極目新聞記者 李曼英

(資料圖片僅供參考)

綜合《環球時報》、CSO Online報道，一個名為“AgainstTheWest”（下稱“ATW”）的黑客組織將中國作為主要攻擊目標，對中國瘋狂實施網絡攻擊、數據竊取和披露炒作活動，對我國的網絡安全、數據安全構成了嚴重危害。2月19日，極目新聞記者梳理報道發現，該黑客組織平日活躍成員6名，多從事程序員、網絡工程師相關職業，主要位于瑞士、法國、波蘭、加拿大等國，有長期服用精神類藥物、吸食毒品等行為。實際上，該黑客組織不僅攻擊中國，2022年下半年，全球針對政府的網絡攻擊猛增95%，主要就是該組織和另一黑客組織KelvinSecurity所為。

對中國瘋狂實施網絡攻擊，夸大其詞炒作“戰果”

據《環球時報》報道，ATW組織成立于2021年6月，同年10月開始在“陣列論壇”（RaidForums）上大肆活動。雖然將賬號個性簽名設置為“民族國家組織”，但實際上，這是一個以歐洲、北美地區從事程序員、網絡工程師等職業的人員自發組織成立的松散網絡組織。

ATW組織自成立伊始，便瘋狂從事反華活動，公開稱“將主要針對中國、朝鮮和其他國家發布政府數據泄密帖子”，還專門發布過一篇題為“ATW—對華戰爭”的帖子，赤裸裸地支持“臺獨”、鼓噪“港獨”、炒作新疆“人權問題”。

2021年10月14日，ATW在“陣列論壇”（RaidForums）發布題為“人民幣行動（Operation Renminbi）”的帖子，稱“出售中國人民銀行相關軟件項目源代碼”；2021年11月2日，ATW組織在“陣列論壇”發布信息，稱“廣州政企互聯科技有限公司已被其攻破”，并提供了數據庫和SSH密鑰的下載方式；2021年11月24日，ATW組織發布了16個政府網站大數據系統存在漏洞情況，涉及北京、浙江、四川、重慶、廣東、江蘇、湖北、湖南等地；2022年1月7日，ATW組織聲稱出售“中國大量政府、非政府組織、機構和公司數據，待售數據涉及102家中國實體單位”；2022年3月4日，ATW組織宣布解散，但3月5日又宣布經費充足再次上線；2022年3月6日，ATW在電報群組中發布消息稱“攻破了中央匯金投資公司，竊取了大量數據”，并提供了數據的下載鏈接；2022年3月28日，宣稱“廣發銀行已被攻破”，發布“整個后端源代碼、maven 版本”等數據；2022年8月12日，ATW組織在推特發布數據售賣帖，稱其從中興通訊公司服務器獲取了4000條警察人員的電話號碼和姓名數據。

據不完全統計，自2021年以來，ATW組織披露涉我國重要信息系統源代碼、數據庫等敏感信息70余次，宣稱涉及100余家單位的300余個信息系統。實際上，所謂泄露的源代碼主要是中小型軟件開發企業所研發的測試項目代碼文件，不包含數據信息。但ATW組織為了博取關注，極盡歪曲解讀、夸大其詞之能事，動輒使用“大規模監控”、“侵犯人權”、“侵犯隱私”等美西方慣用的“標簽”，意圖凸顯攻擊目標和所竊數據重要性，以至于看起來，一個比一個嚇人，并在黑客論壇恣意曝光，自我炒作、炫耀“戰果”。

成員有吸食毒品等行為，多為程序員網絡工程師

技術團隊長期跟蹤發現，ATW組織平日活躍成員6名，多從事程序員、網絡工程師相關職業，主要位于瑞士、法國、波蘭、加拿大等國。

梳理該組織成員活動時段發現，其休息時間為北京時間15時至19時，工作時間集中在北京時間凌晨3時至13時，對應零時區和東1時區的西歐國家。其中，2名骨干成員身份信息如下：

蒂莉·考特曼（Tillie Kottmann），1999年8月7日生于瑞士盧塞恩，自稱是黑客、無政府主義者，以女性自居。其曾在瑞士BBZW Sursee思科學院、德國auticon GmbH公司、瑞士Egon AG公司工作。蒂莉·考特曼還是Dogbin網站（短鏈接轉換網站）的創始人和首席開發人員。

2020年4月以來，蒂莉·考特曼通過“聲吶方塊”平臺漏洞獲取企業信息系統源代碼數據；2020年7月，蒂莉·考特曼在互聯網上曝光了微軟、高通、通用電氣、摩托羅拉、任天堂、迪士尼50余家知名企業信息系統源代碼；2021年3月12日，瑞士警方搜查蒂莉·考特曼住所并扣押大量網絡設備；2021年3月18日，美國司法部發布對蒂莉·考特曼的起訴書，但3月底突然中止該案審理。此后，中國成了蒂莉·考特曼的主要目標之一。

帕韋爾?杜達（PawelDuda），波蘭人，軟件工程師。其曾在多家網絡公司從事軟件工程工作。該人日常會進行黑客技術研究，并在Slides.com網站共享文件中設置了“成為更好的黑客”的座右銘。

此外，據了解，該組織成員有長期服用精神類藥物、吸食毒品等行為，包括吸食氯胺酮（K粉），還會將莫達非尼（治療嗜睡的藥物，具有成癮性）和可樂一起服用。

全球針對政府的網絡攻擊猛增95%，該組織為主犯

據CSO Online報道，基于人工智能的網絡安全公司CloudSek的一份新報告顯示，與2021年同期相比，2022年下半年全球針對政府部門的攻擊數量增加了95%。其中，印度、美國、印度尼西亞和中國在過去兩年中繼續成為最受攻擊的國家，占政府部門報告事件總數的40%。

報告稱，攻擊的增加可歸因于快速數字化和大流行期間向遠程工作的轉變，這擴大了政府實體的攻擊面?！斑@些統計數據表明，黑客組織的網絡攻擊不再局限于經濟利益；相反，它們現在被用作表達對某些政治、宗教甚至經濟事件和政策的支持或反對的手段?！眻蟾嬲f。報告補充稱：“黑客組織已經開始開發和宣傳專門的犯罪基礎設施服務，團體或個人可以購買這些服務并將其用于各種邪惡目的?！迸c此同時，根據IBM的數據，黑客組織KelvinSecurity、AgainstTheWest是去年威脅最突出的兩個參與者。這兩個群體在2021年也是最突出的。

其中，AgainstTheWest于2021年10月開始運營，它專注于泄露特定地區的數據并在暗網上出售。該組織發起了針對不同國家的“人民幣行動”、“盧布行動”和“歐盟安全行動”等行動。他們還與不同的黑客組織合作。

CloudSek指出，為了防止將來還被攻擊，政府機構需要轉向零信任模型，其中假設用戶身份或網絡本身可能已經受到損害，需要主動驗證用戶活動的真實性。

奇安盤古研究員在接受《環球時報》記者采訪表示，ATW等那些對中國懷有敵意的組織，他們的一舉一動，中國安全人員盡在掌握。后續，技術團隊還將陸續公布對相關事件調查的更多技術細節。針對境外黑客組織對我國的瘋狂攻擊和抹黑行為，該如何應對？

該研究員給出了三項防范對策建議：首先是建議軟件開發企業立即修復SonarQube、VueJs、Gogs、GitLab、Gitblit等軟件漏洞，嚴格控制公網訪問權限，及時修改默認訪問密碼，進一步提高對源代碼的安全管理能力。其次是針對已在用戶單位部署的系統源代碼外泄情況，建議軟件開發企業應加強系統源代碼安全審計，及時發現并修復軟件安全漏洞，防止黑客利用系統漏洞進行攻擊，并對重要信息系統源碼及數據進行加密存儲，落實網絡安全防護措施。最后建議國家有關職能部門、技術安全團隊加強對ATW組織非法網絡攻擊活動的監測，及時預警攻擊動向，開展背景溯源和反制打擊。

關鍵詞： 網絡工程師 信息系統 網絡攻擊 軟件開發