原标题：意图明显！一黑客组织正对中国疯狂实施网络攻击

据报道，黑客组织“ATW”正对我国疯狂实施网络攻击，泄露港铁系统源码文件、4000条警察人员的个人信息、政府和机构数据……

为凸显攻击目标和所窃数据的重要性，ATW多次对所窃数据进行歪曲解读、夸大其词，并大力煽动、诋毁中国的数据安全治理能力，自我炒作、借机攻击中国的意图十分明显。

2022年4月5日，ATW组织发布“中国各省市共计48家医院信息系统源代码”。

2022年8月12日，ATW组织在推特发布数据售卖帖，称其从中国某通讯科技公司服务器获取了4000条警察人员的电话号码和姓名数据。

2022年8月16日，ATW组织通过Breached黑客论坛公布港铁系统源码文件，内容涉及香港铁路公司的交易、排程等26个系统项目代码。

这是奇安盘古继去年公开曝光美国“方程式”组织“电幕行动”（Bvp47）完整技术细节之后，再次曝光了对华实施数据窃取和网络攻击的ATW组织真实面目，旨在让幕后真凶浮出水面，斩断危害中国数据安全的魔手。

据该机构研究人员介绍，自2021年以来，ATW组织宣称披露涉我国重要信息系统源代码、数据库等敏感信息70余次，涉及国家重要政府部门、航空、基础设施等100余家单位的300余个信息系统，并表达了顽固的反华立场。尤其2022年以来，ATW组织滋扰势头加剧，持续对中国的网络目标实施大规模网络扫描探测和“供应链”攻击。

奇安盘古长期跟踪发现，ATW组织活跃成员多从事程序员、网络工程师相关职业，主要位于瑞士、法国、波兰、加拿大等国。研究人员建议国家有关部门、安全团队加强对非法网络攻击活动的监测，及时预警攻击动向，开展背景溯源和反制打击。

北京奇安盘古实验室通过长期跟踪发现，2021年10月以来，一自称AgainstTheWest（下称“ATW”）的黑客组织，将中国作为主要攻击目标，疯狂实施网络攻击、数据窃取和披露炒作活动，对我国的网络安全、数据安全构成严重危害。ATW组织究竟什么来头？研究员进行了详细揭秘，并给出应对建议。

（1） ATW组织及其主要攻击活动

ATW组织成立于2021年6月，10月开始在“阵列论坛”（RaidForums）上大肆活动。虽然将账号个性签名设置为“民族国家组织”，但实际上，这是一个以欧洲、北美地区从事程序员、网络工程师等职业的人员自发组织成立的松散网络组织。

ATW组织自我介绍

ATW组织自成立伊始，便疯狂从事反华活动，公开称“将主要针对中国、朝鲜和其他国家发布政府数据泄密帖子”，还专门发布过一篇题为“ATW-对华战争”的帖子，赤裸裸地支持“台独”、鼓噪“港独”、炒作新疆“人权问题”。

ATW组织发布的“ATW-对华战争”帖

2021年10月，ATW组织开始频繁活动，不断在电报群组（https：//t.me/s/ATW2022，Email：AgainstTheWest@riseup.net，备份Email：apt49@riseup.net）、推特（@_AgainstTheWest，https：//mobile.twitter.com/_AgainstTheWest）、Breadched（账号：AgainstTheWest）等境外社交平台开设新账号，扩大宣传途径，并表现出较明显的亲美西方政治倾向，多次声明“攻击目标是俄罗斯、白俄罗斯和中国、伊朗、朝鲜”、“愿意与美国、欧盟政府共享所有文件”、“愿受雇于相关机构”。

据不完全统计，自2021年以来，ATW组织披露涉我重要信息系统源代码、数据库等敏感信息70余次，宣称涉及100余家单位的300余个信息系统。实际上，所谓泄露的源代码主要是中小型软件开发企业所研发的测试项目代码文件，不包含数据信息。但ATW组织为了博取关注，极尽歪曲解读、夸大其词之能事，动辄使用“大规模监控”、“侵犯人权”、“侵犯隐私”等美西方惯用的“标签”，意图凸显攻击目标和所窃数据重要性，以至于看起来，一个比一个吓人。

2021年10月14日，ATW在“阵列论坛”（RaidForums）发布题为“人民币行动（Operation Renminbi）”的帖子，称“出售中国某金融机构相关软件项目源代码”。

2021年11月2日，ATW组织在“阵列论坛”发布信息，称“中国某互联网科技公司已被其攻破”，并提供了数据库和SSH密钥的下载方式。

2021年11月24日，ATW组织发布了16个政府网站大数据系统存在漏洞情况，涉及北京、浙江、四川、重庆、广东、江苏、湖北、湖南等地。

2022年1月7日，ATW组织声称出售“中国大量政府、非政府组织、机构和公司数据，待售数据涉及102家中国实体单位”。

2022年3月4日，ATW组织宣布解散，但3月5日又宣布经费充足再次上线。

2022年3月6日，ATW在电报群组中发布消息称“攻破了中国某投资公司，窃取了大量数据”，并提供了数据的下载链接。

2022年3月28日，宣称“中国某商业银行已被攻破”，发布“整个后端源代码、maven 版本”等数据。

调查发现，ATW组织宣称攻击窃取涉我党政机关、科研机构等单位的数据，实则均来源于为我重要单位提供软件开发的中小型信息技术和软件开发企业，窃取数据也多为开发过程中的测试数据。

该组织的攻击手法主要是针对SonarQube、Gogs、Gitblit等开源网络系统存在的技术漏洞实施大规模扫描和攻击，进而通过“拖库”，窃取相关源代码、数据等。相关信息可用于对涉及的网络信息系统实施进一步漏洞挖掘和渗透攻击，属于典型的“供应链”攻击。

该组织的行为与自我标榜的“道德黑客”着实相去甚远，并非向存在漏洞的企业发布预警提示信息，以提高这些企业的安全防范能力。相反，更多的是利用这些漏洞实施攻击渗透、窃取数据，并在黑客论坛恣意曝光，炫耀“战果”。2022年以来，ATW组织滋扰势头加剧，持续对中国的网络目标实施大规模网络扫描探测和“供应链”攻击。为凸显攻击目标和所窃数据重要性，多次对所窃数据进行歪曲解读、夸大其词，竭力配合美西方政府为我扣上“网络威权主义”帽子，并大力煽动、诋毁中国的数据安全治理能力，行径恶劣，气焰嚣张，自我炒作、借机攻击中国的意图十分明显。

ATW对中国企业单位开展网络攻击过程中，大量使用了源代码管理平台、开源框架等存在的技术漏洞。主要包括：

SonarQube漏洞。漏洞编号为CVE-2020-27986，该漏洞描述为SonarQube系统存在未授权访问漏洞。涉及版本：SnoarQube开源版<=9.1.0.47736；SonarQube稳定版<=8.9.3。

VueJs框架漏洞。VueJs框架为JavaScript前端开发框架，VueJS源代码在GitHub发布，同时本身具备较多漏洞，使用网络指纹嗅探系统可直接扫描探测，GitHub上同样存在专门针对VueJS的漏洞利用工具。

Gogs、GitLab、Gitblit等其他源代码管理平台漏洞。上述平台存在的未授权访问漏洞，无需特殊权限即可访问和下载存储在管理平台上的系统源代码数据。

通过对全网设备进行空间测绘，发现上述开源平台在国内使用广泛。对存在风险的资产项目进行进一步分析发现，其中包含涉及我国多家重要单位的系统源代码。

安全专家：中国企业亟需严防死守、做好安全加固

针对境外黑客组织对我国的疯狂攻击和抹黑行为，该如何应对？奇安盘古研究员给出了三项防范对策建议：

首先是建议软件开发企业立即修复SonarQube、VueJs、Gogs、GitLab、Gitblit等软件漏洞，严格控制公网访问权限，及时修改默认访问密码，进一步提高对源代码的安全管理能力。

其次是针对已在用户单位部署的系统源代码外泄情况，建议软件开发企业应加强系统源代码安全审计，及时发现并修复软件安全漏洞，防止黑客利用系统漏洞进行攻击，并对重要信息系统源码及数据进行加密存储，落实网络安全防护措施。

最后建议国家有关职能部门、技术安全团队加强对ATW组织非法网络攻击活动的监测，及时预警攻击动向，开展背景溯源和反制打击。

奇安盘古研究员对《环球时报》表示，本报告公布ATW黑客组织的攻击手法及使用的漏洞、网络码址，目的是使大家看清ATW组织长期以来针对中国实施网络攻击、数据窃取活动的本质，针对性修补漏洞，做好安全加固，不断提升网络安全、数据安全防护能力水平。同时也正告ATW等那些对中国怀有敌意的组织，他们的一举一动，中国安全人员尽在掌握。后续，技术团队还将陆续公布对相关事件调查的更多技术细节。