極目新聞?dòng)浾?李曼英
綜合《環(huán)球時(shí)報(bào)》、CSO Online報(bào)道,一個(gè)名為“AgainstTheWest”(下稱“ATW”)的黑客組織將中國(guó)作為主要攻擊目標(biāo),對(duì)中國(guó)瘋狂實(shí)施網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取和披露炒作活動(dòng),對(duì)我國(guó)的網(wǎng)絡(luò)安全、數(shù)據(jù)安全構(gòu)成了嚴(yán)重危害。2月19日,極目新聞?dòng)浾呤崂韴?bào)道發(fā)現(xiàn),該黑客組織平日活躍成員6名,多從事程序員、網(wǎng)絡(luò)工程師相關(guān)職業(yè),主要位于瑞士、法國(guó)、波蘭、加拿大等國(guó),有長(zhǎng)期服用精神類藥物、吸食等行為。實(shí)際上,該黑客組織不僅攻擊中國(guó),2022年下半年,全球針對(duì)政府的網(wǎng)絡(luò)攻擊猛增95%,主要就是該組織和另一黑客組織KelvinSecurity所為。
報(bào)道截圖(圖片來源:CSO Online)
對(duì)中國(guó)瘋狂實(shí)施網(wǎng)絡(luò)攻擊,夸大其詞炒作“戰(zhàn)果”
據(jù)《環(huán)球時(shí)報(bào)》報(bào)道,ATW組織成立于2021年6月,同年10月開始在“陣列論壇”(RaidForums)上大肆活動(dòng)。雖然將賬號(hào)個(gè)性簽名設(shè)置為“民族國(guó)家組織”,但實(shí)際上,這是一個(gè)以歐洲、北美地區(qū)從事程序員、網(wǎng)絡(luò)工程師等職業(yè)的人員自發(fā)組織成立的松散網(wǎng)絡(luò)組織。
ATW組織自成立伊始,便瘋狂從事反華活動(dòng),公開稱“將主要針對(duì)中國(guó)、朝鮮和其他國(guó)家發(fā)布政府?dāng)?shù)據(jù)泄密帖子”,還專門發(fā)布過一篇題為“ATW—對(duì)華”的帖子,裸地支持“臺(tái)獨(dú)”、鼓噪“港獨(dú)”、炒作新疆“人權(quán)問題”。
2021年10月14日,ATW在“陣列論壇”(RaidForums)發(fā)布題為“人民幣行動(dòng)( Renminbi)”的帖子,稱“出售中國(guó)人民銀行相關(guān)軟件項(xiàng)目源代碼”;2021年11月2日,ATW組織在“陣列論壇”發(fā)布信息,稱“廣州政企互聯(lián)科技有限公司已被其攻破”,并提供了數(shù)據(jù)庫(kù)和SSH密鑰的下載方式;2021年11月24日,ATW組織發(fā)布了16個(gè)政府網(wǎng)站大數(shù)據(jù)系統(tǒng)存在漏洞情況,涉及北京、浙江、四川、重慶、廣東、江蘇、湖北、湖南等地;2022年1月7日,ATW組織聲稱出售“中國(guó)大量政府、非政府組織、機(jī)構(gòu)和公司數(shù)據(jù),待售數(shù)據(jù)涉及102家中國(guó)實(shí)體單位”;2022年3月4日,ATW組織宣布解散,但3月5日又宣布經(jīng)費(fèi)充足再次上線;2022年3月6日,ATW在電報(bào)群組中發(fā)布消息稱“攻破了匯金投資公司,竊取了大量數(shù)據(jù)”,并提供了數(shù)據(jù)的下載鏈接;2022年3月28日,宣稱“廣發(fā)銀行已被攻破”,發(fā)布“整個(gè)后端源代碼、maven 版本”等數(shù)據(jù);2022年8月12日,ATW組織在推特發(fā)布數(shù)據(jù)售賣帖,稱其從中興通訊公司服務(wù)器獲取了4000條人員的電話號(hào)碼和姓名數(shù)據(jù)。
據(jù)不完全統(tǒng)計(jì),自2021年以來,ATW組織披露涉我國(guó)重要信息系統(tǒng)源代碼、數(shù)據(jù)庫(kù)等敏感信息70余次,宣稱涉及100余家單位的300余個(gè)信息系統(tǒng)。實(shí)際上,所謂泄露的源代碼主要是中小型軟件開發(fā)企業(yè)所研發(fā)的測(cè)試項(xiàng)目代碼文件,不包含數(shù)據(jù)信息。但ATW組織為了博取關(guān)注,極盡歪曲解讀、夸大其詞之能事,動(dòng)輒使用“大規(guī)模監(jiān)控”、“侵犯人權(quán)”、“侵犯隱私”等美西方慣用的“標(biāo)簽”,意圖凸顯攻擊目標(biāo)和所竊數(shù)據(jù)重要性,以至于看起來,一個(gè)比一個(gè)嚇人,并在黑客論壇恣意曝光,自我炒作、炫耀“戰(zhàn)果”。
成員有吸食等行為,多為程序員網(wǎng)絡(luò)工程師
技術(shù)團(tuán)隊(duì)長(zhǎng)期跟蹤發(fā)現(xiàn),ATW組織平日活躍成員6名,多從事程序員、網(wǎng)絡(luò)工程師相關(guān)職業(yè),主要位于瑞士、法國(guó)、波蘭、加拿大等國(guó)。
梳理該組織成員活動(dòng)時(shí)段發(fā)現(xiàn),其休息時(shí)間為北京時(shí)間15時(shí)至19時(shí),工作時(shí)間集中在北京時(shí)間凌晨3時(shí)至13時(shí),對(duì)應(yīng)零時(shí)區(qū)和東1時(shí)區(qū)的西歐國(guó)家。其中,2名骨干成員身份信息如下:
蒂莉·考特曼(Tillie Kottmann),1999年8月7日生于瑞士盧塞恩,自稱是黑客、無(wú)政府主義者,以女性自居。其曾在瑞士BBZW Sursee思科學(xué)院、德國(guó)auticon GmbH公司、瑞士Egon AG公司工作。蒂莉·考特曼還是Dogbin網(wǎng)站(短鏈接轉(zhuǎn)換網(wǎng)站)的創(chuàng)始人和首席開發(fā)人員。
2020年4月以來,蒂莉·考特曼通過“聲吶方塊”平臺(tái)漏洞獲取企業(yè)信息系統(tǒng)源代碼數(shù)據(jù);2020年7月,蒂莉·考特曼在互聯(lián)網(wǎng)上曝光了微軟、高通、通用電氣、摩托羅拉、任天堂、迪士尼50余家知名企業(yè)信息系統(tǒng)源代碼;2021年3月12日,瑞士警方搜查蒂莉·考特曼住所并扣押大量網(wǎng)絡(luò)設(shè)備;2021年3月18日,美國(guó)司法部發(fā)布對(duì)蒂莉·考特曼的書,但3月底突然中止該案審理。此后,中國(guó)成了蒂莉·考特曼的主要目標(biāo)之一。
帕韋爾?杜達(dá)(PawelDuda),波蘭人,軟件工程師。其曾在多家網(wǎng)絡(luò)公司從事軟件工程工作。該人日常會(huì)進(jìn)行黑客技術(shù)研究,并在Slides.com網(wǎng)站共享文件中設(shè)置了“成為更好的黑客”的座右銘。
此外,據(jù)了解,該組織成員有長(zhǎng)期服用精神類藥物、吸食等行為,包括吸食(K粉),還會(huì)將(治療嗜睡的藥物,具有成癮性)和可樂一起服用。
全球針對(duì)政府的網(wǎng)絡(luò)攻擊猛增95%,該組織為主犯
據(jù)CSO Online報(bào)道,基于人工智能的網(wǎng)絡(luò)安全公司CloudSek的一份新報(bào)告顯示,與2021年同期相比,2022年下半年全球針對(duì)政府部門的攻擊數(shù)量增加了95%。其中,印度、美國(guó)、印度尼西亞和中國(guó)在過去兩年中繼續(xù)成為最受攻擊的國(guó)家,占政府部門報(bào)告事件總數(shù)的40%。
報(bào)告稱,攻擊的增加可歸因于快速數(shù)字化和大流行期間向遠(yuǎn)程工作的轉(zhuǎn)變,這擴(kuò)大了政府實(shí)體的攻擊面?!斑@些統(tǒng)計(jì)數(shù)據(jù)表明,黑客組織的網(wǎng)絡(luò)攻擊不再局限于經(jīng)濟(jì)利益;相反,它們現(xiàn)在被用作表達(dá)對(duì)某些、宗教甚至經(jīng)濟(jì)事件和政策的支持或反對(duì)的手段?!眻?bào)告說。報(bào)告補(bǔ)充稱:“黑客組織已經(jīng)開始開發(fā)和宣傳專門的犯罪基礎(chǔ)設(shè)施服務(wù),團(tuán)體或個(gè)人可以購(gòu)買這些服務(wù)并將其用于各種邪惡目的?!迸c此同時(shí),根據(jù)IBM的數(shù)據(jù),黑客組織KelvinSecurity、AgainstTheWest是去年威脅最突出的兩個(gè)參與者。這兩個(gè)群體在2021年也是最突出的。
其中,AgainstTheWest于2021年10月開始運(yùn)營(yíng),它專注于泄露特定地區(qū)的數(shù)據(jù)并在暗網(wǎng)上出售。該組織發(fā)起了針對(duì)不同國(guó)家的“人民幣行動(dòng)”、“盧布行動(dòng)”和“歐盟安全行動(dòng)”等行動(dòng)。他們還與不同的黑客組織合作。
CloudSek指出,為了防止將來還被攻擊,政府機(jī)構(gòu)需要轉(zhuǎn)向零信任模型,其中假設(shè)用戶身份或網(wǎng)絡(luò)本身可能已經(jīng)受到損害,需要主動(dòng)驗(yàn)證用戶活動(dòng)的真實(shí)性。
奇安盤古研究員在接受《環(huán)球時(shí)報(bào)》記者采訪表示,ATW等那些對(duì)中國(guó)懷有敵意的組織,他們的一舉一動(dòng),中國(guó)安全人員盡在掌握。后續(xù),技術(shù)團(tuán)隊(duì)還將陸續(xù)公布對(duì)相關(guān)事件調(diào)查的更多技術(shù)細(xì)節(jié)。針對(duì)境外黑客組織對(duì)我國(guó)的瘋狂攻擊和抹黑行為,該如何應(yīng)對(duì)?
該研究員給出了三項(xiàng)防范對(duì)策建議:首先是建議軟件開發(fā)企業(yè)立即修復(fù)SonarQube、VueJs、Gogs、GitLab、Gitblit等軟件漏洞,嚴(yán)格控制公網(wǎng)訪問權(quán)限,及時(shí)修改默認(rèn)訪問密碼,進(jìn)一步提高對(duì)源代碼的安全管理能力。其次是針對(duì)已在用戶單位部署的系統(tǒng)源代碼外泄情況,建議軟件開發(fā)企業(yè)應(yīng)加強(qiáng)系統(tǒng)源代碼安全審計(jì),及時(shí)發(fā)現(xiàn)并修復(fù)軟件安全漏洞,防止黑客利用系統(tǒng)漏洞進(jìn)行攻擊,并對(duì)重要信息系統(tǒng)源碼及數(shù)據(jù)進(jìn)行加密存儲(chǔ),落實(shí)網(wǎng)絡(luò)安全防護(hù)措施。最后建議國(guó)家有關(guān)職能部門、技術(shù)安全團(tuán)隊(duì)加強(qiáng)對(duì)ATW組織非法網(wǎng)絡(luò)攻擊活動(dòng)的監(jiān)測(cè),及時(shí)預(yù)警攻擊動(dòng)向,開展背景溯源和反制打擊。
(來源:極目新聞)
更多精彩資訊請(qǐng)?jiān)趹?yīng)用市場(chǎng)下載“極目新聞”客戶端,未經(jīng)授權(quán)請(qǐng)勿轉(zhuǎn)載,歡迎提供新聞線索,一經(jīng)采納即付報(bào)酬。24小時(shí)報(bào)料熱線027-86777777。