夯實供應鏈安全 – 解密對華黑客組織ATW的供應鏈攻擊伎倆

2021年10月期間，網絡上出現了一支名為AgainstTheWest（以下簡稱“ATW”）的黑客組織，特別針對中國、朝鮮和俄羅斯為主要目標，實施有組織的大規模網絡攻擊，竊取相關受害企業和組織機構的數據和源代碼等，進行公開販賣、公開敲詐和媒體惡意炒作活動，對我國的數據安全和網絡安全聲譽造成了惡劣影響。這個ATW到底是何方神圣？讓我們來一點點撕開他們的真實面目。

 ATW組織起源   

2022年4月，國外媒體對ATW組織進行了專題采訪，根據ATW黑客組織成員采訪自述，該組織是在2021年9月期間正式成立，擁有6名創始成員，其中一名成員在2022年3月已因病去世，該組織位于NATO（北大西洋公約組織成員國），核心理念和ATW組織全稱單詞暗含的意義一致，專門針對其認為的所謂“反西方國家陣營”目標實施網絡攻擊。     

值得注意的是，在媒體采訪中，ATW核心組織成員還透露了其成員不僅精通黑客技術，還內部分工為翻譯、財務、程序員和美術設計等角色，除了英語，還擅長法語、俄語、德語、荷蘭語和中文等其他不同語種。

可見ATW并不是散兵游勇，而是一支組織嚴密、分工明確，擁有穩定的資源、資金、經驗和技術支撐，可以長期持續進行黑客活動的精悍團隊。

 ATW組織主要攻擊手法  

2020年7月，瑞典計算機黑客Tillie Kottmann（非ATW成員）曾公開曝光泄露了微軟、Adobe、聯想、AMD、高通、聯發科、通用電氣、任天堂、迪士尼、華為海思等 50 家科技公司部分項目的源代碼，該黑客曾被美國FBI調查，目前仍在指控中。根據FBI調查，黑客Tillie Kottmann利用的是SonarQube服務的配置失誤竊取的相關公司源代碼。SonarQube是一款開源代碼質量管理的系統，被廣泛的應用于相關企業的項目開發流程中，黑客先是掃描了暴露于公網上的SonarQube資產，它們通常默認使用9000端口，再利用預設的管理員賬戶（如用戶名為admin，密碼也是admin）登錄來竊取源代碼。     

2021年，360已經發現ATW組織利用瑞典黑客Tillie Kottmann被公開的手法，開始針對中國暴露在互聯網上運行SonarQube、Gogs、GitLab、Gitblit等源代碼掃描、管理服務的資產實施了入侵。

 ATW攻擊活動追溯還原 

2021年10月，ATW在RaidForum（國外知名的數據販賣論壇）上首次亮相，一直到2022年8月期間，ATW持續針對中國企業和組織機構發起了大規模攻擊活動。     

2021年10月14日，ATW組織在RaidForums論壇發布了第一起攻擊事件的帖子，其公開表示經過2個月的努力獲得了某銀行的內部資產，主要包含某銀行部署的所有項目軟件的源代碼。

ATW在帖子中展示了被黑項目的截圖，通過分析我們發現這是SonarQube系統掃描代碼的一個展示頁面，攻擊者疑似是攻陷了相關單位的SonarQube系統。

那到底是不是某銀行的SonarQube資產被黑呢？通過360數字安全大腦我們進行了進一步的追溯，在圈定全網三千多臺SonarQube資產進行分析后，我們第一時間就追蹤到了ATW攻陷的SonarQube資產，并發現該資產與ATW描述一致，相關資產在被黑前曾在公網暴露。

對這個SonarQube資產進一步分析，我們發現這是一家金融行業信息化建設服務供應商的資產。ATW攻陷的是某銀行的第三方供應商，而非銀行官方。

也就是說ATW并沒有在實質上滲透進入我金融系統，但是通過披露出來的截圖，讓公眾產生誤解。     

除SonarQube服務外，接下來還有大量的Gogs、GitLab、Gitblit等源代碼管理服務存在相似漏洞被ATW利用。如ATW在俄烏戰爭期間，在Twitter發布了多個中國重要組織機構的源代碼被黑頁面。

在ATW持續一整年的攻擊活動中，ATW組織在RaidForum（國外知名的數據販賣論壇）、Twitter網站和Telegram頻道中至少發布了七十多起針對中國企事業單位的入侵事件，營造出我國行業的供應鏈安全有重大隱患的氛圍，但是并不是所有公開的入侵事件，都是成功的，但是通過不斷的宣傳，給相關組織機構的聲譽造成了惡劣影響。

小結

隨著數字技術的不斷發展，新型攻擊手段層出不窮。我們可以發現，ATW組織多采用撒網式攻擊，手段并不高超，但其實施攻擊后，會抓住裂縫肆意渲染嚴重性，擴大其影響力。     

但是，在當前日益嚴峻的國際安全形勢和不可避免的數字經濟內在安全風險雙重挑戰下，ATW大量的數據泄露事件也的確突顯出了行業的供應鏈安全問題。一些第三方供應商的安全防護過于薄弱，對于代碼的品質、來源及應用部署的安全都沒有給予足夠的關注和重視，大大增加了相關企事業單位的風險暴露面，導致被不法分子乘虛而入，造成了嚴重后果。

一直以來，黨中央和國務院高度重視關鍵信息基礎設施的供應鏈安全。習近平總書記曾經指出“供應鏈的‘命門’掌握在別人手里，那就好比在別人的墻基上砌房子，再大再漂亮也可能經不起風雨，甚至會不堪一擊”。《關鍵信息基礎設施安全保護條例》第十九條明確“運營者應當優先采購安全可信的網絡產品和服務；采購網絡產品和服務可能影響國家安全的，應當按照國家網絡安全規定通過安全審查。”為控制關鍵信息基礎供應鏈安全風險，國家陸續出臺了相關制度，建立并不斷完善供應鏈安全保障體系。

保障關鍵信息基礎設施安全的一個重要方面是確保關鍵信息基礎設施使用的網絡產品和服務的供應鏈安全。網絡產品和服務供應鏈安全風險在當前日趨嚴峻的網絡安全形勢下日顯突出，一旦出現問題會給關鍵信息基礎設施帶來嚴重危害。為此，廣大政企單位應強化外部安全風險管理，并持續構建起以“看見”為核心的數字安全能力體系。只有“看見”攻擊才能迅速阻斷攻擊，在沒有造成實質傷害前實現快速“處置”。

360高級威脅研究院

360高級威脅研究院是360數字安全集團的核心能力支持部門，由360資深安全專家組成，專注于高級威脅的發現、防御、處置和研究，曾在全球范圍內率先捕獲雙殺、雙星、噩夢公式等多起業界知名的0day在野攻擊，獨家披露多個國家級APT組織的高級行動，贏得業內外的廣泛認可，為360保障國家網絡安全提供有力支撐。