中共防火墙泄密规模史无前例
2025年9月11日,中国防火长城(或称中共国家防火墙、数据跨境安全网关)经历了其历史上最大规模的内部文件泄露事件。超过500GB的源代码、工作日志和内部通信记录被公开,详细揭示了防火长城的研发运作细节,以及相关技术向海外的输出情况。
此次泄露源自防火长城背后的重要技术力量——积至(海南)信息技术有限公司(Geedge Networks Ltd.)以及中国科学院信息工程研究所第二研究室的处理架构组MESA实验室。
泄露文件显示,这些机构不仅为新疆、江苏、福建等地政府提供服务,构建省级防火墙,还在中共“一带一路”框架下,向多个国家输出审查与监控技术。
根据专注研究和追踪中国网路审查机制平台“GFW Report”的分析,此次泄露的文件总计约600GB,其中单个文件mirror/repo.tar作为RPM打包服务器的存盘就占了500GB。泄露内容包括完整的源代码、详细工作日志、内部交流记录,以及与多国政府合作的具体项目文档。
该平台进行测量实验并发布报告,分析中国“防火长城”(Great Firewall,GFW)以及区域性的网路审查系统。
方滨兴创建积至公司 核心研发人员来自MESA实验室
这次泄露文件揭示了防火长城技术输出的关键人物和机构,被称为“防火长城之父”的方滨兴是这一体系的核心人物。
方滨兴于2008年底成立了信息内容安全国家工程实验室(NELIST),最初依托中国科学院计算技术研究所,后于2012年转至中国科学院信息工程研究所。
2012年1月,部分NELIST人员在信工所组建团队,并于同年6月正式定名为处理架构团队,英文名称MESA(Massive Effective Stream Analysis)。该团队在防火长城的技术研发中发挥了关键作用,承担了多项重大工程项目,年收入合同额曾超过3,500万元。
2018年,方滨兴在海南成立了积至公司,担任首席科学家。该公司的核心研发人员主要来自MESA实验室,其中郑超担任CTO。泄露文件显示,MESA大事记中的许多导师和学生都会在积至公司的git提交记录中出现,显示了两个机构之间的密切人员流动关系。
积至公司向多国输出网络监控技术 一个国家秘而不宣
根据泄露文件,积至公司至少向五个国家提供了技术服务:哈萨克斯坦、埃塞俄比亚、缅甸、巴基斯坦,以及一个仅以代号A24出现的未公开国家。这些国家在泄露材料中都以代号标识,多数情况下代号由国家名称首字母与两位年份组成。
哈萨克斯坦是积至公司成立后的首批客户之一。2019年开始,该公司向哈萨克斯坦政府出售旗舰产品“天狗安全网关”(TSG),该产品具备类似中国防火长城的功能,能够监控和过滤所有经过的网络流量,并检测和阻止翻墙行为。
在埃塞俄比亚,积至公司于2021年开始工作,与当地电信运营商Safaricom合作,在其区域数据中心部署监控设备。泄露文件显示,该公司的设备部署与2023年2月埃塞俄比亚的社交媒体封锁事件存在时间上的关联。
积至公司产品技术涉封锁翻墙工具、网络监控及电话监听等
泄露文件详细揭示了积至公司产品套件的强大功能。“天狗安全网关”(TSG)是该公司的旗舰产品,具备深度包检测、实时监控、流量限速、注入与修改等多重功能,能够将网络流量归因到真实身份,识别与封锁翻墙工具。
TSG Galaxy是数据存储与分析系统,保存TCP与UDP会话及其协议的元数据,包括TLS、SIP、DNS、QUIC等。该系统不仅允许监控互联网流量,也能监控电话通话,构建了一个全面的通信监控网络。
Cyber Narrator是为非技术用户设计的用户界面,能够在个体客户层面跟踪网络流量,并可通过将活动与特定小区标识关联起来,从而实时识别移动用户的地理位置。该系统还允许政府客户查看聚合的网络流量,并能识别使用翻墙工具的个体用户。
Network Zodiac是一个监控其它组件的系统,类似于Grafana,具备SSH到任意其它主机的能力,为客户提供对网络设备进行故障排查和管理的直接访问。
根据积至公司官网介绍,该公司总部位于中国海南,是一家专注于网络智能的国家级高新技术企业,致力于为客户提供创新的网络智能与安全解决方案。该公司核心研发团队来自中国顶尖高校与科研机构,拥有超过20年大型信息安全系统建设经验。
大纪元记者注意到,积至公司(Geedge Networks Ltd.)的主要产品包括TSG安全网关(TIANGOU Secure Gateway),这是一款基于机器学习的下一代防火墙(或与AI技术有关),针对大型组织的网络边界需求,提供功能丰富、便捷的一站式安全解决方案。
积至公司的技术部署遵循标准化流程。在新的国家或地区启动部署时,公司员工会前往客户所在地,在政府与当地互联网服务提供商的场所内安装硬件。当地ISP是系统搭建不可或缺的一环,需要在安装期间向积至员工开放场所,并提供网络方案说明。
用于采集与存储海量数据的硬件被安置在各个ISP的数据中心内。系统可在两种主要模式下部署:镜像模式(被动模式)通过网络TAP镜像数据,不影响网络正常运行;在线模式(主动模式)要求流量必须先通过设备检查,可以彻底阻止特定流量,但会影响网速。
此次史无前例的文档泄露不仅揭示了中国防火长城工程的内部运作机制,更重要的是暴露了这些技术如何通过中共“一带一路”等框架向海外输出,为多国政府提供了网络监控和审查能力。下篇将详细分析这些技术在各国的具体部署情况以及对全球互联网自由的深远影响。
下:中共防火墙文件大规模泄密 跨国布局曝光
近日,中共防火长城技术核心机密文件大规模泄露,揭示中国公司已在南亚、西亚和非洲多个国家建立完整网络监控体系,并参与中国境内区域性防火墙建设。从省级到国家级、从境内到境外的全方位网络控制网络正在成型,其技术部署的规模和监控能力的深度,令国际社会震惊。
此次泄露源自防火长城背后的重要技术力量——积至(海南)信息技术有限公司(积至公司,Geedge Networks Ltd.),以及中国科学院信息工程研究所第二研究室的处理架构组MESA实验室。
对这起中共长城防火墙史上最大规模的文档泄露事件的进一步分析,揭示了“积至公司”海外技术部署的详细情况,以及该公司在中国境内区域性防火墙建设中的关键作用。
管窥中共网络监控海外部署:四国模式各异
根据泄露文件显示,“积至公司”至少向五个国家提供了技术服务:缅甸、巴基斯坦、埃塞俄比亚、哈萨克斯坦,以及一个仅以代号A24出现的未公开国家。这些国家在泄露材料中都以代号标识,多数情况下代号由国家名称首字母与两位年份组成。
(1)在缅甸:掌控了所有服务商 实现全面网络渗透控制
在缅甸,由号称中国“防火长城之父”的方滨兴创建的积至公司部署最为全面。
泄露文件显示,该公司硬件已安装在缅甸所有互联网服务提供商机房中,包括“四大”ISP(网际网路服务供应商):MyTel、Ooredoo、MPT与ATOM,以及Frontiir、Global Technology Group、Golden TMH Telecom等较小服务商。
值得注意的是,缅甸互联网服务提供商Frontiir曾向外界否认参与任何监控项目。但泄露文档清楚显示,积至公司设备确实部署在包括Frontiir在内的所有缅甸ISP设施中。文档还包含所有ISP链路测试报告,显示2024年不同日期进行的网站连通性测试信息,旨在评估各ISP网络审查效果。
缅甸的“欲封锁VPN清单”比其它客户国家更长,文档记录了制定“高优先级应用”封锁规则的过程,涵盖55款应用,包括消息应用程序Signal与WhatsApp。
积至公司还开发了专门工具Psiphon3-SLOK来枚举Psiphon端点,这与2024年5月积至进入缅甸时当地观察到的Psiphon连接变化完全吻合。
(2)在巴基斯坦:助网络系统监控升级
在巴基斯坦,积至公司于2023年接替了因“助长侵犯人权”而受到美国制裁的加拿大公司Sandvine。泄露文件显示,积至不仅利用现有Sandvine安装设备,还提供新技术,驱动巴基斯坦“网络监控系统”(WMS 2.0)。
国际特赦组织(Amnesty International)将积至公司运营的防火墙称为“WMS 2.0”,以与其所取代的早期版本WMS区分。一位巴基斯坦资深ISP高管的表述与积至营销材料高度契合,称新WMS不仅部署在国家互联网关口,也部署在移动服务提供商与ISP的本地数据中心。
积至公司的Sanity Directory具备将网络行为归因到特定SIM卡的能力。在巴基斯坦,这一功能尤其敏感,因为该国自2015年起,每张发放给移动用户的新SIM卡都必须注册到特定用户名下,并与通过国家数据库与登记局登记的生物特征绑定。
(3)在埃塞俄比亚:直接介入政府网络封锁
在埃塞俄比亚,积至公司与当地电信运营商Safaricom合作,在其区域数据中心部署监控设备。泄露文件显示了一个重要细节:从镜像模式切换到在线模式,与政府准备实施断网之间存在直接相关性。
2023年2月,埃塞俄比亚全国反政府抗议浪潮期间,积至公司的一份工单显示,其专家受召处理与YouTube、Twitter(现在叫X)等社交媒体平台相关的问题,时间与外界报导的这些平台封锁情况完全吻合。
泄露文件日志显示,在埃塞俄比亚发生18次切换为在线模式的变更中,其中两次发生在2023年2月断网之前。
(4)在哈萨克斯坦:积至公司“中间人攻击”受该政府青睐
作为积至公司第一位客户,哈萨克斯坦政府从2019年开始使用该公司技术。积至的TSG(安全网关)产品能够实施类似政府颁发证书的TLS中间人攻击,这可能是该公司最初接触哈萨克斯坦政府时的主要卖点。
所谓“中间人攻击”是指,攻击者在用户与服务器等双方不知情的情况下,秘密拦截并可能篡改他们的通信。TLS中间人攻击是针对加密会话的初始化阶段进行的。
一张2020年10月16日的图片列出了一个国家中心及其它17个城市的IP地址,这些地点运行着积至公司的三种产品:Bifang(集中管理)、Galaxy(TSG-Galaxy早期名称)与Nezha(Network Zodiac旧称)。
泄露文件揭示:积至公司的反翻墙技术
值得关注的是,泄露文件揭示了积至公司对翻墙技术进行深度研究的详细情况。该公司购买VPN账户,并运营一个安装VPN应用的移动设备集群,专门用于研究其网络行为。
积至公司使用逆向工程技术,采用静态与动态分析创建封锁规则。静态分析涉及反编译应用源代码以找到返回服务器列表的API;动态分析则是在运行VPN应用的同时分析其网络流量,识别可用于封锁的模式。
公司还建立了名为AppSketch的应用网络指纹数据库,包含大量具体应用指纹信息。一个控制面板截图显示了一串带编号的VPN名称,包括CyberGhost VPN、Hotspot VPN、Opera VPN等,总数达4081个。
更令人震惊的是,积至公司系统能够通过观察既往已知VPN用户行为来发现新VPN端点。一旦将特定个人识别为已知VPN用户,系统就可以跟踪他们的互联网使用,并将任何未来未知高带宽流量归类为可疑,从而识别并封锁先前尚未识别的服务。
中国区域防火墙现雏形:新疆项目成样板 福建江苏作试点
除海外项目外,泄露文件还显示,积至公司参与了中国境内区域(省级)防火墙建设,这标志着中国正在出现一种补充国家级“防火长城”的省级防火墙模式。
新疆项目(代号J24)是积至公司最重要的境内项目之一。泄露材料包含2024年6月22日在中国科学院新疆分中心的一次讲话记录,该讲话指出积至项目“旨在将区域中心打造成反恐的先锋力量,尤其是在翻墙压制方面”。
讲话记录提到,“国家(防火墙)正从集中式向分布式演进”,而新疆区域中心旨在“成为可复制或可借鉴的省级(防火墙)建设样板”。这表明新疆的区域防火墙将作为中国全国部署的模板。
新疆部署的需求体现出强烈且侵入性的监控要求。积至公司希望在Cyber Narrator中支持对用户互联网行为、生活方式模式与关系的归纳与分析功能,还要加入根据目标交流对象构建关系图谱的能力,并按照用户所用应用或访问网站对人群进行分组。
系统还计划加入检查连接至特定移动基站用户的能力,通过基站进行位置三角定位,检测在某一地区出现的大量人群聚集。项目还包括创建地理围栏的能力,当特定个体进入指定区域时触发告警,以及查询历史位置信息追踪过往活动轨迹的功能。
文档显示,积至公司于2022年在福建开展了类似的省级防火墙试点项目。福建项目被称为“福建项目”,但相关信息相对有限。
在江苏,积至公司与江苏省公安厅合作,动机据称是打击网络诈骗。沟通记录显示,公安部门对允许积至构建大数据集群持谨慎态度,更倾向于让积至将其工具部署在现有基础设施上。“江苏反诈项目”于2024年3月15日转入生产模式。
积至公司的暗黑能力:从封网到实施恶意攻击
泄露文件揭示了积至公司技术能力的惊人范围。除传统的深度包检测和封锁功能外,该公司TSG系统还具备注入与修改流量的能力,既可用于封锁目的,也可用于以恶意软件感染用户。
系统能够实时修改HTTP会话,通过诸如伪造重定向响应、修改头部、注入脚本、替换文本与覆盖响应体等技术实现。TSG的在线注入能力允许在通过网络传输的文件中插入恶意代码,可对多种文件格式进行“即时”修改,包括HTML、CSS、JavaScript,以及Android APK、Windows EXE、macOS DMG镜像与Linux RPM包等。
更令人震惊的是,积至公司还开发了一个称为“DLL主动防御”的系统,实际上是一个针对被视为政治上不受欢迎的网站发动DDoS攻击的平台。该系统通过利用TSG的在线注入能力,有效地“招募”不知情的用户计算机参与攻击,形成僵尸网络。
泄露文件揭示了一个令人担忧的事实:储存在TSG Galaxy中的客户数据,对积至公司员工以及MESA实验室的学生和研究人员都可访问。数据显示,真实客户数据的快照有时会被分享给与积至关系密切的中国科学院Mesa Lab,用于研究目的。
此外,积至公司员工还具备在其办公室内部创建Wi-Fi网络的能力,使任何设备都能远程连接到客户网络。这一功能使他们能够在真实世界场景中验证封锁机制是否有效运行,但也带来了巨大的安全风险。
No comments:
Post a Comment