«Великий китайский файрвол» отправили на экспорт — теперь он ограничивает интернет в разных странах
Китайская компания Geedge Networks наладила серийную продажу программно-аппаратных комплексов, позволяющих развёртывать инструменты для цензуры интернета в масштабах целой страны. Они уже работают в нескольких государствах, пишет Wired со ссылкой на данные расследования группы правозащитных организаций.
Основанная в 2018 году компания Geedge Networks позиционируется как поставщик услуг сетевого мониторинга — она предлагает своим клиентам инструменты для «обеспечения комплексного контроля и минимизации угроз безопасности». В действительности, утверждают авторы расследования, это сложные системы, которые позволяют отслеживать потоки данных, блокировать определённые веб-сайты и VPN, а также следить за конкретными лицами. По сути, речь идёт о коммерческой версии «Великого китайского файрвола» — комплексном решении, включающем аппаратное обеспечение, которое можно установить в любом центре обработки данных, и программную часть. Компания работает над расширением возможностей систем — в перспективе они смогут проводить кибератаки и реализовывать различные режимы мониторинга в зависимости от регионов.
Системы Geedge уже работают в Эфиопии, Пакистане, Мьянме и других странах, не все из которых авторам расследования удалось установить. Известно о вакансиях в штате поставщика — компания ищет инженеров, которые могут выезжать в другие страны для проведения работ. Правозащитникам удалось изучить документы в используемых разработчиком системах Jira и Confluence, исходный код программных решений, переписку с одним из китайских учебных заведений, журналы операций, обращения для решения проблем и добавления новых функций.
Основой систем Geedge является шлюз Tiangou Secure Gateway (TSG), который устанавливается в ЦОД и может масштабироваться для управления трафиком целой страны. Через шлюз проходит каждый пакет трафика — здесь он может сканироваться, фильтроваться или полностью блокироваться. Система позволяет задавать правила для отдельных пользователей, которые считаются подозрительными, и собирать информацию об их сетевой активности. Она способна перехватывать информацию, в том числе содержимое сайтов, пароли и вложения к электронным письмам. При наличии TLS-шифрования используются методы глубокой проверки пакетов и машинного обучения для извлечения метаданных из зашифрованного трафика и прогнозирования того, используются ли средства обхода цензуры. Если распознать содержимое зашифрованного трафика не получается, его можно пометить как подозрительный и заблокировать на определённый момент времени.
На одном из снимков экрана видно, что система Geedge в Мьянме отслеживает 81 млн интернет-подключений одновременно, и в теории её можно расширить, установив дополнительное оборудование. По состоянию на февраль 2024 года оборудование Geedge стояло в 26 ЦОД 13 провайдеров в Мьянме, гласят документы, — сами провайдеры подтвердить это отказались. Ранее Geedge поставляла свои системы на оборудовании HP и Dell, но затем стала использовать продукцию китайских компаний, чтобы избежать возможных санкций.
Ещё один основополагающий продукт Geedge носит название Cyber Narrator. Это упрощённый пользовательский интерфейс, который открывает доступ к данным Tiangou Secure Gateway в реальном времени для неспециалистов — сотрудников государственных органов. Операторы Cyber Narrator могут видеть местоположение каждого пользователя мобильного интернета на основе данных о подключении его устройств к сотовым сетям; а также фиксировать факт использования VPN. В Мьянме Geedge выявила 281 популярный VPN-сервис с указанием технических характеристик, стоимости подписки и возможностью работы в стране. В одном из документов были выделены 54 приложения, помеченные как приоритетные для блокировки. За несколько месяцев система Geedge получила возможность блокировать практически все VPN, указывают эксперты.
В изученных правозащитниками документах нет записей о контрактах, а клиенты упоминаются под кодовыми именами. Изучив местоположения указанных ЦОД, схемы международных грузоперевозок и прочие сведения, удалось установить, в частности, Пакистан, Эфиопию и Мьянму; некоторые страны оказались неопознанными. Geedge размещает на открытых платформах объявления о вакансиях — в частности, она искала инженера по эксплуатации систем, который смог бы отправляться в длительные командировки от трёх до шести месяцев в страны, которые участвуют в инициативе «Один пояс — один путь», в том числе в Пакистан, Малайзию, Бахрейн, Алжир и Индию. Компания также искала переводчиков, говорящих на французском и испанском языках.
Известно, что в октябре 2024 года Пакистанское управление электросвязи (PTA) закупило лицензии на сервисы мониторинга статистики в реальном времени и сохранения данных об электронной почте. В одной из записей на платформе Jira содержится пример перехваченного системой Geedge электронного письма: в наборе данных содержатся его тема и полный текст, вложение, протокол, имена отправителя и получателя и соответствующие IP-адреса. У сотрудников компании есть доступ к перехватываемой таким образом информации, что может представлять угрозу национальной безопасности для стран, чьи правительства закупают системы Geedge.
Поставщик проявляет гибкость и может адаптировать свои системы под оборудование клиента. До сотрудничества с Geedge власти Пакистана закупали средства глубокой проверки пакетов данных от канадской компании Sandvine, но впоследствии лишились доступа к новым поставкам и поддержке из-за американских санкций. Оборудование Sandvine так и осталось работать в пакистанских ЦОД, и пришедшая на смену канадскому поставщику Geedge переориентировала существующую инфраструктуру заказчика и подготовила его к переводу на китайское оборудование. В Эфиопии систему Geedge в феврале 2023 года перевели из состояния пассивного мониторинга в режим активной блокировки всего за несколько дней; в Мьянме система использовалась для блокировки канадского VPN-сервиса Psiphon, и его операторы отметили изменения в поведении жителей страны.
В 2018 году, когда Geedge Networks только начала работу, она первоначально носила название Zhongdian Jizhi, что указывает на её связь с конгломератом China Electronics Corporation (CEC), который по-китайски носит сокращённое название Zhongdian. Две компании объединяет личность китайского учёного Фана Биньсина (Fang Binxing), которого называют «отцом Великого китайского файрвола», потому что он руководил ранними разработками системы цензуры. В 2019 году, будучи главным научным сотрудником CEC, он приобрёл 40 % в компании Jicheng (Hainan) Technology Investment, которая, в свою очередь, является инвестором в Geedge Networks — у двух компаний один и тот же руководитель. В 2024 году господин Фан при участии Geedge открыл новый исследовательский центр в области кибербезопасности.
Системы Geedge активно работают и в Китае, где адаптируются под специфику различных провинций. Операционные центры Geedge подключили к телекоммуникационным объектам Синцзяна. Проводились пилотные проекты в провинциях Фуцзянь и Цзянсу, направленные на борьбу с распространёнными в восточных регионах ресурсами со схемами финансового мошенничества.
Известно о разработке экспериментальных функций. Интерфейс Cyber Narrator получил обновление с поддержкой функции построения графов — взаимосвязей пользователей с другими лицами и группами лиц в зависимости от используемых ими приложений. В планах значится определение их местоположений по вышкам сотовой связи и группировка пользователей сети по этому признаку для усиленного мониторинга. Известно также о прототипе функции «рейтинга репутации»: каждому человеку начисляется базовый рейтинг 550 баллов, который можно увеличить, подтвердив персональные данные, в том числе указав паспортные данные, зарегистрировавшись в системе распознавания лиц и передав сведения о трудоустройстве. Пользователям с рейтингом ниже 600 баллов доступ в интернет не предоставляется. Установить, были ли запущены эти функции в системах Geedge, работающих в Китае и за рубежом, не удалось.
