【大紀元2024年02月29日訊】(大紀元記者林燕編譯報導)中國安全公司安洵(i-Soon)泄露文件揭開了中共商業網絡間諜網的一角。網絡專家表示,安洵泄露事件徹底改變了開源情報(OSINT)社區對中共公安部網絡行動的看法。
安洵是一家在四川成都註冊的中共公安部(MPS)的安全承包商。
來自網絡威脅情報(CTI)界的許多專業人士都證實了安洵泄漏數據與之前的報告相符。所以,這次泄露事件為國外的網絡威脅情報分析人員提供了前所未有的研究機會。
SentinelOne公司的網絡威脅研究人員亞歷山大·米倫科斯基(Alexander Milenkoski)和達科塔·卡里(Dakota Cary)在一篇博文中表示:「此次泄露提供了一些迄今為止最具體的細節,揭示了中國網絡間諜生態系統的成熟本質。它明確表明了(中共)政府提出的目標要求如何驅使獨立承包商在黑客僱用市場中的競爭。」
安洵泄漏事件的時間線
根據米倫科斯基和卡里的發現,這次泄漏最早的源頭是有人於2024年1月15日註冊了一個i-soon@proton.me的電子郵件地址。
2月16日,與此電子郵件地址關聯的帳戶開始將安洵泄漏內容上傳到軟件開發平台GitHub。
一位台灣分析師在GitHub上發現了該文檔,並於2月18日在社交媒體上分享了這一發現。
2月23日,i-S00n存儲庫被刪除。但隨後又有複製版本出現。
大多數專家研判泄露文件是真
大多數網絡威脅情報分析師在分析了安洵數據後,認為這些文件及其數據是真實的。
Equinix公司威脅研究員威廉·托馬斯(Will Thomas)在接受《信息安全》(Infosecurity)雜誌採訪時表示:「根據詳細程度、泄露的聊天日誌、數據量以及重疊妥協指標(IOC)的佐證,我有中度到高度相信這些文件是真的。」
谷歌雲Mandiant Intelligence首席分析師約翰·霍爾特奎斯特(John Hultquist)也告訴《信息安全》說:「我們有充分的理由相信這是支持中國境內全球和國內網絡間諜活動的承包商的真實數據。」
一位要求匿名的法國網絡安全顧問也得出了同樣的結論。
美聯社記者表示,他們收到了兩名安洵員工的確認,這些數據是真的。
安洵從事哪些威脅活動
泄露文件顯示了中共政府的商業承包商如何開發網絡間諜工具來支持與北京有關聯的威脅行為者。
根據泄露的內容,安洵旗下包括三個滲透團隊、一個安全研究團隊和一個基礎支持團隊,約有70人。
他們的工作包括:設計用於在Windows、macOS、Linux、iOS和Android系統上的遠程訪問木馬(RAT),收集和分析電子郵件數據的平台,侵入Outlook帳戶的平台,Twitter監控平台使用,開源情報數據的偵察平台,用於追蹤WiFi設備並干擾WiFi信號的物理硬件設備,為在國外工作的代理商使用類似Tor網絡的通信設備等。
其中一份文件列出了目標組織以及該公司通過黑客攻擊所賺取的費用。
為某省中共公安廳提供訪問印度指定郵箱帳號服務,一週兩次取文件,收費2萬元(人民幣,下同)。
馬來西亞和菲律賓的相關報價更低。歐美的類似業務要價則高出很多。根據安洵內部員工通訊,「美國一個部委的webshell要賣百萬元以上」。
Webshell是黑客經常使用的一種惡意腳本,目的是獲得服務器的執行操作權限。
「像FBI(美國聯邦調查局),目前市場價一個箱子帳號密碼是10萬到15萬成交的。」一名員工在泄漏文件中寫道。箱子指代電子郵箱。
安洵的重點攻擊目標
安洵的主要目標市場為中亞、東南亞、港澳台等地區國家。
安洵在幻燈片中展示了他們對印度和尼泊爾政府的攻擊,目標是外交部、國防部、內政部、財政部和尼泊爾總統府等政府部門。
安全研究人員還發現了安洵針對歐洲(法國)、非洲(尼日利亞、盧旺達、埃及)和中東(土耳其)國家的政府實體、電信公司、醫療組織和學術部門的數據泄露活動的證據。
此外,一些文件還顯示,安洵有興趣在中國新疆和西藏獲得監控合同。
安洵參與黑客攻擊行動
具有諷刺意味的是,泄露的內容包括一個幻燈片,宣傳安洵的「APT 團隊」。APT指的是高級持續威脅組織。
在泄密之前,威脅情報分析師已經披露了安洵與中共民族主義國家黑客組織有關,隸屬APT41(又名雙龍、BARIUM、Axiom、Wicked Panda、Brass Typhoon)。
美國司法部2020年指控代號APT41的中共黑客組織的5名中國籍成員以及2名馬來西亞籍外應。這5名黑客均來自四川「成都404」網絡安全科技公司。
安洵首席執行官吳海波(網名Shutd0wn)是一位著名的黑客,也是1997年成立的中國第一個黑客激進主義團體「綠色兵團」的早期成員。
吳海波2022年在聊天時,討論過是否有一天他們會像APT41一樣受到美國政府的指控。
一名高管詢問吳,有中共安全口的人透露,安洵正受到美國的密切監視,不知道真假。吳回答道:「無所謂的,反正遲早的事。」
徹底改寫對中共網絡威脅活動的理解
《信息安全》說,如果安洵泄露及其數據是真,那麼這將是近年來與中國相關的最重要的網絡威脅更新之一。
第一,它證實了威脅情報分析師過去關於安洵參與中共支持的黑客行動的許多假設和評估。
第二,它為網絡威脅情報界提供寶貴的知識,包括:重點介紹中共公安部和國家安全部(MSS)如何將情報收集外包給商業監控供應商,確認APT與中國私營部門之間錯綜複雜的關係,提供了一個獨特的機會來重新評估過去的歸因工作並更深入地了解複雜的中國威脅形勢。
Equinix的托馬斯表示,安洵泄露事件徹底改變了開源情報社區對中共公安部網絡行動的總體理解。
有消息稱,美國官員已經開始梳理安洵的泄露文件,並從中尋找線索,以了解北京如何利用私企進行大規模黑客活動。