黑客组织正对中国疯狂实施网络攻击 我国的网络安全需要进一步的加强

(4) ATW组织漏洞攻击利用情况

ATW对中国企业单位开展网络攻击过程中，大量使用了源代码管理平台、开源框架等存在的技术漏洞。主要包括：

SonarQube漏洞。漏洞编号为CVE-2020-27986，该漏洞描述为SonarQube系统存在未授权访问漏洞。涉及版本：SnoarQube开源版<=9.1.0.47736;SonarQube稳定版<=8.9.3。

VueJs框架漏洞。VueJs框架为JavaScript前端开发框架，VueJS源代码在GitHub发布，同时本身具备较多漏洞，使用网络指纹嗅探系统可直接扫描探测，GitHub上同样存在专门针对VueJS的漏洞利用工具。

Gogs、GitLab、Gitblit等其他源代码管理平台漏洞。上述平台存在的未授权访问漏洞，无需特殊权限即可访问和下载存储在管理平台上的系统源代码数据。

通过对全网设备进行空间测绘，发现上述开源平台在国内使用广泛。对存在风险的资产项目进行进一步分析发现，其中包含涉及我国多家重要单位的系统源代码。SonarQube、Gitblit、Gogs的各平台使用情况如下：

(5) ATW组织攻击使用码址资源

为掩护其攻击行为，ATW组织使用了一批“跳板”和代理服务器，主要分布在英国、北马其顿、瑞典、罗马尼亚等国家。相关IOC指标信息如下：

在RaidForums论坛上发现的ATW黑客组织关联账号包括，“AgainstTheWest”注册于2021年10月12日，是发布泄露涉中国数据的主要账号;“AgainstTheYankees”为该组织11月16日最新注册帐号，地理位置标注在台湾花莲，职业为情报经销商，由“AgainstTheWest”推荐加入论坛;“Majestic-12”疑为匿名者黑客组织与ATW反华黑客组织的中间联络人，曾回复“ATW-对华战争”网帖，号召更多黑客、程序员加入，共同对抗中国;“NtRaiseHardError”在论坛多次售卖涉我数据，表示只攻击和收购中国政府数据，不会攻击美国、加拿大、英国、俄罗斯政府。该黑客与“AgainstTheWest”有数据交易，互动频繁，关系密切;“Kristina”在论坛发帖称中国某互联网科技公司已被其攻破，并提供数据库和SSH密钥下载，涉及“国家政务服务平台”、“内蒙古自治区政府门户网站”;“Ytwang”曾发帖表示要购买新疆营地、警察系统等数据库信息，以及留言表示对滴普科技相关信息很感兴趣。

其余账号信息如下：

安全专家：中国企业亟需严防死守、做好安全加固