2月18日，北京奇安盘古实验室公开一份报告，该报告揭秘了一个将中国作为主要攻击目标的黑客组织AgainstTheWest（以下称“ATW”）的详情内幕。

一、ATW简要介绍

根据综合《环球时报》、CSO Online报道，该组织成立于2021年6月，同年10月该组织开始在“阵列论坛”（RaidForums）上进行活动，虽然ATW将账号个性签名设置为“民族国家组织”，但实际上，这是一个以欧洲、北美地区从事程序员、网络工程师等职业的人员自发组织成立的松散网络组织。ATW将中国作为主要攻击目标，继而对我国疯狂实施网络攻击、数据窃取等活动，可以说该组织的恶劣行为对我国的网络安全、数据安全构成严重危害。

二、对华实施大规模网络攻击

ATW组织自成立伊始，便疯狂从事反华活动，不断在Telegram（电报）、Twitter（推特）、Breadched等境外社交平台注册账号，扩大宣传途径，并表现出亲美关系，将朝鲜、俄罗斯、伊朗、中国等国视为“敌人”，公开称“将主要针对中国、朝鲜和其他国家发布政府数据泄密帖子”，还专门发布过一篇题为“ATW—对华战争”的帖子，赤裸裸地支持“台独”、鼓噪“港独”、炒作新疆“人权问题”。

据了解，自2021年6月以来，ATW披露涉华重要、核心信息系统源代码、数据库等敏感信息70余次，宣称涉及文化和旅游部、海南省政府、广州政企、中国人民银行等近百家单位的300余个信息系统。实际上，所谓泄露的源代码主要是中小型软件开发企业所研发的测试项目代码文件，不包含数据信息。但ATW组织为了博取关注，肆意歪曲解读、夸大其词，使用“大规模监控”、“侵犯人权”、“侵犯隐私”等美西方惯用的“标签”，意图凸显攻击目标和所窃数据重要性，以至于看起来，一个比一个吓人。

1、2021年10月14日，ATW在“阵列论坛”发布题为“人民币行动（Operation Renminbi）”的帖子，称“出售中国人民银行相关软件项目源代码”，

2、2021年11月2日，ATW组织在“阵列论坛”发布信息，称“广州政企互联科技有限公司已被其攻破”，并提供了数据库和SSH密钥的下载方式；

3、2021年11月24日，ATW组织发布了16个政府网站大数据系统存在漏洞情况，涉及北京、浙江、四川、重庆、广东、江苏、湖北、湖南等地；

4、2022年1月7日，ATW组织声称出售“中国大量政府、非政府组织、机构和公司数据，待售数据涉及102家中国实体单位”；

5、2022年3月6日，ATW在电报群组中发布消息称“攻破了中央汇金投资公司，窃取了大量数据”，并提供了数据的下载链接；

6、2022年3月28日，宣称“广发银行已被攻破”，发布“整个后端源代码、maven 版本”等数据；

7、2022年8月12日，ATW组织在推特发布数据售卖帖，称其从中兴通讯公司服务器获取了4000条警察人员的电话号码和姓名数据。

三、主要成员简介

据有关人士透露，ATW组织平日活跃成员6名，相关成员平时多从事程序员、网络工程师等职业，主要位于瑞士、法国、波兰、加拿大等国，该组织成员同时被曝有长期吸食毒品的行为。

骨干成员1：蒂莉·考特曼（Tillie Kottmann），1999年8月7日生于瑞士卢塞恩，自称是黑客、无政府主义者，以女性自居，生理性别为男性。其曾通过“声呐方块”平台漏洞获取企业信息系统源代码数据；2020年7月，其还曾在互联网上曝光了微软、高通、通用电气、摩托罗拉、任天堂、迪士尼50余家知名企业信息系统源代码。

骨干成员2：帕韦尔∙杜达（PawelDuda），波兰人，软件工程师。其曾在多家网络公司从事软件工程工作。该人日常会进行黑客技术研究，并在Slides.com网站共享文件中设置了“成为更好的黑客”的座右铭。

四、攻击主要方式及目的

根据追踪发现，ATW对外宣称通过SonarQube、Gogs、Gitblit等开源网络系统存在的技术漏洞对我政府机关、科研机构、国有企业和金融机构实施大规模的网络攻击和数据窃取，但实际上ATW所获取的数据多为自中小软件开发企业的测试数据，并未对我方党政机关、科研机构和大型互联网金融机构造成实质性的攻击。

为凸显攻击目标和所窃数据重要性，ATW多次对所窃数据进行歪曲解读、夸大其词，为我方扣上“网络安全威胁”的帽子，并大肆诋毁我政治体制和党政机关、自我炒作、借机攻击中国的意图十分明显。