中国安全公司安洵(i-Soon)泄露文件揭开了中共商业网络间谍网的一角。网络专家表示,安洵泄露事件彻底改变了开源情报(OSINT)小区对中共公安部网络行动的看法。
安洵是一家在四川成都注册的中共公安部(MPS)的安全承包商。
来自网络威胁情报(CTI)界的许多专业人士都证实了安洵泄漏数据与之前的报告相符。所以,这次泄露事件为国外的网络威胁情报分析人员提供了前所未有的研究机会。
SentinelOne公司的网络威胁研究人员亚历山大·米伦科斯基(Alexander Milenkoski)和达科塔·卡里(Dakota Cary)在一篇博文中表示:「此次泄露提供了一些迄今为止最具体的细节,揭示了中国网络间谍生态系统的成熟本质。它明确表明了(中共)政府提出的目标要求如何驱使独立承包商在黑客雇用市场中的竞争。」
安洵泄漏事件的时间线
根据米伦科斯基和卡里的发现,这次泄漏最早的源头是有人于2024年1月15日注册了一个[email protected]的电子邮件地址。
2月16日,与此电子邮件地址关联的帐户开始将安洵泄漏内容上传到软件开发平台GitHub。
一位台湾分析师在GitHub上发现了该文档,并于2月18日在社交媒体上分享了这一发现。
2月23日,i-S00n存储库被删除。但随后又有复制版本出现。
大多数专家分析泄露文件是真
大多数网络威胁情报分析师在分析了安洵数据后,认为这些文件及其数据是真实的。
Equinix公司威胁研究员威廉·托马斯(Will Thomas)在接受《信息安全》(Infosecurity)杂志采访时表示:「根据详细程度、泄露的聊天日志、数据量以及重迭妥协指针(IOC)的左证,我有中度到高度相信这些文件是真的。」
谷歌云Mandiant Intelligence首席分析师约翰·霍尔特奎斯特(John Hultquist)也告诉《信息安全》说:「我们有充分的理由相信这是支持中国境内全球和国内网络间谍活动的承包商的真实数据。」
一位要求匿名的法国网络安全顾问也得出了同样的结论。
美联社记者表示,他们收到了两名安洵员工的确认,这些数据是真的。
安洵从事哪些威胁活动
泄露文件显示了中共政府的商业承包商如何开发网络间谍工具来支持与北京有关联的威胁行为者。
根据泄露的内容,安洵旗下包括三个渗透团队、一个安全研究团队和一个基础支持团队,约有70人。
他们的工作包括:设计用于在Windows、macOS、Linux、iOS和Android系统上的远程访问木马(RAT),收集和分析电子邮件数据的平台,侵入Outlook账户的平台,Twitter监控平台使用,开源情报数据的侦察平台,用于追踪WiFi设备并干扰WiFi信号的物理硬件设备,为在国外工作的代理商使用类似Tor网络的通信设备等。
其中一份文件列出了目标组织以及该公司通过黑客攻击所赚取的费用。
为某省中共公安厅提供访问印度指定邮箱账号服务,一周两次取文件,收费2万元(人民币,下同)。
马来西亚和菲律宾的相关报价更低。欧美的类似业务要价则高出很多。根据安洵内部员工通讯,「美国一个部委的webshell要卖百万元以上」。
Webshell是黑客经常使用的一种恶意脚本,目的是获得服务器的执行操作权限。
「像FBI(美国联邦调查局),目前市场价一个箱子账号密码是10万到15万成交的。」一名员工在泄漏文件中写道。箱子指代电子邮箱。
安洵的重点攻击目标
安洵的主要目标市场为中亚、东南亚、港澳台等地区国家。
安洵在幻灯片中展示了他们对印度和尼泊尔政府的攻击,目标是外交部、国防部、内政部、财政部和尼泊尔总统府等政府部门。
安全研究人员还发现了安洵针对欧洲(法国)、非洲(尼日利亚、卢旺达、埃及)和中东(土耳其)国家的政府实体、电信公司、医疗组织和学术部门的数据泄露活动的证据。
此外,一些文件还显示,安洵有兴趣在中国新疆和西藏获得监控合同。
安洵参与黑客攻击行动
具有讽刺意味的是,泄露的内容包括一个幻灯片,宣传安洵的「APT 团队」。APT指的是高级持续威胁组织。
在泄密之前,威胁情报分析师已经披露了安洵与中共民族主义国家黑客组织有关,隶属APT41(又名双龙、BARIUM、Axiom、Wicked Panda、Brass Typhoon)。
美国司法部2020年指控代号APT41的中共黑客组织的5名中国籍成员以及2名马来西亚籍外应。这5名黑客均来自四川「成都404」网络安全科技公司。
安洵首席执行官吴海波(网名Shutd0wn)是一位著名的黑客,也是1997年成立的中国第一个黑客激进主义团体「绿色兵团」的早期成员。
吴海波2022年在聊天时,讨论过是否有一天他们会像APT41一样受到美国政府的指控。
一名高管询问吴,有中共安全口的人透露,安洵正受到美国的密切监视,不知道真假。吴回答道:「无所谓的,反正迟早的事。」
彻底改写对中共网络威胁活动的理解
《信息安全》说,如果安洵泄露及其数据是真,那么这将是近年来与中国相关的最重要的网络威胁更新之一。
第一,它证实了威胁情报分析师过去关于安洵参与中共支持的黑客行动的许多假设和评估。
第二,它为网络威胁情报界提供宝贵的知识,包括:重点介绍中共公安部和国家安全部(MSS)如何将情报收集外包给商业监控供货商,确认APT与中国私营部门之间错综复杂的关系,提供了一个独特的机会来重新评估过去的归因工作并更深入地了解复杂的中国威胁形势。
Equinix的托马斯表示,安洵泄露事件彻底改变了开源情报小区对中共公安部网络行动的总体理解。
有消息称,美国官员已经开始梳理安洵的泄露文件,并从中寻找线索,以了解北京如何利用私企进行大规模黑客活动。