2月19日，《环球时报》记者从北京奇安盘古实验室独家得悉一份陈述，该陈述揭秘了一个将我国作为首要进犯方针的黑客安排AgainstTheWest（下称“ATW”）的概况内情。该安排核心成员来自于欧洲、北美区域，对我国张狂施行网络进犯、数据盗取和发表炒作活动，对我国的网络安全、数据安全构成了严重损害。

　　这是奇安盘古继上一年揭露曝光美国“方程式”安排“电幕举动”（Bvp47）完好技能细节之后，再次曝光了对华施行数据盗取和网络进犯的ATW安排实在面貌，旨在让暗地真凶浮出水面，切断损害我国数据安全的魔手。

　　据该安排研究人员介绍，自2021年以来，ATW安排声称发表涉我国重要信息体系源代码、数据库等灵敏信息70余次，触及国家重要政府部门、航空、基础设施等100余家单位的300余个信息体系，并表达了固执的态度。特别2022年以来，ATW安排滋扰气势加重，继续对我国的网络方针施行大规模网络扫描勘探和“供应链”进犯。

　　奇安盘古长时间盯梢发现，ATW安排活泼成员多从事程序员、网络工程师相关作业，首要坐落瑞士、法国、波兰、加拿大等国。研究人员主张国家有关部门、安全团队加强对不合法网络进犯活动的监测，及时预警进犯意向，展开布景溯源和反制冲击。

　　《环球时报》记者得悉，北京奇安盘古实验室经过长时间盯梢发现，2021年10月以来，一自称AgainstTheWest（下称“ATW”）的黑客安排，将我国作为首要进犯方针，张狂施行网络进犯、数据盗取和发表炒作活动，对我国的网络安全、数据安全构成严重损害。ATW安排终究什么来头？研究员进行了具体揭秘，并给出应对主张。

　　ATW安排建立于2021年6月，10月开端在“阵列论坛”（RaidForums）上大举活动。尽管将账号特性签名设置为“民族国家安排”，但实际上，这是一个以欧洲、北美区域从事程序员、网络工程师等作业的人员自发安排建立的松懈网络安排。

　　ATW安排自建立伊始，便张狂从事活动，揭露称“将首要针对我国、朝鲜和其他国家发布政府数据泄密帖子”，还专门发布过一篇题为“ATW-对华战役”的帖子，光秃秃地支撑“”、鼓噪“港独”、炒作新疆“人权问题”。

　　据不完全统计，自2021年以来，ATW安排发表涉我重要信息体系源代码、数据库等灵敏信息70余次，声称触及100余家单位的300余个信息体系。实际上，所谓走漏的源代码首要是中小型软件开发企业所研制的测验项目代码文件，不包含数据信息。但ATW安排为了获取重视，极尽曲解解读、言过其实之能事，动辄运用“大规模监控”、“侵略人权”、“侵略隐私”等美西方惯用的“标签”，意图凸显进犯方针和所窃数据重要性，以至于看起来，一个比一个吓人。

　　2021年10月14日，ATW在“阵列论坛”（RaidForums）发布题为“人民币举动（Operation Renminbi）”的帖子，称“出售我国某金融安排相关软件项目源代码”。

　　2021年11月2日，ATW安排在“阵列论坛”发布信息，称“我国某互联网科技公司已被其攻破”，并供给了数据库和SSH密钥的下载方式。

　　2021年11月24日，ATW安排发布了16个政府网站大数据体系存在缝隙状况，触及北京、浙江、四川、重庆、广东、江苏、湖北、湖南等地。

　　2022年1月7日，ATW安排声称出售“我国很多政府、非政府安排、安排和公司数据，待售数据触及102家我国实体单位”。

　　2022年3月4日，ATW安排宣告闭幕，但3月5日又宣告经费足够再次上线日，声称“我国某商业银行已被攻破”，发布“整个后端源代码、maven 版别”等数据。

　　2022年8月12日，ATW安排在推特发布数据售卖帖，称其从我国某通讯科技公司服务器获取了4000条差人人员的电话号码和名字数据。

　　2022年8月16日，ATW安排经过Breached黑客论坛发布我国某交通运输公司源码文件，内容触及我国某交通运输公司的买卖、排程等26个体系项目代码。

　　技能团队长时间盯梢发现，ATW安排素日活泼成员6名，多从事程序员、网络工程师相关作业，首要坐落瑞士、法国、波兰、加拿大等国。

　　梳理该安排成员活动时段发现，其休息时间为北京时间15时至19时，作业时间会集在北京时间清晨3时至13时，对应零时区和东1时区的西欧国家。其间，2名骨干成员身份信息如下：

　　蒂莉·考特曼（Tillie Kottmann），1999年8月7日生于瑞士卢塞恩，自称是黑客、无政府主义者，以女人自居。其曾在瑞士BBZW Sursee思科学院、德国auticon GmbH公司、瑞士Egon AG公司作业。蒂莉·考特曼仍是Dogbin网站（短链接转化网站）的开创人和首席开发人员。

　　2020年4月以来，蒂莉·考特曼经过“声呐方块”渠道缝隙获取企业信息体系源代码数据；2020年7月，蒂莉·考特曼在互联网上曝光了微软、高通、通用电气、摩托罗拉、任天堂、迪士尼50余家知名企业信息体系源代码；2021年3月12日，瑞士警方搜寻蒂莉·考特曼居处并扣押很多网络设备；2021年3月18日，美国司法部发布对蒂莉·考特曼的申述书，但3月底忽然间断该案审理。尔后，我国成了蒂莉·考特曼的首要方针之一。

　　蒂莉·考特曼（Tillie Kottmann）的Twitter账号@nyancrimew被推特公司停用后，于2022年2月从头注册运用。个人简介中自称为“被申述的黑客/安全研究员、艺术家、精力病患者”。2023年1月至今，发布及转推78次。

　　帕韦尔∙杜达（PawelDuda），波兰人，软件工程师。其曾在多家网络公司从事软件工程作业。

　　该人日常会进行黑客技能研究，并在站同享文件中设置了“成为更好的黑客”的座右铭。

　　此外，据了解，该安排成员有长时间服用精力类药物、啃咬毒品等行为，包含啃咬（），还会将（医治嗜睡的药物，具有成瘾性）和可乐一同服用。

　　查询发现，ATW安排声称进犯盗取涉我党政机关、科研安排等单位的数据，实则均来源于为我重要单位供给软件开发的中小型信息技能和软件开发企业，盗取数据也多为开发过程中的测验数据。

　　该安排的进犯方法首要是针对SonarQube、Gogs、Gitblit等开源网络体系存在的技能缝隙施行大规模扫描和进犯，从而经过“拖库”，盗取相关源代码、数据等。相关信息可用于对触及的网络信息体系施行进一步缝隙发掘和浸透进犯，归于典型的“供应链”进犯。

　　该安排的行为与自我标榜的“品德黑客”着实相去甚远，并非向存在缝隙的企业发布预警提示信息，以进步这些企业的安全防备才能。相反，更多的是运用这些缝隙施行进犯浸透、盗取数据，并在黑客论坛任意曝光，夸耀“战果”。2022年以来，ATW安排滋扰气势加重，继续对我国的网络方针施行大规模网络扫描勘探和“供应链”进犯。为凸显进犯方针和所窃数据重要性，屡次对所窃数据进行曲解解读、言过其实，极力合作美西方政府为我扣上“网络威权主义”帽子，并大力鼓动、诽谤我国的数据安全办理才能，行径恶劣，气焰嚣张，自我炒作、借机进犯我国的意图非常显着。

　　ATW对我国企业单位展开网络进犯过程中，很多运用了源代码办理渠道、开源结构等存在的技能缝隙。首要包含：

　　VueJs结构缝隙。VueJs结构为JavaScript前端开发结构，VueJS源代码在GitHub发布，一起自身具有较多缝隙，运用网络指纹嗅探体系可直接扫描勘探，GitHub上相同存在专门针对VueJS的缝隙运用东西。

　　Gogs、GitLab、Gitblit等其他源代码办理渠道缝隙。上述渠道存在的未授权拜访缝隙，无需特别权限即可拜访和下载存储在办理渠道上的体系源代码数据。

　　经过对全网设备进行空间测绘，发现上述开源渠道在国内运用广泛。对存在危险的财物项目进行进一步剖析发现，其间包含触及我国多家重要单位的体系源代码。SonarQube、Gitblit、Gogs的各渠道运用状况如下：

　　为保护其进犯行为，ATW安排运用了一批“跳板”和代理服务器，首要散布在英国、北马其顿、瑞典、罗马尼亚等国家。相关IOC目标信息如下：

　　在RaidForums论坛上发现的ATW黑客安排相关账号包含，“AgainstTheWest”注册于2021年10月12日，是发布走漏涉我国数据的首要账号；“AgainstTheYankees”为该安排11月16日最新注册帐号，地理位置标示在台湾花莲，作业为情报经销商，由“AgainstTheWest”引荐参加论坛；“Majestic-12”疑为匿名者黑客安排与ATW黑客安排的中心联络人，曾回复“ATW-对华战役”网帖，召唤更多黑客、程序员参加，一起对立我国；“NtRaiseHardError”在论坛屡次售卖涉我数据，表明只进犯和收买我国政府数据，不会进犯美国、加拿大、英国、俄罗斯政府。该黑客与“AgainstTheWest”有数据买卖，互动频频，关系密切；“Kristina”在论坛发帖称我国某互联网科技公司已被其攻破，并供给数据库和SSH密钥下载，触及“国家政务服务渠道”、“内蒙古自治区政府门户网站”；“Ytwang”曾发帖表明要购买新疆营地、差人体系等数据库信息，以及留言表明对某科技公司相关信息很感兴趣。

　　针对境外黑客安排对我国的张狂进犯和抹黑行为，该怎么应对？奇安盘古研究员给出了三项防备对策主张：

　　首先是主张软件开发企业当即修正SonarQube、VueJs、Gogs、GitLab、Gitblit等软件缝隙，严格控制公网拜访权限，及时修正默许拜访暗码，进一步进步对源代码的安全办理才能。

　　其次是针对已在用户单位布置的体系源代码外泄状况，主张软件开发企业应加强体系源代码安全审计，及时发现并修正软件安全缝隙，避免黑客运用体系缝隙进行进犯，并对重要信息体系源码及数据进行加密存储，执行网络安全防护办法。

　　最终主张国家有关职能部门、技能安全团队加强对ATW安排不合法网络进犯活动的监测，及时预警进犯意向，展开布景溯源和反制冲击。

　　奇安盘古研究员对《环球时报》表明，本陈述发布ATW黑客安排的进犯方法及运用的缝隙、网络码址，意图是使我们看清ATW安排长时间以来针对我国施行网络进犯、数据盗取活动的实质，针对性修补缝隙，做好安全加固，不断提高网络安全、数据安全防护才能水平。一起也警告ATW等那些对我国怀有敌意的安排，他们的一举一动，我国安全人员尽在把握。后续，技能团队还将连续发布对相关事件查询的更多技能细节。