Онлайн изхвърляне на китайски хакерски документи предлага рядък прозорец към всеобхватното държавно наблюдение

Китайската полиция разследва неразрешено и изключително необичайно онлайн изхвърляне на документи от частен охранителен изпълнител, свързан с най-голямата полицейска агенция в страната и други части на неговото правителство — съкровище, което каталогизира очевидна хакерска дейност и инструменти за шпиониране както на китайци, така и на чужденци.

Сред очевидните цели на инструментите, предоставени от засегнатата компания, I-Soon: етноси и дисиденти в части от Китай които са свидетели на значителни антиправителствени протести, като Хонконг или силно мюсюлманския регион Синдзян в далечния запад на Китай.

Изхвърлянето на десетки документи в края на миналата седмица и последвалото разследване бяха потвърдени от двама служители на I-Soon, известен като Anxun на мандарин, който има връзки с мощното Министерство на обществената сигурност. Изхвърлянето, което анализаторите смятат за изключително важно, дори и да не разкрива особено нови или мощни инструменти, включва стотици страници с договори, маркетингови презентации, ръководства за продукти и списъци на клиенти и служители.

Те разкриват в детайли методите, използвани от китайските власти за наблюдение на дисиденти отвъд океана, хакване на други нации и насърчаване на пропекински наративи в социалните медии.

Документите показват очевидно хакване на I-Soon на мрежи в Централна и Югоизточна Азия, както и Хонконг и самоуправляващия се остров Тайван, който Пекин твърди, че е негова територия.

Хакерските инструменти се използват от китайски държавни агенти, за да демаскират потребители на социални медийни платформи извън Китай, като X, по-рано известен като Twitter, да проникнат в имейли и да скрият онлайн активността на агенти в чужбина. Също така са описани устройства, маскирани като разклонители и батерии, които могат да се използват за компрометиране на Wi-Fi мрежи.

I-Soon и китайската полиция разследват как са изтекли файловете, казаха двамата служители на I-Soon AP. Един от служителите каза, че I-Soon е провел среща в сряда относно изтичането на информация и са му казали, че това няма да засегне твърде много бизнеса и „да продължат да работят както обикновено“. AP не назовава имената на служителите - които са предоставили фамилните си имена, според обичайната китайска практика - от загриженост за възможно възмездие.

Източникът на изтичането не е известен. Китайското външно министерство не отговори веднага на искане за коментар.

ИЗТИЧАНЕ НА СИЛНО ВЪЗДЕЙСТВИЕ

Джон Кондра, анализатор в Recorded Future, компания за киберсигурност, го нарече най-значимото изтичане, свързано някога с компания, „подозирана в предоставяне на кибер шпионаж и услуги за целенасочено проникване за китайски служби за сигурност. Той каза, че организациите, насочени към I-Soon - според изтеклия материал - включват правителства, телекомуникационни фирми в чужбина и компании за онлайн хазарт в Китай.

До изтичането на 190 мегабайта уебсайтът на I-Soon включваше списък със страници клиенти, ръководени от Министерството на обществената сигурност и включващи 11 бюра за сигурност на провинциално ниво и около 40 общински отдела за обществена сигурност.

Друга страница, достъпна до ранните часове на вторник, рекламира усъвършенствани възможности за „атака и отбрана“ на постоянна заплаха, използвайки съкращението APT – едно, което индустрията за киберсигурност използва, за да опише най-сложните хакерски групи в света. Вътрешните документи в изтичането описват I-Soon бази данни с хакнати данни, събрани от чужди мрежи по света, които се рекламират и продават на китайската полиция.

Уебсайтът на компанията беше напълно офлайн по-късно във вторник. Представител на I-Soon отказа искане за интервю и каза, че компанията ще излезе с официално изявление на неуточнена бъдеща дата.

I-Soon е основана в Шанхай през 2010 г., според китайските корпоративни регистри, и има дъщерни дружества в три други града, включително едно в югозападния град Чънду, което отговаря за хакване, изследвания и разработки, според изтекли вътрешни слайдове .

Дъщерното дружество на I-Soon в Ченгду беше отворено както обикновено в сряда. Червени фенери за лунна Нова година се люлееха от вятъра в покрита алея, водеща до пететажната сграда, в която се намират офисите на I-Soon в Ченгду. Служителите влизаха и излизаха, пушейки цигари и отпивайки кафе за вкъщи отвън. Вътре плакати с емблемата на комунистическата партия с чук и пръчка съдържаха лозунги, които гласят: „Опазването на партията и тайните на страната е задължително задължение на всеки гражданин.“

Изглежда, че инструментите на I-Soon се използват от китайската полиция за ограничаване на несъгласието в социалните медии в чужбина и ги наводнявайте с пропекинско съдържание. Властите могат да наблюдават директно китайските социални медийни платформи и да им наредят да свалят антиправителствени публикации. Но им липсва тази способност в задгранични сайтове като Facebook или X, където милиони китайски потребители се стичат, за да избегнат държавното наблюдение и цензура.

„Има огромен интерес към наблюдението и коментарите в социалните медии от страна на китайското правителство“, каза Марейке Олберг, старши сътрудник в Азиатската програма на Германския фонд Маршал. Тя прегледа някои от документите.

За да се контролира общественото мнение и да се предотвратят антиправителствените настроения, каза Олберг, контролът върху критични постове в страната е от основно значение. „Китайските власти“, каза тя, „имат голям интерес да проследяват потребители, които са базирани в Китай.“

Източникът на изтичането може да е „конкурентна разузнавателна служба, недоволен вътрешен човек или дори конкурентен изпълнител“, каза главният анализатор на заплахите Джон Хултквист от отдела за киберсигурност Mandiant на Google. Данните показват, че спонсорите на I-Soon също включват Министерството на държавната сигурност и китайската армия, Народната освободителна армия, каза Хултквист.

МНОГО ЦЕЛИ, МНОГО ДЪРЖАВИ

Една изтекла чернова договорът показва, че I-Soon е продавал „антитерористична“ техническа поддръжка на полицията в Синдзян за проследяване на местните уйгури в Централна и Югоизточна Азия, твърдейки, че има достъп до хакнати авиокомпании, клетъчни и правителствени данни от страни като Монголия, Малайзия, Афганистан и Тайланд. Не е ясно дали контактът е бил подписан.

„Виждаме много насочване към организации, които са свързани с етнически малцинства - тибетци, уйгури. Голяма част от насочването към чуждестранни субекти може да се види през призмата на приоритетите на правителството за вътрешна сигурност“, каза Дакота Кери, китайски анализатор от фирмата за киберсигурност SentinelOne.

Той каза, че документите изглеждат легитимни, защото те са в съответствие с това, което би се очаквало от изпълнител, който извършва хакване от името на апарата за сигурност на Китай, с вътрешните политически приоритети.

Кери намери електронна таблица със списък от хранилища на данни, събрани от жертвите, и преброи 14 правителства като цели, включително Индия, Индонезия и Нигерия. Документите показват, че I-Soon подкрепя най-вече Министерството на обществената сигурност, каза той.

Кери също беше поразен от прицелването на Министерството на здравеопазването на Тайван да определи броя на случаите на COVID-19 в началото на 2021 г. – и впечатлен от ниската цена на някои от хаковете. Документите показват, че I-Soon е таксувал $55 000 за хакване на министерството на икономиката на Виетнам, каза той.

Въпреки че няколко записа в чат се отнасят до НАТО, няма индикации за успешно хакване на която и да е страна от НАТО, първоначален преглед от данните на Асошиейтед прес. Това обаче не означава, че подкрепяните от държавата китайски хакери не се опитват да хакнат САЩ и техните съюзници. Ако изтеклия е в Китай, което изглежда вероятно, Кери каза, че „изтичането на информация за хакване на НАТО би било наистина, наистина подстрекателско“ – риск, който може да накара китайските власти да бъдат по-решителни да идентифицират хакера.

Матьо Tartare, изследовател на зловреден софтуер във фирмата за киберсигурност ESET, казва, че е свързал I-Soon с китайска държавна хакерска група, която нарича Fishmonger, която активно проследява и за която писа през януари 2020 г., след като групата хакна университети в Хонконг по време на студентски протести. Той каза, че от 2022 г. Fishmonger се насочва към правителства, неправителствени организации и мозъчни тръстове в Азия, Европа, Централна Америка и Съединените щати.

Френският изследовател на киберсигурността Баптист Робер също прегледа документите и каза, че изглежда I-Soon беше намерил начин да хакне акаунти в X, по-рано известен като Twitter, дори ако имат двуфакторно удостоверяване, както и друг за анализиране на имейл кутии. Той каза, че американските кибероператори и техните съюзници са сред потенциалните заподозрени в изтичането на I-Soon, тъй като е в техен интерес да разкрият хакерството на китайската държава.

Говорителка на Кибер командването на САЩ не коментира дали Националната Агенцията за сигурност или Cybercom са замесени в изтичането на информация. Имейл до пресцентъра на X отговаря: „Сега съм зает, моля, проверете отново по-късно.“

Западните правителства, включително Съединените щати, предприеха стъпки за блокиране на китайското държавно наблюдение и тормоза на правителствени критици в чужбина през последните години. Лора Харт, директор на кампанията в Safeguard Defenders, застъпническа група, която се фокусира върху правата на човека в Китай, каза, че подобни тактики всяват страх от китайското правителство у китайски и чуждестранни граждани в чужбина, задушават критиките и водят до автоцензура. „Те са надвиснала заплаха, която е постоянно там и е много трудно да се отърсиш.“

Миналата година американските власти повдигнаха обвинения срещу 40 членове на китайските полицейски части, назначени да тормозят и членовете на семействата на китайски дисиденти в чужбина за разпространение на про-пекинско съдържание онлайн. Обвиненията описват тактики, подобни на тези, описани в документите I-Soon, каза Харт. Китайски власти обвиниха САЩ в подобна дейност. Американски служители, включително директорът на ФБР Крис Уори, наскоро се оплакаха от китайски държавни хакери, поставящи зловреден софтуер, който може да бъде използван за увреждане на гражданска инфраструктура.

В понеделник Мао Нинг, говорител на китайското външно министерство, каза, че правителството на САЩ отдавна работи за компрометиране на критичната инфраструктура на Китай. Тя поиска от САЩ „да спрат да използват проблемите на киберсигурността, за да клеветят други държави.“

___

Канг съобщи от Чънду, Китай. Журналистите от АП Диди Танг във Вашингтон, окръг Колумбия, и Лари Фен в Ню Йорк допринесоха за този доклад.

Последвайте ни в