Анализ крупнейшей утечки документов из "Великого Китайского файрвола"

Великий китайский файрвол пострадал от масштабной утечки данных 11 сентября в сеть попали более 500 ГБ внутренних документов, исходного кода и переговоров, связанных с китайским Великим файрволом. Файлы поступили от Geedge Networks, китайской компании, которая создала и поддерживает Великий файрвол, а также экспортирует технологии цензуры авторитарным режимам. В утечке содержатся полноценные системы DPI, модули кода, относящиеся к идентификации и ограничению использования конкретных инструментов обхода. Большая часть стека ориентирована на обнаружение VPN на основе DPI, снятие отпечатков SSL и полное протоколирование сеансов. Geedge и утечка MESA: анализ крупнейшей утечки документов из «Великого файрвола» В четверг, 11 сентября 2025 года, в «Великом китайском файрволе» (Great Firewall of China, GFW) произошла крупнейшая за всю его историю утечка внутренних документов. В сеть попали более 500 ГБ исходного кода, рабочих журналов и записей внутренней коммуникации, раскрывающих детали работы GFW... https://gfw.report/blog/geedge_and_mesa_leak/en/ По ссылке выше вы найдёте торрент и FTP-архив с файлами из утечки. Масштабная утечка данных показала, как китайская компания экспортирует «Великий китайский файрвол» по всему миру 9 сентября 2025 г. от Zeyi Yang Утечка более 100 000 документов показала, что малоизвестная китайская компания тайно продаёт правительствам по всему миру системы цензуры, созданные по образцу «Великого китайского файрвола». Geedge Networks — компания, основанная в 2018 году, одним из инвесторов которой является «отец» масштабной инфраструктуры цензуры в Китае. Компания позиционирует себя как поставщик услуг по мониторингу сети, предлагающий инструменты кибербезопасности бизнес-класса для «обеспечения полной прозрачности и минимизации рисков для безопасности» своих клиентов, как показывают документы. На самом деле исследователи обнаружили, что компания использует сложную систему, которая позволяет пользователям отслеживать информацию в интернете, блокировать определённые веб-сайты и VPN-инструменты, а также следить за конкретными людьми. Исследователи, изучившие утечку, обнаружили, что компания может объединить передовые возможности наблюдения в коммерческую версию «Великого китайского файрвола» — комплексное решение, включающее как аппаратное обеспечение, которое можно установить в любом телекоммуникационном центре обработки данных, так и программное обеспечение, управляемое сотрудниками местных органов власти. В документах также обсуждаются желаемые функции, над которыми работает компания, такие как заказные кибератаки и геозонирование для определённых пользователей. Согласно утечке, Geedge уже работает в Казахстане, Эфиопии, Пакистане и Мьянме, а также в другой стране, название которой не разглашается. Согласно общедоступному объявлению о вакансии, компания Geedge также ищет инженеров, которые могут выезжать в другие страны для выполнения инженерных работ, в том числе в несколько стран, не упомянутых в утечке документов, как выяснил WIRED. Файлы, в том числе записи в Jira и Confluence, исходный код и переписка с китайским научным учреждением, в основном содержат внутреннюю техническую документацию, журналы операций и сообщения для решения проблем и добавления функций. Файлы, полученные в результате анонимной утечки, были изучены консорциумом правозащитных и медийных организаций, в том числе Amnesty International, InterSecLab, Justice For Myanmar, Paper Trail Media, The Globe and Mail, Tor Project, австрийской газетой Der Standard и Follow The Money. «Это не похоже на законный перехват данных, который осуществляют все страны, включая западные демократические государства», — говорит Марла Ривера, технический исследователь из InterSecLab, глобального научно-исследовательского института в области цифровой криминалистики. Помимо массовой цензуры, система позволяет правительствам отслеживать конкретных лиц на основе их действий на веб-сайтах, например посещения определённого домена. Система наблюдения, которую продаёт Geedge, «даёт правительству столько власти, сколько не должно быть ни у кого», — говорит Ривера. — «Это очень пугает». Цифровой авторитаризм как услуга В основе предложения Geedge лежит шлюзовой инструмент под названием Tiangou Secure Gateway (TSG), предназначенный для установки в центрах обработки данных и способный обрабатывать интернет-трафик целой страны, как следует из документов. По данным исследователей, через него проходит каждый пакет интернет-трафика, где он может быть проверен, отфильтрован или полностью остановлен. Помимо мониторинга всего трафика, система позволяет устанавливать дополнительные правила для конкретных пользователей, которых она считает подозрительными, и собирать данные об их сетевой активности. Согласно утечке документов, система способна перехватывать незашифрованный интернет-трафик, содержащий конфиденциальную информацию, такую как содержимое веб-сайтов, пароли и вложения в электронных письмах. Если содержимое должным образом зашифровано с помощью протокола Transport Layer Security, система использует глубокую проверку пакетов и методы машинного обучения, чтобы извлечь метаданные из зашифрованного трафика и определить, проходит ли он через инструмент обхода цензуры, например VPN. Если система не может определить содержимое зашифрованного трафика, она может пометить его как подозрительный и заблокировать на некоторое время. На одном из скриншотов панели управления Geedge для Мьянмы видно, что система одновременно отслеживает 81 миллион интернет-подключений, при этом теоретически её можно масштабировать ещё больше, добавив больше оборудования, говорят исследователи InterSecLab. Согласно другим документам, по состоянию на февраль 2024 года оборудование Geedge было установлено в 26 центрах обработки данных 13 интернет-провайдеров в Мьянме. Frontiir, местный телекоммуникационный оператор в Мьянме, ранее отрицал, что «создавал, планировал или проектировал что-либо, связанное с наблюдением», но в результате утечки информации выяснилось, что компания установила оборудование Geedge в своём центре обработки данных. Investcom, совместное предприятие телекоммуникационных компаний из Мьянмы и Ливана, заявило, что «знает об утверждениях, касающихся сторонних технологий в Мьянме», но отказалось «подтверждать или опровергать существование сторонних систем» в письменном ответе исследователям из организации Justice for Myanmar. Geedge предлагает комплексные решения для цензуры, в том числе аппаратное обеспечение для интернет-шлюзов. По данным InterSecLab, изначально Geedge использовала оборудование западных брендов HP и Dell, но позже перешла на оборудование китайских компаний, чтобы избежать возможных санкций. Другим важным продуктом Geedge является Cyber Narrator — основной пользовательский интерфейс, с помощью которого нетехнические правительственные клиенты могут в режиме реального времени получать доступ к данным, которые отслеживает Tiangou Secure Gateway, как показано в документах. На скриншотах системы, обнаруженных в результате утечки, операторы Cyber Narrator могут видеть географическое местоположение каждого пользователя мобильного интернета на основе данных о сотовой связи, а также анализировать, использует ли пользователь VPN-сервисы для доступа в интернет. Что касается Мьянмы, то, согласно внутренним документам, компания Geedge выявила 281 популярный VPN-сервис с указанием их технических характеристик, стоимости подписки и возможности использования в Мьянме. В отдельном документе перечислены 54 приложения, которые подлежат блокировке в первую очередь. В список приоритетных инструментов входят в основном популярные коммерческие сервисы, такие как ExpressVPN, а также Signal — приложение для обмена зашифрованными сообщениями. Документы свидетельствуют о том, что технические возможности Geedge стремительно растут. «Я просматривал тесты и [понял, что] за несколько месяцев они перешли от блокировки большинства VPN к блокировке почти всех VPN», — говорит Ривера, ссылаясь на выводы учёных, с которыми сотрудничает компания. Взлом интернета Хотя в утечках нет информации о деловых контрактах, в них упоминаются клиенты под загадочными кодовыми именами. Исследователи смогли установить, что четыре иностранных правительственных клиента находятся в Казахстане (K18 и K24), Пакистане (P19), Эфиопии (E21) и Мьянме (M22). Для этого они изучили документы, попавшие в утечку, на предмет упоминаний о географическом расположении центров обработки данных, отследили международные грузовые перевозки из Geedge в другие страны и воспользовались предыдущими публикациями о причастности китайских компаний к продаже программного обеспечения для цензуры. Есть ещё одно упоминание о клиенте с кодом A24, но нет достаточных доказательств, чтобы понять, о ком идёт речь. Информация о найме сотрудников в Geedge может дать больше сведений о планах компании по расширению. На сторонней платформе по подбору персонала в Китае Geedge ищет старшего инженера по эксплуатации и техническому обслуживанию для работы в странах «Пояса и пути». В описании вакансии говорится, что может потребоваться провести от трёх до шести месяцев за пределами Китая, в Пакистане, Малайзии, Бахрейне, Алжире и Индии. Кроме того, в марте компания наняла испано- и франкоязычных переводчиков, которые могли бы оказывать поддержку зарубежным подразделениям Geedge. Например, в Пакистане в одном из документов о продлении лицензии указано, что услуги Geedge, в том числе возможность отслеживать статистику в реальном времени и сохранять информацию об электронной почте, были лицензированы Управлением телекоммуникаций Пакистана в октябре 2024 года. В другом запросе в службу поддержки Jira приведён пример перехваченного электронного письма с полным текстом, темой, протоколом, вложением, именами отправителя и получателя, а также задействованными IP-адресами. Исследователи считают, что некоторые сотрудники Geedge имеют доступ к информации, перехваченной клиентом, что может представлять угрозу национальной безопасности правительств этих стран. Опыт Geedge в Пакистане также показывает, что компания создаёт продукты на базе совместимого оборудования, чтобы привлечь разных клиентов. До прихода Geedge в Пакистан страна сотрудничала с канадской компанией Sandvine, которая поставляла оборудование для глубокой проверки пакетов данных, но была вынуждена уйти из-за санкций США. Согласно утечке, после ухода Sandvine её оборудование осталось в пакистанских центрах обработки данных. Как следует из документов, Geedge занялась перепрофилированием существующей инфраструктуры, предлагая перейти к новому режиму цензуры, который в конечном итоге будет работать на оборудовании китайского производства. Способность и готовность компании работать с оборудованием, оставленным Sandvine, должны стать предупреждением для стран, выдающих экспортные лицензии на чувствительные технологии, считает Юрре ван Берген, технолог из правозащитной некоммерческой организации Amnesty International: «После экспорта оборудование оказывается у них, и они будут использовать его в том или ином качестве. Я думаю, это говорит о том, что санкции имеют свои пределы. Исследователи предупреждают, что в утечке нет реальных документов, подтверждающих, что система Geedge отвечает за интернет-цензуру в той или иной стране, но ключевые изменения в технических журналах Geedge соответствуют важным событиям. Например, в Эфиопии система была переведена из режима пассивного мониторинга трафика в режим, который может активно блокировать трафик, «всего за несколько дней до отключения интернета» в феврале 2023 года, говорит Ривера. В общей сложности утечка показывает 18 случаев, когда система шлюзов Geedge в Эфиопии переключалась с пассивного мониторинга на активное вмешательство в работу сервисов, что приводило к их замедлению. В то же время канадский VPN-сервис Psiphon, который, как показывают документы, может быть нацелен системой Geedge, подтвердил информацию об утечке, согласно которой в Мьянме наблюдались изменения в поведении пользователей, которые могли быть вызваны массовой блокировкой на уровне интернет-провайдера примерно в то же время, когда там была развернута система Geedge. Отец Великого китайского файрвола Несмотря на то, что компания Geedge Networks малоизвестна как за пределами Китая, так и внутри страны, она тесно связана с силами, создавшими противоречивую китайскую систему фильтрации и блокировки, известную как Великий китайский файрвол. Когда компания Geedge Networks была основана в 2018 году, она называлась Zhongdian Jizhi, что указывало на её связь с China Electronics Corporation (CEC), крупным государственным конгломератом, тесно связанным с вооружёнными силами и службами безопасности страны. (Zhongdian — это аббревиатура от CEC на китайском языке.) В 2020 году правительство США ввело санкции против CEC. Эти две компании также связывает Фан Бинсин, китайский учёный-компьютерщик, которого часто называют «отцом Великого китайского файрвола», поскольку он руководил разработкой системы цензуры на ранних этапах. Работа Фана, по сути, привела к тому, что бывший президент США Билл Клинтон сравнил с прибиванием желе к стене: к контролю над технологией, которая была разработана для обеспечения равного доступа к информации для всех. По мере развития технологий «Великий китайский файрвол» становился всё выше, эффективно блокируя доступ большинства китайцев к информации, которую китайское правительство считает политически неприемлемой, независимо от того, используют ли они компьютеры, телефоны или даже передовые технологии, такие как модели искусственного интеллекта. В 2019 году, когда Фан ещё работал главным научным сотрудником CEC, он стал инвестором компании Jicheng (Хайнань) Technology Investment, владеющей 40 % акций, согласно китайским корпоративным базам данных. Цзичэн является инвестором Geedge Networks и входит в состав руководства последней компании. В 2024 году Фан с помощью Geedge основал новую исследовательскую студию в области кибербезопасности, сообщило китайское государственное информационное агентство «Синьхуа». Замкнутый круг Geedge не только экспортирует китайскую цензуру за границу, но и импортирует опыт, полученный за рубежом, чтобы усовершенствовать репрессии внутри страны, как показывают документы. Спустя годы после того, как компания начала продавать технологии другим странам, она стала ориентироваться и на правительства китайских провинций, учитывая их уникальные потребности. Первая остановка: Синьцзян. В этом регионе, где проживают миллионы уйгурских мусульман, в последнее десятилетие ведётся интенсивная цифровая слежка со стороны китайского правительства. Утечка документов Geedge показала, что компания сотрудничает с китайскими исследовательскими институтами для расширения систем мониторинга в стране. В сценарии выступления, которое было дано в Синьцзянском отделении Китайской академии наук в 2024 году и попало в утечку, упоминается, что «национальный (брандмауэр) переходит от централизованной модели к распределённой». На фотографиях из утечки видно, что компания пригласила студентов из исследовательской лаборатории Massive and Effective Stream Analysis (Mesalab) при Китайской академии наук посетить серверную Geedge в Синьцзяне. Это провинциальное развёртывание в Синьцзяне, обозначенное в утечке как J24, началось в 2024 году после первоначальной тестовой программы. Как и в других странах, операционные центры Geedge интегрированы в телекоммуникационные системы передачи данных в Синьцзяне. Кроме того, согласно утечке, Geedge также реализовала пилотные проекты в двух других китайских провинциях — Фуцзянь и Цзянсу. Скриншоты и другие документы этих проектов показывают, что система была нацелена на выявление мошеннических финансовых сайтов, которые чаще встречаются в восточных прибрежных провинциях Китая. Помимо сбора информации о трафике как в целом, так и в индивидуальном порядке, проект в Синьцзяне также разрабатывал некоторые экспериментальные функции. Список желаемых функций, обнаруженный в утечке, показывает, что Geedge стремился обновить Cyber Narrator, чтобы он мог строить графы взаимосвязей между пользователями и группировать людей в зависимости от используемых ими приложений. Кроме того, он планирует определять местоположение пользователя с помощью мобильных вышек сотовой связи и создавать геозоны для определённых пользователей, как показывают записи. Ещё одна функция прототипа, обнаруженная в утечке, описывается как индивидуальный «показатель репутации». Каждому пользователю интернета присваивается базовый показатель в 550 баллов, который можно увеличить, подтвердив подлинность личной информации пользователя, включая национальное удостоверение личности, данные для распознавания лиц и сведения о трудоустройстве. Если показатель репутации пользователя не превысит 600 баллов, он не сможет получить доступ к интернету. Неясно, были ли реализованы эти функции и внедрены ли они в системы наблюдения Geedge, развёрнутые в Китае и за рубежом. Постоянные попытки Geedge получить информацию о пользователях вызывают особую тревогу, поскольку у компании также есть возможность внедрять вредоносное ПО в интернет-трафик пользователей, говорит Леа Хорн, ещё один исследователь из InterSecLab. «Так гораздо проще найти способ атаковать пользователя. Вместо того чтобы пытаться угадать, какой сайт они посещают и который не поддерживает HTTPS, вы можете просто проанализировать всю их интернет-активность за последнее время, найти сайт, который не использует безопасное подключение к интернету, и внедрить вредоносное ПО на этот сайт при следующем посещении», — говорит она. И хотя некоторые функции тестировались в Китае, как только технология будет доработана, любой иностранный клиент сможет запросить те же функции для своих систем с помощью простого обновления программного обеспечения.