中國警方正在調查一宗未經授權且極不尋常的網路文件洩露,這些文件來自一家與中國最高警務機構和政府其他部門有聯繫的私人安全承包商,記錄了明顯的黑客活動以及監視中國人和外國人的工具。
涉事公司安洵(I-Soon)提供的工具的明顯目標包括:發生過嚴重反政府抗議活動的地區的少數民族和持不同政見者,例如香港或穆斯林人口稠密的新疆地區。
安洵的兩名員工證實了上週較晚時候大量文件的洩露以及隨後的調查,該公司與中國公共安全部有聯繫。即便沒有任何特別新穎或有效的工具被曝光,分析師也認為此次洩漏十分嚴重,其中包括數百頁的合約、行銷簡報、產品手冊以及客戶和員工名單。
它們詳細揭示了中國當局用來監視海外異議人士、對其他國家進行黑客攻擊以及在社群媒體上宣揚親北京言論的方法。
這些文件顯示,安洵顯然對中亞和東南亞以及香港和自治的台灣島的網路進行了黑客攻擊,北京聲稱台灣是其領土。
中國國家特工使用這些駭客工具來發掘諸如「X」一類的中國境外社交媒體平台的用戶身份,侵入電子郵件並隱藏海外特工的線上活動。這些文件還描述了一些偽裝成電源板和電池的設備,可用於破壞Wi-Fi網路。
上文提及的兩名安洵員工告訴美聯社,該公司和中國警方正在調查這些文件是如何外洩的。其中一名員工表示,安洵週三(2月21日)就這次洩漏事件召開了一次會議,他被告知這不會對業務造成太大影響,要「繼續正常工作」。出於對可能遭到報復的擔憂,美聯社並沒有透露這些員工的名字,不過按照中國的慣例,他們確實提供了自己的姓氏。
洩漏文件的源頭尚不清楚。中國外交部沒有立即回應置評請求。
影響深遠的洩漏事件
網路安全公司「記錄未來」(Recorded Future)的分析師喬恩·康德拉(Jon Condra)稱,這是有史以來涉及「涉嫌為中國安全部門提供網路間諜活動和有針對性的入侵服務」的公司的最大的洩漏事件。他說,根據洩漏的材料,安洵的目標組織包括外國政府和電信公司,以及中國境內的線上賭博公司。
在這次包含190兆位元組的洩漏之前,安洵網站上有一個列出客戶的頁面,其中以公安部為首,包括11個省級安全部門和約40個市級公安部門。
另一個頁面宣傳了「進階持續性威脅」(advanced persistent threat)與「攻擊和防禦」的能力,使用了對「高級持續性威脅」的縮寫APT - 網路安全產業用它來描述世界上最複雜的黑客組織,而這個頁面在周二上午之後就不可訪問了。洩漏的內部文件描述了安洵資料庫,其中包含以駭客手段從世界各地的外國網路收集的數據,這些數據被作為宣傳並出售給中國警方。
週二較晚時候,該公司的網站已經完全無法訪問。安洵的一位代表拒絕了美聯社的採訪要求,並表示該公司將在未具體說明的未來某一天發布正式聲明。
根據中國公司記錄,安洵於2010年在上海成立,並在其他三個城市設有子公司,其中一家位於成都,根據洩漏的內部幻燈片資料,成都的子公司負責駭客攻擊和研發。
安洵成都子公司週三照常營業。通往這家公司五層辦公大樓的小巷裡,紅色的春節燈籠在風中搖曳。員工進進出出,在外面抽煙、喝著咖啡。辦公大樓裡面貼著共產黨黨徽,上面寫著:“保守黨和國家秘密是每個公民應盡的義務。”
安洵的工具似乎被中國警方用來遏制海外社群媒體上的異議,並在這些平台上充斥親北京的內容。當局可以直接監視中國社群媒體平台,並命令它們刪除反政府的貼文。但他們在臉書(Facebook)或X等海外網站上缺乏這種能力,而數百萬中國用戶湧入這些網站以逃避國家監視和審查。
德國馬歇爾基金會(German Marshall Fund)亞洲計畫資深研究員馬雷克·奧爾伯格(Mareike Ohlberg)表示:「中國政府對社群媒體監控和評論非常感興趣。」她查看了此次洩露的一些文件。
奧爾伯格說,為了控制輿論並阻止反政府情緒,控制國內關鍵貼文至關重要。她說:“中國當局非常有興趣追蹤位於中國的用戶。”
GoogleMandiant網路安全部門的首席威脅分析師約翰·胡爾特奎斯特(John Hultquist)表示,洩漏文件的源頭可能是「競爭對手的情報機構、心懷不滿的內部人士,甚至是另一家與之競爭的承包商」。胡特奎斯特說,數據顯示,安洵的贊助商還包括國家安全部和中國人民解放軍。
很多目標,很多國家
一份洩漏的合約草案顯示,安洵正在向新疆警方推銷「反恐」技術支持,以追蹤中亞和東南亞的來自新疆的維吾爾人,並聲稱它可以訪問來自蒙古、馬來西亞、阿富汗和泰國等國家的被駭客入侵的航空公司、手機和政府資料。目前尚不清楚該合約是否已簽署。
“我們看到很多針對與少數民族——藏族、維吾爾族——有關的組織的攻擊。許多針對外國實體的攻擊可以通過政府國內安全優先事項的視角來看待,”網絡安全公司“一號哨兵” (SentinelOne)的中國分析師達科塔·卡里(Dakota Cary)表示。
他表示,這些文件看起來是真的,因為它們符合承包商代表中國安全機構就國內政治優先事項進行駭客攻擊的預期。
卡里找到了一份電子表格,其中包含從受害者收集的資料儲存庫列表,並將14個政府列為目標,其中包括印度、印尼和奈及利亞。他說,這些文件表明,安洵主要支持公安部。
卡里也對2021年初攻擊台灣衛生部以確定其COVID-19病例數這一事件感到震驚,一些駭客攻擊的低成本也讓他印象深刻。他說,這些文件顯示,安洵向客戶收取了55,000美元的費用去攻擊越南經濟部。
美聯社對這些數據的初步審查發現,儘管一些聊天記錄提到了北約,但沒有跡象表明任何北約國家被駭客成功攻擊。但這並不意味著國家支持的中國駭客不會試圖攻擊美國及其盟友。卡里表示,如果洩密者在中國境內——這似乎是有可能的,“洩露有關黑客攻擊北約的信息將非常非常具有煽動性”,這種風險會讓中國當局對於查明黑客身份更加堅定。
網路安全公司ESET的惡意軟體研究員馬修·達坦(Mathieu Tartare)表示,該公司已將安洵與一個名為「魚販」(Fishmonger)的中國國家駭客組織聯繫起來,該公司積極追蹤該組織,並在該組織在學生抗議期間入侵香港大學後於2020年1月對此進行了報道。他說,自2022年以來,該駭客組織已將亞洲、歐洲、中美洲和美國的政府、非政府組織和智庫作為目標。
法國網路安全研究員巴蒂斯特羅伯特(Baptiste Robert)也梳理了這些文件,並表示安洵似乎找到了一種方法來破解X上的帳戶,即使這些帳戶具有雙重認證,以及另一種用於分析電子郵件收件匣的方法。他表示,美國網路業者及其盟友是安洵洩漏事件的潛在嫌疑人,因為揭露中國國家駭客行為符合他們的利益。
美國網路司令部發言人不願就國家安全局或網路司令部是否參與此外洩事件發表評論。X的新聞辦公室回覆電子郵件稱:“現在很忙,請稍後再來詢問。”
近年來,包括美國在內的西方政府已採取措施阻止中國對海外的政府批評者進行監視和騷擾。關注中國人權的倡議組織「保護衛士」(Safeguard Defenders)的活動總監勞拉·哈思(Laura Harth)表示,這種策略讓海外的中國人和外國公民對中國政府產生恐懼,壓制批評並導致自我審查。他說:“它們是一種迫在眉睫的威脅,始終存在且很難擺脫。”
去年,美國官員對被派去騷擾海外中國異議人士的家人並在網路上傳播親北京內容的40名中國警察提出指控。哈思說,起訴書描述的策略與安洵文件中詳細描述的策略類似。中國官員指責美國也進行類似活動。包括聯邦調查局局長克里斯托弗·雷(Christopher Wray)在內的美國官員最近控訴中國國家黑客植入可用於破壞民用基礎設施的惡意軟體。
中國外交部發言人毛寧週一表示,美國政府長期以來一直在努力破壞中國的關鍵基礎設施。她要求美國「停止利用網路安全問題抹黑其他國家」。
(本文依據了美聯社的報導。)