近日,国内网络安全机构盘古实验室报告指出:2021年10月以来,一自称AgainstTheWest(下称“ATW”)的黑客组织,将中国作为主要攻击目标,疯狂实施网络攻击、数据窃取和披露炒作活动,对我国的网络安全、数据安全构成严重危害。ATW组织自成立伊始,便表达了鲜明的反华立场,公开称“将主要针对中国、朝鲜和其他国家发布政府数据泄密帖子”,还专门发布过一篇题为“ATW-对华战争”的帖子,赤裸裸地支持“台独”、鼓噪“港独”、炒作新疆“人权问题”。
这是奇安盘古继去年公开曝光美国“方程式”组织“电幕行动”(Bvp47)完整技术细节之后,再次曝光了对华实施数据窃取和网络攻击的ATW组织真实面目,旨在让幕后真凶浮出水面,斩断危害中国数据安全的魔手。
据该机构发现,自2021年以来,ATW组织宣称披露涉我国重要信息系统源代码、数据库等敏感信息70余次,涉及国家重要政府部门、航空、基础设施等100余家单位的300余个信息系统,并表达了顽固的反华立场。尤其2022年以来,ATW组织滋扰势头加剧,持续对中国的网络目标实施大规模网络扫描探测和“供应链”攻击。
奇安盘古长期跟踪发现,ATW组织活跃成员多从事程序员、网络工程师相关职业,主要位于瑞士、法国、波兰、加拿大等国。研究人员建议国家有关部门、安全团队加强对非法网络攻击活动的监测,及时预警攻击动向,开展背景溯源和反制打击。
报告中指出:
据不完全统计,自 2021 年以来,ATW 组织披露涉我重要 信息系统源代码、数据库等敏感信息 70 余次,宣称涉及文化和旅游部、海南省政府、山西省司法厅、南方航空公司、广州地铁等 100 余家单位的 300 余个信息系统。实际上,所谓泄露的源代码主要是中小型软件开发企业所研发的测试项目代码文件, 不包含数据信息。但 ATW 组织为了博取关注,极尽歪曲解读、 夸大其词之能事,动辄使用“大规模监控”、“侵犯人权”、“侵犯 隐私”等美西方惯用的“标签”,意图凸显攻击目标和所窃数据重 要性,以至于看起来,一个比一个吓人。
ATW 组织主要攻击手法
◆ 攻击部位:调查发现,ATW 组织宣称攻击窃取涉我党政机 关、科研机构等部位的数据,实则均来源于为我重要单位提 供软件开发的中小型信息技术和软件开发企业,窃取数据也 多为开发过程中的测试数据。
◆ 攻击手法:主要针对 SonarQube、Gogs、Gitblit 等开源网络 系统存在的技术漏洞实施大规模扫描和攻击,进而通过“拖 库”,窃取相关源代码、数据等。相关信息可用于对涉及的 网络信息系统实施进一步漏洞挖掘和渗透攻击,属于典型的 “供应链”攻击。
◆ 攻击目的:与自我标榜的“道德黑客”着实相去甚远,并非向 存在漏洞的企业发布预警提示信息,以提高这些企业的安全 防范能力。相反,更多的是利用这些漏洞实施攻击渗透、窃 取数据,并在黑客论坛恣意曝光,炫耀“战果”。2022 年以来, ATW 组织滋扰势头加剧,持续对中国的网络目标实施大规 - 12 - 模网络扫描探测和“供应链”攻击。为凸显攻击目标和所窃数 据重要性,多次对所窃数据进行歪曲解读、夸大其词,竭力 配合美西方政府为我扣上“网络威权主义”帽子,并大力煽宣、 诋毁中国的数据安全治理能力,行径恶劣,气焰嚣张,自我 炒作、借机攻击中国的意图十分明显。
ATW 对中国企业单位开展网络攻击过程中,大量使用了源 代码管理平台、开源框架等存在的技术漏洞。主要包括:
◆ SonarQube 漏洞。漏洞编号为 CVE-2020-27986,该漏洞描 述为 SonarQube 系统存在未授权访问漏洞。涉及版本: SnoarQube开源版<=9.1.0.47736;SonarQube稳定版<=8.9.3。 - 13 -
◆ VueJs 框架漏洞。VueJs 框架为 JavaScript 前端开发框架, VueJS 源代码在 GitHub 发布,同时本身具备较多漏洞,使 用网络指纹嗅探系统可直接扫描探测,GitHub 上同样存在 专门针对 VueJS 的漏洞利用工具。
◆ Gogs、GitLab、Gitblit 等其他源代码管理平台漏洞。
上述平台存在的未授权访问漏洞,无需特殊权限即可访问和下 载存储在管理平台上的系统源代码数据。 通过对全网设备进行空间测绘,发现上述开源平台在国内 使用广泛。对存在风险的资产项目进行进一步分析发现,其中 包含涉及我国多家重要单位的系统源代码。
防范对策建议
◆ 建议软件开发企业立即修复 SonarQube、VueJs、Gogs、GitLab、 Gitblit 等软件漏洞,严格控制公网访问权限,及时修改默认 访问密码,进一步提高对源代码的安全管理能力。
◆ 针对已在用户单位部署的系统源代码外泄情况,软件开发企 业应加强系统源代码安全审计,及时发现并修复软件安全漏 洞,防止黑客利用系统漏洞进行攻击,并对重要信息系统源 码及数据进行加密存储,落实网络安全防护措施。
◆ 建议国家有关职能部门、技术安全团队加强对 ATW 组织非 法网络攻击活动的监测,及时预警攻击动向,开展背景溯源 和反制打击。
本报告公布ATW黑客组织的攻击手法及使用的漏洞、网络码址,目的是使大家看清ATW组织长期以来针对中国实施网络攻击、数据窃取活动的本质,针对性修补漏洞,做好安全加固,不断提升网络安全、数据安全防护能力水平。
报告下载地址:
https://www.pangulab.cn/post/the_atw_mystery/
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。