中共防火牆資料外洩 封控布局曝光
近期中國防火長城(GFW;或稱中共國家防火牆)核心技術機密文件大規模洩漏,顯示中國企業在南亞、西亞與非洲等多個國家建立完整網路監控體系,並參與中國境內區域性防火牆建設。從省級到國家級、從境內到境外的全方位網控網路正在成型,其部署之規模與深度,令國際社會震驚。
9月11日,防火長城出現了史上最大規模的外洩事件。根據專門研究和追蹤中國網路審查機制平台「GFW Report」的分析,約600GB資料,包含程式原始碼、工作日誌、內部通訊紀錄,以及與多國政府合作的具體項目檔案被公開,其中僅「mirror/repo.tar」單個文件就占500GB容量。外洩文件詳細揭露了防火長城的研發運作細節,以及相關技術向海外輸出的情況。
此次外洩源自積至(海南)信息技術公司(Geedge Networks Ltd.)與中國科學院信息工程研究所(簡稱中科院信工所)MESA實驗室,MESA係「大規模有效流分析」(Massive Effective Stream Analysis)的縮寫。文件詳細記載了這些機構在境內不僅為新疆、江蘇、福建等地政府提供服務,建構省級防火牆,也在中共「一帶一路」框架下,向海外多個國家輸出審查與監控技術。
方濱興創建積至公司
文件揭示了防火長城技術輸出的關鍵人物和機構,被稱為「防火長城之父」的方濱興是這一體系的核心人物。他於2008年成立信息內容安全國家工程實驗室(NERCIS),2012年轉入中科院信工所並成立MESA團隊。2018年,方濱興在海南成立了積至公司,擔任首席科學家。該公司的核心研發人員主要來自MESA實驗室,在MESA大事記中的許多導師和學生都曾在積至公司的Git(程式碼)提交紀錄中出現,顯示了這兩個機構間的密切關係。
反翻牆技術與建立封鎖規則
洩漏文件中,記載了反翻牆研究流程:該公司購買VPN帳號,以行動裝置集群跑測研究網路行為;並以逆向工程技術,採靜態、動態分析建立封鎖規則,靜態反編譯尋找伺服器API(伺服器接口),動態則運行VPN(虛擬私人網路)時分析流量,識別可封鎖模式。同時建立AppSketch(網路指紋數據庫)蒐羅指紋及含4,081個VPN指紋。
積至公司甚至將特定個人,識別為已知VPN用戶,追蹤他們的網路使用,並將任何未來不明大流量標記為可疑,進而識別並封鎖先前尚未識別的服務。
暗黑能力:從封網到惡意攻擊
積至的「天狗安全網關」(TSG)系統,除了DPI(深度封包檢測)和封鎖功能外,還具備注入與修改流量能力。可藉偽造網路重新導向、修改標頭、注入腳本與替換回應體等方式植入惡意程式碼,同時支援HTML、CSS、JS、APK、EXE、DMG與RPM等文件格式進行「即時」修改。
積至還開發了「DLL主動防禦」平台,透過利用TSG的在線注入能力,能有效「招募」不知情用戶成殭屍網路,用來針對被視為政治上不受歡迎的網站發動DDoS惡意攻擊。此外,儲存在TSG Galaxy中的客戶資料,可被內部公司與MESA人員任意存取,還能從外部遠端連接存取,這也帶來巨大的安全風險。
新疆成樣板 福建江蘇作試點
外洩文件顯示,中國正出現一種補充國家級「防火長城」的省級防火牆模式。紀錄提到,「國家(防火牆)正從集中式向分布式演進」,新疆(代號J24)是積至公司最重要的境內項目之一,旨在打造反恐與壓制翻牆,使其成為「可複製或可借鑑的省級(防火牆)建設樣板」。
新疆部署模式,體現出強烈且侵入性的監控要求。積至公司在Cyber Narrator用戶界面,加入使用者上網行為、生活樣態與人際關係的歸納與分析功能,並依使用者用App或瀏覽網站,對人群進行分組。
該系統還計畫加入檢查功能,可透過連接特定行動基地台的用戶訊號進行三角定位,檢測在某一地區出現的大量人群聚集。項目還包括創建地理圍欄的能力,當特定個體進入指定區域時,會觸發警告,以及查詢歷史定位訊息、追蹤過往的活動軌跡功能等。
積至向五國輸出網路監控
文件顯示,積至公司於2022年在福建開展了類似省級防火牆的試點,被稱為「福建項目」,但相關訊息相對有限。
在江蘇,積至公司與江蘇省公安廳合作,據稱是以打擊網路詐騙模式。溝通紀錄顯示,公安部門對允許積至構建大數據集群持謹慎態度,更傾向於讓積至將其工具部署在現有基礎設施上。2024年3月15日,「江蘇反詐項目」轉入生產模式。
根據洩漏文件顯示,積至公司至少向五個國家提供了技術服務,涵蓋緬甸、巴基斯坦、衣索比亞、哈薩克與一個代號A24的未公開國家;這些國家都以代號標識,由國家的名稱首字母與兩位年分組成。
中共從省級到國家級、從境內到境外的全方位網路控制網正在成型,其技術部署規模和深度,令國際震驚。示意圖。(JOHANNES EISELE/AFP via Getty Images)緬甸:掌控服務ISP全面滲透
在緬甸,積至公司的部署最全面。其硬體進入所有網際網路的服務供應商(ISP)機房,包含MyTel、Ooredoo、MPT、ATOM與Frontiir等四大ISP。其中,Frontiir曾向外界否認參與監控,但洩漏文件顯示,積至設備確實部署在Frontiir裡,文檔還包括ISP的測試報告。
緬甸的「欲封鎖VPN清單」比其他國家的更長,其中還制定了「高優先級應用」封鎖規則,涵蓋Signal、WhatsApp等55款通訊應用軟體。積至公司還開發了專門工具Psiphon3-SLOK用來掃描Psiphon(繞過網路審查的工具)伺服器位置。
衣索比亞:直接介入政府網封
在衣索比亞,積至公司與當地電信商Safaricom合作,在其區域數據中心部署監控設備。從鏡像模式(螢幕同步技術)切換到在線模式,與政府實施斷網間存在著直接關連性。
2023年2月衣索比亞發生全國抗議潮前後,積至公司的一份工單紀錄了處理YouTube、Twitter(現在叫X)等平台,時間與外界報導平台被封鎖情況完全吻合。在衣索比亞發生18次切換為在線模式中,其中有2次發生在2023年2月斷網之前。
哈薩克:主推TLS中間人攻擊
在哈薩克,2019年開始使用積至公司的技術。積至的TSG監控工具可以假冒類似政府頒發的官方證書TLS(網路加密協定)中間人攻擊,可攔截偷看並修改原本加密保護的網路資料。這可能是積至接觸哈薩克時的主要賣點,還能夠過濾所有經過的網路流量、檢測和阻止翻牆行為。
巴基斯坦:網路監控系統升級
在巴基斯坦,2023年積至公司接手受美制裁的加拿大公司Sandvine。洩漏文件顯示,積至不僅利用現有Sandvine的安裝設備,還提供新技術「網路監控系統」(WMS 2.0)。一位巴基斯坦資深ISP高層主管稱新的WMS不僅架設在國家網路出入口,也架設在行動業者和ISP的本地數據中心。
據國際特赦組織近期報告〈控制的陰影〉指出,巴基斯坦透過WMS 2.0與LIMS(合法攔截管理系統)協同運作,一次可阻擋200萬活躍連線、監控至少400萬支手機通話、簡訊、電郵與上網紀錄;當地四大行動業者都已被命令連線到LIMS。
去年7月中旬,巴基斯坦開始測試從中共購買的新防火牆。在大規模抗議活動期間,當局封鎖多個VPN,被封鎖網站逾65萬,YouTube、Facebook和X等社群媒體也都受到限制。
尼泊爾政權垮台 網封是導火線
這些由積至公司提供技術服務的國家,均與中共簽署了「一帶一路」合作文件,一帶一路倡議被西方批評為「債務陷阱外交」。除衣索比亞外,其餘三國領導人近期都參加了中共的九三閱兵。
值得一提的是,尼泊爾總理奧利(Khadga Prasad Oli)也參加了中共9月3日的閱兵活動,強調深化關係並推進「一帶一路」合作。9月4日,尼泊爾以「打擊假帳號」為由封鎖Facebook及X等26個社群平台,引發民眾抗議。
此次抗議自9月8日起升級為街頭示威,警民衝突加劇。9日,總理奧利以及多名部長宣布辭職,執政10年的共產政權垮台。12日,前首席女大法官卡齊(Sushila Karki)被任命為臨時總理,並籌備2026年3月議會選舉。◇
