您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

ATW组织高调攻击!由境外黑客组织攻击引发的开源软件安全思考

时间:2022-04-06 10:06:11  来源:  作者:安鸾网络安全

前言

开源软件在助力企业数字化转型的过程中起到了至关重要的作用,然而开源软件的广泛应用却由于安全意识的不足和缺失大大增加了风险暴露面,使用默认配置、允许未授权访问、权限管理疏忽等缺乏安全意识的表现导致黑客可以以极低的门槛和成本造成大范围且严重的危害。

在过去的半年中,就有境外黑客组织利用上述弱点对我国境内发起攻击,导致多家重要单位数据泄露。这提醒我们在享受开源社区和软件带来便利的同时,提高使用开源软件的安全意识刻不容缓。

在本篇文章中,我们将简要介绍AgAInstTheWest(ATW)的攻击活动,并研究他们的入侵攻击链和动机。

一、境外反中黑客“引战”,高调攻击我国网络

自2021年10月以来,一个名为“AgainstTheWest”(ATW)的黑客组织在地下论坛 RaidForums上发布了大量的关于我国多家企事业单位的源代码数据,以及相关网站被破坏的证据。该黑客组织针对中国企事业单位发起了为期数月的名为“Operation Renminbi”的网络战,即使在RaidForums论坛被封禁后,仍然在利用Twitter和Telegram Messenger等社交媒体频繁发布泄露信息。

如下是ATW于3月2日使用Twitter发布的泄露信息:

ATW组织高调攻击!由境外黑客组织攻击引发的开源软件安全思考

 

2021年10月12日,AgainstTheWest(ATW)组织首次出现在 RaidForums泄密市场的帖子中(有些人会认为ATW首次泄露时间是10月14日,实际上是10月12日发布第一贴,在10月14日对贴子进行了修改,所以帖子上会显示10月14日),他们声称正在出售从中国某银行窃取的源代码信息。“我们已经为这项行动工作了至少两个月,它使我们能够接触到其内部资产”,ATW在帖子中表示,并公布了内部截图。随后该黑客组织又持续发布多家重要单位的系统源代码,并宣称泄露事件将持续进行。

从ATW的论坛活动来看,他们从一开始就知道如何使用论坛,知道数据销售是如何运作的,甚至在交流中偶尔透露一些关于论坛历史的知识。10月12日的账户创建日期不太可能是ATW第一次访问该网站,更像是蓄谋已久的活动。ATW展示出来的标签印象包括作为地下论坛的活跃用户、拥有一定的黑客技能、意识形态反对中国等。

ATW组织高调攻击!由境外黑客组织攻击引发的开源软件安全思考

 

二、攻击链“简简单单”,重要单位“连连失守”

研究ATW的入侵手法可以发现其攻击链并不复杂,2021年末对SonarQube代码质量管理平台进行了攻击,在2022年初又陆续攻击了Gitblit、Gogs等代码托管平台。这些攻击及造成的数据泄露具有明显的相似性,主要通过利用代码质量管理或代码托管平台的未授权访问漏洞来进行入侵。这些开源平台在默认配置下,都允许未授权用户直接或间接地访问代码仓库中的源代码,一旦这些服务暴露在外网,不法分子便能轻松窃取其中的源代码,从而构成项目源代码数据的泄露。

ATW组织高调攻击!由境外黑客组织攻击引发的开源软件安全思考

 

通过模拟ATW的攻击入侵手段,以及能获取到的源代码来看,ATW的入侵方式非常成功,他们能轻松进入上万台缺乏权限管控的资产内部,其中不乏有重要基础设施单位的源代码信息。

尽管ATW在活动中不断声称自己“黑客主义”使命,但与其他黑客主义的团体不同的是,ATW会出售一些目标单位的源代码或数据。他们接受比特币和以太坊等作为交易货币,尽管有一些帖子是免费公开的,但不排除贩卖数据给其带来了一定的收益。该组织不仅泄漏企事业单位相关系统源代码,还不断对政府和重要的基础设施发起攻击。

意识形态上,该黑客组织称国际政治立场不同,攻击目标主要针对中国、俄罗斯、朝鲜等国家,这恰恰与其名“反对西方”相悖。过去一些关于黑客行动主义团体的攻击案例最终演变成民族国家执行信息操作的掩护,但是从ATW目前的活动中暂未体现到这一点。

三、国内影响范围广泛,一线城市风险高

通过对全网设备进行空间测绘(第三方平台),发现上述开源平台在国内使用广泛。对存在风险的资产项目进行进一步分析发现,其中包含涉及我国多家重要单位的系统源代码。如下是SonarQube、Gitblit、Gogs的各平台使用情况:

ATW组织高调攻击!由境外黑客组织攻击引发的开源软件安全思考

 

国内SonarQube、Gitblit、Gogs平台的平台使用情况分布TOP省份如下:

ATW组织高调攻击!由境外黑客组织攻击引发的开源软件安全思考

 

四、总结

ATW数据泄露事件,一方面给我国在代码托管和供应链安全方面敲响警钟,从RaidForums论坛泄露的事件来看,本次事件中关基单位成为攻击者重点关注的对象,也再次验证了关基单位的网络产品供应链问题在当前日趋严峻的网络安全形势下日显突出,可以说供应链安全一旦出现问题会给关键信息基础设施带来严重危害。

另一方面,商业软件大多都在使用开源软件以节省开发时间、降低公司成本、避免重复造车轮,但使用软件公司对这些代码的品质、来源及应用部署却未必都给予了足够的关注和重视,这大大增加了企业单位的风险暴露面,容易被不法分子乘虚而入,导致严重后果。

在享受开源社区和软件带来便利的同时,也需要企业积极推动建设开源软件安全治理体系,积极开展开源软件源代码检测工程和提高使用开源软件的安全意识,形成开源软件安全治理的长效机制。

 

五、附录

附录1:SonarQube、Gitblit、Gogs详细的未授权访问修复方案

(1)SonarQube未授权访问的修复方案

1.升级SonarQube平台至最新版本。(SonarQube版本>8.6即可)

2.登录SonarQube系统,在Administation -> Security -> Force user authentication 设置开启。

ATW组织高调攻击!由境外黑客组织攻击引发的开源软件安全思考

 

(2)Gitblit未授权访问的修复方案

1.修改Gitblit默认配置文件data/default.properties中web.authenticateViewPages的值修改为true,禁止未授权用户访问仓库;以及将
git.defaultAccessRestriction的值修改为VIEW,只允许授权用户进行view、clone、push操作。

ATW组织高调攻击!由境外黑客组织攻击引发的开源软件安全思考

 

2.在创建仓库时,可通过修改访问策略,严格控制仓库的使用权限。默认仓库权限允许未授权用户查看/克隆项目。

ATW组织高调攻击!由境外黑客组织攻击引发的开源软件安全思考

 

同时对关联用户和团队的权限进行控制

ATW组织高调攻击!由境外黑客组织攻击引发的开源软件安全思考

 

4.修改默认用户名密码,可修改用户配置文件data/user.conf中的默认用户名密码,也可在web控制台修改,如图:

ATW组织高调攻击!由境外黑客组织攻击引发的开源软件安全思考

 

(3)Gogs未授权访问的修复方案

1.修改Gogs默认配置文件custom/conf/App.ini中REQUIRE_SIGNIN_VIEW的值修改为true,禁止未授权用户访问仓库。

ATW组织高调攻击!由境外黑客组织攻击引发的开源软件安全思考

 

安全加固建议

1.修改SonarQube、Gitblit、Gogs平台的默认配置,包括修改默认账号名、密码、端口号,并且禁止使用弱口令;

2.审计托管在SonarQube、Gitblit、Gogs的项目源码,若源码包含数据库配置信息、内部系统的账号密码、内部API接口等敏感信息,应及时通知相关人员进行更改;

3.禁止SonarQube、Gitblit、Gogs平台的外网访问权限,如若必须开放外网访问,将SonarQube、Gitblit、Gogs平台放置于防火墙等边界安全设备保护范围内,并且定期排查是否存在未授权访问的异常记录。



Tags:黑客组织   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
俄黑客组织利用WinRAR漏洞攻击乌克兰
据Securityaffairs网站消息,具有俄罗斯背景的黑客组织UAC-0099正在利用WinRAR中的一个零日漏洞(已修复,编号CVE-2023-38831)对乌克兰传播LONEPAGE恶意软件。实际上,自2022年中旬...【详细内容】
2023-12-27  Search: 黑客组织  点击:(153)  评论:(0)  加入收藏
微软:Octo Tempest是最危险的金融黑客组织之一
导语最近,微软发布了一份关于金融黑客组织Octo Tempest的详细报告。这个组织以其高级社交工程能力而闻名,专门针对从事数据勒索和勒索软件攻击的企业。Octo Tempest的攻击手段...【详细内容】
2023-11-16  Search: 黑客组织  点击:(237)  评论:(0)  加入收藏
揭秘ATW,一个对华疯狂窃取数据的黑客组织
以欧洲、北美地区的程序员、网络工程师为核心成员,主要针对中国、朝鲜等国发布政府数据泄密帖子,自我标榜“道德黑客”......2月18日,北京奇安盘古实验室公开一份报告,揭秘了疯...【详细内容】
2023-02-20  Search: 黑客组织  点击:(145)  评论:(0)  加入收藏
黑客组织使用定制的“Symatic”加载Cobalt Strike后门
一个以前不为人知的APT(高级持续威胁)黑客组织被称为“Earth Longzhi”,目标是东亚、东南亚和乌克兰的组织。攻击者至少从 2020 年开始就一直活跃,他们使用定制版本的 Cobalt St...【详细内容】
2022-11-11  Search: 黑客组织  点击:(405)  评论:(0)  加入收藏
日媒:黑客组织KillNet攻击日政府网站第二天,东京和大阪地铁网站也瘫了
【环球网报道 记者 张晓雅】在日媒发现“亲俄罗斯”的黑客组织KillNet 6日宣布对日本政府网站实施网络攻击后,共同社最新消息称,东京地铁公司和大阪地铁公司的网站也于当地时...【详细内容】
2022-09-08  Search: 黑客组织  点击:(401)  评论:(0)  加入收藏
全球最神秘黑客组织:亦正亦邪的“匿名者”
提到黑客二字,大家的脑海里会浮现出怎样的形象呢?是否有着不修边幅的外表,高超的电脑技术,弹指之间便可黑进政府和企业的网站,盜取机密文件。 近年来拜好莱坞电影所赐,人们心中的...【详细内容】
2022-07-20  Search: 黑客组织  点击:(738)  评论:(0)  加入收藏
世界上最顶尖黑客组织和个人
顶尖黑客组织匿名者 匿名者世界第一大邪恶黑客联盟组织,其成员遍布全世界,并且实力超强。曾入侵过美国的五角大楼、攻击过isis的网站,入侵过荷兰、英国等国家的网络系统,被世界...【详细内容】
2022-07-10  Search: 黑客组织  点击:(594)  评论:(0)  加入收藏
“审判日”:亲俄黑客组织对立陶宛发动大规模网络攻击
编者按立陶宛政府和私营企业目标6月27日遭受大规模DDoS攻击,亲俄黑客组织Killnet宣布对上述网络攻击负责。此次攻击导致大量立陶宛网站瘫痪下线,包括机场、国家税务、最高法院...【详细内容】
2022-06-29  Search: 黑客组织  点击:(333)  评论:(0)  加入收藏
俄黑客组织向美英10国“宣战”
当地时间16日,俄罗斯黑客组织“Killnet”正式向包括美国、英国、德国在内10个国家的政府“宣战”。该黑客组织认为,这些西方国家正支持“反俄运动”。“问候我们所有的敌人们!...【详细内容】
2022-05-18  Search: 黑客组织  点击:(426)  评论:(0)  加入收藏
ATW组织高调攻击!由境外黑客组织攻击引发的开源软件安全思考
前言开源软件在助力企业数字化转型的过程中起到了至关重要的作用,然而开源软件的广泛应用却由于安全意识的不足和缺失大大增加了风险暴露面,使用默认配置、允许未授权访问、权...【详细内容】
2022-04-06  Search: 黑客组织  点击:(443)  评论:(0)  加入收藏
▌简易百科推荐
小心“黑客”利用445端口攻击你的Win8系统!
Windows 8系统自带一个名为SMB(Server Message Block)的服务,使用445端口进行通信。这个服务主要用于文件共享和网络协议等功能,但是无良黑客也会利用这个服务来攻击你的电脑。...【详细内容】
2024-04-10    潘小姐  Tags:445端口   点击:(8)  评论:(0)  加入收藏
为什么黑客不去攻击微信钱包?
在这个数字化时代,网络安全已经成为我们生活中不可或缺的一部分。每当我们打开手机,使用微信钱包进行支付时,是否曾有过这样的疑问:为什么黑客不去攻击微信钱包?这个问题,就像是在...【详细内容】
2024-02-19  猫探长情报局  今日头条  Tags:黑客   点击:(56)  评论:(0)  加入收藏
发条消息就能破解iPhone?苹果系统这次像被“内鬼”攻破的。。。
前几天,差评君在网上冲浪的时候,看到了一条相当震撼的消息:简单来讲,就是主打封闭安全的 iPhone ,不仅被攻击者发现了漏洞成功入侵,完全控制整个手机。更加抽象的是入侵的还是知名...【详细内容】
2024-01-26  差评    Tags:破解iPhone   点击:(142)  评论:(0)  加入收藏
十种黑客攻击手段及防御方法
在互联网的世界里,网站安全犹如一座城堡,需要严密的防线来抵御各种攻击手段。以下是10种最常见的网络攻击手段,以及我们如何采取措施来保护我们的网站。1. 跨站脚本攻击:这是黑...【详细内容】
2024-01-21  老吴讲IT    Tags:黑客攻击   点击:(87)  评论:(0)  加入收藏
渗透测试中最常见的漏洞有哪些?
什么是渗透测试?渗透测试是一项安全测试,旨在模拟黑客的攻击方式,评估系统、网络或应用程序的安全性,发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括:1....【详细内容】
2024-01-11  五湖联技术服务公司    Tags:渗透测试   点击:(110)  评论:(0)  加入收藏
作为一名黑客/安全专家,应该掌握什么技能?熟悉哪些软件/工具?
作为一名合格的黑客/网络安全专家,应该具备一套全面的知识体系和实战技能,同时熟悉多种安全软件和工具。今天我们将根据目前市面上流行的一些应用程序,以及常规的安全防护措施,...【详细内容】
2023-12-11  黑客联盟I    Tags:黑客   点击:(144)  评论:(0)  加入收藏
黑客是如何入侵一个网站的?(网络安全人员应该了解的知识)
前不久阿里以及滴滴系统的大规模瘫痪足以唤起人们对网络安全的重视。我首先必须澄清的是,作为一个网络安全专家,我不提供或者鼓励任何违法的行为,包括未经授权的计算机系统入侵...【详细内容】
2023-12-07  黑客联盟I    Tags:黑客   点击:(179)  评论:(0)  加入收藏
网络黑客入侵解析:保护你的网络安全
在当今数字化快速发展的时代,网络安全问题逐渐成为人们关注的焦点。网络黑客入侵事件频发,给个人和企业带来了严重的威胁。本文将深入解析网络黑客入侵的常见手段和原因,并探讨...【详细内容】
2023-12-05  小记青春    Tags:黑客入侵   点击:(164)  评论:(0)  加入收藏
黑客滥用 Google 表单进行诈骗
研究人员最近发现滥用 Google 表单的垃圾邮件有所增加,攻击者首先在 Google 表单中创建新的问卷调查,并且利用受害者的电子邮件地址参与问卷调查,滥用 Google 表单的功能将垃圾...【详细内容】
2023-11-23  区块软件开发  今日头条  Tags:黑客   点击:(227)  评论:(0)  加入收藏
黑客工具 Flipper Zero 曝光,可利用蓝牙弹出窗口崩溃 iPhone
据外媒 9to5Mac 报道,一种流行且廉价的黑客设备 Flipper Zero 今年 9 月首次出现,可通过制造蓝牙弹出窗口,向 iPhone 和 iPad 重复告诉发送垃圾内容,直到相关设备最终崩溃,不过直...【详细内容】
2023-11-20  IT之家    Tags:黑客工具   点击:(242)  评论:(0)  加入收藏
站内最新
站内热门
站内头条