На GitHub опубликовали внутренние документы китайской компании I-Soon Из утечки стало известно, как власти Китая используют частных подрядчиков для кибератак и слежки в сети
16 февраля на сайте GitHub были опубликованы внутренние документы шанхайской компании I-Soon, специализирующейся на кибербезопасности. Из них выяснилось, что эта компания предоставляет хакерские услуги государственным заказчикам, включая министерство общественной безопасности КНР (аналог МВД — прим. «Медузы»), а ее деятельность нацелена на атаки на иностранные государства и организации, а также на оказание помощи властям Китая в слежке за активистами внутри страны и за ее пределами. Статьи об этой утечке среди прочих опубликовали The New York Times, Associated Press и The Washington Post.
Утечка содержит десятки маркетинговых документов, изображений и скриншотов, а также тысячи сообщений в мессенджере WeChat между сотрудниками и клиентами I-Soon за последние восемь лет. Журналисты и аналитики также обнаружили среди слитых документов списки целей I-Soon, материалы об инструментах для кибератак, краткое описание образцов добытых данных и подробную информацию о том, получили ли хакеры полный или частичный контроль над иностранными системами.
Так, в утечке сотрудники I-Soon заявляли, что получили доступ к данным нескольких государственных ведомств и частных компаний в странах Азии, включая Таиланд, Индию, Непал, Вьетнам, Казахстан, Монголию и Мьянму. В одном из списков была представлена информация о рейсах вьетнамской авиакомпании, включая персональные данные путешественников вплоть до места их работы и рода деятельности.
Другая таблица свидетельствует, что клиенты I-Soon — государственные органы и предприятия КНР — также запрашивали информацию об инфраструктуре иностранных государств. Согласно утечке, в распоряжении компании есть 459 гигабайт данных о дорожных картах Тайваня — Китай считает остров своей территорией и стремится восстановить над ним контроль.
Документы показывают, что большинство целей I-Soon находились в Азии, но компания также получала запросы на кибератаки в других регионах. В частности, в 2022 году сотрудники I-Soon обсуждали продажу неких данных, связанных с НАТО. Как отмечает The Washington Post, неясно, были ли эти данные собраны из открытых источников или добыты в результате взлома. В другом чате работники китайской компании обсуждали список целей в Великобритании, в том числе казначейство и министерства внутренних и иностранных дел, а также аналитические центры, включая Королевский институт международных отношений (Chatham House).
I-Soon рекламировала среди клиентов услугу стоимостью 25 тысяч долларов по созданию системы управления «удаленным доступом» к гаджетам Apple для получения различных данных, включая основную информацию об устройстве, геолокацию, контакты и «запись окружающей обстановки».
Другая услуга подразумевала похищение аккаунта в соцсети X. Китайская компания предлагала клиентам получить электронную почту и номер телефона пользователя-жертвы, отслеживание его действий в соцсети в режиме реального времени, чтение личных сообщений и публикацию постов от его имени. Еще один продукт предлагался для контроля и управления дискуссиями в Х. I-Soon заявляла, что эта услуга за 55 тысяч долларов позволит находить и отвечать на «незаконные» и «реакционные настроения», используя аккаунты, которые контролируются клиентом, чтобы «манипулировать дискуссией».
В одном из слитых проектов договоров I-Soon говорится, что компания предлагала полиции Синьцзяна «антитеррористическую» техническую поддержку для слежки за уйгурами в Центральной и Юго-Восточной Азии. Был ли подписан это контракт, неизвестно. Кроме долгосрочных договоров компания регулярно выполняла разовые запросы полиции в небольших китайских городах и работала с частными компаниями.
Данные из утечки также свидетельствует, что I-Soon торгует различным оборудованием, включая портативные устройства для атак на сети изнутри и гаджетами, которые позволяют установить безопасную связь оперативникам, работающим за рубежом. Среди самых «безобидных» вариантов применения инструментов I-Soon журналисты отметили борьбу с онлайн-казино.
При этом аналитики по кибербезопасности заявили, что обнаруженные благодаря утечке инструменты I-Soon не считаются самыми сложными или передовыми, а устройства, которые они продавали, — устаревшие. Как отмечает The Washington Post со ссылкой на слитые переписки, клиенты I-Soon регулярно оставались недовольны информацией, предоставленной в результате взломов. Компании неоднократно не удавалось получить данные от правительственных агентств, и некоторые местные власти жаловались на некачественные данные.
Кто стал инициатором утечки, достоверно неизвестно. Предполагается, что это мог быть сотрудник I-Soon, недовольный условиями работы. Данные утечки свидетельствуют о низком уровне безопасности в компании и зарплат в компании.
Три эксперта по кибербезопасности, опрошенные The New York Times, заявили, что документы выглядят подлинными. Аналитики компании по кибербезопасности SentinelLabs отмечают, что подлинность опубликованных файлов все еще устанавливается. Главный аналитик принадлежащей Google компании Mandiant Intelligence Джон Халтквист считает, что есть все основания полагать, что в сеть утекли подлинные данные подрядчика, который поддерживал операции кибершпионажа внутри Китая и за его пределами.
Слитые файлы позволили «заглянуть в тайный мир китайских хакеров», которые работают при поддержке государства, отмечает The New York Times. Документы из утечки показывают, как правоохранительные органы Китая привлекают частные компании к глобальной хакерской кампании.
Западные издания не сообщают, упоминается ли Россия и российские структуры в массиве данных утечки I-Soon. «Медуза» попросила ChatGPT проанализировать текстовые файлы утечки — искусственный интеллект тоже не нашел в них никаких упоминаний России.
Как сообщили Associated Press два сотрудника I-Soon, компания и китайская полиция проводят расследование утечки. По словам одного из сотрудников, в среду, 21 февраля, в I-Soon прошло совещание, на котором руководство компании заявило, что утечка не сильно повлияет на бизнес, и сотрудники должны «продолжать работать в обычном режиме».