����。雖然將賬號(hào)個(gè)性簽名設(shè)置為“民族國(guó)家組織”,但實(shí)際上�����,這是一個(gè)以歐洲��、北美地區(qū)從事程序員���、網(wǎng)絡(luò)工程師等職業(yè)的人員自發(fā)組織成立的松散網(wǎng)絡(luò)組織����。
ATW組織介紹
ATW組織自成立伊始���,便瘋狂從事反華活動(dòng)�,公開(kāi)稱(chēng)“將主要針對(duì)中國(guó)�����、朝鮮和其他國(guó)家發(fā)布政府?dāng)?shù)據(jù)泄密帖子”����,還專(zhuān)門(mén)發(fā)布過(guò)一篇題為“ATW-對(duì)華戰(zhàn)爭(zhēng)”的帖子,赤裸裸地支持“臺(tái)獨(dú)”�����、鼓噪“港獨(dú)”��、炒作新疆“人權(quán)問(wèn)題”�����。
“ATW-對(duì)華戰(zhàn)爭(zhēng)”的帖子截圖
2021年10月����,ATW組織開(kāi)始頻繁活動(dòng),不斷在電報(bào)群組�、推特、Breadched等境外社交平臺(tái)開(kāi)設(shè)新賬號(hào)�,擴(kuò)大宣傳途徑,并表現(xiàn)出較明顯的親美西方政治傾向����,多次聲明“攻擊目標(biāo)是俄羅斯、白俄羅斯和中國(guó)�、伊朗��、朝鮮”�、“愿意與美國(guó)�、歐盟政府共享所有文件”、“愿受雇于相關(guān)機(jī)構(gòu)”�����。
社交平臺(tái)截圖
據(jù)不完全統(tǒng)計(jì)�����,自2021年以來(lái)�,ATW組織披露涉我重要信息系統(tǒng)源代碼、數(shù)據(jù)庫(kù)等敏感信息70余次����,宣稱(chēng)涉及100余家單位的300余個(gè)信息系統(tǒng)。實(shí)際上��,所謂泄露的源代碼主要是中小型軟件開(kāi)發(fā)企業(yè)所研發(fā)的測(cè)試項(xiàng)目代碼文件����,不包含數(shù)據(jù)信息。但ATW組織為了博取關(guān)注���,極盡歪曲解讀����、夸大其詞之能事���,動(dòng)輒使用“大規(guī)模監(jiān)控”���、“侵犯人權(quán)”、“侵犯隱私”等美西方慣用的“標(biāo)簽”�����,意圖凸顯攻擊目標(biāo)和所竊數(shù)據(jù)重要性����,以至于看起來(lái),一個(gè)比一個(gè)嚇人�。
2021年10月14日,ATW在“陣列論壇”(RaidForums)發(fā)布題為“人民幣行動(dòng)(Operation Renminbi)”的帖子�����,稱(chēng)“出售中國(guó)人民銀行相關(guān)軟件項(xiàng)目源代碼”。
“人民幣行動(dòng)”的帖子截圖
2021年11月2日��,ATW組織在“陣列論壇”發(fā)布信息����,稱(chēng)“廣州政企互聯(lián)科技有限公司已被其攻破”,并提供了數(shù)據(jù)庫(kù)和SSH密鑰的下載方式�����。
發(fā)布信息截圖
2021年11月24日��,ATW組織發(fā)布了16個(gè)政府網(wǎng)站大數(shù)據(jù)系統(tǒng)存在漏洞情況��,涉及北京�����、浙江��、四川��、重慶�����、廣東、江蘇�����、湖北�����、湖南等地�����。
發(fā)布信息截圖
2022年1月7日���,ATW組織聲稱(chēng)出售“中國(guó)大量政府、非政府組織����、機(jī)構(gòu)和公司數(shù)據(jù),待售數(shù)據(jù)涉及102家中國(guó)實(shí)體單位”���。
發(fā)布信息截圖
2022年3月4日�����,ATW組織宣布解散�,但3月5日又宣布經(jīng)費(fèi)充足再次上線。
2022年3月6日���,ATW在電報(bào)群組中發(fā)布消息稱(chēng)“攻破了中央?yún)R金投資公司����,竊取了大量數(shù)據(jù)”���,并提供了數(shù)據(jù)的下載鏈接���。
2022年3月28日,宣稱(chēng)“廣發(fā)銀行已被攻破”�,發(fā)布“整個(gè)后端源代碼、maven 版本”等數(shù)據(jù)���。
發(fā)布數(shù)據(jù)截圖
2022年4月5日����,ATW組織發(fā)布“中國(guó)各省市共計(jì)48家醫(yī)院信息系統(tǒng)源代碼”�。
中國(guó)各省市共計(jì)48家醫(yī)院信息系統(tǒng)源代碼
2022年8月12日,ATW組織在推特發(fā)布數(shù)據(jù)售賣(mài)帖���,稱(chēng)其從中興通訊公司服務(wù)器獲取了4000條警察人員的電話(huà)號(hào)碼和姓名數(shù)據(jù)���。
聲稱(chēng)獲取4000條警察人員信息
2022年8月16日��,ATW組織通過(guò)Breached黑客論壇公布港鐵系統(tǒng)源碼文件����,內(nèi)容涉及香港鐵路公司的交易�、排程等26個(gè)系統(tǒng)項(xiàng)目代碼���。
發(fā)布信息截圖
(2)ATW組織主要成員
技術(shù)團(tuán)隊(duì)長(zhǎng)期跟蹤發(fā)現(xiàn)��,ATW組織平日活躍成員6名��,多從事程序員�、網(wǎng)絡(luò)工程師相關(guān)職業(yè)�����,主要位于瑞士���、法國(guó)���、波蘭�����、加拿大等國(guó)���。
平日活躍成員6名
梳理該組織成員活動(dòng)時(shí)段發(fā)現(xiàn),其休息時(shí)間為北京時(shí)間15時(shí)至19時(shí)���,工作時(shí)間集中在北京時(shí)間凌晨3時(shí)至13時(shí)�,對(duì)應(yīng)零時(shí)區(qū)和東1時(shí)區(qū)的西歐國(guó)家��。其中�,2名骨干成員身份信息如下:
蒂莉·考特曼(Tillie Kottmann),1999年8月7日生于瑞士盧塞恩�,自稱(chēng)是黑客、無(wú)政府主義者�����,以女性自居���。其曾在瑞士BBZW Sursee思科學(xué)院�、德國(guó)auticon GmbH公司、瑞士Egon AG公司工作��。蒂莉·考特曼還是Dogbin網(wǎng)站(短鏈接轉(zhuǎn)換網(wǎng)站)的創(chuàng)始人和首席開(kāi)發(fā)人員�����。2020年4月以來(lái)���,蒂莉·考特曼通過(guò)“聲吶方塊”平臺(tái)漏洞獲取企業(yè)信息系統(tǒng)源代碼數(shù)據(jù)����;2020年7月����,蒂莉·考特曼在互聯(lián)網(wǎng)上曝光了微軟�、高通��、通用電氣、摩托羅拉�����、任天堂����、迪士尼50余家知名企業(yè)信息系統(tǒng)源代碼�����;2021年3月12日����,瑞士警方搜查蒂莉·考特曼住所并扣押大量網(wǎng)絡(luò)設(shè)備�;2021年3月18日,美國(guó)司法部發(fā)布對(duì)蒂莉·考特曼的起訴書(shū)���,但3月底突然中止該案審理��。此后����,中國(guó)成了蒂莉·考特曼的主要目標(biāo)之一���。
蒂莉·考特曼以女性自居
蒂莉·考特曼(Tillie Kottmann)的Twitter賬號(hào)@nyancrimew被推特公司停用后���,于2022年2月重新注冊(cè)使用。個(gè)人簡(jiǎn)介中自稱(chēng)為“被起訴的黑客/安全研究員�����、藝術(shù)家、精神病患者”���。2023年1月至今����,發(fā)布及轉(zhuǎn)推78次���。
帕韋爾?杜達(dá)(PawelDuda)���,波蘭人,軟件工程師����。其曾在多家網(wǎng)絡(luò)公司從事軟件工程工作����。
帕韋爾?杜達(dá)
該人日常會(huì)進(jìn)行黑客技術(shù)研究,并在Slides.com網(wǎng)站共享文件中設(shè)置了“成為更好的黑客”的座右銘���。
座右銘:成為更好的黑客
此外���,據(jù)了解�,該組織成員有長(zhǎng)期服用精神類(lèi)藥物���、吸食毒品等行為�����,包括吸食氯胺酮(K粉)�����,還會(huì)將莫達(dá)非尼(治療嗜睡的藥物�,具有成癮性)和可樂(lè)一起服用����。
長(zhǎng)期服用精神類(lèi)藥物
(3)ATW組織主要攻擊手法
調(diào)查發(fā)現(xiàn),ATW組織宣稱(chēng)攻擊竊取涉我黨政機(jī)關(guān)�、科研機(jī)構(gòu)等單位的數(shù)據(jù),實(shí)則均來(lái)源于為我重要單位提供軟件開(kāi)發(fā)的中小型信息技術(shù)和軟件開(kāi)發(fā)企業(yè)�����,竊取數(shù)據(jù)也多為開(kāi)發(fā)過(guò)程中的測(cè)試數(shù)據(jù)。
該組織的攻擊手法主要是針對(duì)SonarQube��、Gogs�、Gitblit等開(kāi)源網(wǎng)絡(luò)系統(tǒng)存在的技術(shù)漏洞實(shí)施大規(guī)模掃描和攻擊,進(jìn)而通過(guò)“拖庫(kù)”�,竊取相關(guān)源代碼、數(shù)據(jù)等�。相關(guān)信息可用于對(duì)涉及的網(wǎng)絡(luò)信息系統(tǒng)實(shí)施進(jìn)一步漏洞挖掘和滲透攻擊,屬于典型的“供應(yīng)鏈”攻擊�����。
典型的“供應(yīng)鏈”攻擊
該組織的行為與自我標(biāo)榜的“道德黑客”著實(shí)相去甚遠(yuǎn)�����,并非向存在漏洞的企業(yè)發(fā)布預(yù)警提示信息��,以提高這些企業(yè)的安全防范能力����。相反,更多的是利用這些漏洞實(shí)施攻擊滲透��、竊取數(shù)據(jù)�����,并在黑客論壇恣意曝光����,炫耀“戰(zhàn)果”。2022年以來(lái)��,ATW組織滋擾勢(shì)頭加劇�,持續(xù)對(duì)中國(guó)的網(wǎng)絡(luò)目標(biāo)實(shí)施大規(guī)模網(wǎng)絡(luò)掃描探測(cè)和“供應(yīng)鏈”攻擊。為凸顯攻擊目標(biāo)和所竊數(shù)據(jù)重要性�,多次對(duì)所竊數(shù)據(jù)進(jìn)行歪曲解讀、夸大其詞����,竭力配合美西方政府為我扣上“網(wǎng)絡(luò)威權(quán)主義”帽子,并大力煽動(dòng)���、詆毀中國(guó)的數(shù)據(jù)安全治理能力��,行徑惡劣����,氣焰囂張��,自我炒作、借機(jī)攻擊中國(guó)的意圖十分明顯���。
(4)ATW組織漏洞攻擊利用情況
ATW對(duì)中國(guó)企業(yè)單位開(kāi)展網(wǎng)絡(luò)攻擊過(guò)程中����,大量使用了源代碼管理平臺(tái)���、開(kāi)源框架等存在的技術(shù)漏洞�����。主要包括:
SonarQube漏洞�����。漏洞編號(hào)為CVE-2020-27986�����,該漏洞描述為SonarQube系統(tǒng)存在未授權(quán)訪問(wèn)漏洞���。涉及版本:SnoarQube開(kāi)源版<=9.1.0.47736;SonarQube穩(wěn)定版<=8.9.3����。
SonarQube漏洞信息
VueJs框架漏洞。VueJs框架為JavaScript前端開(kāi)發(fā)框架����,VueJS源代碼在GitHub發(fā)布,同時(shí)本身具備較多漏洞�,使用網(wǎng)絡(luò)指紋嗅探系統(tǒng)可直接掃描探測(cè),GitHub上同樣存在專(zhuān)門(mén)針對(duì)VueJS的漏洞利用工具����。
ATW組織漏洞攻擊利用情況
Gogs、GitLab�����、Gitblit等其他源代碼管理平臺(tái)漏洞��。上述平臺(tái)存在的未授權(quán)訪問(wèn)漏洞�,無(wú)需特殊權(quán)限即可訪問(wèn)和下載存儲(chǔ)在管理平臺(tái)上的系統(tǒng)源代碼數(shù)據(jù)。
通過(guò)對(duì)全網(wǎng)設(shè)備進(jìn)行空間測(cè)繪��,發(fā)現(xiàn)上述開(kāi)源平臺(tái)在國(guó)內(nèi)使用廣泛����。對(duì)存在風(fēng)險(xiǎn)的資產(chǎn)項(xiàng)目進(jìn)行進(jìn)一步分析發(fā)現(xiàn)�,其中包含涉及我國(guó)多家重要單位的系統(tǒng)源代碼����。SonarQube、Gitblit��、Gogs的各平臺(tái)使用情況如下:
各平臺(tái)使用數(shù)量統(tǒng)計(jì)
(5)ATW組織攻擊使用碼址資源
為掩護(hù)其攻擊行為����,ATW組織使用了一批“跳板”和代理服務(wù)器,主要分布在英國(guó)���、北馬其頓����、瑞典����、羅馬尼亞等國(guó)家。相關(guān)IOC指標(biāo)信息如下:
相關(guān)IOC指標(biāo)信息
在RaidForums論壇上發(fā)現(xiàn)的ATW黑客組織關(guān)聯(lián)賬號(hào)包括��,“AgainstTheWest”注冊(cè)于2021年10月12日���,是發(fā)布泄露涉中國(guó)數(shù)據(jù)的主要賬號(hào)�;“AgainstTheYankees”為該組織11月16日最新注冊(cè)帳號(hào),地理位置標(biāo)注在臺(tái)灣花蓮���,職業(yè)為情報(bào)經(jīng)銷(xiāo)商���,由“AgainstTheWest”推薦加入論壇�;“Majestic-12”疑為匿名者黑客組織與ATW反華黑客組織的中間聯(lián)絡(luò)人,曾回復(fù)“ATW-對(duì)華戰(zhàn)爭(zhēng)”網(wǎng)帖���,號(hào)召更多黑客���、程序員加入,共同對(duì)抗中國(guó)��;“NtRaiseHardError”在論壇多次售賣(mài)涉我數(shù)據(jù)���,表示只攻擊和收購(gòu)中國(guó)政府?dāng)?shù)據(jù)����,不會(huì)攻擊美國(guó)���、加拿大����、英國(guó)、俄羅斯政府��。該黑客與“AgainstTheWest”有數(shù)據(jù)交易��,互動(dòng)頻繁�����,關(guān)系密切��;“Kristina”在論壇發(fā)帖稱(chēng)廣州政企互聯(lián)科技有限公司已被其攻破�,并提供數(shù)據(jù)庫(kù)和SSH密鑰下載,涉及“國(guó)家政務(wù)服務(wù)平臺(tái)”�����、“內(nèi)蒙古自治區(qū)政府門(mén)戶(hù)網(wǎng)站”��;“Ytwang”曾發(fā)帖表示要購(gòu)買(mǎi)新疆營(yíng)地�、警察系統(tǒng)等數(shù)據(jù)庫(kù)信息,以及留言表示對(duì)滴普科技相關(guān)信息很感興趣����。
其余賬號(hào)信息如下:
賬號(hào)信息
安全專(zhuān)家:中國(guó)企業(yè)亟需嚴(yán)防死守�����、做好安全加固
針對(duì)境外黑客組織對(duì)我國(guó)的瘋狂攻擊和抹黑行為���,該如何應(yīng)對(duì)?奇安盤(pán)古研究員給出了三項(xiàng)防范對(duì)策建議:
首先是建議軟件開(kāi)發(fā)企業(yè)立即修復(fù)SonarQube�、VueJs、Gogs�����、GitLab�、Gitblit等軟件漏洞�,嚴(yán)格控制公網(wǎng)訪問(wèn)權(quán)限,及時(shí)修改默認(rèn)訪問(wèn)密碼��,進(jìn)一步提高對(duì)源代碼的安全管理能力�����。
其次是針對(duì)已在用戶(hù)單位部署的系統(tǒng)源代碼外泄情況���,建議軟件開(kāi)發(fā)企業(yè)應(yīng)加強(qiáng)系統(tǒng)源代碼安全審計(jì)��,及時(shí)發(fā)現(xiàn)并修復(fù)軟件安全漏洞�,防止黑客利用系統(tǒng)漏洞進(jìn)行攻擊,并對(duì)重要信息系統(tǒng)源碼及數(shù)據(jù)進(jìn)行加密存儲(chǔ)���,落實(shí)網(wǎng)絡(luò)安全防護(hù)措施���。
最后建議國(guó)家有關(guān)職能部門(mén)、技術(shù)安全團(tuán)隊(duì)加強(qiáng)對(duì)ATW組織非法網(wǎng)絡(luò)攻擊活動(dòng)的監(jiān)測(cè)����,及時(shí)預(yù)警攻擊動(dòng)向,開(kāi)展背景溯源和反制打擊�����。
奇安盤(pán)古研究員對(duì)《環(huán)球時(shí)報(bào)》表示���,本報(bào)告公布ATW黑客組織的攻擊手法及使用的漏洞��、網(wǎng)絡(luò)碼址�����,目的是使大家看清ATW組織長(zhǎng)期以來(lái)針對(duì)中國(guó)實(shí)施網(wǎng)絡(luò)攻擊��、數(shù)據(jù)竊取活動(dòng)的本質(zhì)�����,針對(duì)性修補(bǔ)漏洞����,做好安全加固,不斷提升網(wǎng)絡(luò)安全�����、數(shù)據(jù)安全防護(hù)能力水平����。同時(shí)也正告ATW等那些對(duì)中國(guó)懷有敵意的組織����,他們的一舉一動(dòng),中國(guó)安全人員盡在掌握�����。后續(xù),技術(shù)團(tuán)隊(duì)還將陸續(xù)公布對(duì)相關(guān)事件調(diào)查的更多技術(shù)細(xì)節(jié)�。
