斩断危害中国数据安全的魔手：揭秘疯狂对华实施数据窃取的ATW组织

2月19日，《环球时报》记者从北京奇安盘古实验室独家获悉一份报告，该报告揭秘了一个将中国作为主要攻击目标的黑客组织AgainstTheWest（下称“ATW”）的详情内幕。该组织核心成员来自于欧洲、北美地区，对我国疯狂实施网络攻击、数据窃取和披露炒作活动，对我国的网络安全、数据安全构成了严重危害。

这是奇安盘古继去年公开曝光美国“方程式”组织“电幕行动”（Bvp47）完整技术细节之后，再次曝光了对华实施数据窃取和网络攻击的ATW组织真实面目，旨在让幕后真凶浮出水面，斩断危害中国数据安全的魔手。

据该机构研究人员介绍，自2021年以来，ATW组织宣称披露涉我国重要信息系统源代码、数据库等敏感信息70余次，涉及国家重要政府部门、航空、基础设施等100余家单位的300余个信息系统，并表达了顽固的反华立场。尤其2022年以来，ATW组织滋扰势头加剧，持续对中国的网络目标实施大规模网络扫描探测和“供应链”攻击。

奇安盘古长期跟踪发现，ATW组织活跃成员多从事程序员、网络工程师相关职业，主要位于瑞士、法国、波兰、加拿大等国。研究人员建议国家有关部门、安全团队加强对非法网络攻击活动的监测，及时预警攻击动向，开展背景溯源和反制打击。

详细揭秘：疯狂对华实施数据窃取的ATW组织

《环球时报》记者获悉，北京奇安盘古实验室通过长期跟踪发现，2021年10月以来，一自称AgainstTheWest（下称“ATW”）的黑客组织，将中国作为主要攻击目标，疯狂实施网络攻击、数据窃取和披露炒作活动，对我国的网络安全、数据安全构成严重危害。ATW组织究竟什么来头？研究员进行了详细揭秘，并给出应对建议。

（1）ATW组织及其主要攻击活动

ATW组织成立于2021年6月，10月开始在“阵列论坛”（RaidForums）上大肆活动。虽然将账号个性签名设置为“民族国家组织”，但实际上，这是一个以欧洲、北美地区从事程序员、网络工程师等职业的人员自发组织成立的松散网络组织。

ATW组织自我介绍

ATW组织自成立伊始，便疯狂从事反华活动，公开称“将主要针对中国、朝鲜和其他国家发布政府数据泄密帖子”，还专门发布过一篇题为“ATW-对华战争”的帖子，赤裸裸地支持“台独”、鼓噪“港独”、炒作新疆“人权问题”。

ATW组织发布的“ATW-对华战争”帖

2021年10月，ATW组织开始频繁活动，不断在电报群组（https://t.me/s/ATW2022，Email:[email protected]，备份Email:[email protected]）、推特（@_AgainstTheWest，

https://mobile.twitter.com/_AgainstTheWest）、Breadched（账号：AgainstTheWest）等境外社交平台开设新账号，扩大宣传途径，并表现出较明显的亲美西方政治倾向，多次声明“攻击目标是俄罗斯、白俄罗斯和中国、伊朗、朝鲜”、“愿意与美国、欧盟政府共享所有文件”、“愿受雇于相关机构”。

ATW组织群组账号

ATW组织推特账号

据不完全统计，自2021年以来，ATW组织披露涉我重要信息系统源代码、数据库等敏感信息70余次，宣称涉及100余家单位的300余个信息系统。实际上，所谓泄露的源代码主要是中小型软件开发企业所研发的测试项目代码文件，不包含数据信息。但ATW组织为了博取关注，极尽歪曲解读、夸大其词之能事，动辄使用“大规模监控”、“侵犯人权”、“侵犯隐私”等美西方惯用的“标签”，意图凸显攻击目标和所窃数据重要性，以至于看起来，一个比一个吓人。

2021年10月14日，ATW在“阵列论坛”（RaidForums）发布题为“人民币行动（Operation Renminbi）”的帖子，称“出售中国某金融机构相关软件项目源代码”。

2021年11月2日，ATW组织在“阵列论坛”发布信息，称“中国某互联网科技公司已被其攻破”，并提供了数据库和SSH密钥的下载方式。

2021年11月24日，ATW组织发布了16个政府网站大数据系统存在漏洞情况，涉及北京、浙江、四川、重庆、广东、江苏、湖北、湖南等地。

2022年1月7日，ATW组织声称出售“中国大量政府、非政府组织、机构和公司数据，待售数据涉及102家中国实体单位”。

2022年3月4日，ATW组织宣布解散，但3月5日又宣布经费充足再次上线。

2022年3月6日，ATW在电报群组中发布消息称“攻破了中国某投资公司，窃取了大量数据”，并提供了数据的下载链接。

2022年3月28日，宣称“中国某商业银行已被攻破”，发布“整个后端源代码、maven 版本”等数据。

2022年4月5日，ATW组织发布“中国各省市共计48家医院信息系统源代码”。

2022年8月12日，ATW组织在推特发布数据售卖帖，称其从中国某通讯科技公司服务器获取了4000条警察人员的电话号码和姓名数据。

2022年8月16日，ATW组织通过Breached黑客论坛公布中国某交通运输公司源码文件，内容涉及中国某交通运输公司的交易、排程等26个系统项目代码。

（2） ATW组织主要成员

技术团队长期跟踪发现，ATW组织平日活跃成员6名，多从事程序员、网络工程师相关职业，主要位于瑞士、法国、波兰、加拿大等国。

梳理该组织成员活动时段发现，其休息时间为北京时间15时至19时，工作时间集中在北京时间凌晨3时至13时，对应零时区和东1时区的西欧国家。其中，2名骨干成员身份信息如下：

蒂莉·考特曼（Tillie Kottmann），1999年8月7日生于瑞士卢塞恩，自称是黑客、无政府主义者，以女性自居。其曾在瑞士BBZW Sursee思科学院、德国auticon GmbH公司、瑞士Egon AG公司工作。蒂莉·考特曼还是Dogbin网站（短链接转换网站）的创始人和首席开发人员。

蒂莉·考特曼

2020年4月以来，蒂莉·考特曼通过“声呐方块”平台漏洞获取企业信息系统源代码数据；2020年7月，蒂莉·考特曼在互联网上曝光了微软、高通、通用电气、摩托罗拉、任天堂、迪士尼50余家知名企业信息系统源代码；2021年3月12日，瑞士警方搜查蒂莉·考特曼住所并扣押大量网络设备；2021年3月18日，美国司法部发布对蒂莉·考特曼的起诉书，但3月底突然中止该案审理。此后，中国成了蒂莉·考特曼的主要目标之一。

美国司法部对蒂莉·考特曼的起诉书及公布照片

蒂莉·考特曼（Tillie Kottmann）的Twitter账号@nyancrimew被推特公司停用后，于2022年2月重新注册使用。个人简介中自称为“被起诉的黑客/安全研究员、艺术家、精神病患者”。2023年1月至今，发布及转推78次。

帕韦尔∙杜达（PawelDuda），波兰人，软件工程师。其曾在多家网络公司从事软件工程工作。

该人日常会进行黑客技术研究，并在Slides.com网站共享文件中设置了“成为更好的黑客”的座右铭。

此外，据了解，该组织成员有长期服用精神类药物、吸食毒品等行为，包括吸食氯胺酮（K粉），还会将莫达非尼（治疗嗜睡的药物，具有成瘾性）和可乐一起服用。

（3） ATW组织主要攻击手法

调查发现，ATW组织宣称攻击窃取涉我党政机关、科研机构等单位的数据，实则均来源于为我重要单位提供软件开发的中小型信息技术和软件开发企业，窃取数据也多为开发过程中的测试数据。

该组织的攻击手法主要是针对SonarQube、Gogs、Gitblit等开源网络系统存在的技术漏洞实施大规模扫描和攻击，进而通过“拖库”，窃取相关源代码、数据等。相关信息可用于对涉及的网络信息系统实施进一步漏洞挖掘和渗透攻击，属于典型的“供应链”攻击。

该组织的行为与自我标榜的“道德黑客”着实相去甚远，并非向存在漏洞的企业发布预警提示信息，以提高这些企业的安全防范能力。相反，更多的是利用这些漏洞实施攻击渗透、窃取数据，并在黑客论坛恣意曝光，炫耀“战果”。2022年以来，ATW组织滋扰势头加剧，持续对中国的网络目标实施大规模网络扫描探测和“供应链”攻击。为凸显攻击目标和所窃数据重要性，多次对所窃数据进行歪曲解读、夸大其词，竭力配合美西方政府为我扣上“网络威权主义”帽子，并大力煽动、诋毁中国的数据安全治理能力，行径恶劣，气焰嚣张，自我炒作、借机攻击中国的意图十分明显。

（4） ATW组织漏洞攻击利用情况

ATW对中国企业单位开展网络攻击过程中，大量使用了源代码管理平台、开源框架等存在的技术漏洞。主要包括：

SonarQube漏洞。漏洞编号为CVE-2020-27986，该漏洞描述为SonarQube系统存在未授权访问漏洞。涉及版本：SnoarQube开源版<=9.1.0.47736；SonarQube稳定版

VueJs框架漏洞。VueJs框架为JavaScript前端开发框架，VueJS源代码在GitHub发布，同时本身具备较多漏洞，使用网络指纹嗅探系统可直接扫描探测，GitHub上同样存在专门针对VueJS的漏洞利用工具。

Gogs、GitLab、Gitblit等其他源代码管理平台漏洞。上述平台存在的未授权访问漏洞，无需特殊权限即可访问和下载存储在管理平台上的系统源代码数据。

通过对全网设备进行空间测绘，发现上述开源平台在国内使用广泛。对存在风险的资产项目进行进一步分析发现，其中包含涉及我国多家重要单位的系统源代码。SonarQube、Gitblit、Gogs的各平台使用情况如下：

（5） ATW组织攻击使用码址资源

为掩护其攻击行为，ATW组织使用了一批“跳板”和代理服务器，主要分布在英国、北马其顿、瑞典、罗马尼亚等国家。相关IOC指标信息如下：

在RaidForums论坛上发现的ATW黑客组织关联账号包括，“AgainstTheWest”注册于2021年10月12日，是发布泄露涉中国数据的主要账号；“AgainstTheYankees”为该组织11月16日最新注册帐号，地理位置标注在台湾花莲，职业为情报经销商，由“AgainstTheWest”推荐加入论坛；“Majestic-12”疑为匿名者黑客组织与ATW反华黑客组织的中间联络人，曾回复“ATW-对华战争”网帖，号召更多黑客、程序员加入，共同对抗中国；“NtRaiseHardError”在论坛多次售卖涉我数据，表示只攻击和收购中国政府数据，不会攻击美国、加拿大、英国、俄罗斯政府。该黑客与“AgainstTheWest”有数据交易，互动频繁，关系密切；“Kristina”在论坛发帖称中国某互联网科技公司已被其攻破，并提供数据库和SSH密钥下载，涉及“国家政务服务平台”、“内蒙古自治区政府门户网站”；“Ytwang”曾发帖表示要购买新疆营地、警察系统等数据库信息，以及留言表示对某科技公司相关信息很感兴趣。

其余账号信息如下：

安全专家：中国企业亟需严防死守、做好安全加固

针对境外黑客组织对我国的疯狂攻击和抹黑行为，该如何应对？奇安盘古研究员给出了三项防范对策建议：

首先是建议软件开发企业立即修复SonarQube、VueJs、Gogs、GitLab、Gitblit等软件漏洞，严格控制公网访问权限，及时修改默认访问密码，进一步提高对源代码的安全管理能力。

其次是针对已在用户单位部署的系统源代码外泄情况，建议软件开发企业应加强系统源代码安全审计，及时发现并修复软件安全漏洞，防止黑客利用系统漏洞进行攻击，并对重要信息系统源码及数据进行加密存储，落实网络安全防护措施。

最后建议国家有关职能部门、技术安全团队加强对ATW组织非法网络攻击活动的监测，及时预警攻击动向，开展背景溯源和反制打击。

奇安盘古研究员对《环球时报》表示，本报告公布ATW黑客组织的攻击手法及使用的漏洞、网络码址，目的是使大家看清ATW组织长期以来针对中国实施网络攻击、数据窃取活动的本质，针对性修补漏洞，做好安全加固，不断提升网络安全、数据安全防护能力水平。同时也正告ATW等那些对中国怀有敌意的组织，他们的一举一动，中国安全人员尽在掌握。后续，技术团队还将陆续公布对相关事件调查的更多技术细节。