Kamila Hladíková

12. 3. 2024

Analytický komentář

Čínské bezpečnostní složky využívají služby soukromých firem a outsourcují tak špinavou práci v zájmu „společenské stability a bezpečnosti“.

V polovině února bylo na platformě GitHub zveřejněno na 190 megabytů dokumentů čínské kybernetické firmy I-SOON (čínsky An-sün 安洵) poskytující hackerské a kyberšpionážní služby čínským institucím. Únik materiálů, jež z GitHubu po nějaké době zmizely kvůli údajnému porušení podmínek služby, označila Dakota Cary a Alexandar Milenkoski, analytici kyberbezpečnostní platformy SentinelOne, za „vůbec první vhled do interních operací hackerské firmy navázané na [čínský] stát“.

Z dokumentů vyplývá, že společnost I-SOON nabízí své služby klíčovým čínským orgánům z oblasti bezpečnosti a obrany, včetně ministerstev veřejné a státní bezpečnosti a Čínské lidové osvobozenecké armády. Těmito zakázkami se před bezprecedentním únikem firma chlubila i na vlastním webu, který byl krátce poté zablokován. Na veřejnost se dostaly návrhy smluv, marketingové materiály představující produkty, tedy spyware, které I-SOON vyvíjí, nabídky konkrétních služeb podložené dříve realizovanými operacemi či screenshoty WeChatových konverzací mezi zaměstnanci firmy a klienty.

Nájemní hackeři ve službách strany a státu

Zatím není jasné, kdo za únikem stál, zaměstnanci společnosti I-SOON však pro AP News anonymně potvrdili, že materiály jsou pravé, a čínské orgány již vyšetřují okolnosti. Přestože není vyloučeno zapojení zejména amerických tajných služeb, analytici Sentinelu se podle charakteru uniklého materiálu domnívají, že únik byl pravděpodobně motivován snahou konkurence poškodit firmu I-SOON. Odhaluje totiž mimo jiné až směšně nízké ceny za hackerské operace – například za útok na vietnamské ministerstvo hospodářství firma inkasovala 55 tisíc dolarů – a stížnosti zaměstnanců na nízké platy. Zveřejněné materiály tak ukazují na existenci „soupeřivého tržního prostředí pro nezávislé dodavatele hackerských služeb [čínskému státu]“.

Mezi cíli dříve realizovaných operací jsou podle materiálů státní instituce celkem čtrnácti států, převážně ze střední, jižní a jihovýchodní Asie, ale například také prodemokratické organizace v Hongkongu. Několikrát je přitom zmiňováno i NATO, v zemích Aliance se ale útoky zaměřovaly hlavně na think tanky a nevládní organizace. Podle Sentinelu seznamy cílů a těch, kdo si získání jejich dat objednali, ukazují I-SOON jako „firmu soutěžící o menší hackerské zakázky u celé řady vládních orgánů a institucí“. Jedna z nabídek se například týká zakázek v Sin-ťiangu, kde jsou místní Ujguři a další muslimské menšiny dlouhodobě předmětem státem řízené sekuritizace a dohledu, včetně sledování soukromých online aktivit. Firma uváděla své předchozí zkušenosti s „protiteroristickými operacemi“, včetně hackerských útoků na cíle v Afghánistánu a Pákistánu.

Součástí dokumentů jsou také screenshoty představující hardware a software, který firma nabízí, včetně zařízení k extrakci dat maskujících se za powerbanky či baterie nebo získávajících přístup do zařízení přes wifi připojení. Společnost dodává také spyware určený prakticky pro všechny typy zařízení i operační systémy či nástroje pro získávání uživatelských dat z mnoha čínských aplikací jako Weibo, WeChat nebo Baidu, ale také z těch zahraničních, jmenovitě z X a Telegramu. Podle odborníků nejsou tyto nástroje v ničem nové či revoluční. Únik nicméně ukazuje vzkvétající trh nabízející tyto služby státnímu sektoru v ČLR. Nálezy jsou přitom v souladu s dřívějšími zjištěními a odpovídají některým v minulosti zaznamenaným útokům.

Ekosystém kybernetické bezpečnosti s čínskými rysy

Materiály poskytují jak cenné informace o čínských hrozbách pro odborníky na kybernetickou bezpečnost a odhalování hrozeb, tak i nové poznatky ohledně fungování čínských operací v oblasti veřejné a státní bezpečnosti a obrany. Přinášejí důkazy o narůstající všudypřítomné státní kontrole cílící na disidenty a aktivisty doma i v zahraničí, etnické menšiny v Sin-ťiangu a Tibetu či činnost aktivistů v Hongkongu či na Tchaj-wanu. Vypovídají také o čínskými orgány objednaných hackerských útocích na instituce jiných států nebo o šíření pročínských narativů na sociálních sítích. Společnost se jmenovitě chlubí přístupy k databázím mnoha zahraničních institucí, jako např. malajská ministerstva zahraničí a vnitra, thajská ministerstva financí a obchodu, mongolské ministerstvo zahraničí a policie, letecké společnosti Macau Airways či Air Astana atd.

Na svých stránkách společnost před jejich odstavením inzerovala schopnost zajistit takzvané útoky APT (advanced persistent threats; pokročilé trvalé hrozby) a obranu před nimi. Tyto útoky provádějí sofistikované hackerské sítě, často právě ve službách konkrétních států, které si mohou dovolit vysoké finanční i lidské náklady. Specialista na malware Mathieu Tartare pro AP News potvrdil, že společnost I-SOON je pravděpodobně napojená na čínskou státní hackerskou síť označovanou jako Fishmonger, která je zodpovědná např. za hackerské útoky na hongkongské univerzity v době studentských protestů. Slovenská kyberbezpečnostní firma ESET tuto síť, známou také jako Winnti, již několik let monitoruje a odhalila dílčí útoky na vládní úřady v zahraničí, nevládní organizace i think tanky v Asii, Evropě i na americkém kontinentu.

Únik dokumentů tak pomáhá poskytnout ucelenější obrázek o spolupráci mezi soukromým IT sektorem a bezpečnostními složkami. To potvrzují i analytici z firmy TeamT5 sídlící na Tchaj-wanu, kteří již dříve označovali soukromý sektor za „klíčový pro čínské útoky APT v celosvětovém měřítku“. Mezi dokumenty jsou podle nich i doklady o tom, že se I-SOON podílel na vývoji nechvalně známého malwaru RAT (Remote Access Trojan) ShadowPad, tedy toho, který byl použit mimo jiné právě v útoku na hongkongské univerzity. Zmiňují také, že mezi produkty I-SOONu jsou i nástroje na nabourávání se do systémů nelegálního online hazardu, proti němuž čínské orgány intenzivně bojují. Toto vše dokazuje úzké vazby mezi hackerskými firmami jako I-SOON a zájmy a cíli čínské vlády.

IT firmy pomáhají státu zajistit dohled nad obyvateli a přístup k jejich datům, s důrazem na „rizikové“ obyvatelstvo, jako jsou etnické menšiny, aktivisté či disidenti aktivní online. Směrem ven pak jde hlavně o šíření pročínských narativů na sociálních sítích a prosazování čínských zájmů. Podle reportáže deníku New York Times materiály inzerovaly přístup k informacím, které mohou sloužit pro potřeby čínské policie i armády, včetně softwaru schopného monitorovat dění na čínských sociálních sítích či osobní údaje i aktivity uživatelů na sítích X a Telegram, podrobných map pozemních komunikací na Tchaj-wanu nebo uživatelských metadat telekomunikačních společností. I-SOON se přitom jeví jen jako jedna z mnoha takových firem nabízejících služby čínskému státu.

Tvrdá konkurence – motor pokroku

Únik však zároveň odhaluje slabiny tohoto ekosystému: záznamy interních konverzací ukazují vysokou míru nespokojenosti přetěžovaných a nedostatečně placených zaměstnanců, která mohla stát za zveřejněním citlivých dokumentů. Jak pro noviny Guardian uvedla Mei Danowski specializující se na kybernetickou bezpečnost ve vztahu k Číně, firmy musí samy vyhledávat byznysové příležitosti a nabízet své služby státu ve vysoce kompetitivním prostředí.

Danowski se shodou okolností na firmu I-SOON a její úsilí o získání státních zakázek od ministerstva veřejné bezpečnosti a provinčních oddělení veřejné bezpečnosti zaměřila již v říjnu loňského roku, kdy se v čínském Čcheng-tu dostal k soudu spor mezi již známou hackerskou společností ve službách čínského státu Chengdu 404 a I-SOONem.

Výkonným ředitelem společnosti I-SOON je Wu Chaj-po (吴海波) alias shutdown, známý hacker „první generace“, nazývané „rudí hackeři“ (红客; Honker) nebo také „zelená armáda“ (绿色兵团). Tato generace, která začala svou činnost již v roce 1997, bývá označována jako „vlastenečtí hackeři“. V roce 2019 I-SOON obdržel certifikaci na dodávání technologií a vybavení pro Kancelář kybernetické bezpečnosti a obrany čínského ministerstva veřejné bezpečnosti (公安部网络安全保卫局). O rok později firma získala od ministerstva průmyslu a informačních technologií bezpečnostní prověrku druhého stupně, která ji opravňovala k „výzkumu a výrobě zbraní a zařízení pro státní bezpečnost“. Na základě toho poté získala zakázku v prefektuře Aksu v Ujgurské autonomní oblasti Sin-ťiang, pro niž pravděpodobně vyvíjela malware do mobilů k získávání přístupu k aplikacím a datům uživatelů.

Týmy analyzující kybernetické hrozby již dříve identifikovaly skupinu označovanou jako Earth Lusca operující z provincie S‘-čchuan, kde je jedna z klíčových poboček I-SOONu. Mezi cíli útoků této skupiny byly čínské společnosti provozující online hazard, vládní instituce na Tchaj-wanu, Filipínách, v Thajsku, Vietnamu, Spojených arabských emirátech, Mongolsku či v Nigérii, řada vzdělávacích institucí, médií, lidskoprávních organizací, ale také organizace zabývající se výzkumem covidu-19, nepálské telekomunikační společnosti, v ČLR zakázaná náboženská hnutí nebo platformy pro obchodování s kryptoměnami. Tyto cíle do značné míry korespondují s materiály I-SOONu. Přímé linky mezi I-SOONem a konkrétními čínskými hackerskými skupinami jsou zatím sporadické, únik nicméně odhalil jasné vazby mezi touto firmou a čínským státem a mnohé detaily o fungování ekosystému, v němž soukromé firmy soutěží o přízeň ústředních i lokálních vládních bezpečnostních institucí.

Arthur Kaufman pro China Digital Times shrnuje, že „uniklé dokumenty I-SOONu ukazují především na nestabilitu čínského ekosystému kybernetické špionáže“. Společnost měla zjevně finanční potíže kvůli nedostatku zakázek, což může naznačovat ekonomické problémy a korupci v tomto sektoru. To však neznamená, že by kybernetické útoky z Číny v budoucnu ustávaly, spíše naopak: nastavení tohoto ekosystému nutí firmy aktivně hledat příležitosti.

Článek původně vyšel na stránkách projektu Sinopsis.

Názory a postoje vyjádřené v tomto článku jsou názory autora článku a nemusejí se shodovat s postoji deníku The Epoch Times.

Související témata

Související články

Přečtěte si také

Opouštíme kvalitní technologie, a přitom přicházíme o investice do nových, říká manažer Škodovky
Opouštíme kvalitní technologie, a přitom přicházíme o investice do nových, říká manažer Škodovky

Hlavní důvod, proč u nás Volkswagen nepostaví gigatovárnu na baterie, je násobně dražší elektřina ve srovnání se Severní Amerikou. Na úterní senátní konferenci „Green Deal s rozumem“ to uvedl ředitel vnějších vztahů Škoda Auto...

Účinnost vakcíny proti covidu-19 byla ve studiích nadhodnocena v důsledku efektu HVE, říkají experti
Účinnost vakcíny proti covidu-19 byla ve studiích nadhodnocena v důsledku efektu HVE, říkají experti

Na mezinárodním zdravotním portálu vyšla českým expertům studie, v níž docházejí k závěru, že účinnost vakcíny proti covidu-19 je v observačních studiích „nadhodnocena“ v důsledku tzv. efektu zdravého očkovaného.

Vlna žalob na předsedkyni Evropské komise von der Leyenovou
Vlna žalob na předsedkyni Evropské komise von der Leyenovou

Jde o miliardový obchod s vakcínami, který byl uzavřen prostřednictvím textové zprávy se šéfem společnosti Pfizer Albertem Bourlou. Mluvčí von der Leyenové jsou zdrženliví.

Brusel se pokusil zrušit sjezd evropských konzervativců. Způsobilo to politický skandál
Brusel se pokusil zrušit sjezd evropských konzervativců. Způsobilo to politický skandál

Konference Národní konzervatismus, která probíhá 16. a 17. dubna v Bruselu, přežila tři pokusy o zrušení. Na poslední místo přijela policie, aby akci uzavřela. Organizátorů se zastal belgický i britský premiér...

Vrcholoví manažeři jsou v Česku nedostatkovým zbožím, říkají headhunterské agentury
Vrcholoví manažeři jsou v Česku nedostatkovým zbožím, říkají headhunterské agentury

Česko patří za posledních několik let mezi země s nízkou nezaměstnaností. Najít vhodného kandidáta pro obsazení manažerské pozice trvá podle personálních agentur někdy i měsíce. Překážkou je nízká kvalifikace i neochota nést zodpovědnost za chod firmy.