ATW组织自成立伊始，便疯狂从事反华 运动，公开称“将重要针对中国、朝鲜和 其余国家公布政府数据泄密帖子”，还专门公布过一篇题为“ATW-对华战争”的帖子，赤裸裸地 支撑“台独”、鼓噪“港独”、炒作新疆“人权问题” 。

2021年10月，ATW组织开始频繁 运动，不停在电报群组(https：//t.me/s/ATW2022，Email：AgainstTheWest@riseup.net，备份Email：apt49@riseup.net)、推特(@_AgainstTheWest，https：//mobile.twitter.com/_AgainstTheWest)、Breadched(账号：AgainstTheWest)等境外社交平台开设新账号， 扩充宣传路径，并体现出较显而易见的亲美西方政治 偏袒， 屡次申明“袭击 指标是俄罗斯、白俄罗斯和中国、伊朗、朝鲜”、“情愿与美国、欧盟政府共享全部文件”、“愿受雇于 有关机构” 。

据不彻底统计，自2021年以来，ATW组织披露涉我重要信息系统源代码、数据库等敏感信息70余次，声称 波及100余家单位的300余个信息系统 。实际上，所谓泄露的源代码重要是中小型软件开发企业所研发的测试 名目代码文件，不包含数据信息 。但ATW组织为了博取关注，极尽 曲解解读、言过其实之能事，动不动使用“大规模监控”、“ 进犯人权”、“进犯隐衷”等美西方惯用的“标签”， 用意凸显袭击指标和所窃数据重要性， 甚至于看起来，一个比一个吓人 。

2021年10月14日，ATW在“阵列论坛”(RaidForums)公布题为“人民币行动(Operation Renminbi)”的帖子，称“ 销售中国人民银行有关软件名目源代码” 。

2021年11月2日，ATW组织在“阵列论坛”公布信息，称“广州政企互联科技有限公司已被其攻破”，并提供了数据库和SSH密钥的下载模式 。

2021年11月24日，ATW组织公布了16个政府网站大数据系统存在 漏洞状况，波及北京、浙江、四川、重庆、广东、江苏、湖北、湖南等地 。

2022年1月7日，ATW组织声称 销售“中国大量政府、非政府组织、机构和公司数据，待售数据 波及102家中国实体单位” 。

2022年3月4日，ATW组织宣告遣散，但3月5日又 宣告经费充足再次上线 。

2022年3月6日，ATW在电报群组中公布 信息称“攻破了中央汇金投资公司，窃取了大量数据”，并提供了数据的下载链接 。

2022年3月28日，声称“广发银行已被攻破”，公布“整个后端源代码、maven 版本”等数据 。

2022年4月5日，ATW组织公布“中国各省市共计48家医院信息系统源代码” 。

2022年8月12日，ATW组织在推特公布数据售卖帖，称其从中兴通信公司服务器猎取了4000条警察人员的电话号码和姓名数据 。

2022年8月16日，ATW组织通过Breached黑客论坛公布港铁系统源码文件，内容 波及香港铁路公司的交易、排程等26个系统名目代码 。

(2) ATW组织重要成员

技术团队长 工夫跟踪发现，ATW组织 平日活跃成员6名，多从事程序员、网络工程师 有关职业，重要位于瑞士、法国、波兰、加拿大等国 。

梳理该组织成员 运动时段发现，其歇息 工夫为北京 工夫15时至19时，工作 工夫集中在北京 工夫凌晨3时至13时，对应零时区和东1时区的西欧国家 。其中，2名骨干成员身份信息如下：

蒂莉·考特曼(Tillie Kottmann)，1999年8月7日生于瑞士卢塞恩，自称是黑客、无政府主义者，以女性自居 。其曾在瑞士BBZW Sursee思科学院、德国auticon GmbH公司、瑞士Egon AG公司工作 。蒂莉·考特曼还是Dogbin网站(短链接转换网站)的 独创人和首席开发人员 。2020年4月以来，蒂莉·考特曼通过“声呐方块”平台 漏洞猎取企业信息系统源代码数据；2020年7月，蒂莉·考特曼在互联网上曝光了微软、高通、通用电气、摩托罗拉、任天堂、迪士尼50余家知名企业信息系统源代码；2021年3月12日，瑞士警方搜查蒂莉·考特曼住所并扣押大量网络 设施；2021年3月18日，美国司法部公布对蒂莉·考特曼的起诉书，但3月底蓦地 停留该案审理 。 尔后，中国成了蒂莉·考特曼的重要 指标之一 。

蒂莉·考特曼(Tillie Kottmann)的Twitter账号@nyancrimew被推特公司停用后，于2022年2月再一次注册 使用 。个人简介中自称为“被起诉的黑客/安全探究员、艺术家、 精力病患者” 。2023年1月至今，公布及转推78次 。

帕韦尔?杜达(PawelDuda)，波兰人，软件工程师 。其曾在多家网络公司从事软件工程工作 。

该人日常会进行黑客技术探究，并在Slides.com网站共享文件中设置了“成为更好的黑客”的座右铭 。

此外，据了解，该组织成员有长工夫服用 精力类药物、吸食毒品等行为，包含吸食氯胺酮(K粉)，还会将莫达非尼( 医治嗜睡的药物， 存在成瘾性)和可乐一起服用 。

(3) ATW组织重要 袭击手法

考查发现，ATW组织 声称 袭击窃取涉我党政机关、科研机构等单位的数据，实则均 起源于为我重要单位提供软件开发的中小型信息技术和软件开发企业，窃取数据也多为开发过程中的测试数据 。

该组织的袭击手法重要是针对SonarQube、Gogs、Gitblit等开源网络系统存在的技术 漏洞施行大规模扫描和袭击，进而通过“拖库”，窃取 有关源代码、数据等 。有关信息可用于对 波及的网络信息系统施前进一步漏洞发掘和渗透 袭击，属于典型的“供给链” 袭击 。

该组织的行为与自我标榜的“道德黑客”着实相去甚远，并非向存在 漏洞的企业公布预警揭示信息，以遍及这些企业的安全 提防威力 。相反，更多的是利用这些 漏洞施行袭击渗透、窃取数据，并在黑客论坛任意曝光， 夸耀“战果” 。2022年以来，ATW组织滋扰势头加剧， 延续对中国的网络指标 施行大规模网络扫描探测和“供给链” 袭击 。为凸显袭击指标和所窃数据重要性， 屡次对所窃数据进行曲解解读、 言过其实，尽力配合美西方政府为我扣上“网络威权主义”帽子，并 大力鼓动、毁谤中国的数据安全治理威力，行径 顽劣，气焰嚣张，自我炒作、借机 袭击中国的用意非常显而易见 。

(4) ATW组织漏洞袭击利用状况

ATW对中国企业单位发展网络 袭击过程中，大量 使用了源代码治理平台、开源框架等存在的技术 漏洞 。重要包含：

SonarQube漏洞 。 漏洞编号为CVE-2020-27986，该漏洞 形容为SonarQube系统存在未授权 拜访漏洞 。波及版本：SnoarQube开源版<=9.1.0.47736；SonarQube 巩固版<=8.9.3 。

VueJs框架 漏洞 。VueJs框架为JavaScript前端开发框架，VueJS源代码在GitHub公布，同时 本身具备较多 漏洞， 使用网络指纹嗅探系统可直接扫描探测，GitHub上同样存在专门针对VueJS的 漏洞利用工具 。

Gogs、GitLab、Gitblit等 其余源代码治理平台 漏洞 。上述平台存在的未授权 拜访 漏洞，无需特别权限即可 拜访和下载存储在治理平台上的系统源代码数据 。

通过对全网 设施进行空间测绘，发现上述开源平台在国内 使用 宽泛 。对存在风险的资产 名目进 前进一步 综合发现，其中包含 波及我国多家重要单位的系统源代码 。SonarQube、Gitblit、Gogs的各平台 使用状况如下：

(5) ATW组织 袭击 使用码址资源

为掩护其 袭击行为，ATW组织 使用了一批“跳板”和代理服务器，重要 分布在英国、北马其顿、瑞典、罗马尼亚等国家 。 有关IOC指标信息如下：

在RaidForums论坛上发现的ATW黑客组织关联账号包含，“AgainstTheWest”注册于2021年10月12日，是公布泄露涉中国数据的重要账号；“AgainstTheYankees”为该组织11月16日最新注册帐号，地理位置标注在台湾花莲，职业为情报经销商，由“AgainstTheWest”推举加入论坛；“Majestic-12”疑为匿名者黑客组织与ATW反华黑客组织的之间 联络人，曾回复“ATW-对华战争”网帖，号召更多黑客、程序员加入，一起 抗衡中国；“NtRaiseHardError”在论坛 屡次售卖涉我数据，示意只 袭击和收购中国政府数据，不会 袭击美国、加拿大、英国、俄罗斯政府 。该黑客与“AgainstTheWest”有数据交易，互动频繁，关系紧密；“Kristina”在论坛发帖称广州政企互联科技有限公司已被其攻破，并提供数据库和SSH密钥下载， 波及“国家政务服务平台”、“内蒙古自治区政府门户网站”；“Ytwang”曾发帖 示意要购买新疆营地、警察系统等数据库信息，以及留言示意对滴普科技 有关信息很有兴趣 。

其余账号信息如下：

　　安全专家：中国企业亟需严防死守、做好安全加固

针对境外黑客组织对我国的疯狂 袭击和抹黑行为，该如何 应答？奇安盘古探究员给出了三项 提防对策 提议：

首先是 提议软件开发企业马上修复SonarQube、VueJs、Gogs、GitLab、Gitblit等软件 漏洞，严格操纵公网 拜访权限，及时 批改默许 拜访密码，进一步 遍及对源代码的安全治理 威力 。

其次是针对已在消费者单位部署的系统源代码外泄状况， 提议软件开发企业应 加强系统源代码安全审计，及时发现并修复软件安全 漏洞， 预防黑客利用系统 漏洞进行 袭击，并对重要信息系统源码及数据进行加密存储，落实网络安全防护措施 。

最终 提议国家有关职能部门、技术安全团队 加强对ATW组织非法网络 袭击 运动的监测，及时预警 袭击动向， 发展背景溯源和反制打击 。

奇安盘古探究员对《环球时报》 示意，本报告公布ATW黑客组织的 袭击手法及 使用的 漏洞、网络码址， 目标是使大家看清ATW组织长 工夫以来针对中国 施行网络 袭击、数据窃取 运动的 性质，针对性修补 漏洞，做好安全加固，不停 晋升网络安全、数据安全防护 威力水平 。同时也 警告ATW等那些对中国怀有敌意的组织，他们的一举一动，中国安全人员尽在 主宰 。后续，技术团队还将陆续公布对 有关事件 考查的更多技术细节 。

免责声明：凡标注转载/编译字样内容并非本站原创，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。