Онлайн изхвърляне на китайски хакерски документи предлага рядък прозорец към широко разпространеното държавно наблюдение
Китайската полиция разследва неоторизирано и изключително необичайно онлайн изхвърляне на документи от частен охранителен изпълнител свързани с най-висшата полицейска агенция на Китай и други части на неговото правителство
От ФРАНК БАДЖАК Associated Press и DAKE KANG Associated Press 21 февруари 2024 г., 14:29 ч. Китай, които са били свидетели на значителни антиправителствени протести, като Хонконг или силно мюсюлманския регион на Синдзян в далечния запад на Китай.Изхвърлянето на десетки документи в края на миналата седмица и последвалото разследване бяха потвърдени от двама служители на I-Soon, известни като Anxun на мандарин, който има връзки с мощното Министерство на обществената сигурност. Изхвърлянето, което анализаторите смятат за много важно, дори и да не разкрива особено нови или мощни инструменти, включва стотици страници с договори, маркетингови презентации, ръководства за продукти и списъци на клиенти и служители.
Те разкриват в детайли методите, използвани от китайските власти, използвани за наблюдение на дисиденти отвъд океана, хакване на други нации и популяризиране на пропекински разкази в социалните медии.
Документите показват очевидно I-Soon хакване на мрежи в Централна и Югоизточна Азия, както и Хонконг и самоуправляващия се остров Тайван, който Пекин твърди, че е негова територия.
Хакерските инструменти се използват от китайски държавни агенти, за да демаскират потребители на социални медийни платформи извън Китай, като X, по-рано известен като Twitter, да проникнат в имейли и да скрият онлайн активността на задгранични агенти. Също така са описани устройства, маскирани като разклонители и батерии, които могат да се използват за компрометиране на Wi-Fi мрежи.
I-Soon и китайската полиция разследват как са били файловете изтече, казаха двамата служители на I-Soon пред AP. Един от служителите каза, че I-Soon е провел среща в сряда относно изтичането на информация и са му казали, че това няма да засегне твърде много бизнеса и „да продължат да работят както обикновено“. AP не назовава имената на служителите - които са предоставили фамилните си имена, според обичайната китайска практика - от загриженост за възможно възмездие.
Източникът на изтичането не е известен. Китайското външно министерство не отговори веднага на искане за коментар.
Jon Condra, анализатор в Recorded Future, компания за киберсигурност, нарече това най-значимото изтичане някога е бил свързан с компания, „заподозряна в предоставяне на кибершпионаж и целеви услуги за проникване за китайските служби за сигурност“. Той каза, че организациите, насочени към I-Soon - според изтеклия материал - включват правителства, телекомуникационни фирми в чужбина и компании за онлайн хазарт в Китай.
До 190-мегабайта Изтичане на информация, уебсайтът на I-Soon включваше страница с клиенти, ръководени от Министерството на обществената сигурност и включваща 11 бюра за сигурност на провинциално ниво и около 40 общински отдела за обществена сигурност.
Друга страница, достъпна до ранните часове на вторник, рекламира усъвършенствани способности за „атака и защита“ на постоянна заплаха, използвайки акронима APT – един, който индустрията за киберсигурност използва, за да опише най-сложните в света хакерски групи. Вътрешните документи в изтичането описват I-Soon бази данни с хакнати данни, събрани от чуждестранни мрежи по целия свят, които се рекламират и продават на китайската полиция.
Уебсайтът на компанията беше напълно офлайн по-късно във вторник. Представител на I-Soon отказа искане за интервю и каза, че компанията ще излезе с официално изявление на неуточнена бъдеща дата.
I-Soon е основана в Шанхай през 2010 г. , според китайските корпоративни записи, и има дъщерни дружества в три други града, включително едно в югозападния град Чънду, което отговаря за хакване, изследвания и разработки, според изтекли вътрешни слайдове.
Дъщерното дружество на I-Soon в Ченду беше отворено както обикновено в сряда. Червени фенери за лунна Нова година се люлееха от вятъра в покрита алея, водеща до пететажната сграда, в която се намират офисите на I-Soon в Ченгду. Служителите влизаха и излизаха, пушейки цигари и отпивайки кафе за вкъщи отвън. Вътре плакати с емблемата на комунистическата партия с чук и пръчка съдържаха лозунги, които гласят: „Опазването на партията и тайните на страната е задължително задължение на всеки гражданин.“
I- Изглежда, че инструментите на Soon се използват от китайската полиция за ограничаване на несъгласието в социалните медии в чужбина и за наводняването им с про-пекинско съдържание. Властите могат да наблюдават директно китайските социални медийни платформи и да им нареждат да премахват антиправителствени публикации. Но им липсва тази способност чуждестранни сайтове като Facebook или X, където се стичат милиони китайски потребители, за да избегнат държавното наблюдение и цензура.
„Има огромен интерес към мониторинга на социалните медии и коментирайки от страна на китайското правителство", каза Марейке Олберг, старши сътрудник в Азиатската програма на Германския фонд Маршал. Тя прегледа някои от документите.
За контролиране на общественото мнение и предотвратяване на антиправителствени настроения, каза Олбърг, контролът върху критични постове в страната е от основно значение. „Китайските власти“, каза тя, „имат голям интерес да проследят потребители, които са базирани в Китай.“
Източникът на изтичането може да е „а конкурентна разузнавателна служба, недоволен вътрешен човек или дори конкурентен изпълнител", каза главният анализатор на заплахите Джон Хълтквист от подразделението за киберсигурност Mandiant на Google. Данните показват, че спонсорите на I-Soon също включват Министерството на държавната сигурност и китайската армия, Народната освободителна армия, Hultquist каза.
Един изтекъл проектодоговор показва, че I-Soon е продавал „антитерористична“ техническа поддръжка на полицията в Синцзян за проследяване на местните уйгури в региона в Централна и Югоизточна част Asia, твърдейки, че има достъп до хакнати авиокомпании, клетъчни и правителствени данни от страни като Монголия, Малайзия, Афганистан и Тайланд. Не е ясно дали контактът е бил подписан.
„Виждаме много насочване към организации, които са свързани с етнически малцинства - тибетци, уйгури. Голяма част от насочването към чуждестранни субекти може да се види през призмата на приоритетите на правителството за вътрешна сигурност“, каза Дакота Кери, китайски анализатор от фирмата за киберсигурност SentinelOne.
Той каза, че документите изглеждат легитимни, защото са в съответствие с това, което би се очаквало от изпълнител, хакващ от името на апарата за сигурност на Китай с вътрешни политически приоритети.
Cary намери електронна таблица със списък от хранилища на данни, събрани от жертвите, и преброи 14 правителства като цели, включително Индия, Индонезия и Нигерия. Документите показват, че I-Soon подкрепя най-вече Министерството на обществената сигурност, каза той.
Кери също беше поразен от насочването на Министерството на здравеопазването на Тайван да определи неговия COVID -19 дела в началото на 2021 г. – и впечатлен от ниската цена на някои от хаковете. Документите показват, че I-Soon е таксувал $55 000, за да хакне министерството на икономиката на Виетнам, каза той. успешно хакване на всяка страна от НАТО, установи първоначален преглед на данните от Асошиейтед прес. Това обаче не означава, че подкрепяните от държавата китайски хакери не се опитват да хакнат САЩ и техните съюзници. Ако изтеклия е в Китай, което изглежда вероятно, Кери каза, че „изтичането на информация за хакване на НАТО би било наистина, наистина подстрекателско“ – риск, който може да накара китайските власти да бъдат по-решителни да идентифицират хакера.
Mathieu Tartare, изследовател на зловреден софтуер във фирмата за киберсигурност ESET, казва, че е свързала I-Soon с китайска държавна хакерска група, която нарича Fishmonger, която активно проследява и за която писа през януари 2020 г. след групата хакна университети в Хонконг по време на студентски протести. Той каза, че от 2022 г. Fishmonger се насочва към правителства, НПО и мозъчни тръстове в Азия, Европа, Централна Америка и Съединените щати.
Френският изследовател на киберсигурността Баптист Робърт също прегледа документите и каза, че изглежда I-Soon е намерил начин да хакне акаунти в X, по-рано известен като Twitter, дори ако имат двуфакторно удостоверяване, както и друг за анализиране на входящи кутии за имейл. Той каза, че американските кибероператори и техните съюзници са сред потенциалните заподозрени в изтичането на I-Soon, тъй като е в техен интерес да разкрият хакерството на китайската държава. Cyber Command не коментира дали Агенцията за национална сигурност или Cybercom са замесени в изтичането на информация. Имейл до пресцентъра на X отговаря: „Сега съм зает, моля, проверете отново по-късно.“
Западните правителства, включително Съединените щати, предприеха стъпки за блокиране Китайско държавно наблюдение и тормоз на правителствени критици в чужбина през последните години. Лора Харт, директор на кампанията в Safeguard Defenders, застъпническа група, която се фокусира върху правата на човека в Китай, каза, че подобни тактики всяват страх от китайското правителство у китайски и чуждестранни граждани в чужбина, задушават критиките и водят до автоцензура. „Те са надвиснала заплаха, която просто е постоянно там и е много трудно да се отърсиш.“
Миналата година американски служители повдигнаха обвинения на 40 членове на китайски полицейски части, назначени на тормозят членовете на семействата на китайски дисиденти в чужбина, както и да разпространяват про-пекинско съдържание онлайн. Обвиненията описват тактики, подобни на тези, описани в документите I-Soon, каза Харт. Китайски официални лица обвиниха Съединените щати в подобна дейност. Американски официални лица включително директорът на ФБР Крис Уори наскоро се оплакаха от китайски държавни хакери, поставящи злонамерен софтуер, който може да бъде използван за повреда на гражданска инфраструктура. говорителка, каза, че правителството на САЩ отдавна работи за компрометиране на критичната инфраструктура на Китай. Тя поиска от САЩ „да спрат да използват проблемите на киберсигурността, за да клеветят други държави.“
___
Канг съобщи от Чънду, Китай. Журналистите от AP Диди Танг във Вашингтон, окръг Колумбия, и Лари Фен в Ню Йорк допринесоха за този доклад.
