Дубинка на экспорт

Слитые данные подтверждают: Пекин перешел от внутренней цензуры к активному экспорту инструментов контроля. Китайские подрядчики поставляют готовые инфраструктурные решения для борьбы с инакомыслием в Пакистан, Эфиопию и Мьянму. 

Однако главный вывод из недавних утечек касается не политики, а уязвимости приватности каждого пользователя сети перед лицом технологии глубокой проверки сетевых пакетов данных (DPI) нового поколения. 

ForkLog разобрался в слитых документах китайских технологических компаний Geedge Networks и KnownSec. 

Анатомия утечки

Осенью в открытый доступ попали два крупных массива данных. Первый — 100 000 документов компании Geedge Networks, специализирующейся на сетевом мониторинге и цензуре. Второй — 12 000 файлов фирмы KnownSec, связанной с государственной безопасностью КНР.

Слив дает редкую возможность заглянуть «под капот» индустрии киберслежки. Если раньше эксперты лишь предполагали наличие экспортных версий Великого китайского файрвола, то теперь известны технические спецификации, архитектура и конкретные клиенты.

Geedge Networks — не просто IT-компания. Она тесно связана с MESA Lab (государственная лаборатория КНР) и Фан Биньсином, которого называют отцом китайского файрвола. Утечки показывают, что разработки, годами обкатываемые на населении КНР, теперь упакованы в коммерческий продукт для продажи за рубеж.

Великий файрвол в коробке

Главная разработка Geedge — система Tiangou Secure Gateway (TSG). Это аппаратно-программный комплекс, устанавливаемый в дата-центрах интернет-провайдеров. Он позволяет анализировать, фильтровать и блокировать трафик в масштабах целой страны.

Его архитектура модульная и чрезвычайно эффективная:

1. Cyber Narrator — система мониторинга в реальном времени. Она фиксирует каждое действие пользователя: посещаемые сайты, DNS-запросы, IP-адреса, временные метки и объем переданных данных. Это журнал активности всего населения.
2. TSG Galaxy — аналитический центр. Сюда стекаются данные от Cyber Narrator. Система строит профили пользователей, выявляет закономерности и социальные графы.
3. Tiangou — пульт управления. Позволяет операторам (сотрудникам спецслужб или полиции) добавлять ключевые слова в черный список, блокировать домены и конкретных пользователей.

Система работает не только по IP-адресам. Используется глубокий анализ DPI. Если трафик зашифрован (HTTPS), система анализирует метаданные и поведенческие паттерны, чтобы определить тип передаваемой информации.

Кейс Мьянмы: технологии против протеста

Утечка подтвердила географию поставок. Китай экспортирует модель государственного контроля под ключ. В документах фигурируют коды проектов для разных стран:

1. K18/K24 (Казахстан): активная фаза внедрения;
2. P19 (Пакистан): используется для контроля социальных волнений;
3. M22 (Мьянма): система развернута для подавления протестов после военного переворота 2021 года.

Последний кейс наиболее показателен — подтверждена роль китайских технологий в подавлении гражданского недовольства. После военного переворота новые власти столкнулись с необходимостью контроля над информационным пространством.

Документы Geedge подтверждают: компания поставила инфраструктуру для мьянманских провайдеров. Система мониторит 81 млн интернет-соединений одновременно.

Что именно делает система в Мьянме:

• деанонимизация — выявление пользователей VPN;
• блокировка инструментов — внутренние записи показывают, что Geedge идентифицировала и классифицировала 281 популярный VPN-сервис (включая ExpressVPN) и мессенджеры вроде Signal;
• динамическая фильтрация — в отчетах зафиксирован переход от «мониторинга» к «активной блокировке» практически всех средств обхода за считанные месяцы.

В Мьянме оборудование Geedge обнаружено в дата-центрах оператора Frontiir и компании Investcom. Это доказывает, что технологии двойного назначения внедряются непосредственно в гражданскую телеком-инфраструктуру.

Скам-центры и глобальная угроза

Параллельно с государственным шпионажем растет угроза от криминальных структур, использующих те же серые зоны. В регионе процветают скам-центры — закрытые территории, откуда мошенники атакуют пользователей по всему миру.

США уже начали борьбу с этой инфраструктурой, выдав ордер на изъятие терминалов Starlink, используемых мошенниками в Мьянме. Google, в свою очередь, подал в суд на операторов платформы Lighthouse, занимающихся фишингом. 

Однако сочетание слабой правовой защиты и наличия мощной технической базы (поставленной извне) создает идеальные условия для киберпреступности.

KnownSec: шпионаж и кибероружие

Если Geedge занимается «обороной» (цензурой), то утечка KnownSec раскрывает наступательные возможности. Документы содержат информацию об инструментах для взлома и удаленного доступа к устройствам на Windows, Linux, Android и iOS.

Ключевые находки:

1. Масштаб краж. Хакеры заявили о хищении 95 ГБ данных иммиграционной службы Индии и 3 ТБ записей звонков южнокорейского оператора LG U Plus. В списках целей — организации из 80 стран.
2. Инструментарий. Обнаружены инструменты для извлечения переписок из Telegram и Signal на зараженных Android-устройствах.
3. Hardware-хаки. Упоминаются «троянские» пауэрбанки, которые скачивают данные со смартфона при подключении зарядки.
4. Использование ИИ. Злоумышленники применяли языковые модели (в частности, Claude от Anthropic) для написания вредоносного кода и анализа украденных данных, обходя защитные механизмы нейросетей.

Обратная петля: обкатка на экспорт

Технологии не просто продаются — опыт их использования за границей возвращается в Китай для усиления внутреннего контроля. Утечки указывают на то, что Geedge применяет наработки из Пакистана и Мьянмы для модернизации систем слежки в Синьцзяне и других провинциях КНР.

В документах описываются следующие экспериментальные функции:

• социальный скоринг — присвоение пользователю рейтинга надежности. Базовый уровень — 550 баллов. Если рейтинг не растет (например, без предоставления биометрии), доступ к интернету ограничивается;
• геофенсинг — создание виртуальных границ для конкретных пользователей на основе данных сотовых вышек.

Выводы для каждого

Информация об экспорте китайского кибероружия может показаться далекой от обычного пользователя, не живущего в Мьянме или Пакистане. Однако утечки разрушают несколько популярных мифов о цифровой безопасности:

1. HTTPS и шифрование — не панацея. Современные системы DPI, подобные Tiangou, научились эффективно анализировать зашифрованный трафик. Даже если они не видят содержимое пакета, то анализируют метаданные: размер, частоту запросов, тайминги. Это позволяет с высокой точностью определять использование VPN, Tor или мессенджеров, даже если сам трафик нечитаем.
2. VPN не скрывает. Главная задача систем типа Cyber Narrator — не просто заблокировать VPN, а пометить пользователя. Факт обращения к средствам обхода сам по себе становится триггером для системы, помещая юзера в группу «подозрительных». В Мьянме это привело к прицельной охоте на тех, кто использовал конкретные приложения.
3. Поведенческий анализ важнее ключевых слов. Системы эволюционировали от поиска слов к построению графов связей. Алгоритмы анализируют, с кем вы общаетесь, в какие группы входите и как перемещаетесь. Утечка показала планы по внедрению «рейтинга репутации» — автоматизированной системы, которая принимает решение о блокировке доступа на основе совокупности поведенческих факторов, а не единичного нарушения.
4. Аппаратная угроза актуальна. История со «шпионскими пауэрбанками» напоминает, что опасность не всегда исходит из программного кода. Подключение гаджета к непроверенным источникам питания или USB-портам в публичных местах несет реальный риск физического взлома.

Заключение

Утечки KnownSec и Geedge Networks подтвердили существование глобального рынка «цифрового авторитаризма». Китай предлагает режимам не просто оборудование, а методы контроля. 

Для рядового пользователя это сигнал: эпоха простого обхода блокировок заканчивается. На смену ей приходит противостояние с алгоритмами, способными выявлять аномалии в зашифрованном трафике и строить профиль человека по косвенным признакам. Приватность теперь требует не просто установки приложения, а понимания того, какие следы оставляет каждое действие в сети.