极目新闻记者 李曼英

(资料图片仅供参考)

综合《环球时报》、CSO Online报道，一个名为“AgainstTheWest”（下称“ATW”）的黑客组织将中国作为主要攻击目标，对中国疯狂实施网络攻击、数据窃取和披露炒作活动，对我国的网络安全、数据安全构成了严重危害。2月19日，极目新闻记者梳理报道发现，该黑客组织平日活跃成员6名，多从事程序员、网络工程师相关职业，主要位于瑞士、法国、波兰、加拿大等国，有长期服用精神类药物、吸食毒品等行为。实际上，该黑客组织不仅攻击中国，2022年下半年，全球针对政府的网络攻击猛增95%，主要就是该组织和另一黑客组织KelvinSecurity所为。

对中国疯狂实施网络攻击，夸大其词炒作“战果”

据《环球时报》报道，ATW组织成立于2021年6月，同年10月开始在“阵列论坛”（RaidForums）上大肆活动。虽然将账号个性签名设置为“民族国家组织”，但实际上，这是一个以欧洲、北美地区从事程序员、网络工程师等职业的人员自发组织成立的松散网络组织。

ATW组织自成立伊始，便疯狂从事反华活动，公开称“将主要针对中国、朝鲜和其他国家发布政府数据泄密帖子”，还专门发布过一篇题为“ATW—对华战争”的帖子，赤裸裸地支持“台独”、鼓噪“港独”、炒作新疆“人权问题”。

2021年10月14日，ATW在“阵列论坛”（RaidForums）发布题为“人民币行动（Operation Renminbi）”的帖子，称“出售中国人民银行相关软件项目源代码”；2021年11月2日，ATW组织在“阵列论坛”发布信息，称“广州政企互联科技有限公司已被其攻破”，并提供了数据库和SSH密钥的下载方式；2021年11月24日，ATW组织发布了16个政府网站大数据系统存在漏洞情况，涉及北京、浙江、四川、重庆、广东、江苏、湖北、湖南等地；2022年1月7日，ATW组织声称出售“中国大量政府、非政府组织、机构和公司数据，待售数据涉及102家中国实体单位”；2022年3月4日，ATW组织宣布解散，但3月5日又宣布经费充足再次上线；2022年3月6日，ATW在电报群组中发布消息称“攻破了中央汇金投资公司，窃取了大量数据”，并提供了数据的下载链接；2022年3月28日，宣称“广发银行已被攻破”，发布“整个后端源代码、maven 版本”等数据；2022年8月12日，ATW组织在推特发布数据售卖帖，称其从中兴通讯公司服务器获取了4000条警察人员的电话号码和姓名数据。

据不完全统计，自2021年以来，ATW组织披露涉我国重要信息系统源代码、数据库等敏感信息70余次，宣称涉及100余家单位的300余个信息系统。实际上，所谓泄露的源代码主要是中小型软件开发企业所研发的测试项目代码文件，不包含数据信息。但ATW组织为了博取关注，极尽歪曲解读、夸大其词之能事，动辄使用“大规模监控”、“侵犯人权”、“侵犯隐私”等美西方惯用的“标签”，意图凸显攻击目标和所窃数据重要性，以至于看起来，一个比一个吓人，并在黑客论坛恣意曝光，自我炒作、炫耀“战果”。

成员有吸食毒品等行为，多为程序员网络工程师

技术团队长期跟踪发现，ATW组织平日活跃成员6名，多从事程序员、网络工程师相关职业，主要位于瑞士、法国、波兰、加拿大等国。

梳理该组织成员活动时段发现，其休息时间为北京时间15时至19时，工作时间集中在北京时间凌晨3时至13时，对应零时区和东1时区的西欧国家。其中，2名骨干成员身份信息如下：

蒂莉·考特曼（Tillie Kottmann），1999年8月7日生于瑞士卢塞恩，自称是黑客、无政府主义者，以女性自居。其曾在瑞士BBZW Sursee思科学院、德国auticon GmbH公司、瑞士Egon AG公司工作。蒂莉·考特曼还是Dogbin网站（短链接转换网站）的创始人和首席开发人员。

2020年4月以来，蒂莉·考特曼通过“声呐方块”平台漏洞获取企业信息系统源代码数据；2020年7月，蒂莉·考特曼在互联网上曝光了微软、高通、通用电气、摩托罗拉、任天堂、迪士尼50余家知名企业信息系统源代码；2021年3月12日，瑞士警方搜查蒂莉·考特曼住所并扣押大量网络设备；2021年3月18日，美国司法部发布对蒂莉·考特曼的起诉书，但3月底突然中止该案审理。此后，中国成了蒂莉·考特曼的主要目标之一。

帕韦尔∙杜达（PawelDuda），波兰人，软件工程师。其曾在多家网络公司从事软件工程工作。该人日常会进行黑客技术研究，并在Slides.com网站共享文件中设置了“成为更好的黑客”的座右铭。

此外，据了解，该组织成员有长期服用精神类药物、吸食毒品等行为，包括吸食氯胺酮（K粉），还会将莫达非尼（治疗嗜睡的药物，具有成瘾性）和可乐一起服用。

全球针对政府的网络攻击猛增95%，该组织为主犯

据CSO Online报道，基于人工智能的网络安全公司CloudSek的一份新报告显示，与2021年同期相比，2022年下半年全球针对政府部门的攻击数量增加了95%。其中，印度、美国、印度尼西亚和中国在过去两年中继续成为最受攻击的国家，占政府部门报告事件总数的40%。

报告称，攻击的增加可归因于快速数字化和大流行期间向远程工作的转变，这扩大了政府实体的攻击面。“这些统计数据表明，黑客组织的网络攻击不再局限于经济利益；相反，它们现在被用作表达对某些政治、宗教甚至经济事件和政策的支持或反对的手段。”报告说。报告补充称：“黑客组织已经开始开发和宣传专门的犯罪基础设施服务，团体或个人可以购买这些服务并将其用于各种邪恶目的。”与此同时，根据IBM的数据，黑客组织KelvinSecurity、AgainstTheWest是去年威胁最突出的两个参与者。这两个群体在2021年也是最突出的。

其中，AgainstTheWest于2021年10月开始运营，它专注于泄露特定地区的数据并在暗网上出售。该组织发起了针对不同国家的“人民币行动”、“卢布行动”和“欧盟安全行动”等行动。他们还与不同的黑客组织合作。

CloudSek指出，为了防止将来还被攻击，政府机构需要转向零信任模型，其中假设用户身份或网络本身可能已经受到损害，需要主动验证用户活动的真实性。

奇安盘古研究员在接受《环球时报》记者采访表示，ATW等那些对中国怀有敌意的组织，他们的一举一动，中国安全人员尽在掌握。后续，技术团队还将陆续公布对相关事件调查的更多技术细节。针对境外黑客组织对我国的疯狂攻击和抹黑行为，该如何应对？

该研究员给出了三项防范对策建议：首先是建议软件开发企业立即修复SonarQube、VueJs、Gogs、GitLab、Gitblit等软件漏洞，严格控制公网访问权限，及时修改默认访问密码，进一步提高对源代码的安全管理能力。其次是针对已在用户单位部署的系统源代码外泄情况，建议软件开发企业应加强系统源代码安全审计，及时发现并修复软件安全漏洞，防止黑客利用系统漏洞进行攻击，并对重要信息系统源码及数据进行加密存储，落实网络安全防护措施。最后建议国家有关职能部门、技术安全团队加强对ATW组织非法网络攻击活动的监测，及时预警攻击动向，开展背景溯源和反制打击。

关键词： 网络工程师 信息系统 网络攻击 软件开发