#黑客组织正对中国疯狂实施网络攻击#,是哪个黑客团伙在为非作歹呢?下面是小编为大家整理的黑客组织正对中国疯狂实施网络攻击是谁,如果喜欢请收藏分享!
黑客组织正对中国疯狂实施网络攻击是谁?
记者获悉,北京奇安盘古实验室通过长期跟踪发现,2021年10月以来,一自称AgainstTheWest(下称“ATW”)的黑客组织,将中国作为主要攻击目标,疯狂实施网络攻击、数据窃取和披露炒作活动,对我国的网络安全、数据安全构成严重危害。ATW组织究竟什么来头?研究员进行了详细揭秘,并给出应对建议。
(1)ATW组织及其主要攻击活动
ATW组织成立于2021年6月,10月开始在“阵列论坛”(RaidForums)上大肆活动。虽然将账号个性签名设置为“民族国家组织”,但实际上,这是一个以欧洲、北美地区从事程序员、网络工程师等职业的人员自发组织成立的松散网络组织。
ATW组织自我介绍
ATW组织自成立伊始,便疯狂从事反华活动,公开称“将主要针对中国、朝鲜和其他国家发布政府数据泄密帖子”,还专门发布过一篇题为“ATW-对华战争”的帖子。
ATW组织发布的“ATW-对华战争”帖
2021年10月,ATW组织开始频繁活动,不断在电报群组、推特、Breadched等境外社交平台开设新账号,扩大宣传途径,并表现出较明显的亲美西方政治倾向,多次声明“攻击目标是俄罗斯、白俄罗斯和中国、伊朗、朝鲜”、“愿意与美国、欧盟政府共享所有文件”、“愿受雇于相关机构”。
ATW组织推特账号
据不完全统计,自2021年以来,ATW组织披露涉我重要信息系统源代码、数据库等敏感信息70余次,宣称涉及100余家单位的300余个信息系统。实际上,所谓泄露的源代码主要是中小型软件开发企业所研发的测试项目代码文件,不包含数据信息。但ATW组织为了博取关注,极尽歪曲解读、夸大其词之能事,动辄使用“大规模监控”、“侵犯人权”、“侵犯隐私”等美西方惯用的“标签”,意图凸显攻击目标和所窃数据重要性,以至于看起来,一个比一个吓人。
2021年10月14日,ATW在“阵列论坛”(RaidForums)发布题为“人民币行动(Operation Renminbi)”的帖子,称“出售中国人民银行相关软件项目源代码”。
2021年11月2日,ATW组织在“阵列论坛”发布信息,称“广州政企互联科技有限公司已被其攻破”,并提供了数据库和SSH密钥的下载方式。
2021年11月24日,ATW组织发布了16个政府网站大数据系统存在漏洞情况,涉及北京、浙江、四川、重庆、广东、江苏、湖北、湖南等地。
2022年1月7日,ATW组织声称出售“中国大量政府、非政府组织、机构和公司数据,待售数据涉及102家中国实体单位”。
2022年3月4日,ATW组织宣布解散,但3月5日又宣布经费充足再次上线。
2022年3月6日,ATW在电报群组中发布消息称“攻破了中央汇金投资公司,窃取了大量数据”,并提供了数据的下载链接。
2022年3月28日,宣称“广发银行已被攻破”,发布“整个后端源代码、maven 版本”等数据。
2022年4月5日,ATW组织发布“中国各省市共计48家医院信息系统源代码”。
2022年8月12日,ATW组织在推特发布数据售卖帖,称其从中兴通讯公司服务器获取了4000条警察人员的电话号码和姓名数据。
2022年8月16日,ATW组织通过Breached黑客论坛公布港铁系统源码文件,内容涉及香港铁路公司的交易、排程等26个系统项目代码。
(2) ATW组织主要成员
技术团队长期跟踪发现,ATW组织平日活跃成员6名,多从事程序员、网络工程师相关职业,主要位于瑞士、法国、波兰、加拿大等国。
梳理该组织成员活动时段发现,其休息时间为北京时间15时至19时,工作时间集中在北京时间凌晨3时至13时,对应零时区和东1时区的西欧国家。其中,2名骨干成员身份信息如下:
蒂莉·考特曼(Tillie Kottmann),1999年8月7日生于瑞士卢塞恩,自称是黑客、无政府主义者,以女性自居。其曾在瑞士BBZW Sursee思科学院、德国auticon GmbH公司、瑞士Egon AG公司工作。蒂莉·考特曼还是Dogbin网站(短链接转换网站)的创始人和首席开发人员。
蒂莉·考特曼
2020年4月以来,蒂莉·考特曼通过“声呐方块”平台漏洞获取企业信息系统源代码数据;2020年7月,蒂莉·考特曼在互联网上曝光了微软、高通、通用电气、摩托罗拉、任天堂、迪士尼50余家知名企业信息系统源代码;2021年3月12日,瑞士警方搜查蒂莉·考特曼住所并扣押大量网络设备;2021年3月18日,美国司法部发布对蒂莉·考特曼的起诉书,但3月底突然中止该案审理。此后,中国成了蒂莉·考特曼的主要目标之一。
美国司法部对蒂莉·考特曼的起诉书及公布照片
蒂莉·考特曼(Tillie Kottmann)的Twitter账号@nyancrimew被推特公司停用后,于2022年2月重新注册使用。个人简介中自称为“被起诉的黑客/安全研究员、艺术家、精神病患者”。2023年1月至今,发布及转推78次。
帕韦尔?杜达(PawelDuda),波兰人,软件工程师。其曾在多家网络公司从事软件工程工作。
该人日常会进行黑客技术研究,并在Slides.com网站共享文件中设置了“成为更好的黑客”的座右铭。
此外,据了解,该组织成员有长期服用精神类药物、吸食毒品等行为,包括吸食***(K粉),还会将***(治疗嗜睡的药物,具有成瘾性)和可乐一起服用。
(3) ATW组织主要攻击手法
调查发现,ATW组织宣称攻击窃取涉我党政机关、科研机构等单位的数据,实则均来源于为我重要单位提供软件开发的中小型信息技术和软件开发企业,窃取数据也多为开发过程中的测试数据。
该组织的攻击手法主要是针对SonarQube、Gogs、Gitblit等开源网络系统存在的技术漏洞实施大规模扫描和攻击,进而通过“拖库”,窃取相关源代码、数据等。相关信息可用于对涉及的网络信息系统实施进一步漏洞挖掘和渗透攻击,属于典型的“供应链”攻击。
该组织的行为与自我标榜的“道德黑客”着实相去甚远,并非向存在漏洞的企业发布预警提示信息,以提高这些企业的安全防范能力。相反,更多的是利用这些漏洞实施攻击渗透、窃取数据,并在黑客论坛恣意曝光,炫耀“战果”。2022年以来,ATW组织滋扰势头加剧,持续对中国的网络目标实施大规模网络扫描探测和“供应链”攻击。为凸显攻击目标和所窃数据重要性,多次对所窃数据进行歪曲解读、夸大其词,竭力配合美西方政府为我扣上“网络威权主义”帽子,并大力煽动、诋毁中国的数据安全治理能力,行径恶劣,气焰嚣张,自我炒作、借机攻击中国的意图十分明显。
(4) ATW组织漏洞攻击利用情况
ATW对中国企业单位开展网络攻击过程中,大量使用了源代码管理平台、开源框架等存在的技术漏洞。主要包括:
SonarQube漏洞。漏洞编号为CVE-2020-27986,该漏洞描述为SonarQube系统存在未授权访问漏洞。涉及版本:SnoarQube开源版<=9.1.0.47736;SonarQube稳定版<=8.9.3。
VueJs框架漏洞。VueJs框架为JavaScript前端开发框架,VueJS源代码在GitHub发布,同时本身具备较多漏洞,使用网络指纹嗅探系统可直接扫描探测,GitHub上同样存在专门针对VueJS的漏洞利用工具。
Gogs、GitLab、Gitblit等其他源代码管理平台漏洞。上述平台存在的未授权访问漏洞,无需特殊权限即可访问和下载存储在管理平台上的系统源代码数据。
通过对全网设备进行空间测绘,发现上述开源平台在国内使用广泛。对存在风险的资产项目进行进一步分析发现,其中包含涉及我国多家重要单位的系统源代码。SonarQube、Gitblit、Gogs的各平台使用情况如下:
(5) ATW组织攻击使用码址资源
为掩护其攻击行为,ATW组织使用了一批“跳板”和代理服务器,主要分布在英国、北马其顿、瑞典、罗马尼亚等国家。相关IOC指标信息如下:
在RaidForums论坛上发现的ATW黑客组织关联账号包括,“AgainstTheWest”注册于2021年10月12日,是发布泄露涉中国数据的主要账号;“AgainstTheYankees”为该组织11月16日最新注册帐号,地理位置标注在台湾花莲,职业为情报经销商,由“AgainstTheWest”推荐加入论坛;“Majestic-12”疑为匿名者黑客组织与ATW反华黑客组织的中间联络人,曾回复“ATW-对华战争”网帖,号召更多黑客、程序员加入,共同对抗中国;“NtRaiseHardError”在论坛多次售卖涉我数据,表示只攻击和收购中国政府数据,不会攻击美国、加拿大、英国、俄罗斯政府。该黑客与“AgainstTheWest”有数据交易,互动频繁,关系密切;“Kristina”在论坛发帖称广州政企互联科技有限公司已被其攻破,并提供数据库和SSH密钥下载,涉及“国家政务服务平台”、“内蒙古自治区政府门户网站”;“Ytwang”曾发帖表示要购买新疆营地、警察系统等数据库信息,以及留言表示对滴普科技相关信息很感兴趣。
黑客攻击手段的方式有什么?
密码猜解
密码是目前保护系统安全的主要方法之一,因此,通过精测、窃取等方式获取合法用户的账号和密码已经成为网络攻击的一个主要手段。
特洛伊木马
特洛伊木马(简称木马)攻击是将恶意功能程序伪装隐藏在另一合法程序中,吸引用户执行并且做出恶意操作(如记录用户键入的密码、远程传输文件,甚至完全远程控制计算机等)。
拒绝服务攻击
拒绝服务攻击通常有两种实施方式:一是利用系统漏洞或缺陷向目标系统发送非法数据包,使目标系统死机或重新启动;二是利用拒绝服务攻击工具向目标主机发送大量数据包,消耗网络带宽资源和主机资源,致使网络或系统负荷过载而停止向用户提供服务。目前影响最大、危害最深的是分布式 DoS 攻击。它通过控制大量网络主机同时向某个既定目标发动攻击,很容易导致被攻击主机系统瘫痪,且由于参与攻击主机数量庞大,难以定位攻击的来源。
漏洞攻击
漏洞攻击是指在未经授权的情况下,攻击者利用系统安全漏洞非法访问、读取、删改系统文件,达到破坏系统的目的。漏洞主要来源于系统设计缺陷、系统安全策略设置缺陷、编码错误、业务逻辑设计不合理、业务运行流程缺陷等。漏洞导致计算机或网络的整体安全出现缺口,使攻击者利用针对性工具,在未授权的情况下访问或破坏系统。近年来出现的零日漏洞黑客在漏洞被发现后立即进行恶意利用和攻击。这种攻击往往具有很大的突发性与破坏性。
网络钓鱼
网络钓鱼(Phishing,又称钓鱼法或钓鱼式攻击),是通过欺骗性的电子邮件和网站,伪装成可信网站或网页,骗取用户个人敏感信息,获取不正当利益的攻击方法。攻击者通常将自己伪装成网络银行、大型在线零售商等可信的品牌,通过欺骗性邮件将收信人引诱到经过精心设计,与收信人的目标网站非常相似的钓鱼网站上(如将 ICBC 修改为 1CBC),并获取收信人在此网站上输入的个人敏感信息。网络钓鱼所使用的常见伎俩有使用易混淆网址、子网域、含有特殊符号的欺骗链接,架设假基站、假 Wi-Fi 热点等。
社会工程攻击
社会工程攻击是一种利用社会工程学原理来实施的网络攻击行为,它利用人的弱点(如好奇、贪便宜等),通过欺诈、诱骗、威胁等方式入侵目标计算机系统。攻击者利用社会工程的概念,在获取攻击目标的背景信息的基础上,通过多种社交手段与受害人建立信任,向受害人索要关键信息,并以此为基础欺骗其他或更高层人员,不断重复,最终获取目标的敏感信息。对企业来说,与主要业务无直接关系的员工往往对于信息保密的警觉性较低,常会成为社会工程攻击首要锁定的目标。例如,攻击者掌握大量的背景信息后,冒充企业的总经理,要求财务人员进行转账。
后门攻击
后门是指软件开发者或情报机关出于商业、政治动机预留在目标产品、系统、算法内,便于隐秘进入或控制系统的非预期代码。后门攻击,即攻击者通过利用软件后门绕过安全认证机制,直接获取对程序或者系统的访问权。即使管理者通过改变所有密码之类的方法来提高安全性,攻击者仍然能够再次入侵,且由于后门通常会设法躲过日志,在大多数情况下,即使入侵者正在使用系统,也无法被检测到。
高级持续攻击
高级持续攻击(Advanced Persistent Threat,APT),是利用先进的攻击手段对特定目标进行长期、持续性网络攻击的攻击形式。通常是出于商业或政治动机,针对特定组织或国家进行长时间、高隐蔽性的持续攻击。高级持续攻击包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞;长期暗指某个外部力量会持续监控特定目标,并从中获取数据;威胁则指人为参与策划的攻击。
如何抵抗黑客攻击?
创建复杂的密码
你在应用或网站上访问帐户的密码应由数字,大写和小写字母以及难以猜到的特殊字符组成。请勿将相同的密码用于多个网站或帐户。如果黑客恰巧破译了你的密码之一,这可以限制对你的损害。
经常更改密码
应该至少每六个月更改一次你的各种帐户和设备上的密码。确保不要两次使用相同的密码(例如,你的 qq 密码应与银行密码不同,等等)。当你确实更改密码时,应该对其进行实质性的更改。不要简单地用数字代替一个字母。
使用两因素身份验证
两步身份验证要求你输入用户名和密码后,输入通过短信或其他服务发送给你的代码来访问你的帐户。即使黑客能够破译你的密码,这也使黑客更难以访问你的信息。大多数主要网站,包括流行的社交媒体网络,都具有某种形式的两因素身份验证。检查你的帐户设置以了解如何启用此功能。
使用完帐户后请注销
请确保单击(或点击)你的帐户名并选择注销(在某些情况下为注销)以手动注销你的帐户并从登录名中删除你的登录凭据。
加密硬盘
如果你的硬盘驱动器已加密,那么即使黑客设法获得对你的硬盘驱动器的访问权限,黑客也将无法读取其中存储的数据。在采取措施防止访问时,加密是保护信息的另一种方法。
经常备份数据
尽管有最严格的安全性,但你的数据仍有可能遭到破坏。这可能是黑客入侵或仅仅是计算机故障的结果。备份数据可确保你不会丢失任何数据。你可以使用基于云的服务来备份数据。在加入一项服务之前,请仔细检查这些服务的安全性。尽管你可能会想选择最便宜的服务,但你还是要确保数据安全。你还可以使用加密的外部硬盘驱动器来备份数据。将你的计算机设置为每天不经常使用计算机时,每天运行一次自动备份。
避免单击可疑链接或回复未知电子邮件
如果收到未经请求的电子邮件,或无法验证的来自发件人的电子邮件,请将其视为黑客企图。请勿单击任何链接或向发件人提供任何个人信息。请记住,即使回复电子邮件也会使发件人知道你的电子邮件地址有效。尽管你可能很想向他们发送讽刺的答复,但即使这样也会给他们提供他们可以用来入侵你的信息。
安装或激活防火墙
基于 Windows 的计算机和基于 Mac 的计算机都配备了防火墙,可以防止黑客访问你的计算机。但是,在某些计算机中,默认情况下未打开防火墙。进入计算机的安全设置,然后查找 “防火墙” 设置。到达那里后,请确保已打开它并阻止传入连接。如果你有无线网络,则你的路由器也应具有防火墙。
学会识别假网站
除了避免网站没有 “HTTPS” 和网址旁边的挂锁图标之外,在输入密码之前,请仔细检查网站的网址。某些网站会冒充另一个网站来尝试窃取你的登录信息(这被称为网络钓鱼诈骗);你可以通过查找多余的(或缺失的)字母,单词之间的破折号和多余的符号来发现这些站点。