Die chinesische Polizei untersucht eine nicht autorisierte und äußerst ungewöhnliche Online-Sammlung von Dokumenten eines privaten Sicherheitsunternehmens, das mit der obersten Polizeibehörde des Landes und anderen Teilen der Regierung in Verbindung steht – eine Fundgrube, die offensichtliche Hacking-Aktivitäten und Tools zum Ausspionieren sowohl von Chinesen als auch von Ausländern katalogisiert.
Zu den offensichtlichen Zielen der vom betroffenen Unternehmen I-Soon bereitgestellten Tools gehören Ethnien und Dissidenten in Teilen Chinas, in denen es zu erheblichen Protesten gegen die Regierung kam, wie etwa Hongkong oder die stark muslimische Region Xinjiang im äußersten Westen Chinas.
Die Entladung zahlreicher Dokumente Ende letzter Woche und die anschließende Untersuchung wurden von zwei Mitarbeitern von I-Soon bestätigt, auf Mandarin als Anxun bekannt, das Verbindungen zum mächtigen Ministerium für öffentliche Sicherheit hat, Chinas nach innen gerichtetem Geheimdienst- und Sicherheitsapparat. Der Dump, den Analysten als äußerst bedeutsam erachten, auch wenn er keine besonders neuartigen oder wirksamen Tools enthüllt, umfasst Hunderte Seiten mit Verträgen, Marketingpräsentationen, Produkthandbüchern sowie Kunden- und Mitarbeiterlisten.
Sie enthüllen im Detail die Methoden der chinesischen Behörden, Dissidenten im Ausland zu überwachen, andere Nationen zu hacken und pro-Peking-Narrative in den sozialen Medien zu verbreiten.
Die Dokumente zeigen offensichtliche I-Soon-Hackerangriffe auf Netzwerke in ganz Zentral- und Südostasien sowie in Hongkong und der selbstverwalteten Insel Taiwan, die Peking als sein Territorium beansprucht.
Die Hacking-Tools werden von chinesischen Staatsagenten verwendet, um Benutzer von Social-Media-Plattformen außerhalb Chinas wie X, früher bekannt als Twitter, zu enttarnen, in E-Mails einzubrechen und die Online-Aktivitäten ausländischer Agenten zu verbergen. Beschrieben werden auch als Steckdosenleisten und Batterien getarnte Geräte, mit denen WLAN-Netzwerke kompromittiert werden können.
I-Soon und die chinesische Polizei untersuchen, wie die Dateien durchgesickert sind, sagten die beiden I-Soon-Mitarbeiter gegenüber The Associated Press. Einer der Mitarbeiter sagte, I-Soon habe am Mittwoch eine Besprechung zu dem Leck abgehalten, bei der den Mitarbeitern mitgeteilt wurde, dass es das Geschäft nicht allzu sehr beeinträchtigen würde und sie „wie gewohnt weiterarbeiten“ sollten. Aus Sorge vor möglichen Vergeltungsmaßnahmen nennt die AP die Namen der Mitarbeiter – die ihrer üblichen chinesischen Praxis entsprechend ihre Nachnamen angegeben haben – nicht.
Die Quelle des Lecks ist nicht bekannt. Das chinesische Außenministerium reagierte nicht sofort auf eine Bitte um Stellungnahme.
Ein äußerst wirkungsvolles Leck
Jon Condra, Analyst bei Recorded Future, einem Cybersicherheitsunternehmen, nannte es das bedeutendste Leck, das jemals mit einem Unternehmen in Verbindung gebracht wurde, „das verdächtigt wird, Cyberspionage und gezielte Einbruchsdienste für die chinesischen Sicherheitsdienste anzubieten“. Er sagte, dass zu den Zielen von I-Soon – dem durchgesickerten Material zufolge – Regierungen, Telekommunikationsunternehmen im Ausland und Online-Glücksspielunternehmen in China gehören.
Bis zum 190-Megabyte-Leck enthielt die Website von I-Soon eine Seite mit einer Liste von Kunden, an deren Spitze das Ministerium für öffentliche Sicherheit stand, darunter 11 Sicherheitsbüros auf Provinzebene und etwa 40 kommunale öffentliche Sicherheitsabteilungen.
Auf einer anderen Seite, die bis zum frühen Dienstag verfügbar war, wurden fortgeschrittene „Angriffs- und Verteidigungsfunktionen“ für persistente Bedrohungen beworben, wobei das Akronym APT verwendet wurde – eines, mit dem die Cybersicherheitsbranche die raffiniertesten Hackergruppen der Welt beschreibt. Interne Dokumente in dem Leak beschreiben I-Soon-Datenbanken mit gehackten Daten, die von ausländischen Netzwerken auf der ganzen Welt gesammelt, beworben und an die chinesische Polizei verkauft werden.
Die Website des Unternehmens war später am Dienstag vollständig offline. Ein Vertreter von I-Soon lehnte eine Interviewanfrage ab und sagte, das Unternehmen werde zu einem unbestimmten zukünftigen Zeitpunkt eine offizielle Stellungnahme abgeben.
I-Soon wurde chinesischen Unternehmensunterlagen zufolge im Jahr 2010 in Shanghai gegründet und verfügt laut durchgesickerten internen Folien über Tochtergesellschaften in drei weiteren Städten, darunter eine in der südwestlichen Stadt Chengdu, die für Hacking, Forschung und Entwicklung verantwortlich ist.
Die Niederlassung von I-Soon in Chengdu war am Mittwoch wie gewohnt geöffnet. Rote Neujahrslaternen schwankten im Wind in einer überdachten Gasse, die zu dem fünfstöckigen Gebäude führte, in dem sich die Büros von I-Soon in Chengdu befanden. Die Mitarbeiter strömten ein und aus, rauchten Zigaretten und tranken draußen Kaffee zum Mitnehmen. Darin waren Plakate mit dem Hammer- und Stiel-Emblem der Kommunistischen Partei zu sehen, auf denen Slogans zu lesen waren: „Der Schutz der Partei und der Geheimnisse des Landes ist die Pflicht eines jeden Bürgers.“
Die Tools von I-Soon werden offenbar von der chinesischen Polizei genutzt, um abweichende Meinungen in den sozialen Medien im Ausland einzudämmen und sie mit pro-pekinger Inhalten zu überfluten. Behörden können chinesische Social-Media-Plattformen direkt überwachen und sie anweisen, regierungsfeindliche Beiträge zu entfernen. Auf ausländischen Websites wie Facebook oder X, zu denen Millionen chinesischer Nutzer strömen, um der staatlichen Überwachung und Zensur zu entgehen, fehlt ihnen diese Fähigkeit jedoch.
„Es besteht ein großes Interesse seitens der chinesischen Regierung an der Überwachung und Kommentierung in sozialen Medien“, sagte Mareike Ohlberg, Senior Fellow im Asienprogramm des German Marshall Fund. Sie überprüfte einige der Dokumente.
Um die öffentliche Meinung zu kontrollieren und regierungsfeindlichen Stimmungen vorzubeugen, sei die Kontrolle kritischer Beiträge im Inland von entscheidender Bedeutung, sagte Ohlberg. „Chinesische Behörden“, sagte sie, „haben ein großes Interesse daran, Benutzer aufzuspüren, die in China ansässig sind.“
Die Quelle des Lecks könnte „ein konkurrierender Geheimdienst, ein unzufriedener Insider oder sogar ein konkurrierender Auftragnehmer“ sein, sagte John Hultquist, Chef-Bedrohungsanalyst der Mandiant-Cybersicherheitsabteilung von Google. Die Daten deuten darauf hin, dass zu den Sponsoren von I-Soon auch das Ministerium für Staatssicherheit und Chinas Militär, die Volksbefreiungsarmee, gehören, sagte Hultquist.
Viele Ziele, viele Länder
Aus einem durchgesickerten Vertragsentwurf geht hervor, dass I-Soon der Polizei von Xinjiang technische „Anti-Terror“-Unterstützung vermarktete, um die einheimischen Uiguren der Region in Zentral- und Südostasien aufzuspüren, und behauptete, das Unternehmen habe Zugriff auf gehackte Flug-, Mobilfunk- und Regierungsdaten aus Ländern wie der Mongolei. Malaysia, Afghanistan und Thailand. Es ist unklar, ob der Vertrag unterzeichnet wurde.
„Wir sehen viele Angriffe auf Organisationen, die mit ethnischen Minderheiten in Verbindung stehen – Tibeter, Uiguren. „Ein Großteil der Angriffe auf ausländische Unternehmen lässt sich vor dem Hintergrund der inländischen Sicherheitsprioritäten der Regierung betrachten“, sagte Dakota Cary, China-Analystin beim Cybersicherheitsunternehmen SentinelOne.
Er sagte, die Dokumente schienen legitim zu sein, weil sie mit dem übereinstimmten, was man von einem Auftragnehmer erwarten würde, der im Auftrag des chinesischen Sicherheitsapparats Hackerangriffe auf innenpolitische Prioritäten durchführt.
Cary fand eine Tabelle mit einer Liste von Datenbeständen, die von Opfern gesammelt wurden, und zählte 14 Regierungen als Ziele, darunter Indien, Indonesien und Nigeria. Aus den Dokumenten gehe hervor, dass I-Soon hauptsächlich das Ministerium für öffentliche Sicherheit unterstütze, sagte er.
Cary war auch beeindruckt von der Absicht des taiwanesischen Gesundheitsministeriums, seine COVID-19-Fallzahlen Anfang 2021 zu ermitteln – und beeindruckt von den geringen Kosten einiger Hacks. Aus den Dokumenten gehe hervor, dass I-Soon 55.000 US-Dollar verlangt habe, um das vietnamesische Wirtschaftsministerium zu hacken, sagte er.
Obwohl sich einige Chat-Aufzeichnungen auf die NATO beziehen, gibt es keinen Hinweis auf einen erfolgreichen Hack eines NATO-Landes, wie eine erste Überprüfung der Daten durch die AP ergab. Das bedeutet jedoch nicht, dass staatlich unterstützte chinesische Hacker nicht versuchen, die Vereinigten Staaten und ihre Verbündeten zu hacken. Wenn sich der Leaker in China befinde, was wahrscheinlich sei, sagte Cary, dass „das Weitergeben von Informationen über Hackerangriffe auf die NATO wirklich, wirklich hetzerisch wäre“ – ein Risiko, das die chinesischen Behörden noch entschlossener machen könnte, den Hacker zu identifizieren.
Mathieu Tartare, ein Malware-Forscher beim Cybersicherheitsunternehmen ESET, sagt, es habe I-Soon mit einer chinesischen staatlichen Hackergruppe namens Fishmonger in Verbindung gebracht, die es aktiv verfolgt und über die es im Januar 2020 schrieb, nachdem die Gruppe bei Studentenprotesten Universitäten in Hongkong gehackt hatte . Er sagte, dass Fishmonger seit 2022 Regierungen, NGOs und Denkfabriken in ganz Asien, Europa, Mittelamerika und den Vereinigten Staaten ins Visier genommen habe.
Auch der französische Cybersicherheitsforscher Baptiste Robert durchforstete die Dokumente und meinte, I-Soon habe anscheinend einen Weg gefunden, Konten auf Er sagte, dass US-Cyberbetreiber und ihre Verbündeten zu den potenziellen Verdächtigen des I-Soon-Leaks gehören, weil es in ihrem Interesse liege, chinesische Staatshacking-Aktivitäten aufzudecken.
Eine Sprecherin des US Cyber Command wollte sich nicht dazu äußern, ob die National Security Agency oder Cybercom an dem Leck beteiligt waren. Eine E-Mail an die Pressestelle von X antwortete: „Jetzt beschäftigt, bitte schauen Sie später noch einmal vorbei.“
Westliche Regierungen, darunter auch die Vereinigten Staaten, haben in den letzten Jahren Maßnahmen ergriffen, um die staatliche Überwachung und Schikanierung von Regierungskritikern im Ausland durch China zu verhindern. Laura Harth, Kampagnenleiterin bei Safeguard Defenders, einer Interessenvertretung, die sich auf Menschenrechte in China konzentriert, sagte, solche Taktiken schüren bei Chinesen und ausländischen Bürgern im Ausland Angst vor der chinesischen Regierung, unterdrücken Kritik und führen zu Selbstzensur. „Sie sind eine drohende Bedrohung, die einfach ständig da ist und sehr schwer abzuschütteln ist.“
Im vergangenen Jahr haben US-Beamte 40 Mitglieder chinesischer Polizeieinheiten angeklagt, die damit beauftragt waren, Familienangehörige chinesischer Dissidenten im Ausland zu schikanieren und pro-pekinger Inhalte im Internet zu verbreiten. Die Anklagen beschreiben ähnliche Taktiken wie die in den I-Soon-Dokumenten beschriebenen, sagte Harth. Chinesische Beamte haben den Vereinigten Staaten ähnliche Aktivitäten vorgeworfen.
US-Beamte, darunter FBI-Direktor Chris Wray, haben sich kürzlich darüber beschwert, dass chinesische Staatshacker Malware einschleusen, mit der zivile Infrastruktur beschädigt werden könnte.
Am Montag sagte Mao Ning, eine Sprecherin des chinesischen Außenministeriums, dass die US-Regierung seit langem daran arbeite, Chinas kritische Infrastruktur zu gefährden. Sie forderte die USA auf, „aufhören, Cybersicherheitsthemen dazu zu nutzen, andere Länder zu verunglimpfen“.
