中國警方正在調查一起未經授權且極不尋常的網絡文件泄露,這些文件來自一家與中國最高警務機構和政府其他部門有聯繫的私人安全承包商,記錄了明顯的黑客活動以及監視中國人和外國人的工具。
涉事公司安洵(I-Soon)提供的工具的明顯目標包括:發生過嚴重反政府抗議活動的地區的少數民族和持不同政見者,例如香港或穆斯林人口稠密的新疆地區。
安洵的兩名員工證實了上周晚些時候大量文件的泄露以及隨後的調查,該公司與中共公安部有聯繫。即便沒有任何特別新穎或有效的工具被曝光,分析師也認為此次泄露十分嚴重,其中包括數百頁的合同、營銷演示、產品手冊以及客戶和員工名單。
它們詳細揭示了中共當局用來監視海外異見人士、對其他國家進行黑客攻擊以及在社交媒體上宣揚親北京言論的方法。
這些文件顯示,安洵顯然對中亞和東南亞以及香港和自治的台灣島的網絡進行了黑客攻擊,北京聲稱台灣是其領土。
中國國家特工使用這些黑客工具來發掘諸如「X」一類的中國境外社交媒體平台的用戶身份,侵入電子郵件並隱藏海外特工的在線活動。這些文件還描述了一些偽裝成電源板和電池的設備,可用於破壞Wi-Fi網絡。
上文提及的兩名安洵員工告訴美聯社,該公司和中國警方正在調查這些文件是如何泄露的。其中一名員工表示,安洵周三(2月21日)就此次泄露事件召開了一次會議,他被告知這不會對業務造成太大影響,要「繼續正常工作」。出於對可能遭到報復的擔憂,美聯社沒有透露這些員工的名字,不過按照中國的慣例,他們確實提供了自己的姓氏。
泄漏文件的源頭尚不清楚。中共外交部沒有立即回應置評請求。
資料照片:2024年2月20日,遭遇文件泄露事件的中國私人安全公司安洵位於成都子公司的辦公室。(美聯社照片)
影響深遠的泄露事件
網絡安全公司「記錄未來」(Recorded Future)的分析師喬恩·康德拉(Jon Condra)稱,這是有史以來涉及「涉嫌為中國安全部門提供網絡間諜活動和有針對性的入侵服務」的公司的最大的泄露事件。他說,根據泄露的材料,安洵的目標組織包括外國政府和電信公司,以及中國境內的在線賭博公司。
在這次包含190兆字節的泄露之前,安洵網站上有一個列出客戶的頁面,其中以公安部為首,包括11個省級安全部門和約40個市級公安部門。
另一個頁面宣傳了「高級持續性威脅」(advanced persistent threat)與「攻擊和防禦」的能力,使用了對「高級持續性威脅」的縮寫APT——網絡安全行業用它來描述世界上最複雜的黑客組織,而這個頁面在周二上午之後就不可訪問了。泄露的內部文件描述了安洵數據庫,其中包含以黑客手段從世界各地的外國網絡收集的數據,這些數據被作為宣傳並出售給中國警方。
周二晚些時候,該公司的網站已經完全不可訪問。安洵的一位代表拒絕了美聯社的採訪請求,並表示該公司將在未具體說明的未來某天發佈正式聲明。
根據中國公司記錄,安洵於2010年在上海成立,並在其他三個城市設有子公司,其中一家位於成都,根據泄露的內部幻燈片資料,成都的子公司負責黑客攻擊和研發。
安洵成都子公司周三照常營業。通往這家公司五層辦公樓的小巷裏,紅色的過年燈籠在風中搖曳。員工們進進出出,在外面抽煙、喝着咖啡。辦公樓裏面貼着共產黨黨徽,上面寫着:「保守黨和國家秘密是每個公民應盡的義務。」
安洵的工具似乎被中國警方用來遏制海外社交媒體上的異議,並在這些平台上充斥親北京的內容。當局可以直接監視中國社交媒體平台,並命令它們刪除反政府的帖子。但他們在臉書(Facebook)或X等海外網站上缺乏這種能力,而數百萬中國用戶湧入這些網站以逃避國家監視和審查。
德國馬歇爾基金會(German Marshall Fund)亞洲項目高級研究員馬雷克·奧爾伯格(Mareike Ohlberg)表示:「中國政府對社交媒體監控和評論非常感興趣。」她查看了此次泄露的一些文件。
奧爾伯格說,為了控制輿論並阻止反政府情緒,控制國內關鍵帖子至關重要。她說:「中共當局非常有興趣追蹤位於中國的用戶。」
谷歌Mandiant網絡安全部門的首席威脅分析師約翰·胡爾特奎斯特(John Hultquist)表示,泄露文件的源頭可能是「競爭對手的情報機構、心懷不滿的內部人士,甚至是另一家與之競爭的承包商」。胡特奎斯特說,數據顯示,安洵的贊助商還包括國家安全部和中國人民解放軍。
很多目標,很多國家
一份泄露的合同草案顯示,安洵正在向新疆警方推銷「反恐」技術支持,以追蹤中亞和東南亞的來自新疆的維吾爾人,並聲稱它可以訪問來自蒙古、馬來西亞、阿富汗和泰國等國家的被黑客入侵的航空公司、手機和政府數據。目前尚不清楚該合同是否已簽署。
「我們看到很多針對與少數民族——藏族、維吾爾族——有關的組織的攻擊。許多針對外國實體的攻擊可以通過政府國內安全優先事項的視角來看待,」網絡安全公司「一號哨兵」(SentinelOne)的中國分析師達科塔·卡里(Dakota Cary)表示。
他表示,這些文件看起來是真的,因為它們符合承包商代表中國安全機構就國內政治優先事項進行黑客攻擊的預期。
卡里找到了一份電子表格,其中包含從受害者收集的數據存儲庫列表,並將14個政府列為目標,其中包括印度、印度尼西亞和尼日利亞。他說,這些文件表明,安洵主要支持公安部。
卡里還對2021年初攻擊台灣衛生部以確定其COVID-19病例數這一事件感到震驚,一些黑客攻擊的低成本也讓他印象深刻。他說,這些文件顯示,安洵向客戶收取了55000美元的費用去攻擊越南經濟部。
美聯社對這些數據的初步審查發現,儘管一些聊天記錄提到了北約,但沒有跡象表明任何北約國家被黑客成功攻擊。但這並不意味着國家支持的中國黑客不會試圖攻擊美國及其盟友。卡里表示,如果泄密者在中國境內——這似乎是有可能的,「泄露有關黑客攻擊北約的信息將非常非常具有煽動性」,這種風險會讓中共當局對於查明黑客身份更加堅定。
網絡安全公司ESET的惡意軟件研究員馬修·達坦(Mathieu Tartare)表示,該公司已將安洵與一個名為「魚販」(Fishmonger)的中國國家黑客組織聯繫起來,該公司積極追蹤該組織,並在該組織在學生抗議期間入侵香港大學後於2020年1月對此進行了報道。他說,自2022年以來,該黑客組織已將亞洲、歐洲、中美洲和美國的政府、非政府組織和智庫作為目標。
法國網絡安全研究員巴蒂斯特·羅伯特(Baptiste Robert)也梳理了這些文件,並表示安洵似乎找到了一種方法來破解X上的帳戶,即使這些帳戶具有雙因素身份驗證,以及另一種用於分析電子郵件收件箱的方法。他表示,美國網絡運營商及其盟友是安洵泄漏事件的潛在嫌疑人,因為揭露中國國家黑客行為符合他們的利益。
美國網絡司令部發言人不願就國家安全局或網絡司令部是否參與此次泄露事件發表評論。X的新聞辦公室回復電子郵件稱:「現在很忙,請稍後再來詢問。」
近年來,包括美國在內的西方政府已採取措施阻止中國對海外的政府批評者進行監視和騷擾。關注中國人權的倡導組織「保護衛士」(Safeguard Defenders)的活動總監勞拉·哈思(Laura Harth)表示,這種策略讓海外的中國人和外國公民對中國政府產生恐懼,壓制批評並導致自我審查。他說:「它們是一種迫在眉睫的威脅,始終存在且很難擺脫。」
去年,美國官員對被派去騷擾海外中國異見人士的家人並在網上傳播親北京內容的40名中國警察提出指控。哈思說,起訴書描述的策略與安洵文件中詳細描述的策略類似。中國官員指責美國也進行類似活動。包括聯邦調查局局長克里斯托弗·雷(Christopher Wray)在內的美國官員最近控訴中國國家黑客植入可用於破壞民用基礎設施的惡意軟件。
中共外交部發言人毛寧周一表示,美國政府長期以來一直在努力破壞中國的關鍵基礎設施。她要求美國「停止利用網絡安全問題抹黑其他國家」。(本文依據了美聯社的報道。)
