一、概述

2023年2月18日，奇安盘古实验室发布了一篇名为《斩断危害中国数据安全的魔手 ——揭秘疯狂对华实施数据窃取的ATW组织》的文章，该文章称一个将中国作为主要攻击目标的黑客组织AgainstTheWest（下称“ATW”）自2021年10月以来对我国疯狂实施网络攻击、数据窃取和披露炒作活动，对我国的网络安全、数据安全构成了严重危害。

作者依稀记得，该组织在Raid论坛（Breached论坛的前身）就已经十分活跃，也是从那时起开始关注这个组织的一举一动，正好可以按着盘古实验室的大佬们的分析思路进一步看透这个组织的真面目，技术性的分析就不再赘述，本文主要从组织背景和人员侧进行分析。

二、作者的浅薄了解

1、这是个什么样的组织？

这是一个主要以我国企事业单位为攻击目标的黑客组织，他们非常高调，经常公开披露和售卖我国数据，发布反hua不当言论，还曾发起了为期数月的名为“Operation Renminbi”的网络战，即使在RaidForums论坛被封禁后，仍然在利用Twitter和Telegram等社交媒体频繁发布泄露信息，后利用新上线的Breached论坛继续攻击我国，目前该组织的Breached论坛账号已被管理员永久封禁，理由是涉嫌数据诈骗，也就是说他们经常夸大自己的黑客活动，对泄露数据的描述言过其实，可能是一群想博某国眼球的骗子团伙。

2、组织是2021年10月才出现的吗？

从ATW的论坛活动来看，他们从一开始就知道如何使用论坛，知道数据销售是如何运作的，知道该如何对数据进行报价，使用第三方中间人付款等，甚至在交流中偶尔透露一些关于论坛历史的知识。10月12日的账户创建日期不太可能是ATW第一次访问该网站，更像是蓄谋已久的活动。ATW展示出来的标签印象包括作为地下论坛的活跃用户、拥有一定的黑客技能、意识形态反对中国、希望获取更多的资金等。

3、该组织是如何打进来的？

其实在早些时候，就已经研究过ATW的入侵手法了，其攻击链并不复杂，2021年末对SonarQube代码质量管理平台进行了攻击，在2022年初又陆续攻击了Gitblit、Gogs等代码托管平台，这些攻击及造成的数据泄露具有明显的相似性，主要通过利用代码质量管理或代码托管平台的未授权访问漏洞来进行入侵。这些开源平台在默认配置下，都允许未授权用户直接或间接地访问代码仓库中的源代码，一旦这些服务暴露在外网，不法分子便能轻松窃取其中的源代码，从而构成项目源代码数据的泄露。

4、该组织的攻击为何如此成功？

通过对全网设备进行空间测绘，发现上述开源平台（SonarQube、Gitblit、Gogs等）在国内使用广泛。对存在风险的资产项目进行进一步分析发现，其中包含涉及我国多家重要单位的系统源代码，资产过多，管理不当，是主要原因。

5、组织算APT吗？

该组织具备长期隐蔽潜伏能力。从某个泄漏的数据库中可以看到攻击者从2019年就开始攻陷该目标，直到2022年才公布出来。该组织攻击手法较单一但攻击成果突出。短短几天，6人团队就公布攻陷88个攻击目标、窃取上百套源代码，且日均即时公布的攻陷目标在10个左右。同时，该组织具备定制化武器工具能力，在后门工具被曝光后，快速武器化第三代后门工具，并高调宣布投入使用。通过经济支撑角度分析，该组织曾因经济预算临时解散，不具备国家级政府直接经济支持，推测是间接雇佣关系。初步判断具备APT特征，可能为某APT组织的一部分，只专注整个击杀链中的某一环，自称APT49。（只能说很少有APT组织这么高调……）

6、该组织是什么背景？有哪些人员？

这就是作者接下来想详细说说的，也是盘古文章的核心所在，他们不仅能分析出该组织所属的背景，还可以精准溯源到人，实在是非常佩服，下面作者将结合此前收集到的情报以及个人分析，和盘古实验室的分析进行对比，旨在全方位了解该组织的整体情况。

三、作者视角与盘古的分析

1、组织自述

在创建一个账号时，会填一些创建者的基本信息，例如名称、性别、地点、简介等；在论坛中发言时会提到自己的一些信息；发言中还会使用其他的语言等，无论真假，这些信息作者将其成为组织对自己的描述，通过收集该组织在多个平台创建账号的信息，可以一定程度上看出来组织的归属地等信息，也可以判断出这些个人信息他们有没有乱填。作者视角：（1）Breached论坛定位在“北约（NATO）”，简介称是一个“由5人组成的小组，专门针对中国、俄罗斯、伊朗、朝鲜”。（2）Raidforums论坛曾修改定位在瑞士（3）已被封禁的推特AganstTheWest_2022年3月 定位法国。（4）最新注册的推特BlueHornet定位在美国。（5）github账号定位美国。（6）曾在推特上称希望美国能给他们一份黑客工作综上，在作者眼里，他们可能位于欧洲不同的国家或希望被认为他们是欧洲的黑客，因为他们高调向美国zf求职，更像是为了吸引美国zf资金的支持，所以推测人不在美国，而是在欧洲。盘古分析：（1）这是一个以欧洲、北美地区从事程序员、网络工程师等职业的人员自发组织成立的松散网络组织。（2）ATW组织平日活跃成员6名，多从事程序员、网络工程师相关职业，主要位于瑞士、法国、波兰、加拿大等国。与作者分析方向大体一致，主要位于欧洲几个国家。

2、外围调研

从该组织进行的黑客活动，对时事热点的评价和看法，攻击的主要目标等方面可以略微推测出该组织的意识形态和阵营。

作者视角：

（1）2020年，美国网络空间日光浴室委员会发布的网络空间未来警示报告，报告中提到“将中国，俄罗斯，伊朗和朝鲜列为美国网络安全的主要威胁”，与ATW攻击目标一致。（2）2022年俄乌战争背景下，该组织在推特上明确声明支持乌克兰，坚定与美国站在一起，并且与匿名者黑客组织合作攻击俄罗斯和中国。（3）该组织多次因为经费不足而解散下线，过一段时间又因为资金充足重新开展攻击。综上，从攻击目标、阵营来看，ATW组织的意识形态具备一定的国家政治行为体特征，该组织的战略意图不止一次高调公布为“针对反西方国家进行泄密攻击”，似乎更接近美国，或是接受美国zf资金支持。推测其可能从欧洲到美国方向转变，或该组织的雇主不担心被美国监管与追溯。

盘古分析：（1）ATW组织频繁活动，不断在电报群组、推特、论坛等境外社交平台开设新账号，扩大宣传途径，并表现出较明显的亲美西方政治倾向，多次声明“攻击目标是俄罗斯、白俄罗斯和中国、伊朗、朝鲜”、“愿意与美国、欧盟政府共享所有文件”、“愿受雇于相关机构”。（2）为凸显攻击目标和所窃数据重要性，多次对所窃数据进行歪曲解读、夸大其词，竭力配合美西方政府为我扣上“网络威权主义”帽子，并大力煽宣、诋毁中国的数据安全治理能力，行径恶劣，气焰嚣张，自我炒作、借机攻击中国的意图十分明显。与作者分析方向大体一致，亲美，合作攻击中国，怀疑背地里有不正当合作。

3、其他线索

作者视角：

（1）通过对ATW组织的活动时段分析发现该组织一般休息时间为北京时间15点至19点（美国东部时间凌晨2点到6点），工作高峰期主要集中在北京时间凌晨3点、11点、13点左右，大体符合美国东部作息时间。（2）该组织自述部分成员具有西方情报机构工作经验，组内成员主要分为两组，一组长期针对中国进行网络攻击；另一组主要针对俄罗斯进行攻击。

盘古分析：（1）其休息时间为北京时间15时至19时，工作时间集中在北京时间凌晨3时至13时，对应零时区和东1时区的西欧国家。（2）2022年4月，国外媒体对ATW组织进行了专题采访，根据ATW黑客组织成员采访自述，该组织是在2021年9月期间正式成立，拥有6名创始成员，其中一名成员在2022年3月已因病去世，该组织位于NATO，核心理念和ATW组织全称单词暗含的意义一致，专门针对其认为的所谓“反西方国家阵营”目标实施网络攻击。与作者分析方向大体一致，工作时区一致，情报经历一致，目标一致。

4、人员情况

这一部分作者确实是无能为力了，以下引用盘古文章及一些外部分析。

盘古分析：（1）蒂莉·考特曼（Tillie Kottmann）1999年8月7日生于瑞士卢塞恩，自称是黑客、无政府主义者、同性恋，以女性自居。主要学习、工作经历如下：2012—2015年，瑞士Kantonsschule Alpenquai州立中学学习；2015年8月—2019年，瑞士BBZW Sursee思科学院；2017年3月—2020年1月，Lawnchair Launcher公司担任项目负责人兼首席开发人员；2020年2月—8月，德国auticon GmbH公司担任IT顾问；2020年11月至今，瑞士Egon AG公司程序员。蒂莉·考特曼还是Dogbin网站（短链接转换网站）的创始人和首席开发人员。本来专心做技术，这份履历是很漂亮的。只可惜：2020年4月以来，蒂莉·考特曼通过“声呐方块”平台漏洞获取企业信息系统源代码数据；2020年7月，蒂莉·考特曼在互联网上曝光了微软、高通、通用电气、摩托罗拉、任天堂、迪士尼50余家知名企业信息系统源代码；2021年3月12日，瑞士警方搜查蒂莉·考特曼住所并扣押大量网络设备；2021年3月18日，美国司法部发布对蒂莉·考特曼的起诉书，但3月底突然中止该案审理。此后，中国成了蒂莉·考特曼的主要目标之一。蒂莉·考特曼（Tillie Kottmann）的Twitter账号@nyancrimew被推特公司停用后，于2022年2月重新注册使用。个人简介中自称为“被起诉的黑客/安全研究员、艺术家、精神病患者以及同性恋”。2023年1月至今，发布及转推78次。（2）帕韦尔∙杜达（Pawel Duda）男，波兰人，软件工程师。2012年11月—2013年5月，Ageno公司web前端开发工程师。2013年6月—2013年12月，自称从事某保密项目开发，任web前端开发工程师。2014年1月至2015年1月，OX media公司web前端开发工程师；2014年4月至2019年8月，Selleo公司软件工程师，负责开发捐款管理系统、物流服务系统、跨平台办公系统、定制化电子商务平台、酒店管理系统等项目；2016年9月—2017年4月，voicefox公司软件工程师（兼职），负责开发基于Zoom等视频会议解决方案；2019年11月至2020年6月，versum公司软件工程师，负责开发沙龙管理系统；2020年6月至2021年10月，TjeKvik公司软件工程师，负责开发汽车服务管理系统；2021年10月至今，自称参与了某非公开项目。
该人日常会进行黑客技术研究，并在Slides.com网站共享文件中设置了“成为更好的黑客”的座右铭。理由：（1）对违禁药品有嗜性根据图中帖子的回复，可得知ATW其中某位成员会吸食氯胺酮(K粉)，还会将莫达非尼（治疗嗜睡的药物，具有成瘾性）和可乐一起进行服用。由此判断该成员会有吸食毒品，服用精神类药物等行为。（2）反同性恋根据图中帖子的回复，可得知ATW组织中回帖的这位成员十分厌恶同性恋。其明确表达出对同性恋的态度。（3）宗教信仰根据ATW组织全名AgainstTheWest进行搜索，很容易可以找到一本相关联的书籍《反西方战争》，推测其取名隐含了一种对基督教的信仰。

5、骗人的部分

最开始提到，这个组织言过其实，尽可能地夸大黑客活动影响力，还因此被Breached管理员永久封号，就是为了博人眼球，从何得出的这个推测呢？

作者视角：ATW组织曾发布过自称是“某航空公司和某地铁”的数据，但经过作者对源码和数据的仔细研究，发现该数据并不是从航空公司或地铁系统中拿到的，并非基础设施数据泄露，仅在数据中发现了某航空和某地铁的关键词。怀疑该黑客组织也仅是看到了这两个关键词，就将数据扣上了某航空公司和地铁的帽子，以此造谣夸大攻击影响面，这类的事情不是第一次了，以小见大，该组织的意图其实是损害中国的国际声誉，以及配合美西方国家对中国进行攻击舆论和网络双重攻击。

盘古分析：该组织与自我标榜的“道德黑客”着实相去甚远，并非向存在漏洞的企业发布预警提示信息，以提高这些企业的安全防范能力。相反，更多的是利用这些漏洞实施攻击渗透、窃取数据，并在黑客论坛恣意曝光，炫耀“战果”。2022年以来，ATW组织滋扰势头加剧，持续对中国的网络目标实施大规模网络扫描探测和“供应链”攻击。为凸显攻击目标和所窃数据重要性，多次对所窃数据进行歪曲解读、夸大其词，竭力配合美西方政府为我扣上“网络威权主义”帽子，并大力煽宣、诋毁中国的数据安全治理能力，行径恶劣，气焰嚣张，自我炒作、借机攻击中国的意图十分明显。

四、总结&参考链接

近期也有多个公众号发布了有关ATW的内容，在这里作者仅带来一些个人的看法、分析和观点，目的与盘古提到的一样，希望大家看清ATW组织长期以来针对中国实施网络攻击、数据窃取活动的本质，针对性修补漏洞，做好安全加固，不断提升网络安全、数据安全防护能力水平。

参考的文章链接如下：https://mp.weixin.qq.com/s/WfGyRk8QLJLZ-tQBORwUCwhttps://mp.weixin.qq.com/s/J9pyBMZEgkC6nui3pA7RSAhttps://mp.weixin.qq.com/s/41LdR21S4P-_exMDbieY8ghttps://mp.weixin.qq.com/s/Dvc7kuxhE4iykXFWKacf2Ahttps://mp.weixin.qq.com/s/mkuO4iZ1wz-FnCKGAA2uzwhttps://mp.weixin.qq.com/s/w90Hv0eifPu2fHjArp__MQhttps://mp.weixin.qq.com/s/zlgJyvitZ3awrd6hLMPnighttps://mp.weixin.qq.com/s/_pZuKpgSYhZy07gQQinl8whttps://mp.weixin.qq.com/s/G6XZYUwmdS4KJ88nH2hHLw