图为网络攻击示意图。(Oleksii Pydsosonnii/大.纪.元;)
近日,中共防火长城技术核心机密文件大规模泄露,揭示中国公司已在南亚、西亚和非洲多个国家建立完整网络监控体系,并参与中国境内区域性防火墙建设。从省级到国家级、从境内到境外的全方位网络控制网络正在成型,其技术部署的规模和监控能力的深度,令国际社会震惊。
此次泄露源自防火长城背后的重要技术力量——积至(海南)信息技术有限公司(积至公司,Geedge Networks Ltd.),以及中国科学院信息工程研究所第二研究室的处理架构组MESA实验室。
对这起中共长城防火墙史上最大规模的文档泄露事件的进一步分析,揭示了“积至公司”海外技术部署的详细情况,以及该公司在中国境内区域性防火墙建设中的关键作用。
接上篇:中共防火墙内部机密文件大规模泄漏(上)
管窥中共网络监控海外部署:四国模式各异
根据泄露文件显示,“积至公司”至少向五个国家提供了技术服务:缅甸、巴基斯坦、埃塞俄比亚、哈萨克斯坦,以及一个仅以代号A24出现的未公开国家。这些国家在泄露材料中都以代号标识,多数情况下代号由国家名称首字母与两位年份组成。
(1)在缅甸:掌控了所有服务商实现全面网络渗透控制
在缅甸,由号称中国“防火长城之父”的方滨兴创建的积至公司部署最为全面。
泄露文件显示,该公司硬件已安装在缅甸所有互联网服务提供商机房中,包括“四大”ISP(网际网路服务供应商):MyTel、Ooredoo、MPT与ATOM,以及Frontiir、Global Technology Group、Golden TMH Telecom等较小服务商。
值得注意的是,缅甸互联网服务提供商Frontiir曾向外界否认参与任何监控项目。但泄露文档清楚显示,积至公司设备确实部署在包括Frontiir在内的所有缅甸ISP设施中。文档还包含所有ISP链路测试报告,显示2024年不同日期进行的网站连通性测试信息,旨在评估各ISP网络审查效果。
缅甸的“欲封锁VPN清单”比其它客户国家更长,文档记录了制定“高优先级应用”封锁规则的过程,涵盖55款应用,包括消息应用程序Signal与WhatsApp。
积至公司还开发了专门工具Psiphon3-SLOK来枚举Psiphon端点,这与2024年5月积至进入缅甸时当地观察到的Psiphon连接变化完全吻合。
(2)在巴基斯坦:助网络系统监控升级
在巴基斯坦,积至公司于2023年接替了因“助长侵犯人权”而受到美国制裁的加拿大公司Sandvine。泄露文件显示,积至不仅利用现有Sandvine安装设备,还提供新技术,驱动巴基斯坦“网络监控系统”(WMS2.0)。
国际特赦组织(Amnesty International)将积至公司运营的防火墙称为“WMS2.0”,以与其所取代的早期版本WMS区分。一位巴基斯坦资深ISP高管的表述与积至营销材料高度契合,称新WMS不仅部署在国家互联网关口,也部署在移动服务提供商与ISP的本地数据中心。
积至公司的Sanity Directory具备将网络行为归因到特定SIM卡的能力。在巴基斯坦,这一功能尤其敏感,因为该国自2015年起,每张发放给移动用户的新SIM卡都必须注册到特定用户名下,并与通过国家数据库与登记局登记的生物特征绑定。
(3)在埃塞俄比亚:直接介入政府网络封锁
在埃塞俄比亚,积至公司与当地电信运营商Safaricom合作,在其区域数据中心部署监控设备。泄露文件显示了一个重要细节:从镜像模式切换到在线模式,与政府准备实施断网之间存在直接相关性。
2023年2月,埃塞俄比亚全国反政府抗议浪潮期间,积至公司的一份工单显示,其专家受召处理与YouTube、Twitter(现在叫X)等社交媒体平台相关的问题,时间与外界报导的这些平台封锁情况完全吻合。
泄露文件日志显示,在埃塞俄比亚发生18次切换为在线模式的变更中,其中两次发生在2023年2月断网之前。
(4)在哈萨克斯坦:积至公司“中间人攻击”受该政府青睐
作为积至公司第一位客户,哈萨克斯坦政府从2019年开始使用该公司技术。积至的TSG(安全网关)产品能够实施类似政府颁发证书的TLS中间人攻击,这可能是该公司最初接触哈萨克斯坦政府时的主要卖点。
所谓“中间人攻击”是指,攻击者在用户与服务器等双方不知情的情况下,秘密拦截并可能篡改他们的通信。TLS中间人攻击是针对加密会话的初始化阶段进行的。
一张2020年10月16日的图片列出了一个国家中心及其它17个城市的IP地址,这些地点运行着积至公司的三种产品:Bifang(集中管理)、Galaxy(TSG-Galaxy早期名称)与Nezha(Network Zodiac旧称)。
泄露文件揭示:积至公司的反翻墙技术
值得关注的是,泄露文件揭示了积至公司对翻墙技术进行深度研究的详细情况。该公司购买VPN账户,并运营一个安装VPN应用的移动设备集群,专门用于研究其网络行为。
积至公司使用逆向工程技术,采用静态与动态分析创建封锁规则。静态分析涉及反编译应用源代码以找到返回服务器列表的API;动态分析则是在运行VPN应用的同时分析其网络流量,识别可用于封锁的模式。
公司还建立了名为AppSketch的应用网络指纹数据库,包含大量具体应用指纹信息。一个控制面板截图显示了一串带编号的VPN名称,包括CyberGhost VPN、Hotspot VPN、Opera VPN等,总数达4081个。
更令人震惊的是,积至公司系统能够通过观察既往已知VPN用户行为来发现新VPN端点。一旦将特定个人识别为已知VPN用户,系统就可以跟踪他们的互联网使用,并将任何未来未知高带宽流量归类为可疑,从而识别并封锁先前尚未识别的服务。
中国区域防火墙现雏形:新疆项目成样板福建江苏作试点
除海外项目外,泄露文件还显示,积至公司参与了中国境内区域(省级)防火墙建设,这标志着中国正在出现一种补充国家级“防火长城”的省级防火墙模式。
新疆项目(代号J24)是积至公司最重要的境内项目之一。泄露材料包含2024年6月22日在中国科学院新疆分中心的一次讲话记录,该讲话指出积至项目“旨在将区域中心打造成反恐的先锋力量,尤其是在翻墙压制方面”。
讲话记录提到,“国家(防火墙)正从集中式向分布式演进”,而新疆区域中心旨在“成为可复制或可借鉴的省级(防火墙)建设样板”。这表明新疆的区域防火墙将作为中国全国部署的模板。
新疆部署的需求体现出强烈且侵入性的监控要求。积至公司希望在Cyber Narrator中支持对用户互联网行为、生活方式模式与关系的归纳与分析功能,还要加入根据目标交流对象构建关系图谱的能力,并按照用户所用应用或访问网站对人群进行分组。
系统还计划加入检查连接至特定移动基站用户的能力,通过基站进行位置三角定位,检测在某一地区出现的大量人群聚集。项目还包括创建地理围栏的能力,当特定个体进入指定区域时触发告警,以及查询历史位置信息追踪过往活动轨迹的功能。
文档显示,积至公司于2022年在福建开展了类似的省级防火墙试点项目。福建项目被称为“福建项目”,但相关信息相对有限。
在江苏,积至公司与江苏省公安厅合作,动机据称是打击网络诈骗。沟通记录显示,公安部门对允许积至构建大数据集群持谨慎态度,更倾向于让积至将其工具部署在现有基础设施上。“江苏反诈项目”于2024年3月15日转入生产模式。
积至公司的暗黑能力:从封网到实施恶意攻击
泄露文件揭示了积至公司技术能力的惊人范围。除传统的深度包检测和封锁功能外,该公司TSG系统还具备注入与修改流量的能力,既可用于封锁目的,也可用于以恶意软件感染用户。
系统能够实时修改HTTP会话,通过诸如伪造重定向响应、修改头部、注入脚本、替换文本与覆盖响应体等技术实现。TSG的在线注入能力允许在通过网络传输的文件中插入恶意代码,可对多种文件格式进行“即时”修改,包括HTML、CSS、JavaScript,以及Android APK、Windows EXE、macOS DMG镜像与Linux RPM包等。
更令人震惊的是,积至公司还开发了一个称为“DLL主动防御”的系统,实际上是一个针对被视为政治上不受欢迎的网站发动DDoS攻击的平台。该系统通过利用TSG的在线注入能力,有效地“招募”不知情的用户计算机参与攻击,形成僵尸网络。
泄露文件揭示了一个令人担忧的事实:储存在TSG Galaxy中的客户数据,对积至公司员工以及MESA实验室的学生和研究人员都可访问。数据显示,真实客户数据的快照有时会被分享给与积至关系密切的中国科学院Mesa Lab,用于研究目的。
此外,积至公司员工还具备在其办公室内部创建Wi-Fi网络的能力,使任何设备都能远程连接到客户网络。这一功能使他们能够在真实世界场景中验证封锁机制是否有效运行,但也带来了巨大的安全风险。
尼泊尔政府政权垮台网络封锁是导火线
上述提到积至公司提供技术服务的缅甸、巴基斯坦、埃塞俄比亚及哈萨克斯坦四国,均与中共签署了“一带一路”合作文件,“一带一路”倡议被西方批评为“债务陷阱外交”。除埃塞俄比亚外,其余三国领导人近期参加了中共的九三阅兵。
值得一提的是,尼泊尔总理卡德加‧普拉萨德‧奥利(Khadga Prasad Oli)也参加了中共9月3日举行的阅兵活动,访华期间他曾与中共党魁习*近*平会面,强调深化双边关系并推进“一带一路”合作。
9月4日,尼泊尔政府以“打击假账号”为由封锁Facebook、Instagram、YouTube及X等26个网络社交平台,引发民众抗议,谴责政府实施互联网审查。
此次抗议自9月8日起升级为街头示威,民众的不满延伸到政府腐败与经济困境,警民冲突加剧。9日,总理奥利以及多名关键部长宣布辞职,这个已连续执政10年的共产党政权垮台。12日,前首席女大法官苏希拉‧卡尔基(Sushila Karki)被任命为临时总理,筹备2026年3月议会选举。
结语
此次史无前例的文档泄露,不仅暴露了防火长城技术的内部运作机制,更揭示了中共网络审查技术向海外输出的完整体系。从技术研发到海外部署,从翻墙工具对抗到区域防火墙建设,积至公司等中国机构构建的是一个覆盖全球的网络监控网络。
美国众议院对中共特别委员会主席约翰‧穆勒纳尔(John Moolenaar)此前在《新闻周刊》(Newsweek)发文,批评中共通过“防火长城”实施社会控制,封锁Facebook、X等平台,阻断信息流通,并向威权国家输出监控技术。他呼吁拆除“防火长城”,停止对言论的审查和限制,让中国人民能够了解真相。
