Изтекли документи разкриват как хакери, свързани с китайската държава, шпионират граждани, чужденци
Китайската полиция разследва неразрешено и изключително необичайно онлайн изхвърляне на документи от частен охранителен изпълнител, свързан с най-голямата полицейска агенция в страната и други части на нейната правителство — съкровище, което каталогизира очевидна хакерска дейност и инструменти за шпиониране както на китайци, така и на чужденци.
Сред очевидните цели на инструментите, предоставени от засегнатата компания, I-Soon: етноси и дисиденти в части на Китай, които са видели значителни антиправителствени протести, като Хонконг или силно мюсюлманския регион Синдзян в далечния запад на Китай.
Изхвърлянето на десетки документи в края на миналата седмица и последвалото разследване бяха потвърдени от двама служители на I-Soon , известен като Anxun на мандарин, който има връзки с мощното Министерство на обществената сигурност. Изхвърлянето, което анализаторите смятат за изключително важно, дори и да не разкрива някакви особено нови или мощни инструменти, включва стотици страници с договори, маркетингови презентации, ръководства за продукти и списъци на клиенти и служители.
Те разкриват, в детайли методите, използвани от китайските власти, използвани за наблюдение на дисиденти отвъд океана, хакване на други нации и насърчаване на про-пекински наративи в социалните медии.
Документите показват очевидно хакване на I-Soon на мрежи в Централна и Югоизточна Азия, както и Хонконг и самоуправляващия се остров Тайван, който Пекин претендира за своя територия.
Хакерските инструменти се използват от китайски държавни агенти, за да демаскират потребители на социални медийни платформи извън Китай, като X, по-рано известен като Twitter, прониква в имейли и крие онлайн дейността на агенти в чужбина. Също така са описани устройства, маскирани като разклонители и батерии, които могат да се използват за компрометиране на Wi-Fi мрежи.
I-Soon и китайската полиция разследват как са изтекли файловете, казаха двамата служители на I-Soon AP. Един от служителите каза, че I-Soon е провел среща в сряда относно изтичането на информация и са му казали, че това няма да засегне твърде много бизнеса и „да продължат да работят както обикновено“. AP не назовава имената на служителите - които са предоставили фамилните си имена, според обичайната китайска практика - от загриженост за възможно възмездие.
Източникът на изтичането не е известен. Китайското външно министерство не отговори веднага на искане за коментар.
Силно въздействащо изтичане
Jon Condra, анализатор в Recorded Future, компания за киберсигурност , нарече това най-значимото изтичане, свързано някога с компания, „заподозряна в предоставяне на кибершпионаж и услуги за целенасочено проникване за китайските служби за сигурност“. Той каза, че организациите, насочени към I-Soon - според изтеклия материал - включват правителства, телекомуникационни фирми в чужбина и компании за онлайн хазарт в Китай.
До изтичането на 190 мегабайта уебсайтът на I-Soon включваше списък със страници клиенти, ръководени от Министерството на обществената сигурност и включително 11 бюра за сигурност на провинциално ниво и около 40 общински отдела за обществена сигурност.
Вземете последните национални новини. Изпраща се на вашия имейл, всеки ден.Друга страница, достъпна до ранните часове на вторник, рекламира усъвършенствани възможности за „атака и защита“ на постоянни заплахи, използвайки акронима APT – такъв, който индустрията за киберсигурност използва, за да опише най-сложните хакерски групи в света. Вътрешните документи в изтичането описват I-Soon бази данни с хакнати данни, събрани от чужди мрежи по света, които се рекламират и продават на китайската полиция.
Уебсайтът на компанията беше напълно офлайн по-късно във вторник. Представител на I-Soon отказа искане за интервю и каза, че компанията ще излезе с официално изявление на неуточнена бъдеща дата.
I-Soon е основана в Шанхай през 2010 г., според китайските корпоративни регистри, и има дъщерни дружества в три други града, включително един в югозападния град Чънду, който е отговорен за хакване, изследвания и разработки, според изтекли вътрешни слайдове.
Дъщерното дружество на I-Soon в Чънду беше отворено както обикновено в сряда. Червени фенери за лунна Нова година се люлееха от вятъра в покрита алея, водеща до пететажната сграда, в която се намират офисите на I-Soon в Ченгду. Служителите влизаха и излизаха, пушейки цигари и отпивайки кафе за вкъщи отвън. Вътре плакати с емблемата на комунистическата партия с чук и пръчка съдържаха лозунги, които гласят: „Опазването на партията и тайните на страната е задължително задължение на всеки гражданин.“
Изглежда, че инструментите на I-Soon се използват от китайската полиция за ограничаване на несъгласието в социалните медии в чужбина и ги наводнявайте с пропекинско съдържание. Властите могат да наблюдават директно китайските социални медийни платформи и да им наредят да свалят антиправителствени публикации. Но им липсва тази способност в задгранични сайтове като Facebook или X, където милиони китайски потребители се стичат, за да избегнат държавното наблюдение и цензура.
„Има огромен интерес към наблюдението и коментарите в социалните медии от страна на китайското правителство“, каза Марейке Олберг, старши сътрудник в Азиатската програма на Германския фонд Маршал. Тя прегледа някои от документите.
За да се контролира общественото мнение и да се предотвратят антиправителствените настроения, каза Олбърг, контролът върху критични постове в страната е ключов. „Китайските власти“, каза тя, „имат голям интерес да проследят потребители, които са базирани в Китай.“
Източникът на изтичането може да бъде „конкурентна разузнавателна служба, недоволен вътрешен човек или дори конкурентен изпълнител,” каза главният анализатор на заплахите Джон Хултквист от отдела за киберсигурност Mandiant на Google. Данните показват, че спонсорите на I-Soon също включват
Министерството на държавната сигурност и китайската армия, Народната освободителна армия, каза Хултквист.
Много цели , много страни
Един изтекъл проект на договор показва, че I-Soon е продавал „антитерористична“ техническа поддръжка на полицията в Синдзян за проследяване на местните уйгури в Централна и Югоизточна Азия, твърдейки, че има достъп до хакната авиокомпания , клетъчни и правителствени данни от страни като Монголия, Малайзия, Афганистан и Тайланд. Не е ясно дали контактът е бил подписан.
„Виждаме много насочване към организации, които са свързани с етнически малцинства - тибетци, уйгури. Голяма част от насочването към чуждестранни субекти може да се види през призмата на приоритетите на правителството за вътрешна сигурност“, каза Дакота Кери, китайски анализатор от фирмата за киберсигурност SentinelOne.
Той каза, че документите изглеждат легитимни, защото те са в съответствие с това, което би се очаквало от изпълнител, хакващ от името на китайския апарат за сигурност с вътрешни политически приоритети.
Кери намери електронна таблица със списък от хранилища на данни, събрани от жертвите, и преброи 14 правителства като цели, включително Индия, Индонезия и Нигерия. Документите показват, че I-Soon подкрепя най-вече Министерството на обществената сигурност, каза той.
Кери също беше поразен от прицелването на Министерството на здравеопазването на Тайван да определи броя на случаите на COVID-19 в началото на 2021 г. – и впечатлен от ниската цена на някои от хаковете. Документите показват, че I-Soon е таксувал $55 000 за хакване на министерството на икономиката на Виетнам, каза той.
Въпреки че няколко записа в чат се отнасят до НАТО, няма индикации за успешно хакване на която и да е страна от НАТО, първоначален преглед от данните на Асошиейтед прес. Това обаче не означава, че подкрепяните от държавата китайски хакери не се опитват да хакнат САЩ и техните съюзници. Ако изтеклия е в Китай, което изглежда вероятно, Кери каза, че „изтичането на информация за хакване на НАТО би било наистина, наистина подстрекателско“ – риск, който може да накара китайските власти да бъдат по-решителни да идентифицират хакера.
Матьо Tartare, изследовател на зловреден софтуер във фирмата за киберсигурност ESET, казва, че е свързал I-Soon с китайска държавна хакерска група, която нарича Fishmonger, която активно проследява и за която писа през януари 2020 г., след като групата хакна университети в Хонконг по време на студентски протести. Той каза, че от 2022 г. Fishmonger се насочва към правителства, неправителствени организации и мозъчни тръстове в Азия, Европа, Централна Америка и Съединените щати.
Френският изследовател на киберсигурността Баптист Робер също прегледа документите и каза, че изглежда I-Soon беше намерил начин да хакне акаунти в X, по-рано известен като Twitter, дори ако имат двуфакторно удостоверяване, както и друг за анализиране на имейл кутии. Той каза, че американските кибероператори и техните съюзници са сред потенциалните заподозрени в изтичането на I-Soon, тъй като е в техен интерес да разкрият хакерството на китайската държава.
Говорителка на Кибер командването на САЩ не коментира дали Националната Агенцията за сигурност или Cybercom са замесени в изтичането на информация. Имейл до пресцентъра на X отговаря: „Сега съм зает, моля, проверете отново по-късно.“
Западните правителства, включително Съединените щати, предприеха стъпки за блокиране на китайското държавно наблюдение и тормоза на правителствени критици в чужбина през последните години. Лора Харт, директор на кампанията в Safeguard Defenders, застъпническа група, която се фокусира върху правата на човека в Китай, каза, че подобни тактики всяват страх от китайското правителство у китайски и чуждестранни граждани в чужбина, задушават критиките и водят до автоцензура. „Те са надвиснала заплаха, която е постоянно там и е много трудно да се отърсиш.“
Миналата година американските власти повдигнаха обвинения срещу 40 членове на китайските полицейски части, назначени да тормозят и членовете на семействата на китайски дисиденти в чужбина за разпространение на про-пекинско съдържание онлайн. Обвиненията описват тактики, подобни на тези, описани в документите I-Soon, каза Харт. Китайски власти обвиниха САЩ в подобна дейност. Американски служители, включително директорът на ФБР Крис Рей, наскоро се оплакаха от китайски държавни хакери, поставящи зловреден софтуер, който може да бъде използван за увреждане на гражданска инфраструктура.
В понеделник Мао Нинг, говорител на китайското външно министерство, каза, че правителството на САЩ отдавна работи за компрометиране на критичната инфраструктура на Китай. Тя поиска от САЩ „да спрат да използват проблемите на киберсигурността, за да клеветят други държави.“
Журналистите от АП Диди Танг във Вашингтон, окръг Колумбия, и Лари Фен в Ню Йорк допринесоха за този доклад.
