Cái gậy xuất khẩu - ForkLog: tiền điện tử, AI, kỳ dị, tương lai

# Cái gậy xuất khẩu

Như thế nào và tại sao Bắc Kinh giúp các chế độ độc tài kiểm soát internet

Dữ liệu bị rò rỉ xác nhận: Bắc Kinh đã chuyển từ kiểm duyệt nội bộ sang xuất khẩu tích cực các công cụ kiểm soát. Các nhà thầu Trung Quốc cung cấp các giải pháp hạ tầng hoàn chỉnh để chống lại tư tưởng đối lập tại Pakistan, Ethiopia và Myanmar.

Tuy nhiên, kết luận chính từ những rò rỉ gần đây không phải là về chính trị, mà là sự dễ bị tổn thương về quyền riêng tư của mỗi người dùng mạng trước công nghệ kiểm tra sâu các gói dữ liệu mạng (DPI) thế hệ mới.

ForkLog đã tìm hiểu về các tài liệu bị rò rỉ của các công ty công nghệ Trung Quốc Geedge Networks và KnownSec

Giải phẫu của sự rò rỉ

Vào mùa thu, hai khối lượng dữ liệu lớn đã được công khai. Khối lượng đầu tiên - 100.000 tài liệu của công ty Geedge Networks, chuyên về giám sát mạng và kiểm duyệt. Khối lượng thứ hai - 12.000 tệp của công ty KnownSec, có liên quan đến an ninh quốc gia của Trung Quốc.

Rò rỉ cung cấp cơ hội hiếm hoi để nhìn «dưới nắp» của ngành công nghiệp giám sát mạng. Nếu trước đây các chuyên gia chỉ suy đoán về sự tồn tại của các phiên bản xuất khẩu của Tường lửa lớn Trung Quốc, thì giờ đây các thông số kỹ thuật, kiến trúc và các khách hàng cụ thể đã được biết đến.

Geedge Networks — không chỉ là một công ty CNTT. Nó có mối liên hệ chặt chẽ với MESA Lab ( phòng thí nghiệm nhà nước của Trung Quốc ) và Phan Bính Tân, người được gọi là cha đẻ của tường lửa Trung Quốc. Các tài liệu rò rỉ cho thấy rằng các sản phẩm phát triển, đã được thử nghiệm trong nhiều năm trên dân số Trung Quốc, giờ đây đã được đóng gói thành sản phẩm thương mại để bán ra nước ngoài.

Tường lửa vĩ đại trong hộp

Phát triển chính của Geedge là hệ thống Tiangou Secure Gateway (TSG). Đây là một tổ hợp phần cứng và phần mềm được lắp đặt tại các trung tâm dữ liệu của nhà cung cấp internet. Nó cho phép phân tích, lọc và chặn lưu lượng trong quy mô toàn quốc.

Kiến trúc của nó là mô-đun và cực kỳ hiệu quả:

1. Cyber Narrator — hệ thống giám sát thời gian thực. Nó ghi lại mọi hành động của người dùng: các trang web đã truy cập, yêu cầu DNS, địa chỉ IP, dấu thời gian và khối lượng dữ liệu đã truyền. Đây là nhật ký hoạt động của toàn bộ dân số.
2. TSG Galaxy — trung tâm phân tích. Dữ liệu từ Cyber Narrator được tập hợp ở đây. Hệ thống xây dựng hồ sơ người dùng, phát hiện các quy luật và đồ thị xã hội.
3. Tiangou — bảng điều khiển. Cho phép các nhà điều hành (nhân viên cơ quan chức năng hoặc cảnh sát) thêm từ khóa vào danh sách đen, chặn các miền và người dùng cụ thể.

Hệ thống không chỉ hoạt động dựa trên địa chỉ IP. Nó sử dụng phân tích sâu DPI. Nếu lưu lượng được mã hóa (HTTPS), hệ thống phân tích siêu dữ liệu và các mẫu hành vi để xác định loại thông tin đang được truyền.

Trường hợp Myanmar: công nghệ chống lại biểu tình

Rò rỉ đã xác nhận địa lý cung cấp. Trung Quốc xuất khẩu mô hình kiểm soát nhà nước chìa khóa trao tay. Trong các tài liệu có mã dự án cho các quốc gia khác nhau:

1. K18/K24 (Kazakhstan): giai đoạn triển khai tích cực;
2. P19 (Pakistan): được sử dụng để kiểm soát các cuộc bùng phát xã hội;
3. M22 (Miến Điện): hệ thống được triển khai để đàn áp các cuộc biểu tình sau cuộc đảo chính quân sự năm 2021.

Trường hợp cuối cùng là điển hình nhất - vai trò của công nghệ Trung Quốc trong việc đàn áp sự bất bình của công dân đã được xác nhận. Sau cuộc đảo chính quân sự, các nhà cầm quyền mới đã phải đối mặt với nhu cầu kiểm soát không gian thông tin.

Tài liệu Geedge xác nhận: công ty đã cung cấp cơ sở hạ tầng cho các nhà cung cấp Myanmar. Hệ thống theo dõi 81 triệu kết nối internet cùng một lúc.

Hệ thống ở Myanmar đang làm gì?

• de-anonymization - phát hiện người dùng VPN;
• khóa công cụ — các bản ghi nội bộ cho thấy Geedge đã xác định và phân loại 281 dịch vụ VPN phổ biến ( bao gồm ExpressVPN) và các ứng dụng nhắn tin như Signal;
• lọc động - trong các báo cáo ghi nhận sự chuyển từ “giám sát” sang “chặn chủ động” hầu như tất cả các phương tiện vượt qua trong vài tháng.

Tại Myanmar, thiết bị Geedge đã được phát hiện tại các trung tâm dữ liệu của nhà điều hành Frontiir và công ty Investcom. Điều này chứng minh rằng công nghệ kép đang được triển khai trực tiếp vào hạ tầng viễn thông dân sự.

Trung tâm lừa đảo và mối đe dọa toàn cầu

Song song với sự gián điệp của nhà nước, mối đe dọa từ các cấu trúc tội phạm đang gia tăng, sử dụng những vùng xám tương tự. Trong khu vực, các trung tâm lừa đảo đang phát triển - những khu vực bị đóng kín, nơi mà những kẻ lừa đảo tấn công người dùng trên toàn thế giới.

Mỹ đã bắt đầu cuộc chiến chống lại cơ sở hạ tầng này, phát lệnh tịch thu các thiết bị đầu cuối Starlink, được sử dụng bởi các kẻ lừa đảo ở Myanmar. Google, trong khi đó, đã kiện các nhà điều hành nền tảng Lighthouse, những người đang thực hiện lừa đảo.

Tuy nhiên, sự kết hợp giữa việc bảo vệ pháp lý yếu và sự hiện diện của một cơ sở kỹ thuật mạnh mẽ ( được cung cấp từ bên ngoài ) tạo ra những điều kiện lý tưởng cho tội phạm mạng.

KnownSec: gián điệp và vũ khí mạng

Nếu Geedge đang tham gia vào “phòng thủ” (kiểm duyệt), thì rò rỉ từ KnownSec tiết lộ các khả năng tấn công. Tài liệu chứa thông tin về các công cụ để hack và truy cập từ xa vào các thiết bị trên Windows, Linux, Android và iOS.

Những phát hiện quan trọng:

1. Phạm vi đánh cắp. Tin tặc đã tuyên bố đánh cắp 95 GB dữ liệu của cơ quan nhập cư Ấn Độ và 3 TB bản ghi cuộc gọi của nhà mạng Hàn Quốc LG U Plus. Trong danh sách mục tiêu có các tổ chức từ 80 quốc gia.
2. Công cụ. Phát hiện các công cụ để trích xuất tin nhắn từ Telegram và Signal trên các thiết bị Android bị nhiễm.
3. Mẹo phần cứng. Đề cập đến các bộ sạc dự phòng «trojan» có khả năng tải dữ liệu từ điện thoại thông minh khi kết nối sạc.
4. Sử dụng AI. Kẻ xấu đã sử dụng các mô hình ngôn ngữ (, đặc biệt là Claude từ Anthropic) để viết mã độc hại và phân tích dữ liệu bị đánh cắp, vượt qua các cơ chế bảo vệ của mạng nơ-ron.

Vòng lặp ngược: thử nghiệm xuất khẩu

Công nghệ không chỉ được bán - kinh nghiệm sử dụng chúng ở nước ngoài quay trở lại Trung Quốc để tăng cường kiểm soát nội bộ. Các rò rỉ chỉ ra rằng Geedge áp dụng các nghiên cứu từ Pakistan và Myanmar để hiện đại hóa các hệ thống giám sát ở Tân Cương và các tỉnh khác của Trung Quốc.

Trong tài liệu mô tả các chức năng thử nghiệm sau:

• điểm số xã hội - việc gán cho người dùng một xếp hạng độ tin cậy. Mức cơ bản - 550 điểm. Nếu xếp hạng không tăng ( ví dụ, mà không cung cấp sinh trắc học), quyền truy cập internet sẽ bị hạn chế;
• geofencing - tạo ra ranh giới ảo cho các người dùng cụ thể dựa trên dữ liệu từ các trạm phát sóng di động.

Kết luận cho từng người

Thông tin về việc xuất khẩu vũ khí mạng của Trung Quốc có thể dường như xa lạ đối với người dùng bình thường, không sống ở Myanmar hoặc Pakistan. Tuy nhiên, những rò rỉ đang phá vỡ một số huyền thoại phổ biến về an ninh kỹ thuật số:

1. HTTPS và mã hóa - không phải là liều thuốc vạn năng. Các hệ thống DPI hiện đại, như Tiangou, đã học cách phân tích hiệu quả lưu lượng được mã hóa. Ngay cả khi chúng không thấy nội dung của gói tin, chúng vẫn phân tích siêu dữ liệu: kích thước, tần suất yêu cầu, thời gian. Điều này cho phép xác định chính xác việc sử dụng VPN, Tor hoặc các ứng dụng nhắn tin, ngay cả khi lưu lượng bản thân không thể đọc được.
2. VPN không ẩn danh. Nhiệm vụ chính của các hệ thống như Cyber Narrator không chỉ là chặn VPN mà còn là đánh dấu người dùng. Việc sử dụng các công cụ vượt qua chính nó trở thành một tác nhân kích hoạt cho hệ thống, đưa người dùng vào nhóm “nghi ngờ”. Tại Myanmar, điều này đã dẫn đến việc săn lùng có mục tiêu những người sử dụng các ứng dụng cụ thể.
3. Phân tích hành vi quan trọng hơn từ khóa. Các hệ thống đã tiến hóa từ việc tìm kiếm từ đến việc xây dựng đồ thị mối quan hệ. Các thuật toán phân tích, bạn giao tiếp với ai, bạn thuộc nhóm nào và cách bạn di chuyển. Rò rỉ thông tin đã tiết lộ kế hoạch triển khai “điểm danh tiếng” — một hệ thống tự động quyết định việc chặn truy cập dựa trên tổng hợp các yếu tố hành vi, chứ không phải vi phạm đơn lẻ.
4. Mối đe dọa phần cứng là hiện hữu. Câu chuyện về “cục sạc gián điệp” nhắc nhở rằng nguy cơ không phải lúc nào cũng đến từ mã phần mềm. Kết nối thiết bị với các nguồn điện hoặc cổng USB không được kiểm tra ở những nơi công cộng mang lại rủi ro thực sự về việc bị tấn công vật lý.

Kết luận

Các vụ rò rỉ của KnownSec và Geedge Networks đã xác nhận sự tồn tại của một thị trường toàn cầu về “chủ nghĩa độc tài kỹ thuật số”. Trung Quốc không chỉ cung cấp thiết bị cho các chế độ, mà còn cả các phương pháp kiểm soát.

Đối với người dùng bình thường, đây là tín hiệu: thời đại đơn giản vượt qua các rào cản đang kết thúc. Thay vào đó, một cuộc đối đầu với các thuật toán có khả năng phát hiện các bất thường trong lưu lượng truy cập mã hóa và xây dựng hồ sơ cá nhân dựa trên các dấu hiệu gián tiếp đang đến. Sự riêng tư bây giờ không chỉ yêu cầu cài đặt ứng dụng mà còn cần hiểu được những dấu vết mà mỗi hành động để lại trên mạng.