2024年2月22日

 

中國警方正在調查一起未經授權且極不尋常的網路檔洩露，這些檔來自一家與中國最高警務機構和政府其他部門有聯繫的私人安全承包商，記錄了明顯的駭客活動以及監視中國人和外國人的工具。

涉事公司安洵（I-Soon）提供的工具的明顯目標包括：發生過嚴重反政府抗議活動的地區的少數民族和持不同政見者，例如香港或穆斯林人口稠密的新疆地區。

安洵的兩名員工證實了上周晚些時候大量檔的洩露以及隨後的調查，該公司與中國公安部有聯繫。即便沒有任何特別新穎或有效的工具被曝光，分析師也認為此次洩露十分嚴重，其中包括數百頁的合同、行銷演示、產品手冊以及客戶和員工名單。

它們詳細揭示了中國當局用來監視海外異見人士、對其他國家進行駭客攻擊以及在社交媒體上宣揚親北京言論的方法。

這些檔顯示，安洵顯然對中亞和東南亞以及香港和自治的臺灣島的網路進行了駭客攻擊，北京聲稱臺灣是其領土。

中國國家特工使用這些駭客工具來發掘諸如“X”一類的中國境外社交媒體平臺的使用者身份，侵入電子郵件並隱藏海外特工的線上活動。這些檔還描述了一些偽裝成電源板和電池的設備，可用於破壞Wi-Fi網路。

上文提及的兩名安洵員工告訴美聯社，該公司和中國警方正在調查這些檔是如何洩露的。其中一名員工表示，安洵週三（2月21日）就此次洩露事件召開了一次會議，他被告知這不會對業務造成太大影響，要“繼續正常工作”。出於對可能遭到報復的擔憂，美聯社沒有透露這些員工的名字，不過按照中國的慣例，他們確實提供了自己的姓氏。

洩漏檔的源頭尚不清楚。中國外交部沒有立即回應置評請求。

 

影響深遠的洩露事件

網路安全公司“記錄未來”（Recorded Future）的分析師喬恩·康得拉（Jon Condra）稱，這是有史以來涉及“涉嫌為中國安全部門提供網路間諜活動和有針對性的入侵服務”的公司的最大的洩露事件。他說，根據洩露的材料，安洵的目標群組織包括外國政府和電信公司，以及中國境內的線上賭博公司。

在這次包含190百萬位元組的洩露之前，安洵網站上有一個列出客戶的頁面，其中以公安部為首，包括11個省級安全部門和約40個市級公安部門。

另一個頁面宣傳了“高級持續性威脅”（advanced persistent threat）與“攻擊和防禦”的能力，使用了對“高級持續性威脅”的縮寫APT——網路安全行業用它來描述世界上最複雜的駭客組織，而這個頁面在週二上午之後就不可訪問了。洩露的內部檔描述了安洵資料庫，其中包含以駭客手段從世界各地的外國網路收集的資料，這些資料被作為宣傳並出售給中國警方。

週二晚些時候，該公司的網站已經完全不可訪問。安洵的一位代表拒絕了美聯社的採訪請求，並表示該公司將在未具體說明的未來某天發佈正式聲明。

根據中國公司記錄，安洵於2010年在上海成立，並在其他三個城市設有子公司，其中一家位於成都，根據洩露的內部幻燈片資料，成都的子公司負責駭客攻擊和研發。

安洵成都子公司週三照常營業。通往這家公司五層辦公樓的小巷裡，紅色的春節燈籠在風中搖曳。員工們進進出出，在外面抽煙、喝著咖啡。辦公樓裡面貼著共產黨黨徽，上面寫著：“保守黨和國家秘密是每個公民應盡的義務。”

安洵的工具似乎被中國警方用來遏制海外社交媒體上的異議，並在這些平臺上充斥親北京的內容。當局可以直接監視中國社交媒體平臺，並命令它們刪除反政府的帖子。但他們在臉書（Facebook）或X等海外網站上缺乏這種能力，而數百萬中國用戶湧入這些網站以逃避國家監視和審查。

德國馬歇爾基金會（German Marshall Fund）亞洲項目高級研究員馬雷克·奧爾伯格（Mareike Ohlberg）表示：“中國政府對社交媒體監控和評論非常感興趣。”她查看了此次洩露的一些文件。

奧爾伯格說，為了控制輿論並阻止反政府情緒，控制國內關鍵帖子至關重要。 她說：“中國當局非常有興趣追蹤位於中國的用戶。”

穀歌Mandiant網路安全部門的首席威脅分析師約翰·胡爾特奎斯特（John Hultquist）表示，洩露檔的源頭可能是“競爭對手的情報機構、心懷不滿的內部人士，甚至是另一家與之競爭的承包商”。胡特奎斯特說，資料顯示，安洵的贊助商還包括國家安全部和中國人民解放軍。

 

很多目標，很多國家

一份洩露的合同草案顯示，安洵正在向新疆警方推銷“反恐”技術支援，以追蹤中亞和東南亞的來自新疆的維吾爾人，並聲稱它可以訪問來自蒙古、馬來西亞、阿富汗和泰國等國家的被駭客入侵的航空公司、手機和政府資料。目前尚不清楚該合同是否已簽署。

“我們看到很多針對與少數民族——藏族、維吾爾族——有關的組織的攻擊。許多針對外國實體的攻擊可以通過政府國內安全優先事項的視角來看待，”網路安全公司“一號哨兵”（SentinelOne）的中國分析師達科塔·卡裡（Dakota Cary）表示。

他表示，這些檔看起來是真的，因為它們符合承包商代表中國安全機構就國內政治優先事項進行駭客攻擊的預期。

卡裡找到了一份試算表，其中包含從受害者收集的資料存儲庫清單，並將14個政府列為目標，其中包括印度、印尼和奈及利亞。他說，這些檔表明，安洵主要支持公安部。

卡裡還對2021年初攻擊臺灣衛生部以確定其COVID-19病例數這一事件感到震驚，一些駭客攻擊的低成本也讓他印象深刻。他說，這些檔顯示，安洵向客戶收取了55000美元的費用去攻擊越南經濟部。

美聯社對這些資料的初步審查發現，儘管一些聊天記錄提到了北約，但沒有跡象表明任何北約國家被駭客成功攻擊。但這並不意味著國家支持的中國駭客不會試圖攻擊美國及其盟友。卡裡表示，如果洩密者在中國境內——這似乎是有可能的，“洩露有關駭客攻擊北約的資訊將非常非常具有煽動性”，這種風險會讓中國當局對於查明駭客身份更加堅定。

網路安全公司ESET的惡意軟體研究員馬修·達坦（Mathieu Tartare）表示，該公司已將安洵與一個名為“魚販”（Fishmonger）的中國國家駭客組織聯繫起來，該公司積極追蹤該組織，並在該組織在學生抗議期間入侵香港大學後於2020年1月對此進行了報導。他說，自2022年以來，該駭客組織已將亞洲、歐洲、中美洲和美國的政府、非政府組織和智庫作為目標。

法國網路安全研究員巴蒂斯特·羅伯特（Baptiste Robert）也梳理了這些檔，並表示安洵似乎找到了一種方法來破解X上的帳戶，即使這些帳戶具有雙因素身份驗證，以及另一種用於分析電子郵件收件箱的方法。他表示，美國網路運營商及其盟友是安洵洩漏事件的潛在嫌疑人，因為揭露中國國家駭客行為符合他們的利益。

美國網路司令部發言人不願就國家安全局或網路司令部是否參與此次洩露事件發表評論。X的新聞辦公室回復電子郵件稱：“現在很忙，請稍後再來詢問。”

近年來，包括美國在內的西方政府已採取措施阻止中國對海外的政府批評者進行監視和騷擾。關注中國人權的宣導組織“保護衛士”（Safeguard Defenders）的活動總監蘿拉·哈思（Laura Harth）表示，這種策略讓海外的中國人和外國公民對中國政府產生恐懼，壓制批評並導致自我審查。他說：“它們是一種迫在眉睫的威脅，始終存在且很難擺脫。”

去年，美國官員對被派去騷擾海外中國異見人士的家人並在網上傳播親北京內容的40名中國員警提出指控。 哈思說，起訴書描述的策略與安洵檔中詳細描述的策略類似。中國官員指責美國也進行類似活動。包括聯邦調查局局長克裡斯多夫·雷（Christopher Wray）在內的美國官員最近控訴中國國家駭客植入可用於破壞民用基礎設施的惡意軟體。

中國外交部發言人毛甯週一表示，美國政府長期以來一直在努力破壞中國的關鍵基礎設施。她要求美國“停止利用網路安全問題抹黑其他國家”。