揭秘ATW，一个对华疯狂窃取数据的黑客组织

以欧洲、北美地区的程序员、网络工程师为核心成员，主要针对中国、朝鲜等国发布政府数据泄密帖子，自我标榜“道德黑客”......

2月18日，北京奇安盘古实验室公开一份报告，揭秘了疯狂对华实施数据窃取的ATW组织。

北京奇安盘古实验室官方网站截图

报告显示，2021年10月以来，一名为 AgAInstTheWest（下称“ATW”）的黑客组织，将中国作为主要攻击目标，疯狂实施网络攻击、数据窃取和披露炒作活动，对我国的网络安全、数据安全构成严重危害。

这是自2022年2月，该实验室公开揭露隶属于美国国家安全局（NSA）的超一流黑客组织“方程式”制造“电幕行动”（Bvp47），攻击中国等国家和地区的完整证据链条后，再次曝光对华实施数据窃取和网络攻击的黑客组织。

ATW是什么？

ATW组织成立于2021年6月，10月开始在“阵列论坛”（RaidForums）上大肆活动。虽然将账号个性签名设置为“民族国家组织”，但实际上，这是一个以欧洲、北美地区从事程序员、网络工程师等职业的人员自发组织成立的松散网络组织。

ATW组织自我介绍

自成立伊始，该组织就疯狂从事反华活动，公开称“将主要针对中国、朝鲜和其他国家发布政府数据泄密帖子”。还专门发布过一篇题为“ATW-对华战争”的帖子，赤裸裸地支持“台独”、鼓噪“港独”、炒作新疆“人权问题”，并多次声明“攻击目标是俄罗斯、白俄罗斯和中国、伊朗、朝鲜”、“愿意与美国、欧盟政府共享所有文件”、“愿受雇于相关机构”。

据不完全统计，自2021年以来，ATW组织披露涉我重要信息系统源代码、数据库等敏感信息70余次，宣称涉及100余家单位的300余个信息系统。

而实际上，所谓泄露的源代码主要是中小型软件开发企业所研发的测试项目代码文件，不包含数据信息。但ATW组织为了博取关注，使用“大规模监控”、“侵犯人权”、“侵犯隐私”等“标签”，意图凸显攻击目标和所窃数据重要性，达到耸人听闻的目的。

ATW 组织发布的“ATW-对华战争”帖

2022年3月4日，ATW组织一度宣布解散，而后又于3月5日宣布经费充足再次上线。

北京奇安盘古实验室通过长期跟踪发现，ATW组织平日活跃成员6名，多从事网络工程师相关职业，主要位于瑞士、法国、波兰、加拿大等国。

组织内的2名骨干成员：帕韦尔∙杜达（上）、蒂莉·考特曼（下）

ATW是如何进行攻击的？

经实验室调查发现，ATW组织宣称攻击窃取涉我国党政机关、科研机构等单位的数据，实则均来源于为我重要单位提供软件开发的中小型信息技术和软件开发企业，窃取数据也多为开发过程中的测试数据。

该组织的攻击手法主要是针对开源网络系统存在的技术漏洞实施大规模扫描和攻击，进而通过“拖库”，窃取相关源代码、数据等。相关信息可用于对涉及的网络信息系统实施进一步漏洞挖掘和渗透攻击，属于典型的“供应链”攻击。

为掩护其攻击行为，ATW组织还使用了一批“跳板”和代理服务器，主要分布在英国、北马其顿、瑞典、罗马尼亚等国家。

该组织一度自我标榜为“道德黑客”，却并非向存在漏洞的企业发布预警提示信息，以提高这些企业的安全防范能力，相反，更多的是利用这些漏洞实施攻击渗透、窃取数据，并在黑客论坛恣意曝光，炫耀“战果”。

2022年以来，ATW组织滋扰势头加剧，持续对中国的网络目标实施大规模网络扫描探测和“供应链”攻击。多次对所窃数据进行歪曲解读、夸大其词，竭力配合美西方政府，并大力煽动、诋毁中国的数据安全治理能力。

报告最后强调，公布ATW黑客组织的攻击手法及使用的漏洞、网络码址，目的是使大家看清该组织长期以来针对中国实施网络攻击、数据窃取活动的本质，针对性修补漏洞，做好安全加固，不断提升网络安全、数据安全防护能力水平。同时，技术团队还将陆续公布对相关事件调查的更多技术细节。