中国警方正在调查一起未经授权且极不寻常的网络文件泄露,这些文件来自一家与中国最高警务机构和政府其他部门有联系的私人安全承包商,记录了明显的黑客活动以及监视中国人和外国人的工具。
涉事公司安洵(I-Soon)提供的工具的明显目标包括:发生过严重反政府抗议活动的地区的少数民族和持不同政见者,例如香港或穆斯林人口稠密的新疆地区。
安洵的两名员工证实了上周晚些时候大量文件的泄露以及随后的调查,该公司与中共公安部有联系。即便没有任何特别新颖或有效的工具被曝光,分析师也认为此次泄露十分严重,其中包括数百页的合同、营销演示、产品手册以及客户和员工名单。
它们详细揭示了中共当局用来监视海外异见人士、对其他国家进行黑客攻击以及在社交媒体上宣扬亲北京言论的方法。
这些文件显示,安洵显然对中亚和东南亚以及香港和自治的台湾岛的网络进行了黑客攻击,北京声称台湾是其领土。
中国国家特工使用这些黑客工具来发掘诸如“X”一类的中国境外社交媒体平台的用户身份,侵入电子邮件并隐藏海外特工的在线活动。这些文件还描述了一些伪装成电源板和电池的设备,可用于破坏Wi-Fi网络。
上文提及的两名安洵员工告诉美联社,该公司和中国警方正在调查这些文件是如何泄露的。其中一名员工表示,安洵周三(2月21日)就此次泄露事件召开了一次会议,他被告知这不会对业务造成太大影响,要“继续正常工作”。出于对可能遭到报复的担忧,美联社没有透露这些员工的名字,不过按照中国的惯例,他们确实提供了自己的姓氏。
泄漏文件的源头尚不清楚。中共外交部没有立即回应置评请求。
资料照片:2024年2月20日,遭遇文件泄露事件的中国私人安全公司安洵位于成都子公司的办公室。(美联社照片)
影响深远的泄露事件
网络安全公司“记录未来”(Recorded Future)的分析师乔恩·康德拉(Jon Condra)称,这是有史以来涉及“涉嫌为中国安全部门提供网络间谍活动和有针对性的入侵服务”的公司的最大的泄露事件。他说,根据泄露的材料,安洵的目标组织包括外国政府和电信公司,以及中国境内的在线赌博公司。
在这次包含190兆字节的泄露之前,安洵网站上有一个列出客户的页面,其中以公安部为首,包括11个省级安全部门和约40个市级公安部门。
另一个页面宣传了“高级持续性威胁”(advanced persistent threat)与“攻击和防御”的能力,使用了对“高级持续性威胁”的缩写APT——网络安全行业用它来描述世界上最复杂的黑客组织,而这个页面在周二上午之后就不可访问了。泄露的内部文件描述了安洵数据库,其中包含以黑客手段从世界各地的外国网络收集的数据,这些数据被作为宣传并出售给中国警方。
周二晚些时候,该公司的网站已经完全不可访问。安洵的一位代表拒绝了美联社的采访请求,并表示该公司将在未具体说明的未来某天发布正式声明。
根据中国公司记录,安洵于2010年在上海成立,并在其他三个城市设有子公司,其中一家位于成都,根据泄露的内部幻灯片资料,成都的子公司负责黑客攻击和研发。
安洵成都子公司周三照常营业。通往这家公司五层办公楼的小巷里,红色的过年灯笼在风中摇曳。员工们进进出出,在外面抽烟、喝着咖啡。办公楼里面贴着共产党党徽,上面写着:“保守党和国家秘密是每个公民应尽的义务。”
安洵的工具似乎被中国警方用来遏制海外社交媒体上的异议,并在这些平台上充斥亲北京的内容。当局可以直接监视中国社交媒体平台,并命令它们删除反政府的帖子。但他们在脸书(Facebook)或X等海外网站上缺乏这种能力,而数百万中国用户涌入这些网站以逃避国家监视和审查。
德国马歇尔基金会(German Marshall Fund)亚洲项目高级研究员马雷克·奥尔伯格(Mareike Ohlberg)表示:“中国政府对社交媒体监控和评论非常感兴趣。”她查看了此次泄露的一些文件。
奥尔伯格说,为了控制舆论并阻止反政府情绪,控制国内关键帖子至关重要。她说:“中共当局非常有兴趣追踪位于中国的用户。”
谷歌Mandiant网络安全部门的首席威胁分析师约翰·胡尔特奎斯特(John Hultquist)表示,泄露文件的源头可能是“竞争对手的情报机构、心怀不满的内部人士,甚至是另一家与之竞争的承包商”。胡特奎斯特说,数据显示,安洵的赞助商还包括国家安全部和中国人民解放军。
很多目标,很多国家
一份泄露的合同草案显示,安洵正在向新疆警方推销“反恐”技术支持,以追踪中亚和东南亚的来自新疆的维吾尔人,并声称它可以访问来自蒙古、马来西亚、阿富汗和泰国等国家的被黑客入侵的航空公司、手机和政府数据。目前尚不清楚该合同是否已签署。
“我们看到很多针对与少数民族——藏族、维吾尔族——有关的组织的攻击。许多针对外国实体的攻击可以通过政府国内安全优先事项的视角来看待,”网络安全公司“一号哨兵”(SentinelOne)的中国分析师达科塔·卡里(Dakota Cary)表示。
他表示,这些文件看起来是真的,因为它们符合承包商代表中国安全机构就国内政治优先事项进行黑客攻击的预期。
卡里找到了一份电子表格,其中包含从受害者收集的数据存储库列表,并将14个政府列为目标,其中包括印度、印度尼西亚和尼日利亚。他说,这些文件表明,安洵主要支持公安部。
卡里还对2021年初攻击台湾卫生部以确定其COVID-19病例数这一事件感到震惊,一些黑客攻击的低成本也让他印象深刻。他说,这些文件显示,安洵向客户收取了55000美元的费用去攻击越南经济部。
美联社对这些数据的初步审查发现,尽管一些聊天记录提到了北约,但没有迹象表明任何北约国家被黑客成功攻击。但这并不意味着国家支持的中国黑客不会试图攻击美国及其盟友。卡里表示,如果泄密者在中国境内——这似乎是有可能的,“泄露有关黑客攻击北约的信息将非常非常具有煽动性”,这种风险会让中共当局对于查明黑客身份更加坚定。
网络安全公司ESET的恶意软件研究员马修·达坦(Mathieu Tartare)表示,该公司已将安洵与一个名为“鱼贩”(Fishmonger)的中国国家黑客组织联系起来,该公司积极追踪该组织,并在该组织在学生抗议期间入侵香港大学后于2020年1月对此进行了报道。他说,自2022年以来,该黑客组织已将亚洲、欧洲、中美洲和美国的政府、非政府组织和智库作为目标。
法国网络安全研究员巴蒂斯特·罗伯特(Baptiste Robert)也梳理了这些文件,并表示安洵似乎找到了一种方法来破解X上的帐户,即使这些帐户具有双因素身份验证,以及另一种用于分析电子邮件收件箱的方法。他表示,美国网络运营商及其盟友是安洵泄漏事件的潜在嫌疑人,因为揭露中国国家黑客行为符合他们的利益。
美国网络司令部发言人不愿就国家安全局或网络司令部是否参与此次泄露事件发表评论。X的新闻办公室回复电子邮件称:“现在很忙,请稍后再来询问。”
近年来,包括美国在内的西方政府已采取措施阻止中国对海外的政府批评者进行监视和骚扰。关注中国人权的倡导组织“保护卫士”(Safeguard Defenders)的活动总监劳拉·哈思(Laura Harth)表示,这种策略让海外的中国人和外国公民对中国政府产生恐惧,压制批评并导致自我审查。他说:“它们是一种迫在眉睫的威胁,始终存在且很难摆脱。”
去年,美国官员对被派去骚扰海外中国异见人士的家人并在网上传播亲北京内容的40名中国警察提出指控。哈思说,起诉书描述的策略与安洵文件中详细描述的策略类似。中国官员指责美国也进行类似活动。包括联邦调查局局长克里斯托弗·雷(Christopher Wray)在内的美国官员最近控诉中国国家黑客植入可用于破坏民用基础设施的恶意软件。
中共外交部发言人毛宁周一表示,美国政府长期以来一直在努力破坏中国的关键基础设施。她要求美国“停止利用网络安全问题抹黑其他国家”。(本文依据了美联社的报道。)
