揭秘境外黑客论坛大肆泄漏中国数据始作俑者
xu打响反认知第一战
揭秘境外黑客论坛大肆泄漏中国数据始作俑者
作者:申虢庵
2022年很忙碌,沪上人家在齐心抗疫保卫大上海,川渝百姓在鏖战高温节能减排,北京公务员在值班备勤保障二十大胜利召开,白帽子在应急响应辟谣数据泄露事件。
今年网络安全圈“涌现”出一批反华黑客联盟,在境外地下数据交易平台肆意兜售中国泄露数据,一边炫耀能力吸纳臭味相投的同盟军,一边碰瓷国家部委故意夸大数据价值。
阿里云被攻陷,大量公民数据泄漏!
中国国防科技工业数据库被曝光!!
腾讯聊天记录泄漏!!
一条条关于中国网络系统被攻陷的消息被转发,乍一看,所涉单位骇人听闻,细细品来,好像被曝光的数据和被点名的单位又对应不大起来。欧洲那些批判“中国黑客论”“中国威胁论”的发言人,面对此情此景却默契得选择群体失声,一直保持选择性失明、战略性保持沉默。
这一波“混淆视听”神操作,掀起了中国网络安全圈“动态清零”阻击战。
“反对西方”旨在遏华
兴风作浪的黑客多如牛毛,有的是昙花一现,有的如过眼云烟,唯有一个反华黑客组织一以贯之、辗转在多个社交平台,被他撩过的安全厂商大概都对这个名字烂熟于心。
这个组织叫Against The West。
2021年10月14日,ATW首次在黑客论坛RaidForum发起“RENMINBI行动”,每逢大事必作妖,从冬奥会到二十大,从国家部委到互联网企业,从经济金融到国防军工,什么单位夺人眼球就挂什么单位,自始至终秉承“抹黑中国、服务西方”的初心使命,靠着这股“不怕错不怕累”的精神,ATW 在境外媒体头条获得“频频露脸”机会,俨然成了“网红”。
乍一看,Against The West,还以为是友军。
事实上,《反对西方》是奥雷尔•科尔奈于1938年发布的社会主义批判性研究作品,书中把德国社会主义描述为反对基督教文明的异教,指出社会主义是一场与自由民主趋势相悖的意识形态战争。在欧洲人看的地图上,中国确实在欧洲西面,细细品来,ATW还带着点政治色彩。
所谓“造谣一张嘴、辟谣跑断腿”,ATW虽然手法简陋,却成功牵扯了中国网络安全圈原本就紧缺的劳动力。
盘点一下工作记录
ATW区别于传统黑客,没有“技术包袱”,非常愿意放低身段来触碰一些低级技术错误,特点很鲜明:
剑走偏锋,攻击部位多为信息系统开发“供应链”企业,完美避开重要单位。ATW组织首次注册账号不久,以“攻陷中国人民银行”话题一举成名,声称攻陷了银行自动化办公0A系统、金融机构风险监测系统、国库大数据管理系统等近10个内网系统。央行失守,这还得了?那个夜晚多少个同行运维熬到天际发白,才发现原来曝光的代码是北京某科技公司的测试平台。此后,ATW组织习惯性宣称攻击了中国重点部位,对所窃数据更是歪曲解读,多次把企业数据说成政府泄露,张冠李戴,噱头满满,失误连连,令人哭笑不得。
雷声大雨点小,披露内容多为测试数据,实际价值低于预期。例如2月15日披露“某省司法客服系统”、“某公共法律服务平台”等系统源代码,实为山西某科技公司2018年参与竞标开发的演示版本;3月2日披露的多地航空、地 铁、高铁等公共交通信息系统源代码,均为湖南某科技公司参与项目投标开发的演示版本;4月5日发布的“中国48家医院信息系统源代码”,实为北京某科技公司为我国内医疗卫生单位开发软件过程中,用于程序调试的非正式版本。ATW宣传攻陷的信息系统均未在相关单位实际部署应用。
立场鲜明,不加避讳亲美政治倾向,不厌其烦探讨人权问题。俄乌冲突期间,ATW组织也没闲着,多次呐喊“愿意与美国、欧盟政府共享所有文件,愿受雇于相关机构”,动辄指责中国“侵犯人权”。5月25曰,ATW组织声称获取“中国情报部门收集的大量公民信息”,煽动全球网民向我国家领导人致电“停止大规模监视计划”,结果配套贴了一点某电话营销公司的数据蒙混过关。虽然数据内容连个姓名都没有,但是因为和“中国情报机构”强行关联,获境内外不明真相的吃瓜群众大量点击转发。
和ATW斗智斗勇一年,我们累了。
今天,我们想把这批欧洲黑客拉出来开诚布公地谈一谈。
背后究竟是谁
去年以来,ATW专门挑中国IP上部署的SonarQube平台,偷偷拷贝了一批系统源代码,并且将作为“战果”在境外平台发布。然而ATW的隐匿技术就和他的炒作逻辑一样失误连连,2021年10月,我们抓到了一次现形,发现攻击链上的多个英国跳板和全球15万Verkada摄像头攻击事件涉及的攻击码址高度吻合。大名鼎鼎的Verkada摄像头攻击事件,可不就是Tillie Kottmann的标准战果。
结合TK善用SonarQube漏洞控守肉鸡的做法,结合高度吻合的IP地址,结合论坛发帖作息和时区规律,顺着这条路,ATW操盘手们逐渐浮出水面。目前,已掌握ATW主要由瑞士、加拿大、法国等欧洲和北美地区计算机网络相关行业人员组成,核心成员6人,部分有吸毒或违禁药物服用史。
从“无差别攻击”转向“专职反华”的TK
TillieKottmann (简称:TK),1999年8月7日生于瑞士卢塞恩,瑞士青年社会党成员,自称是黑客、跨性别者、无政府主义者。因自身是一名同性恋,以女性自居,后将身份改为女性。TK是安卓启动器Lawnchair创始人,目前以程序员身份为瑞士太阳能设备供应商Egon AG公司工作,该公司由瑞士联邦环境、运输、能源和通信部(DETEC)下属机构瑞士联邦能源办公室资助。
开源情报调查显示,TK电子邮箱me@deletescape. ch, twitter账号@nyancrimew、电报频道ExConfidencial。2020年4月以来,TK通过“SonarQube”漏洞获取企业信息系统源代码。2020年7月,在互联网上曝光了50多家知名企业信息系统源代码,包括微软、高通、通用电气、摩托罗拉、任天堂、迪士尼等国际知名企业,以及我国多家微电子、半导体、芯片设计领域高科技公司。
2021年3月,TK被美国华盛顿西区地方法院大陪审团起诉,起诉原因是他(她)在2019年和2021年入侵窃取了美国包括政府机构在内的100多个实体的内部数据。2021年 3月,瑞士警方对TK电子设备进行了突击搜查,应美国政府要求取缔相关设备平台。起诉没多久,美国司法部表示TK 诉讼程序已暂停,并表示美国不会继续审理此案。
友情普法:美国《跨国镇压问责和预防法案》 ( Transnational Repression Accountablity and Preventtion Act,缩写TRAP )提到“跨国镇压”、“缺席审判”等相关条款和实施细则。
没别的意思,就是突然发散思维一下。
核心成贝帕韦尔
帕韦尔•杜达(PawelDuda),男,波兰人,软件工程师。曾任波兰电子商务集成系统Ageno公司、波兰数字市场营销OXmedia公司、移动智能终端开发Selleo公司、视频会议提供商voicefox公司、汽车服务TjeKvik公司等互联网企业前端开发工程师,平均一年换一次工作,“年抛”的履历似乎在告诉这些职务都配不上他的“黑客”身段。与此同时, 杜达到处宣传自己是一名黑客,设计了个“Be The Better Hacker”作为座右铭四处留言,2021年10月至今,自称正在参与某“非公开”保密项目。
志同道合的支撑者们
ATW经几次宣传号召,吸纳了不少“国际网络爱好者”, 成员来自于欧洲如德国、英国,多半是地下黑客,从事数据买卖和漏洞出售,美国知名人工智能领域研究专家、老牌地下黑帽、乌克兰网军、论坛负责人、前美国海军陆战队工程师都成了 ATW的外援力量。
总结
时至今曰,Raidforums倒了,ATW也转换了战场,先后在Twitter、Telegram创建群组,重新入驻Breached平台重操旧业。ATW由于多次过度包装多次遭到平台封禁,然而屡败屡战,愈战愈勇,依旧热衷于造谣炒作。中国有个故事叫“狼来了”,吹牛太多,反倒成了跳梁小丑,白帽子和红帽子,本质都是和代码打交道的同行,希望那些蠢蠢欲动的黑客们,炫耀能力的时候加强数据的分析甄别和研判校对, 维护好技术极客的颜面。
