Онлайн изхвърляне на китайски хакерски документи предлага рядък прозорец към широко разпространеното държавно наблюдение
Китайската полиция разследва неоторизирано и изключително необичайно онлайн изхвърляне на документи от частен охранителен изпълнител, свързан с най-голямата полицейска агенция в страната и други части на неговото правителство – съкровище, което каталогизира очевидна хакерска дейност и инструменти за шпиониране както на китайци, така и на чужденци.
Сред очевидните цели на инструментите, предоставени от засегнатата компания, I-Soon : етноси и дисиденти в части от Китай, които са били свидетели на значителни антиправителствени протести, като Хонконг или силно мюсюлманския регион Синдзян в далечния запад на Китай.
Изхвърлянето на десетки документи в края на миналата седмица и последвалото разследване бяха потвърдени от двама служители на I-Soon, известен като Anxun на мандарин, който има връзки с мощното Министерство на обществената сигурност. Изхвърлянето, което анализаторите смятат за изключително важно, дори и да не разкрива особено нови или мощни инструменти, включва стотици страници с договори, маркетингови презентации, ръководства за продукти и списъци на клиенти и служители.
Те разкриват в детайли методите, използвани от китайските власти, използвани за наблюдение на дисиденти в чужбина, хакване на други нации и популяризиране на пропекински наративи в социалните медии.
Документите показват очевидно хакване на I-Soon на мрежи в Централна и Югоизточна Азия, както и Хонконг и самоуправляващия се остров Тайван, който Пекин претендира за своя територия.
Хакерските инструменти се използват от китайски държавни агенти за демаскирайте потребители на социални медийни платформи извън Китай, като X, по-рано известен като Twitter, проникнете в имейли и скрийте онлайн дейността на агенти в чужбина. Също така са описани устройства, маскирани като разклонители и батерии, които могат да се използват за компрометиране на Wi-Fi мрежи.
I-Soon и китайската полиция разследват как са изтекли файловете, двете I- Скоро служители казаха на Асошиейтед прес. Един от служителите каза, че I-Soon е провел среща в сряда относно изтичането на информация и са му казали, че това няма да засегне твърде много бизнеса и „да продължат да работят както обикновено“. AP не назовава имената на служителите - които са предоставили фамилните си имена, според обичайната китайска практика - от загриженост за възможно възмездие.
Източникът на изтичането не е известен. Китайското външно министерство не отговори веднага на искане за коментар.
Jon Condra, анализатор в Recorded Future, компания за киберсигурност, нарече това най-значимото изтичане, свързано някога с компания. заподозрян в предоставяне на кибершпионаж и услуги за целенасочено проникване за китайските служби за сигурност. Той каза, че организациите, насочени към I-Soon — според изтеклия материал — включват правителства, телекомуникационни фирми в чужбина и компании за онлайн хазарт в Китай.
До изтичането на 190-мегабайта уебсайтът на I-Soon включваше страница изброяваща клиенти начело на Министерството на обществената сигурност и включваща 11 бюра за сигурност на провинциално ниво и около 40 общински отдела за обществена сигурност.
Друга страница, достъпна до ранните часове на вторник, рекламира напреднала постоянна заплаха “ способности за атака и отбрана, използвайки акронима APT — такъв, който индустрията за киберсигурност използва, за да опише най-сложните хакерски групи в света. Вътрешните документи в изтичането описват I-Soon бази данни с хакнати данни, събрани от чужди мрежи по света, които се рекламират и продават на китайската полиция.
Уебсайтът на компанията беше напълно офлайн по-късно във вторник. Представител на I-Soon отказа искане за интервю и каза, че компанията ще излезе с официално изявление на неуточнена бъдеща дата.
I-Soon е основана в Шанхай през 2010 г., според китайските корпоративни регистри , и има дъщерни дружества в три други града, включително един в югозападния град Чънду, който отговаря за хакване, изследвания и разработки, според изтекли вътрешни слайдове.
Дъщерното дружество на I-Soon в Чънду беше отворен както обикновено в сряда. Червени фенери за лунна Нова година се люлееха от вятъра в покрита алея, водеща до пететажната сграда, в която се намират офисите на I-Soon в Ченгду. Служителите влизаха и излизаха, пушейки цигари и отпивайки кафе за вкъщи отвън. Вътре плакати с емблемата на чук и пръчка на Комунистическата партия съдържаха лозунги, които гласят: „Опазването на партията и тайните на страната е задължително задължение на всеки гражданин.“
Изглежда, че се използват инструменти на I-Soon от китайската полиция, за да ограничи несъгласието в социалните медии в чужбина и да ги наводни с пропекинско съдържание. Властите могат да наблюдават директно китайските социални медийни платформи и да им наредят да свалят антиправителствени публикации. Но им липсва тази способност в задгранични сайтове като Facebook или X, където милиони китайски потребители се стичат, за да избегнат държавното наблюдение и цензура.
„Има огромен интерес към наблюдението на социалните медии и коментирайки от страна на китайското правителство“, каза Марейке Олберг, старши сътрудник в Азиатската програма на Германския фонд Маршал. Тя прегледа някои от документите.
За да се контролира общественото мнение и да се предотвратят антиправителствените настроения, каза Олберг, контролът върху критични постове в страната е от основно значение. „Китайските власти“, каза тя, „имат голям интерес да проследят потребители, които са базирани в Китай.“
Източникът на изтичането може да е „конкурентна разузнавателна служба, недоволна вътрешен човек или дори конкурентен изпълнител“, каза главният анализатор на заплахите Джон Хултквист от отдела за киберсигурност Mandiant на Google. Данните показват, че спонсорите на I-Soon също включват Министерството на държавната сигурност и китайската армия, Народната освободителна армия, каза Хултквист. терор“ техническа помощ на полицията в Синдзян за проследяване на местните уйгури в Централна и Югоизточна Азия, твърдейки, че има достъп до хакнати авиокомпании, клетъчни и правителствени данни от страни като Монголия, Малайзия, Афганистан и Тайланд. Не е ясно дали контактът е бил подписан.
„Виждаме много насочване към организации, които са свързани с етнически малцинства — тибетци, уйгури. Голяма част от насочването към чуждестранни субекти може да се види през призмата на вътрешните приоритети за сигурност на правителството“, каза Дакота Кери, китайски анализатор от фирмата за киберсигурност SentinelOne.
Той каза, че документите изглеждат легитимни, защото са в съответствие с това, което би се очаквало от изпълнител, хакващ от името на китайския апарат за сигурност с вътрешни политически приоритети.
Кери намери електронна таблица със списък от хранилища на данни, събрани от жертвите и преброи 14 правителства като цели, включително Индия, Индонезия и Нигерия. Документите показват, че I-Soon подкрепя най-вече Министерството на обществената сигурност, каза той.
Кери също беше поразен от прицелването на Министерството на здравеопазването на Тайван да определи броя на случаите на COVID-19 в началото на 2021 г. — и впечатлен от ниската цена на някои от хаковете. Документите показват, че I-Soon е таксувал $55 000 за хакване на министерството на икономиката на Виетнам, каза той.
Въпреки че няколко записа в чат се отнасят до НАТО, няма индикация за успешно хакване на която и да е страна от НАТО , установи първоначален преглед на данните от AP. Това обаче не означава, че подкрепяните от държавата китайски хакери не се опитват да хакнат САЩ и техните съюзници. Ако изтичащият е в Китай, което изглежда вероятно, Кери каза, че „изтичането на информация за хакване на НАТО би било наистина, наистина подстрекателско“ – риск, който може да накара китайските власти да бъдат по-решителни да идентифицират хакера.
Mathieu Tartare, изследовател на зловреден софтуер във фирмата за киберсигурност ESET, казва, че е свързал I-Soon с китайска държавна хакерска група, която нарича Fishmonger, която активно проследява и за която писа през януари 2020 г., след като групата хакна университети в Хонконг по време на студентски протести. Той каза, че от 2022 г. Fishmonger се насочва към правителства, неправителствени организации и мозъчни тръстове в Азия, Европа, Централна Америка и Съединените щати.
Френският изследовател на киберсигурността Баптист Робер също прегледа документите и каза, че изглежда I-Soon е намерил начин да хакне акаунти в X, по-рано известен като Twitter, дори ако имат двуфакторно удостоверяване, както и друг за анализиране на имейл кутии. Той каза, че американските кибероператори и техните съюзници са сред потенциалните заподозрени в изтичането на I-Soon, тъй като е в техен интерес да разкрият китайското държавно хакване.
Говорителка на Кибер командването на САЩ не коментира за това дали Агенцията за национална сигурност или Cybercom са замесени в изтичането на информация. Имейл до пресцентъра на X отговаря: „Сега съм зает, моля, проверете отново по-късно.“
Западните правителства, включително Съединените щати, предприеха стъпки за блокиране на китайското държавно наблюдение и тормоз на критици на правителството в чужбина през последните години. Лора Харт, директор на кампанията в Safeguard Defenders, застъпническа група, която се фокусира върху правата на човека в Китай, каза, че подобни тактики всяват страх от китайското правителство у китайски и чуждестранни граждани в чужбина, задушават критиките и водят до автоцензура. „Те са надвиснала заплаха, която просто е постоянно там и е много трудно да се отърсим.“
Миналата година американски служители обвиниха 40 членове на китайските полицейски звена, натоварени да тормозят членовете на семействата на китайци дисиденти в чужбина, както и за разпространение на про-пекинско съдържание онлайн. Обвиненията описват тактики, подобни на тези, описани в документите I-Soon, каза Харт. Китайски власти обвиниха САЩ в подобна дейност. Американски служители, включително директорът на ФБР Крис Рей, наскоро се оплакаха от китайски държавни хакери, поставящи зловреден софтуер, който може да бъде използван за увреждане на гражданска инфраструктура.
В понеделник Мао Нинг, говорител на китайското външно министерство, каза правителството на САЩ отдавна работи за компрометиране на критичната инфраструктура на Китай. Тя поиска от САЩ „да спрат да използват проблемите на киберсигурността, за да клеветят други държави“.
Асошиейтед прес
