您当前的位置:首页 > 电脑百科 > 安全防护 > 资讯

独家揭秘!这个核心成员来自欧美的组织,正对中国疯狂实施网络攻击!

时间:2023-02-20 09:49:28  来源:环球网  作者:

[环球时报-环球网报道记者 樊巍 曹思琦]2月19日,《环球时报》记者从北京奇安盘古实验室独家获悉一份报告,该报告揭秘了一个将中国作为主要攻击目标的黑客组织AgAInstTheWest(下称“ATW”)的详情内幕。该组织核心成员来自于欧洲、北美地区,对我国疯狂实施网络攻击、数据窃取和披露炒作活动,对我国的网络安全、数据安全构成了严重危害。

这是奇安盘古继去年公开曝光美国“方程式”组织“电幕行动”(Bvp47)完整技术细节之后,再次曝光了对华实施数据窃取和网络攻击的ATW组织真实面目,旨在让幕后真凶浮出水面,斩断危害中国数据安全的魔手。

据该机构研究人员介绍,自2021年以来,ATW组织宣称披露涉我国重要信息系统源代码、数据库等敏感信息70余次,涉及国家重要政府部门、航空、基础设施等100余家单位的300余个信息系统,并表达了顽固的反华立场。尤其2022年以来,ATW组织滋扰势头加剧,持续对中国的网络目标实施大规模网络扫描探测和“供应链”攻击。

奇安盘古长期跟踪发现,ATW组织活跃成员多从事程序员、网络工程师相关职业,主要位于瑞士、法国、波兰、加拿大等国。研究人员建议国家有关部门、安全团队加强对非法网络攻击活动的监测,及时预警攻击动向,开展背景溯源和反制打击。

详细揭秘:疯狂对华实施数据窃取的ATW组织

《环球时报》记者获悉,北京奇安盘古实验室通过长期跟踪发现,2021年10月以来,一自称AgainstTheWest(下称“ATW”)的黑客组织,将中国作为主要攻击目标,疯狂实施网络攻击、数据窃取和披露炒作活动,对我国的网络安全、数据安全构成严重危害。ATW组织究竟什么来头?研究员进行了详细揭秘,并给出应对建议。

(1) ATW组织及其主要攻击活动

ATW组织成立于2021年6月,10月开始在“阵列论坛”(RaidForums)上大肆活动。虽然将账号个性签名设置为“民族国家组织”,但实际上,这是一个以欧洲、北美地区从事程序员、网络工程师等职业的人员自发组织成立的松散网络组织。

ATW组织自成立伊始,便疯狂从事反华活动,公开称“将主要针对中国、朝鲜和其他国家发布政府数据泄密帖子”,还专门发布过一篇题为“ATW-对华战争”的帖子,赤裸裸地支持“台独”、鼓噪“港独”、炒作新疆“人权问题”。

2021年10月,ATW组织开始频繁活动,不断在电报群组(https://t.me/s/ATW2022,Email:AgainstTheWest@riseup.NET,备份Email:apt49@riseup.net)、推特(@_AgainstTheWest,https://mobile.Twitter.com/_AgainstTheWest)、Breadched(账号:AgainstTheWest)等境外社交平台开设新账号,扩大宣传途径,并表现出较明显的亲美西方政治倾向,多次声明“攻击目标是俄罗斯、白俄罗斯和中国、伊朗、朝鲜”、“愿意与美国、欧盟政府共享所有文件”、“愿受雇于相关机构”。

据不完全统计,自2021年以来,ATW组织披露涉我重要信息系统源代码、数据库等敏感信息70余次,宣称涉及100余家单位的300余个信息系统。实际上,所谓泄露的源代码主要是中小型软件开发企业所研发的测试项目代码文件,不包含数据信息。但ATW组织为了博取关注,极尽歪曲解读、夸大其词之能事,动辄使用“大规模监控”、“侵犯人权”、“侵犯隐私”等美西方惯用的“标签”,意图凸显攻击目标和所窃数据重要性,以至于看起来,一个比一个吓人。

2021年10月14日,ATW在“阵列论坛”(RaidForums)发布题为“人民币行动(Operation Renminbi)”的帖子,称“出售中国人民银行相关软件项目源代码”。

2021年11月2日,ATW组织在“阵列论坛”发布信息,称“广州政企互联科技有限公司已被其攻破”,并提供了数据库和SSH密钥的下载方式。

2021年11月24日,ATW组织发布了16个政府网站大数据系统存在漏洞情况,涉及北京、浙江、四川、重庆、广东、江苏、湖北、湖南等地。

2022年1月7日,ATW组织声称出售“中国大量政府、非政府组织、机构和公司数据,待售数据涉及102家中国实体单位”。

2022年3月4日,ATW组织宣布解散,但3月5日又宣布经费充足再次上线。

2022年3月6日,ATW在电报群组中发布消息称“攻破了中央汇金投资公司,窃取了大量数据”,并提供了数据的下载链接。

2022年3月28日,宣称“广发银行已被攻破”,发布“整个后端源代码、maven 版本”等数据。

2022年4月5日,ATW组织发布“中国各省市共计48家医院信息系统源代码”。

2022年8月12日,ATW组织在推特发布数据售卖帖,称其从中兴通讯公司服务器获取了4000条警察人员的电话号码和姓名数据。

2022年8月16日,ATW组织通过Breached黑客论坛公布港铁系统源码文件,内容涉及香港铁路公司的交易、排程等26个系统项目代码。

(2) ATW组织主要成员

技术团队长期跟踪发现,ATW组织平日活跃成员6名,多从事程序员、网络工程师相关职业,主要位于瑞士、法国、波兰、加拿大等国。

梳理该组织成员活动时段发现,其休息时间为北京时间15时至19时,工作时间集中在北京时间凌晨3时至13时,对应零时区和东1时区的西欧国家。其中,2名骨干成员身份信息如下:

蒂莉·考特曼(Tillie Kottmann),1999年8月7日生于瑞士卢塞恩,自称是黑客、无政府主义者,以女性自居。其曾在瑞士BBZW Sursee思科学院、德国auticon GmbH公司、瑞士Egon AG公司工作。蒂莉·考特曼还是Dogbin网站(短链接转换网站)的创始人和首席开发人员。2020年4月以来,蒂莉·考特曼通过“声呐方块”平台漏洞获取企业信息系统源代码数据;2020年7月,蒂莉·考特曼在互联网上曝光了微软、高通、通用电气、摩托罗拉、任天堂、迪士尼50余家知名企业信息系统源代码;2021年3月12日,瑞士警方搜查蒂莉·考特曼住所并扣押大量网络设备;2021年3月18日,美国司法部发布对蒂莉·考特曼的起诉书,但3月底突然中止该案审理。此后,中国成了蒂莉·考特曼的主要目标之一。

 

蒂莉·考特曼(Tillie Kottmann)的Twitter账号@nyancrimew被推特公司停用后,于2022年2月重新注册使用。个人简介中自称为“被起诉的黑客/安全研究员、艺术家、精神病患者”。2023年1月至今,发布及转推78次。

帕韦尔∙杜达(PawelDuda),波兰人,软件工程师。其曾在多家网络公司从事软件工程工作。

该人日常会进行黑客技术研究,并在Slides.com网站共享文件中设置了“成为更好的黑客”的座右铭。

此外,据了解,该组织成员有长期服用精神类药物、吸食毒品等行为,包括吸食氯胺酮(K粉),还会将莫达非尼(治疗嗜睡的药物,具有成瘾性)和可乐一起服用。

(3) ATW组织主要攻击手法

调查发现,ATW组织宣称攻击窃取涉我党政机关、科研机构等单位的数据,实则均来源于为我重要单位提供软件开发的中小型信息技术和软件开发企业,窃取数据也多为开发过程中的测试数据。

该组织的攻击手法主要是针对SonarQube、Gogs、Gitblit等开源网络系统存在的技术漏洞实施大规模扫描和攻击,进而通过“拖库”,窃取相关源代码、数据等。相关信息可用于对涉及的网络信息系统实施进一步漏洞挖掘和渗透攻击,属于典型的“供应链”攻击。

该组织的行为与自我标榜的“道德黑客”着实相去甚远,并非向存在漏洞的企业发布预警提示信息,以提高这些企业的安全防范能力。相反,更多的是利用这些漏洞实施攻击渗透、窃取数据,并在黑客论坛恣意曝光,炫耀“战果”。2022年以来,ATW组织滋扰势头加剧,持续对中国的网络目标实施大规模网络扫描探测和“供应链”攻击。为凸显攻击目标和所窃数据重要性,多次对所窃数据进行歪曲解读、夸大其词,竭力配合美西方政府为我扣上“网络威权主义”帽子,并大力煽动、诋毁中国的数据安全治理能力,行径恶劣,气焰嚣张,自我炒作、借机攻击中国的意图十分明显。

(4) ATW组织漏洞攻击利用情况

ATW对中国企业单位开展网络攻击过程中,大量使用了源代码管理平台、开源框架等存在的技术漏洞。主要包括:

SonarQube漏洞。漏洞编号为CVE-2020-27986,该漏洞描述为SonarQube系统存在未授权访问漏洞。涉及版本:SnoarQube开源版<=9.1.0.47736;SonarQube稳定版<=8.9.3。

VueJs框架漏洞。VueJs框架为JAVAScript前端开发框架,VueJS源代码在Github发布,同时本身具备较多漏洞,使用网络指纹嗅探系统可直接扫描探测,GitHub上同样存在专门针对VueJS的漏洞利用工具。

Gogs、GitLab、Gitblit等其他源代码管理平台漏洞。上述平台存在的未授权访问漏洞,无需特殊权限即可访问和下载存储在管理平台上的系统源代码数据。

通过对全网设备进行空间测绘,发现上述开源平台在国内使用广泛。对存在风险的资产项目进行进一步分析发现,其中包含涉及我国多家重要单位的系统源代码。SonarQube、Gitblit、Gogs的各平台使用情况如下:

(5) ATW组织攻击使用码址资源

为掩护其攻击行为,ATW组织使用了一批“跳板”和代理服务器,主要分布在英国、北马其顿、瑞典、罗马尼亚等国家。相关IOC指标信息如下:

在RaidForums论坛上发现的ATW黑客组织关联账号包括,“AgainstTheWest”注册于2021年10月12日,是发布泄露涉中国数据的主要账号;“AgainstTheYankees”为该组织11月16日最新注册帐号,地理位置标注在台湾花莲,职业为情报经销商,由“AgainstTheWest”推荐加入论坛;“Majestic-12”疑为匿名者黑客组织与ATW反华黑客组织的中间联络人,曾回复“ATW-对华战争”网帖,号召更多黑客、程序员加入,共同对抗中国;“NtRaiseHardError”在论坛多次售卖涉我数据,表示只攻击和收购中国政府数据,不会攻击美国、加拿大、英国、俄罗斯政府。该黑客与“AgainstTheWest”有数据交易,互动频繁,关系密切;“Kristina”在论坛发帖称广州政企互联科技有限公司已被其攻破,并提供数据库和SSH密钥下载,涉及“国家政务服务平台”、“内蒙古自治区政府门户网站”;“Ytwang”曾发帖表示要购买新疆营地、警察系统等数据库信息,以及留言表示对滴普科技相关信息很感兴趣。

其余账号信息如下:

安全专家:中国企业亟需严防死守、做好安全加固

针对境外黑客组织对我国的疯狂攻击和抹黑行为,该如何应对?奇安盘古研究员给出了三项防范对策建议:

首先是建议软件开发企业立即修复SonarQube、VueJs、Gogs、GitLab、Gitblit等软件漏洞,严格控制公网访问权限,及时修改默认访问密码,进一步提高对源代码的安全管理能力。

 

其次是针对已在用户单位部署的系统源代码外泄情况,建议软件开发企业应加强系统源代码安全审计,及时发现并修复软件安全漏洞,防止黑客利用系统漏洞进行攻击,并对重要信息系统源码及数据进行加密存储,落实网络安全防护措施。

最后建议国家有关职能部门、技术安全团队加强对ATW组织非法网络攻击活动的监测,及时预警攻击动向,开展背景溯源和反制打击。

奇安盘古研究员对《环球时报》表示,本报告公布ATW黑客组织的攻击手法及使用的漏洞、网络码址,目的是使大家看清ATW组织长期以来针对中国实施网络攻击、数据窃取活动的本质,针对性修补漏洞,做好安全加固,不断提升网络安全、数据安全防护能力水平。同时也正告ATW等那些对中国怀有敌意的组织,他们的一举一动,中国安全人员尽在掌握。后续,技术团队还将陆续公布对相关事件调查的更多技术细节。



Tags:网络攻击   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
AI时代的网络安全:探索AI生成的网络攻击
译者 | 晶颜审校 | 重楼长期以来,网络攻击一直是劳动密集型的,需要经过精心策划并投入大量的人工研究。然而,随着人工智能技术的出现,威胁行为者已经成功利用它们的能力,以非凡的...【详细内容】
2024-03-27  Search: 网络攻击  点击:(17)  评论:(0)  加入收藏
“二次约会”间谍软件分析报告:网络攻击西北工业大学 美国相关人员真实身份被锁定
近日,国家计算机病毒应急处理中心和360公司对名为“二次约会”(SecondDate)的“间谍”软件进行了技术分析,该“间谍”软件针对基于FreeBSD、Linux、Sun Solaris、Juniper JunOS...【详细内容】
2023-09-14  Search: 网络攻击  点击:(303)  评论:(0)  加入收藏
新报告揭露网络攻击的残酷真相
网络攻击多久发生一次?威胁行为者多久会以世界各地的企业和政府为目标?BlackBerry&reg; 威胁研究和情报团队最近分析了 90 天的真实数据来回答这些问题。完整结果位于最新的黑...【详细内容】
2023-09-11  Search: 网络攻击  点击:(316)  评论:(0)  加入收藏
针对应用程序的网络攻击测试
应用安全测试的重要性#电子商务应用程序安全测试对于保护与应用程序相关的每个人(包括客户、经销商和供应商)的个人和财务信息至关重要。电子商务应用程序遭受网络攻击的频率...【详细内容】
2023-09-01  Search: 网络攻击  点击:(198)  评论:(0)  加入收藏
大运会正赛期间拦截网络攻击1596万次
打赢没有“硝烟”的战争大运会正赛期间拦截网络攻击1596万次科技日报成都8月9日电 (陈科 记者何亮)9日,记者成都大运会网络安全保障工作总结交流会上获悉,刚刚闭幕的成都第31...【详细内容】
2023-08-10  Search: 网络攻击  点击:(325)  评论:(0)  加入收藏
FBI 警告:使用 AI 发动网络攻击的黑客数量正在以惊人的速度增加
IT之家 7 月 31 日消息,据 pcmag 报道,在上周五与记者的电话会议上,美国联邦调查局 FBI 就人工智能程序辅助的网络攻击泛滥发出了严厉的提醒和警告。据 FBI 称,使用 AI 技术进行...【详细内容】
2023-07-31  Search: 网络攻击  点击:(289)  评论:(0)  加入收藏
如何在网络攻击发生前保护关键基础设施
在当今不确定的地缘政治环境中,个人和企业都高度关注潜在的网络攻击,这是理所当然的。最令人担忧的是对关键基础设施和工业资产的攻击。勒索软件攻击使美国Colonial Pipeline...【详细内容】
2023-05-24  Search: 网络攻击  点击:(234)  评论:(0)  加入收藏
是什么导致了网络攻击的增加?
调研机构调查了美国500名IT安全专业人士,以了解更多有关安全信息和事件管理市场以及整体网络安全状况的信息。尽管网络安全专业人士感觉比以往任何时候都更有信心,但对是什么...【详细内容】
2023-04-24  Search: 网络攻击  点击:(292)  评论:(0)  加入收藏
如何应对 WordPress受到的网络攻击?
WordPress系统是安全的,但是依然也有可能被黑客入侵,那么当你的 WordPress网站 安装已被黑客入侵。你应该如何应对?北京六翼信息技术有限公司的开发工程师指出请不要担心,因为各...【详细内容】
2023-03-10  Search: 网络攻击  点击:(66)  评论:(0)  加入收藏
独家揭秘!这个核心成员来自欧美的组织,正对中国疯狂实施网络攻击!
[环球时报-环球网报道记者 樊巍 曹思琦]2月19日,《环球时报》记者从北京奇安盘古实验室独家获悉一份报告,该报告揭秘了一个将中国作为主要攻击目标的黑客组织AgainstTheWest(下...【详细内容】
2023-02-20  Search: 网络攻击  点击:(177)  评论:(0)  加入收藏
▌简易百科推荐
国家安全部:95后“技术宅”遇间谍网络勾连,共享国家级项目数据后次日举报获奖
国家安全部微信公众号3月25日发文介绍一起网勾案件,全文如下:2023年,某高新技术企业的青年设计师阿强,拨打国家安全机关12339举报受理电话称,某科技论坛上一名昵称“暗影Dark”的...【详细内容】
2024-03-25    观察者网  Tags:间谍   点击:(21)  评论:(0)  加入收藏
我国某高新企业遭境外网络勒索攻击,国安部发文谈如何防范
在信息化时代,网络犹如“神经系统”,网络安全出现问题,不仅影响社会稳定与经济发展,也会威胁到国家安全和利益。近年来,日益猖獗的境外网络勒索攻击,已成为我国网络安全“公害”。...【详细内容】
2024-03-21  国家安全部  微信公众号  Tags:网络勒索   点击:(27)  评论:(0)  加入收藏
《2024人工智能安全报告》:2023年AI深度伪造欺诈增长30倍
近日,奇安信集团发布《2024人工智能安全报告》(以下简称《报告》)。《报告》显示,2023年基于AI的深度伪造欺诈增长了3000%,基于AI的钓鱼邮件增长了1000%;目前已发现多个有国家背景的...【详细内容】
2024-03-18    环球网  Tags:人工智能安全   点击:(22)  评论:(0)  加入收藏
1300万次攻击!求职招聘类APP遭黑客攻击 个人信息被泄露
根据最新的央视新闻报道,一款求职招聘类APP的短信验证码接口在近期内遭到了1300多万次的攻击。经警方调查发现,这起事件是由两名嫌疑人所为,他们利用网站漏洞制造黑客软件,并通...【详细内容】
2023-12-11  中关村在线    Tags:黑客攻击   点击:(224)  评论:(0)  加入收藏
应对勒索病毒攻击!全网首个 “远控·勒索急救”功能上线
随着勒索病毒和远程控制软件的攻击事件频发,数据安全和隐私保护方面面临重大挑战。近日,360安全卫士推出了全网首个“远控&middot;勒索急救”功能,旨在提供一个可靠的自行处置...【详细内容】
2023-12-08    大众网  Tags:勒索   点击:(201)  评论:(0)  加入收藏
勒索工行美国分行的LockBit是个什么组织?
来源:冰川思享号撰文丨刘远举11月8日,中国工商银行在美全资子公司&mdash;&mdash;工银金融服务有限责任公司(ICBCFS),受到Lockbit勒索软件组织攻击。虽然ICBCFS表示,发现攻击后立即...【详细内容】
2023-11-26  冰川思享号    Tags:LockBit   点击:(327)  评论:(0)  加入收藏
国家安全部:美国2009年就开始入侵华为总部服务器
中新经纬9月20日电 国家安全部官方微信公众号20日发布《起底美国情报机关网攻窃密的主要卑劣手段》。全文如下:近日,中国国家计算机病毒应急处理中心通报,在处置西北工业大学遭...【详细内容】
2023-09-20    中新经纬  Tags:入侵   点击:(245)  评论:(0)  加入收藏
新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!
近日,国家计算机病毒应急处理中心和360公司对一款名为“二次约会”的间谍软件进行了技术分析,分析报告显示,该软件是美国国家安全局(NSA)开发的网络间谍武器。据了解,在国家计算...【详细内容】
2023-09-14    央视新闻客户端  Tags:黑客   点击:(272)  评论:(0)  加入收藏
恶意软件 AMOS 威胁升级:在谷歌搜索投放广告、钓鱼诱骗 Mac 用户安装
IT之家 9 月 7 日消息,网络安全公司 Cyble Research 今年 4 月发布报告,发现有黑客正在兜售针对 macOS 的恶意软件--Atomic macOS Stealer(AMOS)。网络安全公司 Malwarebytes 今...【详细内容】
2023-09-07    IT之家  Tags:恶意软件   点击:(296)  评论:(0)  加入收藏
英国专家:人工智能可通过键盘声窃取密码
《参考消息》日前刊登英国《泰晤士报》网站文章《人工智能可以通过聆听你敲击键盘的声音来窃取密码》,报道摘要如下:来自英国杜伦大学、萨里大学和伦敦大学皇家霍洛韦学院的专...【详细内容】
2023-08-14    新华社  Tags:密码   点击:(184)  评论:(0)  加入收藏
站内最新
栏目相关
  • · 国家安全部:95后“技术宅”遇间谍网络勾连,共享国家级项目数据后次日举报获奖
  • · 我国某高新企业遭境外网络勒索攻击,国安部发文谈如何防范
  • · 《2024人工智能安全报告》:2023年AI深度伪造欺诈增长30倍
  • · 1300万次攻击!求职招聘类APP遭黑客攻击 个人信息被泄露
  • · 应对勒索病毒攻击!全网首个 “远控·勒索急救”功能上线
  • · 勒索工行美国分行的LockBit是个什么组织?
  • · 国家安全部:美国2009年就开始入侵华为总部服务器
  • · 新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!
  • · 恶意软件 AMOS 威胁升级:在谷歌搜索投放广告、钓鱼诱骗 Mac 用户安装
  • · 英国专家:人工智能可通过键盘声窃取密码
  • · 数千名黑客齐聚拉斯维加斯 共同“围剿”ChatGPT等AI应用
  • · 大运会正赛期间拦截网络攻击1596万次
  • · 重磅!黑客破解特斯拉自动驾驶套餐功能,价值高达15000美元,下周公开!
  • · 报告称黑客滥用LOLBAS,通过微软Office安装包分发恶意软件
  • · 7月黑客不停歇 各类安全事件涉及的总金额达4.15亿美元
  • · 利用互联网作恶,美国“阴招”用尽
  • · 警惕,“高仿”邮箱骗局!“黑客”入侵互换两个字母,50万美元险被“劫”走
  • · 中美黑客大决战:8万中国网民席卷欧美,白宫升起五星红旗
  • · 2023年十大开源安全和运营风险
  • · 识破网络钓鱼企图的10个方法
  • 站内热门
    站内头条