Η κινεζική αστυνομία διερευνά μια μη εξουσιοδοτημένη και εξαιρετικά ασυνήθιστη διαδικτυακή απόρριψη εγγράφων από έναν ιδιωτικό εργολάβο ασφαλείας που συνδέεται με την κορυφαία αστυνομική υπηρεσία της χώρας και άλλα τμήματα της κυβέρνησής της – ένα θησαυροφυλάκιο που καταγράφει προφανή δραστηριότητα hacking και εργαλεία για την κατασκοπεία τόσο Κινέζων όσο και ξένων.
Μεταξύ των προφανών στόχων των εργαλείων που παρέχονται από την επηρεασμένη εταιρεία, η I-Soon: εθνότητες και αντιφρονούντες σε μέρη της Κίνας που έχουν δει σημαντικές αντικυβερνητικές διαδηλώσεις, όπως το Χονγκ Κονγκ ή η βαριά μουσουλμανική περιοχή Xinjiang στην άκρα δυτική Κίνα.
Η απόρριψη πολλών εγγράφων στα τέλη της περασμένης εβδομάδας και η επακόλουθη έρευνα επιβεβαιώθηκαν από δύο υπαλλήλους της I-Soon, γνωστής ως Anxun στα Mandarin, η οποία έχει δεσμούς με το ισχυρό Υπουργείο Δημόσιας Ασφάλειας, τον εσωτερικό μηχανισμό πληροφοριών και ασφάλειας της Κίνας. Η χωματερή, την οποία οι αναλυτές θεωρούν εξαιρετικά σημαντική, ακόμη και αν δεν αποκαλύπτει κανένα ιδιαίτερα καινοτόμο ή ισχυρό εργαλείο, περιλαμβάνει εκατοντάδες σελίδες συμβάσεων, παρουσιάσεις μάρκετινγκ, εγχειρίδια προϊόντων και λίστες πελατών και εργαζομένων.
Αποκαλύπτουν, λεπτομερώς, μεθόδους που χρησιμοποιούνται από τις κινεζικές αρχές για την παρακολούθηση αντιφρονούντων στο εξωτερικό, για χακάρισμα άλλων εθνών και για την προώθηση αφηγήσεων υπέρ του Πεκίνου στα μέσα κοινωνικής δικτύωσης.
Τα έγγραφα δείχνουν προφανή εισβολή του I-Soon σε δίκτυα σε όλη την Κεντρική και Νοτιοανατολική Ασία, καθώς και στο Χονγκ Κονγκ και στο αυτοδιοικούμενο νησί της Ταϊβάν, το οποίο το Πεκίνο ισχυρίζεται ως έδαφός του.
Τα εργαλεία hacking χρησιμοποιούνται από κινεζικούς κρατικούς πράκτορες για να αποκαλύψουν τους χρήστες πλατφορμών κοινωνικών μέσων εκτός Κίνας, όπως το X, παλαιότερα γνωστό ως Twitter, να εισβάλουν σε email και να κρύψουν τη διαδικτυακή δραστηριότητα πρακτόρων στο εξωτερικό. Περιγράφονται επίσης συσκευές μεταμφιεσμένες σε πολύπριζα και μπαταρίες που μπορούν να χρησιμοποιηθούν για να παραβιάσουν δίκτυα Wi-Fi.
Η I-Soon και η κινεζική αστυνομία ερευνούν πώς διέρρευσαν τα αρχεία, είπαν οι δύο υπάλληλοι της I-Soon στο Associated Press. Ένας από τους υπαλλήλους είπε ότι η I-Soon πραγματοποίησε μια συνάντηση την Τετάρτη σχετικά με τη διαρροή, όπου είπαν στους υπαλλήλους ότι δεν θα επηρεάσει πάρα πολύ τις επιχειρήσεις και ότι «να συνεχίσουν να εργάζονται κανονικά». Το AP δεν κατονομάζει τους υπαλλήλους – οι οποίοι παρείχαν τα επώνυμά τους, σύμφωνα με την κοινή κινεζική πρακτική – από ανησυχία για πιθανή τιμωρία.
Η πηγή της διαρροής δεν είναι γνωστή. Το κινεζικό υπουργείο Εξωτερικών δεν απάντησε αμέσως σε αίτημα για σχόλιο.
Μια διαρροή με μεγάλη επίδραση
Ο Jon Condra, αναλυτής της Recorded Future, μια εταιρεία κυβερνοασφάλειας, την χαρακτήρισε ως την πιο σημαντική διαρροή που έχει ποτέ συνδεθεί με εταιρεία «ύποπτη για παροχή κυβερνοκατασκοπείας και στοχευμένων υπηρεσιών εισβολής για τις κινεζικές υπηρεσίες ασφαλείας». Είπε ότι οι οργανισμοί που στοχεύουν η I-Soon –σύμφωνα με το υλικό που διέρρευσε– περιλαμβάνουν κυβερνήσεις, εταιρείες τηλεπικοινωνιών στο εξωτερικό και εταιρείες διαδικτυακών τυχερών παιχνιδιών στην Κίνα.
Μέχρι τη διαρροή των 190 megabyte, ο ιστότοπος του I-Soon περιελάμβανε μια σελίδα με πελάτες στην κορυφή του Υπουργείου Δημόσιας Ασφάλειας και περιλάμβανε 11 γραφεία ασφαλείας επαρχιακού επιπέδου και περίπου 40 δημοτικά τμήματα δημόσιας ασφάλειας.
Μια άλλη σελίδα που ήταν διαθέσιμη μέχρι τις αρχές της Τρίτης διαφήμιζε προηγμένες δυνατότητες «επίθεσης και άμυνας» για επίμονη απειλή, χρησιμοποιώντας το ακρωνύμιο APT – αυτό που χρησιμοποιεί ο κλάδος της κυβερνοασφάλειας για να περιγράψει τις πιο εξελιγμένες ομάδες hacking στον κόσμο. Τα εσωτερικά έγγραφα στη διαρροή περιγράφουν βάσεις δεδομένων I-Soon με χακαρισμένα δεδομένα που συλλέγονται από ξένα δίκτυα σε όλο τον κόσμο, τα οποία διαφημίζονται και πωλούνται στην κινεζική αστυνομία.
Ο ιστότοπος της εταιρείας ήταν εντελώς εκτός σύνδεσης αργότερα την Τρίτη. Ένας εκπρόσωπος της I-Soon απέρριψε αίτημα συνέντευξης και είπε ότι η εταιρεία θα εκδώσει επίσημη δήλωση σε απροσδιόριστη μελλοντική ημερομηνία.
Η I-Soon ιδρύθηκε στη Σαγκάη το 2010, σύμφωνα με κινεζικά εταιρικά αρχεία, και έχει θυγατρικές σε τρεις άλλες πόλεις, συμπεριλαμβανομένης μιας στη νοτιοδυτική πόλη Chengdu που είναι υπεύθυνη για το hacking, την έρευνα και την ανάπτυξη, σύμφωνα με εσωτερικές διαφάνειες που διέρρευσαν.
Η θυγατρική της I-Soon Chengdu άνοιξε ως συνήθως την Τετάρτη. Κόκκινα φανάρια της Σεληνιακής Πρωτοχρονιάς ταλαντεύονταν στον άνεμο σε ένα καλυμμένο δρομάκι που οδηγούσε στο πενταόροφο κτίριο που στεγάζει τα γραφεία του I-Soon στο Chengdu. Οι εργαζόμενοι έμπαιναν και έβγαιναν, καπνίζοντας τσιγάρα και πίνοντας καφέ σε πακέτο έξω. Στο εσωτερικό, αφίσες με το έμβλημα του σφυριού και του ραβδιού του Κομμουνιστικού Κόμματος περιείχαν συνθήματα που έγραφαν: «Η προστασία του κόμματος και των μυστικών της χώρας είναι υποχρέωση κάθε πολίτη».
Τα εργαλεία του I-Soon φαίνεται να χρησιμοποιούνται από την κινεζική αστυνομία για να περιορίσουν τις διαφωνίες στα μέσα κοινωνικής δικτύωσης στο εξωτερικό και να τα πλημμυρίσουν με περιεχόμενο υπέρ του Πεκίνου. Οι αρχές μπορούν να παρακολουθούν απευθείας τις κινεζικές πλατφόρμες κοινωνικής δικτύωσης και να τους διατάξουν να αφαιρέσουν αντικυβερνητικές αναρτήσεις. Αλλά δεν έχουν αυτή την ικανότητα σε υπερπόντιους ιστότοπους όπως το Facebook ή το X, όπου συρρέουν εκατομμύρια Κινέζοι χρήστες για να αποφύγουν την κρατική επιτήρηση και τη λογοκρισία.
«Υπάρχει τεράστιο ενδιαφέρον για την παρακολούθηση και τον σχολιασμό των μέσων κοινωνικής δικτύωσης από την πλευρά της κινεζικής κυβέρνησης», δήλωσε η Mareike Ohlberg, ανώτερος συνεργάτης στο Πρόγραμμα Ασίας του German Marshall Fund. Εξέτασε μερικά από τα έγγραφα.
Για τον έλεγχο της κοινής γνώμης και την αποτροπή του αντικυβερνητικού αισθήματος, είπε ο Ohlberg, ο έλεγχος των κρίσιμων θέσεων στο εσωτερικό είναι ζωτικής σημασίας. «Οι κινεζικές αρχές», είπε, «έχουν μεγάλο ενδιαφέρον για τον εντοπισμό χρηστών που εδρεύουν στην Κίνα».
Η πηγή της διαρροής θα μπορούσε να είναι «μια αντίπαλη υπηρεσία πληροφοριών, ένας δυσαρεστημένος εμπιστευτικός χρήστης ή ακόμα και ένας αντίπαλος εργολάβος», δήλωσε ο επικεφαλής αναλυτής απειλών John Hultquist του τμήματος κυβερνοασφάλειας Mandiant της Google. Τα δεδομένα δείχνουν ότι στους χορηγούς της I-Soon περιλαμβάνονται επίσης το Υπουργείο Κρατικής Ασφάλειας και ο στρατός της Κίνας, ο Λαϊκός Απελευθερωτικός Στρατός, είπε ο Hultquist.
Πολλοί στόχοι, πολλές χώρες
Ένα προσχέδιο σύμβασης που διέρρευσε δείχνει ότι η I-Soon μάρκετευε «αντιτρομοκρατική» τεχνική υποστήριξη στην αστυνομία του Σιντζιάνγκ για να παρακολουθεί τους γηγενείς Ουιγούρους της περιοχής στην Κεντρική και Νοτιοανατολική Ασία, ισχυριζόμενος ότι είχε πρόσβαση σε χακαρισμένα αεροπορικά, κινητά και κυβερνητικά δεδομένα από χώρες όπως η Μογγολία. Μαλαισία, Αφγανιστάν και Ταϊλάνδη. Δεν είναι σαφές εάν η σύμβαση υπεγράφη.
«Βλέπουμε πολλές στοχεύσεις οργανώσεων που σχετίζονται με εθνοτικές μειονότητες – Θιβετιανούς, Ουιγούρους. Ένα μεγάλο μέρος της στόχευσης ξένων οντοτήτων μπορεί να φανεί μέσα από το πρίσμα των προτεραιοτήτων εσωτερικής ασφάλειας για την κυβέρνηση», δήλωσε η Ντακότα Κάρι, αναλυτής στην Κίνα στην εταιρεία κυβερνοασφάλειας SentinelOne.
Είπε ότι τα έγγραφα φαίνονται νόμιμα, επειδή ευθυγραμμίζονται με αυτό που θα περίμενε κανείς από έναν εργολάβο που χακάρει για λογαριασμό του μηχανισμού ασφαλείας της Κίνας με εγχώριες πολιτικές προτεραιότητες.
Ο Cary βρήκε ένα υπολογιστικό φύλλο με μια λίστα αποθετηρίων δεδομένων που συλλέχθηκαν από θύματα και μέτρησε 14 κυβερνήσεις ως στόχους, συμπεριλαμβανομένης της Ινδίας, της Ινδονησίας και της Νιγηρίας. Τα έγγραφα δείχνουν ότι η I-Soon υποστηρίζει κυρίως το Υπουργείο Δημόσιας Ασφάλειας, είπε.
Ο Cary εντυπωσιάστηκε επίσης από τη στόχευση του Υπουργείου Υγείας της Ταϊβάν για τον προσδιορισμό του φόρτου κρουσμάτων COVID-19 στις αρχές του 2021 – και εντυπωσιάστηκε από το χαμηλό κόστος ορισμένων από τις εισβολές. Τα έγγραφα δείχνουν ότι ο I-Soon χρέωνε 55.000 δολάρια για να χακάρει το υπουργείο Οικονομίας του Βιετνάμ, είπε.
Αν και μερικά αρχεία συνομιλιών αναφέρονται στο ΝΑΤΟ, δεν υπάρχει καμία ένδειξη για επιτυχημένο χακάρισμα σε κάποια χώρα του ΝΑΤΟ, σύμφωνα με μια αρχική ανασκόπηση των δεδομένων από το AP. Ωστόσο, αυτό δεν σημαίνει ότι οι Κινέζοι χάκερ που υποστηρίζονται από το κράτος δεν προσπαθούν να χακάρουν τις Ηνωμένες Πολιτείες και τους συμμάχους τους. Εάν ο διαρρήκτης βρίσκεται εντός της Κίνας, κάτι που φαίνεται πιθανό, ο Κάρι είπε ότι «η διαρροή πληροφοριών σχετικά με την εισβολή στο ΝΑΤΟ θα ήταν πραγματικά, πραγματικά εμπρηστική» – ένας κίνδυνος που μπορεί να κάνει τις κινεζικές αρχές πιο αποφασισμένες να ταυτοποιήσουν τον χάκερ.
Ο Mathieu Tartare, ερευνητής κακόβουλου λογισμικού στην εταιρεία κυβερνοασφάλειας ESET, λέει ότι έχει συνδέσει το I-Soon με μια κινεζική κρατική ομάδα hacking που αποκαλεί Fishmonger, την οποία παρακολουθεί ενεργά και για την οποία έγραψε τον Ιανουάριο του 2020, αφού η ομάδα χακάρισε πανεπιστήμια στο Χονγκ Κονγκ κατά τη διάρκεια φοιτητικών διαδηλώσεων. . Είπε ότι έχει δει, από το 2022, το Fishmonger να στοχεύει κυβερνήσεις, ΜΚΟ και δεξαμενές σκέψης σε όλη την Ασία, την Ευρώπη, την Κεντρική Αμερική και τις Ηνωμένες Πολιτείες.
Ο Γάλλος ερευνητής κυβερνοασφάλειας Baptiste Robert χτένισε επίσης τα έγγραφα και είπε ότι φαινόταν ότι η I-Soon είχε βρει έναν τρόπο να χακάρει λογαριασμούς στο X, παλαιότερα γνωστό ως Twitter, ακόμα κι αν διαθέτουν έλεγχο ταυτότητας δύο παραγόντων, καθώς και έναν άλλον για την ανάλυση των εισερχομένων email. Είπε ότι οι χειριστές του κυβερνοχώρου των ΗΠΑ και οι σύμμαχοί τους είναι μεταξύ των πιθανών υπόπτων για τη διαρροή του I-Soon, επειδή είναι προς το συμφέρον τους να αποκαλύψουν την κινεζική κρατική πειρατεία.
Μια εκπρόσωπος της Διοίκησης Κυβερνοχώρου των ΗΠΑ δεν θα σχολιάσει εάν η Εθνική Υπηρεσία Ασφαλείας ή η Cybercom εμπλέκονται στη διαρροή. Ένα email στο γραφείο Τύπου στο X απάντησε, "Απασχολημένος τώρα, ελέγξτε ξανά αργότερα".
Οι δυτικές κυβερνήσεις, συμπεριλαμβανομένων των Ηνωμένων Πολιτειών, έχουν λάβει μέτρα για να εμποδίσουν την κρατική παρακολούθηση και την παρενόχληση των κυβερνητικών επικριτών στο εξωτερικό τα τελευταία χρόνια. Η Laura Harth, διευθύντρια εκστρατείας στο Safeguard Defenders, μια ομάδα υπεράσπισης που επικεντρώνεται στα ανθρώπινα δικαιώματα στην Κίνα, είπε ότι τέτοιες τακτικές ενσταλάζουν τον φόβο της κινεζικής κυβέρνησης σε Κινέζους και ξένους πολίτες στο εξωτερικό, καταπνίγοντας την κριτική και οδηγώντας σε αυτολογοκρισία. «Είναι μια διαφαινόμενη απειλή που υπάρχει συνεχώς και είναι πολύ δύσκολο να την αποτινάξεις».
Πέρυσι, Αμερικανοί αξιωματούχοι κατηγόρησαν 40 μέλη κινεζικών αστυνομικών μονάδων που είχαν ανατεθεί να παρενοχλούν τα μέλη της οικογένειας Κινέζων αντιφρονούντων στο εξωτερικό καθώς και να διαδίδουν περιεχόμενο υπέρ του Πεκίνου στο διαδίκτυο. Τα κατηγορητήρια περιγράφουν τακτικές παρόμοιες με αυτές που περιγράφονται στα έγγραφα του I-Soon, είπε ο Χαρτ. Κινέζοι αξιωματούχοι έχουν κατηγορήσει τις Ηνωμένες Πολιτείες για παρόμοια δραστηριότητα.
Αμερικανοί αξιωματούχοι, συμπεριλαμβανομένου του διευθυντή του FBI, Κρις Ρέι, παραπονέθηκαν πρόσφατα για κινεζικούς κρατικούς χάκερ που φυτεύουν κακόβουλο λογισμικό που θα μπορούσε να χρησιμοποιηθεί για να βλάψει τις μη στρατιωτικές υποδομές.
Τη Δευτέρα, η Μάο Νινγκ, εκπρόσωπος του κινεζικού υπουργείου Εξωτερικών, δήλωσε ότι η κυβέρνηση των ΗΠΑ εργάζεται εδώ και καιρό για να θέσει σε κίνδυνο την κρίσιμη υποδομή της Κίνας. Απαίτησε από τις ΗΠΑ «να σταματήσουν να χρησιμοποιούν θέματα κυβερνοασφάλειας για να συκοφαντούν άλλες χώρες».