A kiszivárgott dokumentumokból kiderül, hogyan kémkednek a kínai kormány hackerei állampolgárok, külföldiek után – National
A kiszivárgott dokumentumokból kiderül, hogyan kémkednek a kínai kormány hackerei
A kínai rendőrség egy, az ország legkiválóbb rendőri ügynökségéhez és kormányának más részéhez köthető magánbiztonsági vállalkozó által végzett jogosulatlan és rendkívül szokatlan internetes dokumentumlerakó ügyében nyomoz – ez a bánya látszólagos hackertevékenységet és eszközöket tár fel a kínai és a külföldiek utáni kémkedésre egyaránt.
Az érintett vállalat, az I-Soon által biztosított eszközök nyilvánvaló célpontjai között szerepelnek az etnikumok és a másként gondolkodók Kína azon részein, ahol jelentős kormányellenes tiltakozások zajlottak, mint például Hongkongban vagy a Kína távoli nyugati részén található Hszincsiang erősen muszlim régiójában.
A múlt hét végén több tucat dokumentum kidobását és az azt követő vizsgálatokat megerősítette az I-Soon, a mandarin Anxun két alkalmazottja, akik kapcsolatban állnak a nagyhatalmú közbiztonsági minisztériummal. Az elemzők rendkívül jelentősnek ítélt dump, bár nem tár fel különösebben új vagy hatékony eszközöket, több száz oldalas szerződéseket, marketing bemutatókat, termékkézikönyveket, valamint vásárlói és alkalmazotti listákat tartalmaz.
Részletesen feltárják azokat a módszereket, amelyeket a kínai hatóságok a külföldi disszidensek megfigyelésére, más nemzetek feltörésére és a Peking-barát narratívák közösségi médiában való népszerűsítésére használtak.
A dokumentumok nyilvánvalóan I-Soon hackerhálózatokat mutatnak be Közép- és Délkelet-Ázsiában, valamint Hongkongban és Tajvan önkormányzati szigetén, amelyet Peking saját területének tart.
A hackereszközöket kínai állami ügynökök arra használják, hogy felfedjék a Kínán kívüli közösségi médiaplatformok felhasználóit, mint például az X, korábban Twitter néven ismert e-maileket, és elrejtik a tengerentúli ügynökök online tevékenységét. Leírják továbbá a konnektoroknak és akkumulátoroknak álcázott eszközöket is, amelyekkel a Wi-Fi hálózatok kompromittálhatók.
Az I-Soon és a kínai rendőrség vizsgálja, hogyan szivárogtak ki az akták – mondta el az I-Soon két alkalmazottja az AP-nek. Az egyik alkalmazott azt mondta, hogy az I-Soon szerdán megbeszélést tartott a szivárogtatásról, és azt mondták neki, hogy ez nem fogja túlságosan befolyásolni az üzletet, és „a szokásos módon folytassa az üzletet”. Az AP nem nevezi meg azokat az alkalmazottakat, akik az általános kínai gyakorlatnak megfelelően adták vezetéknevüket, az esetleges megtorlás miatt.
A szivárgás forrása ismeretlen. A kínai külügyminisztérium nem reagált azonnal a kommentárra.
A délnyugat-kínai Szecsuán tartományban, Csengtuban, a délnyugat-kínai Szecsuán tartományban, Csengtuban, 2024. február 20-án, kedden, az I-Soon iroda bejárati ajtaja mellett egy „Anti-Kiberbűnözés Elleni Iroda” felirat látható. Kínai A rendőrség egy jogosulatlan és rendkívül szokatlan internetes dokumentumlerakó ügyében nyomoz egy magánbiztonsági cégtől, amely kapcsolatban áll Kína legfőbb rendőri ügynökségével és kormányának más részeivel. (AP Photo/Dake Kang).
AW
Jon Condra, a Recorded Future kiberbiztonsági cég elemzője a valaha volt legjelentősebb kiszivárogtatásnak nevezte azt a céget, amely „gyaníthatóan kiberkémkedéssel és célzott hackelési szolgáltatásokat nyújt a kínai biztonsági szolgálatoknak”. Elmondta, hogy az I-Soon célpontjai közé – a kiszivárgott anyagok szerint – kormányok, tengerentúli távközlési cégek és kínai online szerencsejáték-cégek tartoznak.
A 190 megabájtos kiszivárgásig az I-Soon webhelyén a közbiztonsági minisztérium által vezetett ügyféloldal volt, amely 11 tartományi szintű biztonsági hivatalt és körülbelül 40 önkormányzati közbiztonsági osztályt tartalmazott.
Szerezd meg a legfrissebb országos híreket. Minden nap elküldve az email címedre.
Egy másik oldal, amely kedd elejéig volt elérhető, a fejlett, tartós fenyegetés „támadási és védekezési” képességeit hirdette, az APT rövidítést használva – ezt a kifejezést a kiberbiztonsági iparág a világ legkifinomultabb hackercsoportjainak leírására használja. A kiszivárogtatott belső dokumentumok az I-Soon adatbázisait írják le, amelyek külföldi hálózatokból gyűjtöttek össze feltört adatokat, amelyeket a kínai rendőrségnek hirdetnek és adnak el.
A cég weboldala később kedden teljesen offline volt. Az I-Soon képviselője visszautasította az interjú iránti kérelmet, mondván, hogy a cég egy meg nem határozott jövőbeni időpontban fog hivatalos közleményt kiadni.
A kínai vállalati nyilvántartások szerint az I-Soon-t 2010-ben alapították Sanghajban, és három másik városban van leányvállalata, köztük a délnyugati Csengtu városában, amely a kiszivárgott belső diák szerint a hackelésért, kutatásért és fejlesztésért felelős.
Az I-Soon csengdui leányvállalata szerdán a szokásos módon nyitva volt. Vörös holdújévi lámpások himbálóztak a szélben egy fedett sikátorban, amely az I-Soon csengdui irodáinak otthont adó ötemeletes épülethez vezetett. Az alkalmazottak be- és kijártak, cigarettáztak és elvihető kávét kortyolgattak a szabadban. Belül a Kommunista Párt kalapács- és pálcás emblémáját viselő plakátok voltak, amelyeken ez állt: „A párt és az ország titkainak védelme minden állampolgár kötelessége.”
Úgy tűnik, hogy az I-Soon eszközeit a kínai rendőrség arra használja, hogy visszaszorítsa a tengerentúli közösségi médiában kialakult nézeteltéréseket, és elárassza őket Peking-barát tartalommal. A hatóságok közvetlenül felügyelhetik a kínai közösségi média platformjait, és utasíthatják őket a kormányellenes posztok megszüntetésére. De ez a képesség hiányzik belőlük az olyan tengerentúli oldalakon, mint a Facebook vagy az X, ahol kínai felhasználók milliói özönlenek, hogy kikerüljék az állami felügyeletet és cenzúrát.
„Óriási érdeklődés mutatkozik a közösségi média megfigyelése és a kínai kormány kommentárja iránt” – mondta Mareike Ohlberg, a Német Marshall Alap ázsiai programjának vezető munkatársa. Átnézett néhány dokumentumon.
Ohlberg szerint a közvélemény ellenőrzése és a kormányellenes hangulat megelőzése érdekében elengedhetetlen a kritikus pozíciók hazai ellenőrzése. „A kínai hatóságoknak erős érdekük fűződik a Kínában élő felhasználók felkutatásához” – mondta.
A kiszivárogtatás forrása „egy rivális hírszerző ügynökség, egy elégedetlen bennfentes vagy akár egy rivális vállalkozó lehet” – mondta John Hultquist, a Google Mandiant kiberbiztonsági részlegének vezető fenyegetettségi elemzője. Az adatok azt mutatják, hogy az I-Soon szponzorai között is szerepel
Az Állambiztonsági Minisztérium és a kínai hadsereg, a Népi Felszabadító Hadsereg – mondta Hultquist.
Sok cél, sok ország
Egy kiszivárgott szerződéstervezet azt mutatja, hogy az I-Soon „terrorellenes” technikai támogatást nyújtott a hszincsiangi rendőrségnek a régióban élő közép- és délkelet-ázsiai ujgurok felkutatására, azt állítva, hogy hozzáfértek a feltört légitársaságok, mobil- és kormányzati adatokhoz, például Mongóliából. Malajzia, Afganisztán és Thaiföld. Nem világos, hogy aláírták-e a kapcsolatfelvételt.
„Rengeteg megcélzást látunk az etnikai kisebbségekkel – tibetiekkel, ujgurokkal – kapcsolatos szervezetek ellen. A külföldi entitások megcélzása nagy része a kormány belbiztonsági prioritásainak szemüvegén keresztül látható” – mondta Dakota Cary A SentinelOne kiberbiztonsági cég kínai elemzője.
Azt mondta, hogy a dokumentumok legitimnek tűnnek, mert megfelelnek annak, amit a kínai biztonsági apparátus nevében feltörő vállalkozótól elvárnának a belpolitikai prioritásokkal.
Cary talált egy táblázatot, amely felsorolja az áldozatoktól gyűjtött adattárakat, és 14 kormányt jelölt meg célpontként, köztük Indiát, Indonéziát és Nigériát. A dokumentumok szerint az I-Soon leginkább a Közbiztonsági Minisztériumot támogatja – mondta.
Caryt is megdöbbentette a tajvani egészségügyi minisztérium azon szándéka, hogy 2021 elején meghatározzák a COVID-19-es esetszámukat – és lenyűgözte egyes feltörések alacsony költsége. A dokumentumok azt mutatják, hogy I-Soon 55 000 dollárt számolt fel a vietnami gazdasági minisztérium feltöréséért.
Bár néhány csevegési rekord a NATO-ra utal, semmi jele nincs annak, hogy bármelyik NATO-országot sikeresen feltörték volna – állapította meg az Associated Press által az adatok első áttekintése. Ez azonban nem jelenti azt, hogy az államilag támogatott kínai hackerek ne próbálnák feltörni az Egyesült Államokat és szövetségeseit. Ha a kiszivárogtató Kínán belül van, ami valószínűnek tűnik, Cary szerint „a NATO feltörésével kapcsolatos információk kiszivárogtatása igazán, nagyon felkavaró lenne” – ez a kockázat arra késztetheti a kínai hatóságokat, hogy elszántabbak legyenek a hacker azonosítására.
Mathieu Tartare, az ESET kiberbiztonsági cég malware-kutatója azt állítja, hogy az I-Soon-t kapcsolatba hozták egy Fishmonger nevű kínai állami hackercsoporttal, amelyet aktívan nyomon követ, és 2020 januárjában írt róla, miután a csoport diáktüntetések során feltörte a hongkongi egyetemeket. . Elmondta, hogy 2022 óta a Fishmonger kormányokat, civil szervezeteket és agytrösztöket céloz meg Ázsiában, Európában, Közép-Amerikában és az Egyesült Államokban.
A francia kiberbiztonsági kutató, Baptiste Robert is átgondolta a dokumentumokat, és azt mondta, hogy úgy tűnik, az I-Soon megtalálta a módját, hogy feltörje a fiókokat a korábban Twitter néven ismert X-en, annak ellenére, hogy kétfaktoros hitelesítéssel, valamint egy másikkal az e-mail postaládák elemzésére szolgál. Azt mondta, hogy az I-Soon kiszivárogtatásának potenciális gyanúsítottjai közé tartoznak az amerikai kiberszolgáltatók és szövetségeseik, mert érdekükben áll a kínai állami hackelés leleplezése.
Az amerikai kiberparancsnokság szóvivője nem kommentálta, hogy a Nemzetbiztonsági Ügynökség vagy a Cybercom érintett-e a kiszivárogtatásban. Az X sajtóirodájának küldött e-mail a következőt válaszolta: „Most elfoglalt, kérjük, térjen vissza később.”
A nyugati kormányok, köztük az Egyesült Államok, az elmúlt években lépéseket tettek a kínai állami megfigyelés és a kormánykritikusok külföldön történő zaklatásának megakadályozására. Laura Harth, a Safeguard Defenders, a kínai emberi jogokkal foglalkozó jogvédő csoport kampányigazgatója szerint az ilyen taktikák félelmet keltenek a kínai kormánytól a külföldön élő kínai és külföldi állampolgárokban, elfojtva a kritikát és öncenzúrához vezetnek. „Ők egy fenyegető veszély, amely folyamatosan jelen van, és nagyon nehéz lerázni őket.”
Tavaly amerikai tisztviselők vádat emeltek a kínai rendőri egységek 40 tagjával szemben, akiknek feladata volt kínai disszidensek családtagjainak külföldön való zaklatása, valamint Peking-barát tartalom online terjesztése. Harth szerint a vádak az I-Soon dokumentumokban leírtakhoz hasonló taktikát írnak le. Kínai tisztviselők hasonló tevékenységgel vádolták az Egyesült Államokat. Amerikai tisztviselők, köztük Chris Wray, az FBI igazgatója, a közelmúltban panaszkodtak amiatt, hogy kínai állami hackerek olyan rosszindulatú programokat telepítenek, amelyek a polgári infrastruktúra károsodására használhatók.
Hétfőn Mao Ning, a kínai külügyminisztérium szóvivője elmondta, hogy az Egyesült Államok kormánya régóta dolgozik Kína kritikus infrastruktúrájának veszélyeztetésén. Azt követelte, hogy az Egyesült Államok „hagyja abba a kiberbiztonsági problémák más országok megviselésére”.
Az AP riporterei, Didi Tang Washington DC-ben és Larry Fenn New York-ban járultak hozzá ehhez a jelentéshez.
