Gogs、GitLab、Gitblit等其他源代码管理平台漏洞。上述平台存在的未授权访问漏洞,无需特殊权限即可访问和下载存储在管理平台上的系统源代码数据。
通过对全网设备进行空间测绘,发现上述开源平台在国内使用广泛。对存在风险的资产项目进行进一步分析发现,其中包含涉及我国多家重要单位的系统源代码。SonarQube、Gitblit、Gogs的各平台使用情况如下:
(5) ATW组织攻击使用码址资源
为掩护其攻击行为,ATW组织使用了一批“跳板”和代理服务器,主要分布在英国、北马其顿、瑞典、罗马尼亚等国家。相关IOC指标信息如下:
在RaidForums论坛上发现的ATW黑客组织关联账号包括,“AgainstTheWest”注册于2021年10月12日,是发布泄露涉中国数据的主要账号;“AgainstTheYankees”为该组织11月16日最新注册帐号,地理位置标注在台湾花莲,职业为情报经销商,由“AgainstTheWest”推荐加入论坛;“Majestic-12”疑为匿名者黑客组织与ATW反华黑客组织的中间联络人,曾回复“ATW-对华战争”网帖,号召更多黑客、程序员加入,共同对抗中国;“NtRaiseHardError”在论坛多次售卖涉我数据,表示只攻击和收购中国政府数据,不会攻击美国、加拿大、英国、俄罗斯政府。该黑客与“AgainstTheWest”有数据交易,互动频繁,关系密切;“Kristina”在论坛发帖称广州政企互联科技有限公司已被其攻破,并提供数据库和SSH密钥下载,涉及“国家政务服务平台”、“内蒙古自治区政府门户网站”;“Ytwang”曾发帖表示要购买新疆营地、警察系统等数据库信息,以及留言表示对滴普科技相关信息很感兴趣。
其余账号信息如下:
安全专家:中国企业亟需严防死守、做好安全加固
针对境外黑客组织对我国的疯狂攻击和抹黑行为,该如何应对?奇安盘古研究员给出了三项防范对策建议:
首先是建议软件开发企业立即修复SonarQube、VueJs、Gogs、GitLab、Gitblit等软件漏洞,严格控制公网访问权限,及时修改默认访问密码,进一步提高对源代码的安全管理能力。
其次是针对已在用户单位部署的系统源代码外泄情况,建议软件开发企业应加强系统源代码安全审计,及时发现并修复软件安全漏洞,防止黑客利用系统漏洞进行攻击,并对重要信息系统源码及数据进行加密存储,落实网络安全防护措施。
最后建议国家有关职能部门、技术安全团队加强对ATW组织非法网络攻击活动的监测,及时预警攻击动向,开展背景溯源和反制打击。
奇安盘古研究员对《环球时报》表示,本报告公布ATW黑客组织的攻击手法及使用的漏洞、网络码址,目的是使大家看清ATW组织长期以来针对中国实施网络攻击、数据窃取活动的本质,针对性修补漏洞,做好安全加固,不断提升网络安全、数据安全防护能力水平。同时也正告ATW等那些对中国怀有敌意的组织,他们的一举一动,中国安全人员尽在掌握。后续,技术团队还将陆续公布对相关事件调查的更多技术细节。
