拨开俄乌网络战迷雾-代码仓库测绘篇

在俄乌战争期间，我们发现了部分运营商相关的仓库存在着类似未授权访问漏洞，除了源代码泄露可能造成的危险外，代码中还有许多敏感信息。如图4，代码仓库中出现“姓名”、“证书编号”、“身份证”之类的个人隐私数据。

图4 代码仓库中存在的个人信息

在俄乌战争期间，我们还发现了部分银行相关的仓库存在着类似未授权访问漏洞，除了源代码泄露可能造成的危险外，代码中还有许多敏感信息。如图5，代码仓库中SQL服务器的“用户名”和“密码”；如图6，代码仓库中其他服务的“用户名”和“密码”。

图5  SQL服务器的“用户名”和“密码”

图6  其他服务的“用户名”和“密码”

在俄乌战争期间，我们还发现了部分政府相关的仓库存在着类似未授权访问漏洞，除了源代码泄露可能造成的危险外，代码中还有许多敏感信息。如图7中，代码仓库中记录了相关数据库的“url”、“用户名”和“密码”。

图7  相关数据库的“url”、“用户名”和“密码”

以上仅为部分示例，在俄乌战争期间，我们发现了大量类似上述存在未授权访问漏洞的仓库，这些源代码仓库覆盖了众多领域，潜在风险较大。

在前不久，源代码仓库Gitblit已经被境外黑客组织AgainstTheWest（ATW）所攻击。自2022年1月20日以来，该黑客组织利用Gitblit漏洞，对我国多家关键信息基础设施单位发起攻击，窃取重要信息系统源代码数据，并在国外黑客论坛RaidForums上进行非法售卖，具体情况请见绿盟此前文章：https://blog.nsfocus.net/gitblit-snoarqube/。

ATW组织自2021年10月以来，便针对暴露在公网上的SonarQube平台进行了攻击，窃取了我国多家企业单位信息系统源代码，并在国外黑客论坛RaidForums上进行非法售卖，具体情况请见绿盟此前文章：https://mp.weixin.qq.com/s/LDZQZF-nMCvPFZc6DqRuQw。

源代码仓库是软件供应链的重要一环，俄乌战争的冲突已经蔓延到了网络空间，网络战已成为现代战争中不可分割的战场之一。上述源代码仓库存在的未授权访问漏洞，可能会导致污染源码、敏感数据泄露等系列问题，这会对战争双方、舆论宣传产生诸多影响。

无论是2022年1月份境外势力ATW组织对我国源代码Gitblit的攻击、还是这次俄乌战争期间，境外黑客组织入侵我们的源代码仓库并发表侮辱性言语，我们可以发现境外黑客组织已经盯上了源代码仓库资产。因此，源代码仓库安全急需得到我们共同的重视。

针对于此，绿盟科技创新中心提出了从源代码泄露发现、到源代码风险性评估、再到代码所属机构及业务机构的确认，最后到持续监测反馈的全流程解决方案（见图8）。我们将持续守护源代码安全，为网络安全建设贡献力量。

图8 源代码安全解决方案流程示意图