A kínai hacker dokumentumok online gyűjteménye ritka ablakot kínál az átfogó állami megfigyelésbe
A kínai rendőrség az ország legfelsőbb rendészeti ügynökségével és kormányának más részeivel kapcsolatban álló magánbiztonsági vállalkozótól származó, jogosulatlan és rendkívül szokatlan internetes dokumentumlerakó ügyében nyomoz – egy olyan gyűjteményt, amely nyilvánvaló hackertevékenységeket és eszközöket tár fel a kínaiak és a külföldiek utáni kémkedésre.
Az érintett vállalat, az I-Soon által biztosított eszközök nyilvánvaló célpontjai között szerepelnek az etnikumok és a disszidensek Kína azon részein, ahol jelentős kormányellenes tiltakozások zajlottak, mint például Hongkongban vagy az erősen muszlim régióban, Hszincsiangban Kína távoli nyugati részén.
A múlt hét végén rengeteg dokumentumot és az azt követő vizsgálatot megerősítette a mandarinul Anxun néven ismert I-Soon két alkalmazottja, amely kapcsolatban áll a nagyhatalmú Közbiztonsági Minisztériummal. Az elemzők rendkívül jelentősnek ítélt dump, még ha nem is tár fel különösebben újszerű vagy hatékony eszközöket, több száz oldalas szerződéseket, marketing-prezentációkat, termékkézikönyveket, ügyfél- és alkalmazottlistákot tartalmaz.
Részletesen feltárják azokat a módszereket, amelyeket a kínai hatóságok használtak a tengerentúli disszidensek megfigyelésére, más nemzetek feltörésére és Peking-barát narratívák népszerűsítésére a közösségi médiában.
A dokumentumok azt mutatják, hogy az I-Soon hálózatok nyilvánvalóan feltörtek Közép- és Délkelet-Ázsiában, valamint Hongkongban és Tajvan szigetén, amelyet Peking saját területének tart.
A hackereszközöket kínai állami ügynökök arra használják, hogy leleplezzék a Kínán kívüli közösségi médiaplatformok felhasználóit, mint például az X, korábban Twitter néven ismert e-maileket, és elrejtik a tengerentúli ügynökök online tevékenységét. Leírják azokat az elosztónak álcázott eszközöket és akkumulátorokat is, amelyek felhasználhatók a Wi-Fi hálózatok veszélyeztetésére.
Az I-Soon és a kínai rendőrség vizsgálja, hogyan szivárogtak ki az akták – mondta el az I-Soon két alkalmazottja az Associated Pressnek. Az egyik alkalmazott azt mondta, hogy az I-Soon szerdán megbeszélést tartott a kiszivárogtatásról, és azt mondták neki, hogy az nem lesz túlságosan hatással az üzletre, és „folytassa a szokásos módon a munkát”. Az AP nem nevezi meg azokat az alkalmazottakat, akik az általános kínai gyakorlat szerint megadták a vezetéknevüket, az esetleges megtorlás miatt.
A szivárgás forrása nem ismert. A kínai külügyminisztérium nem reagált azonnal a kommentárra.
Jon Condra, a Recorded Future kiberbiztonsági cég elemzője a valaha volt legjelentősebb kiszivárogtatásnak nevezte azt a céget, amelyről azt gyanítják, hogy „kiberkémkedést és célzott behatolási szolgáltatásokat nyújt a kínai biztonsági szolgálatok számára”. Elmondta, hogy az I-Soon által megcélzott szervezetek között – a kiszivárgott anyagok szerint – kormányok, külföldi távközlési cégek és Kínán belül online szerencsejáték-cégek is szerepelnek.
A 190 megabájtos kiszivárgásig az I-Soon weboldala tartalmazott egy olyan oldalt, amely felsorolta a közbiztonsági minisztérium élén álló ügyfeleket, valamint 11 tartományi szintű biztonsági hivatalt és mintegy 40 önkormányzati közbiztonsági osztályt.
Egy másik, kedd elejéig elérhető oldal fejlett, tartós fenyegetések „támadás és védelem” képességeket hirdetett, az APT mozaikszó használatával – amelyet a kiberbiztonsági iparág a világ legkifinomultabb hackercsoportjainak leírására használ. A kiszivárogtatott belső dokumentumok az I-Soon adatbázisait írják le, amelyek külföldi hálózatokból gyűjtöttek össze feltört adatokat, amelyeket a kínai rendőrségnek hirdetnek és adnak el.
A cég weboldala később kedden teljesen offline volt. Az I-Soon képviselője megtagadta az interjú kérését, és azt mondta, hogy a cég egy meg nem határozott jövőbeli időpontban fog hivatalos nyilatkozatot kiadni.
A kínai vállalati nyilvántartások szerint az I-Soon-t 2010-ben alapították Sanghajban, és három másik városban is van leányvállalata, köztük a délnyugati Csengtu városában, amely a kiszivárgott belső diák szerint a hackelésért, kutatásért és fejlesztésért felelős.
Az I-Soon csengdui leányvállalata szerdán a szokásos módon nyitva volt. Vörös holdújévi lámpások himbálóztak a szélben egy fedett sikátorban, amely az I-Soon csengdui irodáinak otthont adó ötemeletes épülethez vezetett. Az alkalmazottak be- és kijártak, cigarettáztak és elvihető kávét kortyolgattak kint. Belül a kommunista párt kalapácsával és pálcikás emblémájával ellátott plakátokon a következő jelszavak szerepeltek: „A párt és az ország titkainak védelme minden állampolgár kötelessége.”
Úgy tűnik, hogy az I-Soon eszközeit a kínai rendőrség arra használja, hogy visszaszorítsa a tengerentúli közösségi médiában kialakult nézeteltéréseket, és elárassza őket Peking-barát tartalommal. A hatóságok közvetlenül felügyelhetik a kínai közösségi média platformjait, és utasíthatják őket a kormányellenes posztok megszüntetésére. De ez a képesség hiányzik belőlük az olyan tengerentúli oldalakon, mint a Facebook vagy az X, ahová kínai felhasználók milliói özönlenek, hogy kikerüljék az állami felügyeletet és cenzúrát.
„Óriási érdeklődés mutatkozik a közösségi média megfigyelése és a kínai kormány részéről történő kommentálása iránt” – mondta Mareike Ohlberg, a Német Marshall Alap Ázsia Programjának vezető munkatársa. Átnézett néhány dokumentumot.
Ohlberg szerint a közvélemény ellenőrzése és a kormányellenes hangulat megelőzése érdekében kulcsfontosságú a kritikus beosztások hazai ellenőrzése. „A kínai hatóságoknak nagy érdekük fűződik a Kínában élő felhasználók felkutatásához” – mondta.
A kiszivárogtatás forrása „egy rivális hírszerző szolgálat, egy elégedetlen bennfentes vagy akár egy rivális vállalkozó lehet” – mondta John Hultquist, a Google Mandiant kiberbiztonsági részlegének vezető fenyegetéselemzője. Az adatok azt mutatják, hogy az I-Soon szponzorai között van az Állambiztonsági Minisztérium és a kínai hadsereg, a Népi Felszabadító Hadsereg is – mondta Hultquist.
Az egyik kiszivárgott szerződéstervezet azt mutatja, hogy az I-Soon „terrorellenes” technikai támogatást hirdetett a hszincsiangi rendőrségnek a régióban élő közép- és délkelet-ázsiai ujgurok nyomon követése érdekében, azt állítva, hogy hozzáféréssel rendelkezik a feltört légitársaságok, mobil- és kormányzati adatokhoz, például Mongóliából és Malajziából. , Afganisztán és Thaiföld. Nem világos, hogy aláírták-e a kapcsolatfelvételt.
„Sok olyan szervezetet látunk megcélozni, amelyek kapcsolatban állnak az etnikai kisebbségekkel – tibetiekkel, ujgurokkal. A külföldi entitások megcélzása nagy része a kormány belföldi biztonsági prioritásainak szemüvegén keresztül látható” – mondta Dakota Cary, a SentinelOne kiberbiztonsági cég kínai elemzője.
Azt mondta, hogy a dokumentumok legitimnek tűnnek, mert összhangban vannak azzal, amit a kínai biztonsági apparátus nevében belpolitikai prioritásokkal feltörő vállalkozótól elvárnak.
Cary talált egy táblázatot az áldozatoktól gyűjtött adattárak listájával, és 14 kormányt jelölt meg célpontként, köztük Indiát, Indonéziát és Nigériát. A dokumentumok szerint az I-Soon leginkább a Közbiztonsági Minisztériumot támogatja – mondta.
Caryt az is megdöbbentette, hogy a tajvani egészségügyi minisztérium 2021 elején meghatározta a COVID-19 esetszámát – és lenyűgözte egyes feltörések alacsony költsége. A dokumentumok azt mutatják, hogy I-Soon 55 000 dollárt számolt fel a vietnami gazdasági minisztérium feltöréséért.
Bár néhány csevegési rekord a NATO-ra utal, semmi jele nem utal arra, hogy bármelyik NATO-országot sikeresen feltörték volna – derült ki az AP adatainak első áttekintéséből. Ez azonban nem jelenti azt, hogy az állam által támogatott kínai hackerek nem próbálják meg feltörni az Egyesült Államokat és annak szövetségeseit. Ha a kiszivárogtató Kínán belül van, ami valószínűnek tűnik, Cary azt mondta, hogy „a NATO feltöréséről szóló információk kiszivárogtatása valóban, nagyon lázító lenne” – ez a kockázat arra késztetheti a kínai hatóságokat, hogy elszántabban azonosítsák a hackert.
Mathieu Tartare, az ESET kiberbiztonsági cég malware-kutatója azt állítja, hogy az I-Soon-t kapcsolatba hozták egy Fishmonger nevű kínai állami hackercsoporttal, amelyet aktívan nyomon követ, és amelyről 2020 januárjában írt, miután a csoport feltörte a hongkongi egyetemeket diáktüntetések során. . Elmondta, hogy 2022 óta a Fishmonger kormányokat, civil szervezeteket és agytrösztöket céloz meg Ázsiában, Európában, Közép-Amerikában és az Egyesült Államokban.
Baptiste Robert francia kiberbiztonsági kutató is átfésülte a dokumentumokat, és azt mondta, hogy úgy tűnik, az I-Soon megtalálta a módját a fiókok feltörésére a korábban Twitter néven ismert X-en, még akkor is, ha azok kétfaktoros hitelesítéssel rendelkeznek, valamint egy másikat az e-mail postafiókok elemzésére. Azt mondta, hogy amerikai kiberszolgáltatók és szövetségeseik az I-Soon kiszivárogtatásának potenciális gyanúsítottjai közé tartoznak, mert érdekükben áll a kínai állami hackelés feltárása.
A US Cyber Command szóvivője nem nyilatkozott arról, hogy a Nemzetbiztonsági Ügynökség vagy a Cybercom érintett-e a kiszivárogtatásban. Az X sajtóirodájának küldött e-mail a következőt válaszolta: „Most elfoglalt, kérjük, nézzen vissza később.”
A nyugati kormányok, köztük az Egyesült Államok, az elmúlt években lépéseket tettek a kínai állami megfigyelés és a kormánykritikusok tengerentúli zaklatásának megakadályozására. Laura Harth, a Safeguard Defenders, a kínai emberi jogokkal foglalkozó jogvédő csoport kampányigazgatója szerint az ilyen taktikák félelmet keltenek a kínai kormánytól a kínai és külföldi állampolgárokban külföldön, ami elfojtja a kritikát és öncenzúrához vezet. „Egy fenyegető fenyegetést jelentenek, amely folyamatosan jelen van, és nagyon nehéz lerázni őket.”
Tavaly amerikai tisztviselők vádat emeltek a kínai rendőri egységek 40 tagjával szemben, akiket kínai disszidensek családtagjainak tengerentúli zaklatására, valamint Peking-barát tartalom online terjesztésére bíztak. Harth szerint a vádiratok az I-Soon dokumentumokban részletezettekhez hasonló taktikákat írnak le. Kínai tisztviselők hasonló tevékenységgel vádolták az Egyesült Államokat. Amerikai tisztviselők, köztük Chris Wray, az FBI igazgatója a közelmúltban panaszkodtak amiatt, hogy kínai állami hackerek olyan rosszindulatú programokat telepítenek, amelyek a polgári infrastruktúra károsodására használhatók.
Hétfőn Mao Ning, a kínai külügyminisztérium szóvivője elmondta, hogy az Egyesült Államok kormánya régóta dolgozik Kína kritikus infrastruktúrájának veszélyeztetésén. Azt követelte, hogy az Egyesült Államok ne használja fel a kiberbiztonsági problémákat más országok becsmérelésére.
___
Kang Chengduból (Kína) jelentett. Az AP újságírói, Didi Tang Washington DC-ben és Larry Fenn New York-ban járultak hozzá ehhez a jelentéshez.