黑客組織正對中國瘋狂實施網(wǎng)絡攻擊是誰

#黑客組織正對中國瘋狂實施網(wǎng)絡攻擊#，是哪個黑客團伙在為非作歹呢?下面是小編為大家整理的黑客組織正對中國瘋狂實施網(wǎng)絡攻擊是誰，如果喜歡請收藏分享!

黑客組織正對中國瘋狂實施網(wǎng)絡攻擊是誰?

記者獲悉，北京奇安盤古實驗室通過長期跟蹤發(fā)現(xiàn)，2021年10月以來，一自稱AgainstTheWest(下稱“ATW”)的黑客組織，將中國作為主要攻擊目標，瘋狂實施網(wǎng)絡攻擊、數(shù)據(jù)竊取和披露炒作活動，對我國的網(wǎng)絡安全、數(shù)據(jù)安全構成嚴重危害。ATW組織究竟什么來頭?研究員進行了詳細揭秘，并給出應對建議。

(1)ATW組織及其主要攻擊活動

ATW組織成立于2021年6月，10月開始在“陣列論壇”(RaidForums)上大肆活動。雖然將賬號個性簽名設置為“民族國家組織”，但實際上，這是一個以歐洲、北美地區(qū)從事程序員、網(wǎng)絡工程師等職業(yè)的人員自發(fā)組織成立的松散網(wǎng)絡組織。

ATW組織自我介紹

ATW組織自成立伊始，便瘋狂從事反華活動，公開稱“將主要針對中國、朝鮮和其他國家發(fā)布政府數(shù)據(jù)泄密帖子”，還專門發(fā)布過一篇題為“ATW-對華戰(zhàn)爭”的帖子。

ATW組織發(fā)布的“ATW-對華戰(zhàn)爭”帖

2021年10月，ATW組織開始頻繁活動，不斷在電報群組、推特、Breadched等境外社交平臺開設新賬號，擴大宣傳途徑，并表現(xiàn)出較明顯的親美西方政治傾向，多次聲明“攻擊目標是俄羅斯、白俄羅斯和中國、伊朗、朝鮮”、“愿意與美國、歐盟政府共享所有文件”、“愿受雇于相關機構”。

ATW組織推特賬號

據(jù)不完全統(tǒng)計，自2021年以來，ATW組織披露涉我重要信息系統(tǒng)源代碼、數(shù)據(jù)庫等敏感信息70余次，宣稱涉及100余家單位的300余個信息系統(tǒng)。實際上，所謂泄露的源代碼主要是中小型軟件開發(fā)企業(yè)所研發(fā)的測試項目代碼文件，不包含數(shù)據(jù)信息。但ATW組織為了博取關注，極盡歪曲解讀、夸大其詞之能事，動輒使用“大規(guī)模監(jiān)控”、“侵犯人權”、“侵犯隱私”等美西方慣用的“標簽”，意圖凸顯攻擊目標和所竊數(shù)據(jù)重要性，以至于看起來，一個比一個嚇人。

2021年10月14日，ATW在“陣列論壇”(RaidForums)發(fā)布題為“人民幣行動(Operation Renminbi)”的帖子，稱“出售中國人民銀行相關軟件項目源代碼”。

2021年11月2日，ATW組織在“陣列論壇”發(fā)布信息，稱“廣州政企互聯(lián)科技有限公司已被其攻破”，并提供了數(shù)據(jù)庫和SSH密鑰的下載方式。

2021年11月24日，ATW組織發(fā)布了16個政府網(wǎng)站大數(shù)據(jù)系統(tǒng)存在漏洞情況，涉及北京、浙江、四川、重慶、廣東、江蘇、湖北、湖南等地。

2022年1月7日，ATW組織聲稱出售“中國大量政府、非政府組織、機構和公司數(shù)據(jù)，待售數(shù)據(jù)涉及102家中國實體單位”。

2022年3月4日，ATW組織宣布解散，但3月5日又宣布經(jīng)費充足再次上線。

2022年3月6日，ATW在電報群組中發(fā)布消息稱“攻破了中央?yún)R金投資公司，竊取了大量數(shù)據(jù)”，并提供了數(shù)據(jù)的下載鏈接。

2022年3月28日，宣稱“廣發(fā)銀行已被攻破”，發(fā)布“整個后端源代碼、maven 版本”等數(shù)據(jù)。

2022年4月5日，ATW組織發(fā)布“中國各省市共計48家醫(yī)院信息系統(tǒng)源代碼”。

2022年8月12日，ATW組織在推特發(fā)布數(shù)據(jù)售賣帖，稱其從中興通訊公司服務器獲取了4000條警察人員的電話號碼和姓名數(shù)據(jù)。

2022年8月16日，ATW組織通過Breached黑客論壇公布港鐵系統(tǒng)源碼文件，內容涉及香港鐵路公司的交易、排程等26個系統(tǒng)項目代碼。

(2) ATW組織主要成員

技術團隊長期跟蹤發(fā)現(xiàn)，ATW組織平日活躍成員6名，多從事程序員、網(wǎng)絡工程師相關職業(yè)，主要位于瑞士、法國、波蘭、加拿大等國。

梳理該組織成員活動時段發(fā)現(xiàn)，其休息時間為北京時間15時至19時，工作時間集中在北京時間凌晨3時至13時，對應零時區(qū)和東1時區(qū)的西歐國家。其中，2名骨干成員身份信息如下：

蒂莉·考特曼(Tillie Kottmann)，1999年8月7日生于瑞士盧塞恩，自稱是黑客、無政府主義者，以女性自居。其曾在瑞士BBZW Sursee思科學院、德國auticon GmbH公司、瑞士Egon AG公司工作。蒂莉·考特曼還是Dogbin網(wǎng)站(短鏈接轉換網(wǎng)站)的創(chuàng)始人和首席開發(fā)人員。

蒂莉·考特曼

2020年4月以來，蒂莉·考特曼通過“聲吶方塊”平臺漏洞獲取企業(yè)信息系統(tǒng)源代碼數(shù)據(jù);2020年7月，蒂莉·考特曼在互聯(lián)網(wǎng)上曝光了微軟、高通、通用電氣、摩托羅拉、任天堂、迪士尼50余家知名企業(yè)信息系統(tǒng)源代碼;2021年3月12日，瑞士警方搜查蒂莉·考特曼住所并扣押大量網(wǎng)絡設備;2021年3月18日，美國司法部發(fā)布對蒂莉·考特曼的起訴書，但3月底突然中止該案審理。此后，中國成了蒂莉·考特曼的主要目標之一。

美國司法部對蒂莉·考特曼的起訴書及公布照片

蒂莉·考特曼(Tillie Kottmann)的Twitter賬號@nyancrimew被推特公司停用后，于2022年2月重新注冊使用。個人簡介中自稱為“被起訴的黑客/安全研究員、藝術家、精神病患者”。2023年1月至今，發(fā)布及轉推78次。

帕韋爾?杜達(PawelDuda)，波蘭人，軟件工程師。其曾在多家網(wǎng)絡公司從事軟件工程工作。

該人日常會進行黑客技術研究，并在Slides.com網(wǎng)站共享文件中設置了“成為更好的黑客”的座右銘。

此外，據(jù)了解，該組織成員有長期服用精神類藥物、吸食毒品等行為，包括吸食氯胺酮(K粉)，還會將莫達非尼(治療嗜睡的藥物，具有成癮性)和可樂一起服用。

(3) ATW組織主要攻擊手法

調查發(fā)現(xiàn)，ATW組織宣稱攻擊竊取涉我黨政機關、科研機構等單位的數(shù)據(jù)，實則均來源于為我重要單位提供軟件開發(fā)的中小型信息技術和軟件開發(fā)企業(yè)，竊取數(shù)據(jù)也多為開發(fā)過程中的測試數(shù)據(jù)。

該組織的攻擊手法主要是針對SonarQube、Gogs、Gitblit等開源網(wǎng)絡系統(tǒng)存在的技術漏洞實施大規(guī)模掃描和攻擊，進而通過“拖庫”，竊取相關源代碼、數(shù)據(jù)等。相關信息可用于對涉及的網(wǎng)絡信息系統(tǒng)實施進一步漏洞挖掘和滲透攻擊，屬于典型的“供應鏈”攻擊。

該組織的行為與自我標榜的“道德黑客”著實相去甚遠，并非向存在漏洞的企業(yè)發(fā)布預警提示信息，以提高這些企業(yè)的安全防范能力。相反，更多的是利用這些漏洞實施攻擊滲透、竊取數(shù)據(jù)，并在黑客論壇恣意曝光，炫耀“戰(zhàn)果”。2022年以來，ATW組織滋擾勢頭加劇，持續(xù)對中國的網(wǎng)絡目標實施大規(guī)模網(wǎng)絡掃描探測和“供應鏈”攻擊。為凸顯攻擊目標和所竊數(shù)據(jù)重要性，多次對所竊數(shù)據(jù)進行歪曲解讀、夸大其詞，竭力配合美西方政府為我扣上“網(wǎng)絡威權主義”帽子，并大力煽動、詆毀中國的數(shù)據(jù)安全治理能力，行徑惡劣，氣焰囂張，自我炒作、借機攻擊中國的意圖十分明顯。

(4) ATW組織漏洞攻擊利用情況

ATW對中國企業(yè)單位開展網(wǎng)絡攻擊過程中，大量使用了源代碼管理平臺、開源框架等存在的技術漏洞。主要包括：

SonarQube漏洞。漏洞編號為CVE-2020-27986，該漏洞描述為SonarQube系統(tǒng)存在未授權訪問漏洞。涉及版本：SnoarQube開源版<=9.1.0.47736;SonarQube穩(wěn)定版<=8.9.3。

VueJs框架漏洞。VueJs框架為JavaScript前端開發(fā)框架，VueJS源代碼在GitHub發(fā)布，同時本身具備較多漏洞，使用網(wǎng)絡指紋嗅探系統(tǒng)可直接掃描探測，GitHub上同樣存在專門針對VueJS的漏洞利用工具。

Gogs、GitLab、Gitblit等其他源代碼管理平臺漏洞。上述平臺存在的未授權訪問漏洞，無需特殊權限即可訪問和下載存儲在管理平臺上的系統(tǒng)源代碼數(shù)據(jù)。

通過對全網(wǎng)設備進行空間測繪，發(fā)現(xiàn)上述開源平臺在國內使用廣泛。對存在風險的資產(chǎn)項目進行進一步分析發(fā)現(xiàn)，其中包含涉及我國多家重要單位的系統(tǒng)源代碼。SonarQube、Gitblit、Gogs的各平臺使用情況如下：

(5) ATW組織攻擊使用碼址資源

為掩護其攻擊行為，ATW組織使用了一批“跳板”和代理服務器，主要分布在英國、北馬其頓、瑞典、羅馬尼亞等國家。相關IOC指標信息如下：

在RaidForums論壇上發(fā)現(xiàn)的ATW黑客組織關聯(lián)賬號包括，“AgainstTheWest”注冊于2021年10月12日，是發(fā)布泄露涉中國數(shù)據(jù)的主要賬號;“AgainstTheYankees”為該組織11月16日最新注冊帳號，地理位置標注在臺灣花蓮，職業(yè)為情報經(jīng)銷商，由“AgainstTheWest”推薦加入論壇;“Majestic-12”疑為匿名者黑客組織與ATW反華黑客組織的中間聯(lián)絡人，曾回復“ATW-對華戰(zhàn)爭”網(wǎng)帖，號召更多黑客、程序員加入，共同對抗中國;“NtRaiseHardError”在論壇多次售賣涉我數(shù)據(jù)，表示只攻擊和收購中國政府數(shù)據(jù)，不會攻擊美國、加拿大、英國、俄羅斯政府。該黑客與“AgainstTheWest”有數(shù)據(jù)交易，互動頻繁，關系密切;“Kristina”在論壇發(fā)帖稱廣州政企互聯(lián)科技有限公司已被其攻破，并提供數(shù)據(jù)庫和SSH密鑰下載，涉及“國家政務服務平臺”、“內蒙古自治區(qū)政府門戶網(wǎng)站”;“Ytwang”曾發(fā)帖表示要購買新疆營地、警察系統(tǒng)等數(shù)據(jù)庫信息，以及留言表示對滴普科技相關信息很感興趣。

黑客攻擊手段的方式有什么?

密碼猜解

密碼是目前保護系統(tǒng)安全的主要方法之一，因此，通過精測、竊取等方式獲取合法用戶的賬號和密碼已經(jīng)成為網(wǎng)絡攻擊的一個主要手段。

特洛伊木馬

特洛伊木馬(簡稱木馬)攻擊是將惡意功能程序偽裝隱藏在另一合法程序中，吸引用戶執(zhí)行并且做出惡意操作(如記錄用戶鍵入的密碼、遠程傳輸文件，甚至完全遠程控制計算機等)。

拒絕服務攻擊

拒絕服務攻擊通常有兩種實施方式：一是利用系統(tǒng)漏洞或缺陷向目標系統(tǒng)發(fā)送非法數(shù)據(jù)包，使目標系統(tǒng)死機或重新啟動;二是利用拒絕服務攻擊工具向目標主機發(fā)送大量數(shù)據(jù)包，消耗網(wǎng)絡帶寬資源和主機資源，致使網(wǎng)絡或系統(tǒng)負荷過載而停止向用戶提供服務。目前影響最大、危害最深的是分布式 DoS 攻擊。它通過控制大量網(wǎng)絡主機同時向某個既定目標發(fā)動攻擊，很容易導致被攻擊主機系統(tǒng)癱瘓，且由于參與攻擊主機數(shù)量龐大，難以定位攻擊的來源。

漏洞攻擊

漏洞攻擊是指在未經(jīng)授權的情況下，攻擊者利用系統(tǒng)安全漏洞非法訪問、讀取、刪改系統(tǒng)文件，達到破壞系統(tǒng)的目的。漏洞主要來源于系統(tǒng)設計缺陷、系統(tǒng)安全策略設置缺陷、編碼錯誤、業(yè)務邏輯設計不合理、業(yè)務運行流程缺陷等。漏洞導致計算機或網(wǎng)絡的整體安全出現(xiàn)缺口，使攻擊者利用針對性工具，在未授權的情況下訪問或破壞系統(tǒng)。近年來出現(xiàn)的零日漏洞黑客在漏洞被發(fā)現(xiàn)后立即進行惡意利用和攻擊。這種攻擊往往具有很大的突發(fā)性與破壞性。

網(wǎng)絡釣魚

網(wǎng)絡釣魚(Phishing，又稱釣魚法或釣魚式攻擊)，是通過欺騙性的電子郵件和網(wǎng)站，偽裝成可信網(wǎng)站或網(wǎng)頁，騙取用戶個人敏感信息，獲取不正當利益的攻擊方法。攻擊者通常將自己偽裝成網(wǎng)絡銀行、大型在線零售商等可信的品牌，通過欺騙性郵件將收信人引誘到經(jīng)過精心設計，與收信人的目標網(wǎng)站非常相似的釣魚網(wǎng)站上(如將 ICBC 修改為 1CBC)，并獲取收信人在此網(wǎng)站上輸入的個人敏感信息。網(wǎng)絡釣魚所使用的常見伎倆有使用易混淆網(wǎng)址、子網(wǎng)域、含有特殊符號的欺騙鏈接，架設假基站、假 Wi-Fi 熱點等。

社會工程攻擊

社會工程攻擊是一種利用社會工程學原理來實施的網(wǎng)絡攻擊行為，它利用人的弱點(如好奇、貪便宜等)，通過欺詐、誘騙、威脅等方式入侵目標計算機系統(tǒng)。攻擊者利用社會工程的概念，在獲取攻擊目標的背景信息的基礎上，通過多種社交手段與受害人建立信任，向受害人索要關鍵信息，并以此為基礎欺騙其他或更高層人員，不斷重復，最終獲取目標的敏感信息。對企業(yè)來說，與主要業(yè)務無直接關系的員工往往對于信息保密的警覺性較低，常會成為社會工程攻擊首要鎖定的目標。例如，攻擊者掌握大量的背景信息后，冒充企業(yè)的總經(jīng)理，要求財務人員進行轉賬。

后門攻擊

后門是指軟件開發(fā)者或情報機關出于商業(yè)、政治動機預留在目標產(chǎn)品、系統(tǒng)、算法內，便于隱秘進入或控制系統(tǒng)的非預期代碼。后門攻擊，即攻擊者通過利用軟件后門繞過安全認證機制，直接獲取對程序或者系統(tǒng)的訪問權。即使管理者通過改變所有密碼之類的方法來提高安全性，攻擊者仍然能夠再次入侵，且由于后門通常會設法躲過日志，在大多數(shù)情況下，即使入侵者正在使用系統(tǒng)，也無法被檢測到。

高級持續(xù)攻擊

高級持續(xù)攻擊(Advanced Persistent Threat，APT)，是利用先進的攻擊手段對特定目標進行長期、持續(xù)性網(wǎng)絡攻擊的攻擊形式。通常是出于商業(yè)或政治動機，針對特定組織或國家進行長時間、高隱蔽性的持續(xù)攻擊。高級持續(xù)攻擊包含三個要素：高級、長期、威脅。高級強調的是使用復雜精密的惡意軟件及技術以利用系統(tǒng)中的漏洞;長期暗指某個外部力量會持續(xù)監(jiān)控特定目標，并從中獲取數(shù)據(jù);威脅則指人為參與策劃的攻擊。

如何抵抗黑客攻擊?

創(chuàng)建復雜的密碼

你在應用或網(wǎng)站上訪問帳戶的密碼應由數(shù)字，大寫和小寫字母以及難以猜到的特殊字符組成。請勿將相同的密碼用于多個網(wǎng)站或帳戶。如果黑客恰巧破譯了你的密碼之一，這可以限制對你的損害。

經(jīng)常更改密碼

應該至少每六個月更改一次你的各種帳戶和設備上的密碼。確保不要兩次使用相同的密碼(例如，你的 qq 密碼應與銀行密碼不同，等等)。當你確實更改密碼時，應該對其進行實質性的更改。不要簡單地用數(shù)字代替一個字母。

使用兩因素身份驗證

兩步身份驗證要求你輸入用戶名和密碼后，輸入通過短信或其他服務發(fā)送給你的代碼來訪問你的帳戶。即使黑客能夠破譯你的密碼，這也使黑客更難以訪問你的信息。大多數(shù)主要網(wǎng)站，包括流行的社交媒體網(wǎng)絡，都具有某種形式的兩因素身份驗證。檢查你的帳戶設置以了解如何啟用此功能。

使用完帳戶后請注銷

請確保單擊(或點擊)你的帳戶名并選擇注銷(在某些情況下為注銷)以手動注銷你的帳戶并從登錄名中刪除你的登錄憑據(jù)。

加密硬盤

如果你的硬盤驅動器已加密，那么即使黑客設法獲得對你的硬盤驅動器的訪問權限，黑客也將無法讀取其中存儲的數(shù)據(jù)。在采取措施防止訪問時，加密是保護信息的另一種方法。

經(jīng)常備份數(shù)據(jù)

盡管有最嚴格的安全性，但你的數(shù)據(jù)仍有可能遭到破壞。這可能是黑客入侵或僅僅是計算機故障的結果。備份數(shù)據(jù)可確保你不會丟失任何數(shù)據(jù)。你可以使用基于云的服務來備份數(shù)據(jù)。在加入一項服務之前，請仔細檢查這些服務的安全性。盡管你可能會想選擇最便宜的服務，但你還是要確保數(shù)據(jù)安全。你還可以使用加密的外部硬盤驅動器來備份數(shù)據(jù)。將你的計算機設置為每天不經(jīng)常使用計算機時，每天運行一次自動備份。

避免單擊可疑鏈接或回復未知電子郵件

如果收到未經(jīng)請求的電子郵件，或無法驗證的來自發(fā)件人的電子郵件，請將其視為黑客企圖。請勿單擊任何鏈接或向發(fā)件人提供任何個人信息。請記住，即使回復電子郵件也會使發(fā)件人知道你的電子郵件地址有效。盡管你可能很想向他們發(fā)送諷刺的答復，但即使這樣也會給他們提供他們可以用來入侵你的信息。

安裝或激活防火墻

基于 Windows 的計算機和基于 Mac 的計算機都配備了防火墻，可以防止黑客訪問你的計算機。但是，在某些計算機中，默認情況下未打開防火墻。進入計算機的安全設置，然后查找 “防火墻” 設置。到達那里后，請確保已打開它并阻止傳入連接。如果你有無線網(wǎng)絡，則你的路由器也應具有防火墻。

學會識別假網(wǎng)站

除了避免網(wǎng)站沒有 “HTTPS” 和網(wǎng)址旁邊的掛鎖圖標之外，在輸入密碼之前，請仔細檢查網(wǎng)站的網(wǎng)址。某些網(wǎng)站會冒充另一個網(wǎng)站來嘗試竊取你的登錄信息(這被稱為網(wǎng)絡釣魚詐騙);你可以通過查找多余的(或缺失的)字母，單詞之間的破折號和多余的符號來發(fā)現(xiàn)這些站點。