斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

逆向病毒分析 2年前 (2023) admin
563 1 0

202110月以来,一自称AgainstTheWest(下称“ATW”)的黑客组织,将中国作为主要攻击目标,疯狂实施网络攻击、数据窃取和披露炒作活动,对我国的网络安全、数据安全构成严重危害。ATW组织究竟什么来头?我们该如何应对?让我们来庖丁解牛,见招拆招。

  ATW组织及其主要攻击活动   

ATW组织成立于20216月,10月开始在阵列论坛RaidForums)上大肆活动。虽然将帐号个性签名设置为民族国家组织,但实际上,这是一个以欧洲、北美地区从事程序员、网络工程师等职业的人员自发组织成立的松散网络组织。

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织
ATW组织自我介绍

ATW组织自成立伊始,便表达了鲜明的反华立场,公开称将主要针对中国、朝鲜和其他国家发布政府数据泄密帖子,还专门发布过一篇题为“ATW-对华战争的帖子,赤裸裸地支持台独、鼓噪港独、炒作新疆人权问题

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织
ATW组织发布的“ATW-对华战争

202110月,ATW组织开始频繁活动,不断在电报群组(https://t.me/s/ATW2022Email:[email protected],备份Email:[email protected])、推特(@_AgainstTheWesthttps://mobile.twitter.com/_AgainstTheWest)、Breadched(账号:AgainstTheWest)等境外社交平台开设新账号,扩大宣传途径,并表现出较明显的亲美西方政治倾向,多次声明攻击目标是俄罗斯、白俄罗斯和中国、伊朗、朝鲜愿意与美国、欧盟政府共享所有文件愿受雇于相关机构      

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织
ATW组织群组账号

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织
ATW组织推特账号  

据不完全统计,自2021年以来,ATW组织披露涉我重要信息系统源代码、数据库等敏感信息70余次,宣称涉及文化和旅游部、海南省政府、山西省司法厅、南方航空公司、广州地铁等100余家单位的300余个信息系统。实际上,所谓泄露的源代码主要是中小型软件开发企业所研发的测试项目代码文件,不包含数据信息。但ATW组织为了博取关注,极尽歪曲解读、夸大其词之能事,动辄使用大规模监控侵犯人权侵犯隐私等美西方惯用的标签,意图凸显攻击目标和所窃数据重要性,以至于看起来,一个比一个吓人。

  20211014日,ATW阵列论坛RaidForums)发布题为人民币行动(Operation Renminbi的帖子,称出售中国人民银行相关软件项目源代码

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

  2021112日,ATW组织在阵列论坛发布信息,称广州政企互联科技有限公司已被其攻破,并提供了数据库和SSH密钥的下载方式。

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

  20211124日,ATW组织发布了16个政府网站大数据系统存在漏洞情况,涉及北京、浙江、四川、重庆、广东、江苏、湖北、湖南等地。

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

  202217日,ATW组织声称出售中国大量政府、非政府组织、机构和公司数据,待售数据涉及102家中国实体单位

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

  202234日,ATW组织宣布解散,但35日又宣布经费充足再次上线。

  202236日,ATW在电报群组中发布消息称“攻破了中央汇金投资公司,窃取了大量数据”,并提供了数据的下载链接。

  2022328日,宣称广发银行已被攻破,发布整个后端源代码、maven 版本等数据。

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

  202245日,ATW组织发布中国各省市共计48家医院信息系统源代码

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

  2022812日,ATW组织在推特发布数据售卖帖,称其从中兴通讯公司服务器获取了4000条警察人员的电话号码和姓名数据。

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

  2022816日,ATW组织通过Breached黑客论坛公布港铁系统源码文件,内容涉及香港铁路公司的交易、排程等26个系统项目代码。

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

           ATW组织主要成员                

技术团队长期跟踪发现,ATW组织平日活跃成员6名,多从事程序员、网络工程师相关职业,主要位于瑞士、法国、波兰、加拿大等国。

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

梳理该组织成员活动时段发现,其休息时间为北京时间15时至19时,工作时间集中在北京时间凌晨3时至13时,对应零时区和东1时区的西欧国家。其中,2名骨干成员身份信息如下:

蒂莉·考特曼Tillie Kottmann

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

199987日生于瑞士卢塞恩,自称是黑客、无政府主义者、同性恋,以女性自居。主要学习、工作经历如下:

  • 2012—2015年,瑞士Kantonsschule Alpenquai州立中学学习;

  • 20158—2019年,瑞士BBZW Sursee思科学院;

  • 20173—20201月,Lawnchair Launcher公司担任项目负责人兼首席开发人员;

  • 20202—8月,德国auticon GmbH公司担任IT顾问;

  • 202011月至今,瑞士Egon AG公司程序员。蒂莉·考特曼还是Dogbin网站(短链接转换网站)的创始人和首席开发人员。本来专心做技术,这份履历是很漂亮的。只可惜:

  • 20204月以来,蒂莉·考特曼通过声呐方块平台漏洞获取企业信息系统源代码数据;

  • 20207月,蒂莉·考特曼在互联网上曝光了微软、高通、通用电气、摩托罗拉、任天堂、迪士尼50余家知名企业信息系统源代码;

  • 2021312日,瑞士警方搜查蒂莉·考特曼住所并扣押大量网络设备;

  • 2021318日,美国司法部发布对蒂莉·考特曼的起诉书,但3月底突然中止该案审理。此后,中国成了蒂莉·考特曼的主要目标之一。

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

美国司法部对蒂莉·考特曼的起诉书及公布照片

蒂莉·考特曼(Tillie Kottmann)的Twitter账号@nyancrimew被推特公司停用后,于20222月重新注册使用。个人简介中自称为被起诉的黑客/安全研究员、艺术家、精神病患者以及同性恋20231月至今,发布及转推78次。

帕韦尔杜达(Pawel Duda

男,波兰人,软件工程师。

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

  • 2012年11月—2013年5月,Ageno公司web前端开发工程师。

  • 2013年6月—2013年12月,自称从事某保密项目开发,任web前端开发工程师。

  • 2014年1月至2015年1月,OX media公司web前端开发工程师;

  • 2014年4月至2019年8月,Selleo公司软件工程师,负责开发捐款管理系统、物流服务系统、跨平台办公系统、定制化电子商务平台、酒店管理系统等项目;

  • 2016年9月—2017年4月,voicefox公司软件工程师(兼职),负责开发基于Zoom等视频会议解决方案;

  • 2019年11月至2020年6月,versum公司软件工程师,负责开发沙龙管理系统;

  • 2020年6月至2021年10月,TjeKvik公司软件工程师,负责开发汽车服务管理系统;

  • 2021年10月至今,自称参与了某非公开项目。
    该人日常会进行黑客技术研究,并在Slides.com网站共享文件中设置了成为更好的黑客的座右铭。

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

此外,该组织成员长期服用精神类药物、吸食毒品等行为,包括吸食氯胺酮(K粉),还会将莫达非尼(治疗嗜睡的药物,具有成瘾性)和可乐一起服用。

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

  ATW组织主要攻击手法                   

攻击部位:调查发现,ATW组织宣称攻击窃取涉我党政机关、科研机构等部位的数据,实则均来源于为我重要单位提供软件开发的中小型信息技术和软件开发企业,窃取数据也多为开发过程中的测试数据。

攻击手法:主要针对SonarQubeGogsGitblit等开源网络系统存在的技术漏洞实施大规模扫描和攻击,进而通过拖库,窃取相关源代码、数据等。相关信息可用于对涉及的网络信息系统实施进一步漏洞挖掘和渗透攻击,属于典型的供应链攻击。

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织 攻击目的:与自我标榜的道德黑客着实相去甚远,并非向存在漏洞的企业发布预警提示信息,以提高这些企业的安全防范能力。相反,更多的是利用这些漏洞实施攻击渗透、窃取数据,并在黑客论坛恣意曝光,炫耀战果2022年以来,ATW组织滋扰势头加剧,持续对中国的网络目标实施大规模网络扫描探测和供应链攻击。为凸显攻击目标和所窃数据重要性,多次对所窃数据进行歪曲解读、夸大其词,竭力配合美西方政府为我扣上网络威权主义帽子,并大力煽宣、诋毁中国的数据安全治理能力,行径恶劣,气焰嚣张,自我炒作、借机攻击中国的意图十分明显。

ATW组织漏洞攻击利用情况                   

ATW对中国企业单位开展网络攻击过程中,大量使用了源代码管理平台、开源框架等存在的技术漏洞。主要包括:

 SonarQube漏洞。漏洞编号为CVE-2020-27986,该漏洞描述为SonarQube系统存在未授权访问漏洞。涉及版本:SnoarQube开源版<=9.1.0.47736SonarQube稳定版<=8.9.3

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

  VueJs框架漏洞。VueJs框架为JavaScript前端开发框架,VueJS源代码在GitHub发布,同时本身具备较多漏洞,使用网络指纹嗅探系统可直接扫描探测,GitHub上同样存在专门针对VueJS的漏洞利用工具。

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

  GogsGitLabGitblit等其他源代码管理平台漏洞。上述平台存在的未授权访问漏洞,无需特殊权限即可访问和下载存储在管理平台上的系统源代码数据。

通过对全网设备进行空间测绘,发现上述开源平台在国内使用广泛。对存在风险的资产项目进行进一步分析发现,其中包含涉及我国多家重要单位的系统源代码。SonarQubeGitblitGogs的各平台使用情况如下:

斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

 ATW组织攻击使用码址资源                    

为掩护其攻击行为,ATW组织使用了一批跳板和代理服务器,主要分布在英国、北马其顿、瑞典、罗马尼亚等国家。相关IOC指标信息如下:

序号

IOC指标
序号
IOC指标
1
178.175.142.195
9
194.66.201.2
2
185.65.135.169
10
194.66.201.17
3
185.65.135.177
11

141.98.255.145

4
185.65.135.178
12

141.98.255.149

5
185.65.134.181
13

91.193.4.59

6
185.225.28.158
14

51.222.253.2

7
220.143.129.216
15

51.222.253.3

8
193.138.218.162
16

51.222.253.12

RaidForums论坛上发现的ATW黑客组织关联账号:

  • “AgainstTheWest”注册于2021年10月12日,是发布泄露涉中国数据的主要账号。

  • “AgainstTheYankees”为该组织11月16日最新注册帐号,地理位置标注在台湾花莲,职业为情报经销商,由“AgainstTheWest”推荐加入论坛。

  • “Majestic-12”疑为匿名者黑客组织与ATW反华黑客组织的中间联络人,曾回复“ATW-对华战争”网帖,号召更多黑客、程序员加入,共同对抗中国。

  • “NtRaiseHardError”在论坛多次售卖涉我数据,表示只攻击和收购中国政府数据,不会攻击美国、加拿大、英国、俄罗斯政府。该黑客与“AgainstTheWest”有数据交易,互动频繁,关系密切。

  • “Kristina”在论坛发帖称广州政企互联科技有限公司已被其攻破,并提供数据库和SSH密钥下载,涉及“国家政务服务平台”、“内蒙古自治区政府门户网站”。

  • “Ytwang”曾发帖表示要购买新疆营地、警察系统等数据库信息,以及留言表示对滴普科技相关信息很感兴趣。

  • 其余账号信息如下:

注册昵称

注册时间

0x7cO0

2021/10/23  06:39

colebrain

2021/11/1   15:26

Ansimear

2021/11/2   06:47

yalishandazhongma

2021/11/15  02:07

countertek

2021/11/15  06:25

AteerCfcrCiRce

2021/11/16  16:19

IndiaTop10Worrior

2021/11/22  08:32

findA8988

2021/11/23  02:07

SHAUN2022

2021/11/23  18:34

jojo1215

2021/11/29  02:20

    防范对策建议                    

建议软件开发企业立即修复SonarQubeVueJsGogsGitLabGitblit等软件漏洞,严格控制公网访问权限,及时修改默认访问密码,进一步提高对源代码的安全管理能力。

针对已在用户单位部署的系统源代码外泄情况,软件开发企业应加强系统源代码安全审计,及时发现并修复软件安全漏洞,防止黑客利用系统漏洞进行攻击,并对重要信息系统源码及数据进行加密存储,落实网络安全防护措施。

建议国家有关职能部门、技术安全团队加强对ATW组织非法网络攻击活动的监测,及时预警攻击动向,开展背景溯源和反制打击。

小 结                      

本报告公布ATW黑客组织的攻击手法及使用的漏洞、网络码址,目的是使大家看清ATW组织长期以来针对中国实施网络攻击、数据窃取活动的本质,针对性修补漏洞,做好安全加固,不断提升网络安全、数据安全防护能力水平。

后续,我们的技术团队还将陆续公布对相关事件调查的更多技术细节。

原文始发于微信公众号(奇安盘古实验室):斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织

版权声明:admin 发表于 2023年2月18日 下午9:00。
转载请注明:斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织 | CTF导航

相关文章

1 条评论

您必须登录才能参与评论!
立即登录
  • cccccccc
    cccccccc 游客

    蒂莉·考特曼(Tillie Kottmann)自称APT-69420 Arson Cats,tg:ExConfidential,被起诉时网站https[:]//git.rip/被fbi查封。
    文章中2021年3月18日,美国司法部发布对蒂莉·考特曼的起诉书,但3月底突然中止该案审理。此后,中国成了蒂莉·考特曼的主要目标之一。
    请问这个结论是哪里来的?