2月19日，《环球时报》记者从北京奇安盘古实验室独家获悉一份报告，该报告揭秘了一个将中国作为主要攻击目标的黑客组织AgainstTheWest（下称“ATW”）的详情内幕。该组织核心成员来自于欧洲、北美地区，对我国疯狂实施网络攻击、数据窃取和披露炒作活动，对我国的网络安全、数据安全构成了严重危害。

一、这个核心成员来自欧美的组织，正对中国疯狂实施网络攻击

这是奇安盘古继去年公开曝光美国“方程式”组织“电幕行动”（Bvp47）完整技术细节之后，再次曝光了对华实施数据窃取和网络攻击的ATW组织真实面目，旨在让幕后真凶浮出水面，斩断危害中国数据安全的魔手。

据该机构研究人员介绍，自2021年以来，ATW组织宣称披露涉我国重要信息系统源代码、数据库等敏感信息70余次，涉及国家重要政府部门、航空、基础设施等100余家单位的300余个信息系统，并表达了顽固的反华立场。尤其2022年以来，ATW组织滋扰势头加剧，持续对中国的网络目标实施大规模网络扫描探测和“供应链”攻击。

奇安盘古长期跟踪发现，ATW组织活跃成员多从事程序员、网络工程师相关职业，主要位于瑞士、法国、波兰、加拿大等国。研究人员建议国家有关部门、安全团队加强对非法网络攻击活动的监测，及时预警攻击动向，开展背景溯源和反制打击。

二、详细揭秘：疯狂对华实施数据窃取的ATM组织

《环球时报》记者获悉，北京奇安盘古实验室通过长期跟踪发现，2021年10月以来，一自称AgainstTheWest（下称“ATW”）的黑客组织，将中国作为主要攻击目标，疯狂实施网络攻击、数据窃取和披露炒作活动，对我国的网络安全、数据安全构成严重危害。ATW组织究竟什么来头？研究员进行了详细揭秘，并给出应对建议。

（1）ATW组织及其主要攻击活动

ATW组织成立于2021年6月，10月开始在“阵列论坛”（RaidForums）上大肆活动。虽然将账号个性签名设置为“民族国家组织”，但实际上，这是一个以欧洲、北美地区从事程序员、网络工程师等职业的人员自发组织成立的松散网络组织。

ATW组织自成立伊始，便疯狂从事反华活动，公开称“将主要针对中国、朝鲜和其他国家发布政府数据泄密帖子”，还专门发布过一篇题为“ATW-对华战争”的帖子，赤裸裸地支持“台独”、鼓噪“港独”、炒作新疆“人权问题”。

2021年10月，ATW组织开始频繁活动，不断在电报群组（https://t.me/s/ATW2022，Email:[email protected]，备份Email:[email protected]）、推特（@_AgainstTheWest，https://mobile.twitter.com/_AgainstTheWest）、Breadched（账号：AgainstTheWest）等境外社交平台开设新账号，扩大宣传途径，并表现出较明显的亲美西方政治倾向，多次声明“攻击目标是俄罗斯、白俄罗斯和中国、伊朗、朝鲜”、“愿意与美国、欧盟政府共享所有文件”、“愿受雇于相关机构”。

据不完全统计，自2021年以来，ATW组织披露涉我重要信息系统源代码、数据库等敏感信息70余次，宣称涉及100余家单位的300余个信息系统。实际上，所谓泄露的源代码主要是中小型软件开发企业所研发的测试项目代码文件，不包含数据信息。但ATW组织为了博取关注，极尽歪曲解读、夸大其词之能事，动辄使用“大规模监控”、“侵犯人权”、“侵犯隐私”等美西方惯用的“标签”，意图凸显攻击目标和所窃数据重要性，以至于看起来，一个比一个吓人。

2021年10月14日，ATW在“阵列论坛”（RaidForums）发布题为“人民币行动（Operation Renminbi）”的帖子，称“出售中国某银行相关软件项目源代码”。

2021年11月2日，ATW组织在“阵列论坛”发布信息，称“广州某公司已被其攻破”，并提供了数据库和SSH密钥的下载方式。

2021年11月24日，ATW组织发布了16个政府网站大数据系统存在漏洞情况，涉及北京、浙江、四川、重庆、广东、江苏、湖北、湖南等地。

2022年1月7日，ATW组织声称出售“中国大量政府、非政府组织、机构和公司数据，待售数据涉及102家中国实体单位”。

2022年3月4日，ATW组织宣布解散，但3月5日又宣布经费充足再次上线。

2022年3月6日，ATW在电报群组中发布消息称“攻破了某投资公司，窃取了大量数据”，并提供了数据的下载链接。

2022年3月28日，宣称“某银行已被攻破”，发布“整个后端源代码、maven 版本”等数据。

2022年4月5日，ATW组织发布“中国各省市共计48家医院信息系统源代码”。

2022年8月12日，ATW组织在推特发布数据售卖帖，称其从某通讯公司服务器获取了4000条警察人员的电话号码和姓名数据。

2022年8月16日，ATW组织通过Breached黑客论坛公布某铁路系统源码文件，内容涉及某铁路公司的交易、排程等26个系统项目代码。

（2） ATW组织主要成员

技术团队长期跟踪发现，ATW组织平日活跃成员6名，多从事程序员、网络工程师相关职业，主要位于瑞士、法国、波兰、加拿大等国。

梳理该组织成员活动时段发现，其休息时间为北京时间15时至19时，工作时间集中在北京时间凌晨3时至13时，对应零时区和东1时区的西欧国家。其中，2名骨干成员身份信息如下：

蒂莉·考特曼（Tillie Kottmann），1999年8月7日生于瑞士卢塞恩，自称是黑客、无政府主义者，以女性自居。其曾在瑞士BBZW Sursee思科学院、德国auticon GmbH公司、瑞士Egon AG公司工作。蒂莉·考特曼还是Dogbin网站（短链接转换网站）的创始人和首席开发人员。

2020年4月以来，蒂莉·考特曼通过“声呐方块”平台漏洞获取企业信息系统源代码数据；2020年7月，蒂莉·考特曼在互联网上曝光了微软、高通、通用电气、摩托罗拉、任天堂、迪士尼50余家知名企业信息系统源代码；2021年3月12日，瑞士警方搜查蒂莉·考特曼住所并扣押大量网络设备；2021年3月18日，美国司法部发布对蒂莉·考特曼的起诉书，但3月底突然中止该案审理。此后，中国成了蒂莉·考特曼的主要目标之一。

美国司法部对蒂莉·考特曼的起诉书及公布照片

蒂莉·考特曼（Tillie Kottmann）的Twitter账号@nyancrimew被推特公司停用后，于2022年2月重新注册使用。个人简介中自称为“被起诉的黑客/安全研究员、艺术家、精神病患者”。2023年1月至今，发布及转推78次。

帕韦尔∙杜达（PawelDuda），波兰人，软件工程师。其曾在多家网络公司从事软件工程工作。

该人日常会进行黑客技术研究，并在http://Slides.com网站共享文件中设置了“成为更好的黑客”的座右铭。

此外，据了解，该组织成员有长期服用精神类药物、吸食毒品等行为，包括吸食氯胺酮（K粉），还会将莫达非尼（治疗嗜睡的药物，具有成瘾性）和可乐一起服用。

（3） ATW组织主要攻击手法

调查发现，ATW组织宣称攻击窃取涉我党政机关、科研机构等单位的数据，实则均来源于为我重要单位提供软件开发的中小型信息技术和软件开发企业，窃取数据也多为开发过程中的测试数据。

该组织的攻击手法主要是针对SonarQube、Gogs、Gitblit等开源网络系统存在的技术漏洞实施大规模扫描和攻击，进而通过“拖库”，窃取相关源代码、数据等。相关信息可用于对涉及的网络信息系统实施进一步漏洞挖掘和渗透攻击，属于典型的“供应链”攻击。

该组织的行为与自我标榜的“道德黑客”着实相去甚远，并非向存在漏洞的企业发布预警提示信息，以提高这些企业的安全防范能力。相反，更多的是利用这些漏洞实施攻击渗透、窃取数据，并在黑客论坛恣意曝光，炫耀“战果”。2022年以来，ATW组织滋扰势头加剧，持续对中国的网络目标实施大规模网络扫描探测和“供应链”攻击。为凸显攻击目标和所窃数据重要性，多次对所窃数据进行歪曲解读、夸大其词，竭力配合美西方政府为我扣上“网络威权主义”帽子，并大力煽动、诋毁中国的数据安全治理能力，行径恶劣，气焰嚣张，自我炒作、借机攻击中国的意图十分明显。

（4） ATW组织漏洞攻击利用情况

ATW对中国企业单位开展网络攻击过程中，大量使用了源代码管理平台、开源框架等存在的技术漏洞。主要包括：

SonarQube漏洞。漏洞编号为CVE-2020-27986，该漏洞描述为SonarQube系统存在未授权访问漏洞。涉及版本：SnoarQube开源版<=9.1.0.47736；SonarQube稳定版<=8.9.3。

VueJs框架漏洞。VueJs框架为JavaScript前端开发框架，VueJS源代码在GitHub发布，同时本身具备较多漏洞，使用网络指纹嗅探系统可直接扫描探测，GitHub上同样存在专门针对VueJS的漏洞利用工具。

Gogs、GitLab、Gitblit等其他源代码管理平台漏洞。上述平台存在的未授权访问漏洞，无需特殊权限即可访问和下载存储在管理平台上的系统源代码数据。

通过对全网设备进行空间测绘，发现上述开源平台在国内使用广泛。对存在风险的资产项目进行进一步分析发现，其中包含涉及我国多家重要单位的系统源代码。SonarQube、Gitblit、Gogs的各平台使用情况如下：

（5） ATW组织攻击使用码址资源

为掩护其攻击行为，ATW组织使用了一批“跳板”和代理服务器，主要分布在英国、北马其顿、瑞典、罗马尼亚等国家。相关IOC指标信息如下：

在RaidForums论坛上发现的ATW黑客组织关联账号包括，“AgainstTheWest”注册于2021年10月12日，是发布泄露涉中国数据的主要账号；“AgainstTheYankees”为该组织11月16日最新注册帐号，地理位置标注在台湾花莲，职业为情报经销商，由“AgainstTheWest”推荐加入论坛；“Majestic-12”疑为匿名者黑客组织与ATW反华黑客组织的中间联络人，曾回复“ATW-对华战争”网帖，号召更多黑客、程序员加入，共同对抗中国；“NtRaiseHardError”在论坛多次售卖涉我数据，表示只攻击和收购中国政府数据，不会攻击美国、加拿大、英国、俄罗斯政府。该黑客与“AgainstTheWest”有数据交易，互动频繁，关系密切；“Kristina”在论坛发帖称广州政企互联科技有限公司已被其攻破，并提供数据库和SSH密钥下载，涉及“国家政务服务平台”、“内蒙古自治区政府门户网站”；“Ytwang”曾发帖表示要购买新疆营地、警察系统等数据库信息，以及留言表示对滴普科技相关信息很感兴趣。

其余账号信息如下：

三、安全专家：中国企业亟需严防死守、做好安全加固

针对境外黑客组织对我国的疯狂攻击和抹黑行为，该如何应对？奇安盘古研究员给出了三项防范对策建议：

首先是建议软件开发企业立即修复SonarQube、VueJs、Gogs、GitLab、Gitblit等软件漏洞，严格控制公网访问权限，及时修改默认访问密码，进一步提高对源代码的安全管理能力。

其次是针对已在用户单位部署的系统源代码外泄情况，建议软件开发企业应加强系统源代码安全审计，及时发现并修复软件安全漏洞，防止黑客利用系统漏洞进行攻击，并对重要信息系统源码及数据进行加密存储，落实网络安全防护措施。

最后建议国家有关职能部门、技术安全团队加强对ATW组织非法网络攻击活动的监测，及时预警攻击动向，开展背景溯源和反制打击。

奇安盘古研究员对《环球时报》表示，本报告公布ATW黑客组织的攻击手法及使用的漏洞、网络码址，目的是使大家看清ATW组织长期以来针对中国实施网络攻击、数据窃取活动的本质，针对性修补漏洞，做好安全加固，不断提升网络安全、数据安全防护能力水平。同时也正告ATW等那些对中国怀有敌意的组织，他们的一举一动，中国安全人员尽在掌握。后续，技术团队还将陆续公布对相关事件调查的更多技术细节。

来源：奇安盘古实验室、环球网

早在去年6月份，西北工业大学就遭受了境外不明黑客组织的攻击。

当时，西工大称发现后已经报警。西安市公安局随即发布《警情通报》，证实在西北工业大学的信息网络中发现了多款源于境外的木马和恶意程序样本，西安警方已对此正式立案调查。

9月份，相关部门调查显示针对西北工业大学的网络攻击来自美国国家安全局（NSA）特定入侵行动办公室（TAO）。

而此次发布的调查报告（二），相关部门经过技术攻坚，成功锁定了其中13名主要黑客的真实身份。其中包括其是在什么时间通过什么方式窃取中国用户隐私数据，相当于“人赃俱获”。

天网恢恢，疏而不漏。可以看到，美国不但窃取了涉及国防人才培养的西工大数据，还无底线侵犯普通中国用户的隐私数据。窃取方式包括网络攻击、监听对话等，无所不用其极。

然而，作为被攻击方的我们，并非没有反击措施。

于国家安全层面，我国国家计算机病毒应急处理中心和360公司的网络专家，打破了一直以来美国对我国的“单向透明”优势，掌握了美国实施网络攻击的充分证据，相信此次若欧美的黑客ATW组织敢侵犯我国信息安全，国家计算机病毒应急处理中心也会有相应的措施；

于个人安全层面，我们每个人都可以行动起来，保护好自己的隐私数据。下面小编给大家提供一些网络安全专家认可的防护措施：

1. 不信任任何人下发的任何证书；
2. 保证http一直带s；
3. 杀毒软件留一个保持运行；
4. 不认识的应用不打开，防火墙不懂别乱动；
5. 连接不认识的wifi别信任；
6. 需要密码的部分永远强密码不重复。

此外，在涉及大量隐私信息的场景，比如在线社交，建议使用加密的通讯工具。比如一些主打安全私密的聊天软件，像蝙蝠加密聊天、line、iMessage等利用端对端加密的方式，致力于加强对用户的隐私保护。

端对端加密是目前国际范围内广泛认可的一种保密性极强的加密技术，用户注册即生成专属密钥，在发送端发送消息前用密钥对整个消息进行加密，接收端接收到消息后同样用密钥进行解密才能看到真实内容。

中间不会发生任何信息泄露，从而防拦截、防篡改和防监听。

与微信、QQ等聊天软件最大的区别在于，运用端对端加密技术的聊天软件不会把消息存储在服务器上，传输过程保密性强。

同时，这些安全加密的聊天软件也具有其他隐私保护功能。

比如我们蝙蝠加密聊天，具有截屏提醒（聊天中任意一方截屏，都会进行提示）、阅后即焚、密聊模式（双方头像打码，不能进行截屏录屏和消息转发，退出聊天窗口消息自动销毁）、双向撤回（不限时间撤回所有聊天记录，不可恢复找回）、隐身功能（从对方联系人列表消失）等。

能够在工作交流、内部资料传递、商务谈判报价、恋人联络、八卦吃瓜等生活的各个场景，保护好用户的隐私数据不被窃取。

最后，互联网赋能的大数据时代，信息保护关乎重大。每一次信息泄露都是一把悬在我们头顶的达摩克里斯之剑，只有充分重视信息安全，才能避免这把剑悄然落下，给国家、给个人造成无法挽回的损失。

蝙蝠官网:https://www.batchat.com/#/?channel=zhihu

1.ATW最初是靠攻击中国政府出名的（2021年人民币行动）。

2.ATW的目标是他们认为对西方社会构成威胁的国家，目前主要针对中国和俄罗斯（卢布行动）。

3.在未来，ATW计划攻击朝鲜、白俄罗斯，目前已经攻击了伊朗（里亚尔行动）。

4.ATW明确支持乌克兰，以及中国藏独、疆独、港独、台独。

5.ATW最初可能只有一个人，随着名气渐大，人数不断增加。目前他们表示自己由5人组成（我查到的信息是6个人，有一个名为“Pascal”的核心成员得癌症挂了）。

6.ATW的成员有前情报人员，而且根据其自己的描述，我推测他们有搞人力情报的。

7.美国司法部曾在2021年3月发布对蒂莉·考特曼（ATW成员之一）的起诉书，但3月底突然中止了该案审理。此后，中国成了蒂莉·考特曼的主要攻击目标。

8.ATW有翻译、财务、开发、设计师，分工明确。其成员在各自领域拥有多项技能认证，我查到其部分认证涉及军方。

9.ATW承诺永远不会攻击任何西方国家、政府、个人、公司，但ATW把收集的情报提供给了北约和美国。

10.ATW表示自己可以被雇用，并就有关事宜亲自询问他们。

综上所述，不难推断出结论。

ATW是疑似以反中反俄为恰饭手段，配合美西方国家对中国进行网络攻击的外包服务商。

根据目前掌握的信息来看，我国有大量官方数据被ATW窃取，华为、腾讯、阿里、京东、字节、小米等企业也有部分数据外泄。

值得关注的是，包括ATW在内的很多黑客组织在意识形态上敌视中国，其活动不但对我国防安全、公民财产形成风险，也会对中国的国际声誉造成严重损害。

有理由相信，ATW的行动最终将演变成敌对势力对我进行网络攻击的打手。为应对此类组织，我国应在数据库、CPU和操作系统等领域增强自研能力，将核心技术牢牢掌握在自己手中。