Chińska policja prowadzi dochodzenie w sprawie nieautoryzowanego i bardzo nietypowego zrzutu internetowego dokumentów od prywatnej firmy ochroniarskiej powiązanej z najwyższą agencją policyjną w kraju i innymi częściami rządu. Jest to skarbnica, która kataloguje rzekomą działalność hakerską oraz narzędzia do szpiegowania zarówno Chińczyków, jak i obcokrajowców.

Wśród oczywistych celów narzędzi dostarczonych przez dotkniętą firmę I-Soon: grupy etniczne i dysydenci w niektórych częściach Chin, które były świadkami znaczących protestów antyrządowych, takich jak Hongkong czy w większości muzułmański region Xinjiang na dalekim zachodzie Chin.

Zrzut kilkudziesięciu dokumentów pod koniec zeszłego tygodnia i późniejsze dochodzenie potwierdziło dwóch pracowników I-Soon, znanego w języku mandaryńskim jako Anxun, mającego powiązania z potężnym Ministerstwem Bezpieczeństwa Publicznego. Zrzut, który analitycy uważają za bardzo istotny, nawet jeśli nie ujawnia żadnych szczególnie nowatorskich ani skutecznych narzędzi, obejmuje setki stron umów, prezentacji marketingowych, instrukcji produktów oraz list klientów i pracowników.

Ujawniają szczegółowo metody stosowane przez chińskie władze do inwigilacji dysydentów za granicą, hakowania innych krajów i promowania propekińskich narracji w mediach społecznościowych.

Dokumenty wskazują na rzekome włamania się sieci I-Soon do sieci w Azji Środkowej i Południowo-Wschodniej, a także w Hongkongu i na samorządnej wyspie Tajwan, do której Pekin rości sobie prawo.

Narzędzia hakerskie są wykorzystywane przez chińskich agentów państwowych do demaskowania użytkowników platform mediów społecznościowych poza Chinami, takich jak X, wcześniej znanych jako Twitter, włamywania się do poczty e-mail i ukrywania aktywności online zagranicznych agentów. Opisano także urządzenia udające listwy zasilające i baterie, które można wykorzystać do naruszenia bezpieczeństwa sieci Wi-Fi.

I-Soon i chińska policja badają, w jaki sposób doszło do wycieku plików, powiedzieli AP dwaj pracownicy I-Soon. Jeden z pracowników powiedział, że I-Soon zorganizował w środę spotkanie w sprawie wycieku i powiedziano mu, że nie będzie to miało zbyt dużego wpływu na działalność firmy i że ma „kontynuować normalną pracę”. AP nie podaje nazwisk pracowników – którzy zgodnie z powszechną chińską praktyką podali swoje nazwiska – w obawie przed możliwą zemstą.

Źródło wycieku nie jest znane. Chińskie Ministerstwo Spraw Zagranicznych nie odpowiedziało natychmiast na prośbę o komentarz.

BARDZO WPŁYWAJĄCY WYCIEK

Jon Condra, analityk Recorded Future, firmy zajmującej się bezpieczeństwem cybernetycznym, nazwał to najważniejszym wyciekiem, jaki kiedykolwiek powiązano z firmą „podejrzaną o świadczenie usług cyberszpiegostwa i ukierunkowanych włamań na rzecz chińskich służb bezpieczeństwa”. Powiedział, że organizacje, na które atakuje I-Soon – według ujawnionych materiałów – obejmują rządy, zagraniczne firmy telekomunikacyjne i firmy zajmujące się hazardem online w Chinach.

Do czasu wycieku 190 megabajtów witryna I-Soon zawierała jedną stronę wystawianie klientów zwieńczone Ministerstwem Bezpieczeństwa Publicznego i obejmujące 11 biur bezpieczeństwa szczebla wojewódzkiego i około 40 miejskich wydziałów bezpieczeństwa publicznego.

Dostępna kolejna strona do wczesnego wtorku reklamował zaawansowane możliwości „ataku i obrony” przed trwałymi zagrożeniami, używając akronimu APT – takiego, którego branża cyberbezpieczeństwa używa do opisania najbardziej wyrafinowanych grup hakerskich na świecie. Wewnętrzne dokumenty objęte wyciekiem opisują bazy danych I-Soon zawierające zhakowane dane zebrane z zagranicznych sieci na całym świecie, które są reklamowane i sprzedawane chińskiej policji.

We wtorek strona internetowa firmy została całkowicie wyłączona. Przedstawiciel I-Soon odmówił zaproszenia na rozmowę kwalifikacyjną i powiedział, że firma wyda oficjalne oświadczenie w nieokreślonym terminie w przyszłości.

Według chińskich danych korporacyjnych firma I-Soon została założona w Szanghaju w 2010 roku i ma filie w trzech innych miastach, w tym jedną w południowo-zachodnim mieście Chengdu, która jest odpowiedzialna za hakowanie, badania i rozwój, jak wynika z wewnętrznych slajdów, które wyciekły.

W środę oddział I-Soon w Chengdu był otwarty jak zwykle. Czerwone latarnie Księżycowego Nowego Roku kołysały się na wietrze w zadaszonej alejce prowadzącej do pięciopiętrowego budynku mieszczącego biura I-Soon w Chengdu. Pracownicy wchodzili i wychodzili, paląc papierosy i popijając kawę na wynos. Wewnątrz plakaty z emblematem Partii Komunistycznej zawierały hasła: „Ochrona partii i tajemnic kraju jest obowiązkiem każdego obywatela”.

Wydaje się, że chińska policja wykorzystuje narzędzia I-Soon do ograniczania sprzeciwu w zagranicznych mediach społecznościowych i zalewania ich treściami propekińskimi. Władze mogą bezpośrednio inwigilować chińskie platformy mediów społecznościowych i nakazywać im usuwanie antyrządowych postów. Brakuje im jednak tej możliwości w witrynach zagranicznych, takich jak Facebook czy X, do których gromadzą się miliony chińskich użytkowników, aby uniknąć inwigilacji państwa i cenzury.

„Istnieje ogromne zainteresowanie monitorowaniem mediów społecznościowych i komentowaniem ze strony chińskiego rządu” – powiedziała Mareike Ohlberg, starsza specjalistka w programie azjatyckim niemieckiego funduszu Marshalla. Przejrzała część dokumentów.

Aby kontrolować opinię publiczną i zapobiegać nastrojom antyrządowym, Ohlberg powiedział, kluczowa jest kontrola krytycznych stanowisk w kraju. „Chińskie władze” – powiedziała – „mają duży interes w śledzeniu użytkowników mających siedzibę w Chinach”.

Źródłem wycieku mogą być „konkurencyjne służby wywiadowcze, niezadowolony informator, a nawet konkurencyjny wykonawca” – powiedział główny analityk zagrożeń John Hultquist z działu cyberbezpieczeństwa Mandiant firmy Google. Dane wskazują, że sponsorami I-Soon są także Ministerstwo Bezpieczeństwa Państwowego i chińska armia, Armia Ludowo-Wyzwoleńcza, powiedział Hultquist.

WIELE CELÓW, WIELE KRAJÓW

Jeden z projektów umów, który wyciekł, pokazuje, że I-Soon oferował policji w Xinjiangu „antyterrorystyczne” wsparcie techniczne w celu śledzenia rdzennych Ujgurów w regionie w Azji Środkowej i Południowo-Wschodniej, twierdząc, że ma dostęp do zhakowanych danych linii lotniczych, komórkowych i rządowych z krajów takich jak Mongolia i Malezja , Afganistanu i Tajlandii. Nie jest jasne, czy kontakt został podpisany.

„Widzimy, że ataki są często atakowane na organizacje powiązane z mniejszościami etnicznymi – Tybetańczykami, Ujgurami. Wiele ataków na podmioty zagraniczne można postrzegać przez pryzmat priorytetów rządu w zakresie bezpieczeństwa wewnętrznego” – powiedziała Dakota Cary, analityk ds. Chin w firmie SentinelOne zajmującej się cyberbezpieczeństwem.

Powiedział, że dokumenty wydają się uzasadnione, ponieważ są zgodne z oczekiwaniami wykonawcy włamującego się do chińskiego aparatu bezpieczeństwa w ramach krajowych priorytetów politycznych.

Cary znalazł arkusz kalkulacyjny z listą repozytoriów danych zebranych od ofiar i jako cele uznał 14 rządów, w tym Indie, Indonezję i Nigerię. Z dokumentów wynika, że ​​I-Soon wspiera głównie Ministerstwo Bezpieczeństwa Publicznego, powiedział.

Cary’ego uderzyło również ukierunkowanie Ministerstwa Zdrowia Tajwanu na określenie liczby spraw związanych z COVID-19 na początku 2021 r. – i był pod wrażeniem niskiego kosztu niektórych hacków. Z dokumentów wynika, że ​​I-Soon zażądał 55 000 dolarów za zhakowanie ministerstwa gospodarki Wietnamu, powiedział.

Chociaż kilka zapisów czatów odnosi się do NATO, nic nie wskazuje na pomyślne włamanie do któregokolwiek kraju NATO, jak wykazała wstępna analiza danych przeprowadzona przez Associated Press. Nie oznacza to jednak, że wspierani przez państwo chińscy hakerzy nie próbują zhakować Stanów Zjednoczonych i ich sojuszników. Jeśli źródło przecieku znajduje się w Chinach, co wydaje się prawdopodobne, Cary stwierdził, że „wyciek informacji o włamaniu do NATO byłby naprawdę podburzający” – ryzyko to mogłoby zwiększyć determinację chińskich władz w identyfikowaniu hakera.

Mathieu Tartare, badacz szkodliwego oprogramowania w firmie ESET zajmującej się bezpieczeństwem cybernetycznym, twierdzi, że powiązał I-Soon z chińską państwową grupą hakerską, którą nazywa Fishmonger, którą aktywnie śledzi i którą o którym pisałem w styczniu 2020 r po tym, jak grupa włamała się na uniwersytety w Hongkongu podczas protestów studenckich. Powiedział, że od 2022 r. Fishmonger atakuje rządy, organizacje pozarządowe i zespoły doradców w Azji, Europie, Ameryce Środkowej i Stanach Zjednoczonych.

Francuski badacz cyberbezpieczeństwa Baptiste Robert również przeczesał dokumenty i stwierdził, że wygląda na to, że I-Soon znalazł sposób na zhakowanie kont na platformie X, wcześniej znanej jako Twitter, nawet jeśli posiadają one uwierzytelnianie dwuskładnikowe, a także drugie umożliwiające analizę skrzynek odbiorczych e-maili. Powiedział, że amerykańscy operatorzy cybernetyczni i ich sojusznicy znajdują się wśród potencjalnych podejrzanych w związku z wyciekiem I-Soon, ponieważ w ich interesie leży ujawnienie włamań do chińskiego państwa.

Rzeczniczka US Cyber ​​Command nie skomentowała, czy w wyciek brała udział Agencja Bezpieczeństwa Narodowego, czy Cybercom. W e-mailu do biura prasowego X otrzymano odpowiedź: „Teraz zajęty, proszę sprawdzić później”.

W ostatnich latach rządy zachodnie, w tym Stany Zjednoczone, podjęły kroki mające na celu zablokowanie inwigilacji państwa chińskiego i nękania krytyków rządu za granicą. Laura Harth, dyrektor kampanii w Safeguard Defenders, grupie zwolenników skupiającej się na prawach człowieka w Chinach, stwierdziła, że ​​taka taktyka wzbudza strach przed chińskim rządem wśród obywateli chińskich i zagranicznych, tłumiąc krytykę i prowadząc do autocenzury. „Stwarzają zagrożenie, które stale istnieje i bardzo trudno się otrząsnąć”.

W ubiegłym roku urzędnicy amerykańscy oskarżył 40 członków chińskich jednostek policji którego zadaniem jest nękanie członków rodzin chińskich dysydentów za granicą, a także rozpowszechnianie w Internecie treści propekińskich. Harth powiedział, że w akcie oskarżenia opisano taktykę podobną do tej wyszczególnionej w dokumentach I-Soon. Chińscy urzędnicy oskarżyli Stany Zjednoczone o podobne działania. Urzędnicy amerykańscy, w tym dyrektor FBI Chris Wary, tak niedawno skarżył się na temat chińskich hakerów państwowych umieszczających złośliwe oprogramowanie, które można wykorzystać do zniszczenia infrastruktury cywilnej.

W poniedziałek rzeczniczka chińskiego ministerstwa spraw zagranicznych Mao Ning powiedziała, że ​​rząd USA od dawna pracuje nad naruszeniem krytycznej infrastruktury Chin. Zażądała, aby Stany Zjednoczone „przestały wykorzystywać kwestie cyberbezpieczeństwa do oczerniania innych krajów”.

___

Kang doniósł z Chengdu w Chinach. Wkład w powstanie tego raportu wnieśli dziennikarze AP Didi Tang z Waszyngtonu i Larry Fenn z Nowego Jorku.