V polovině února bylo na platformě GitHub zveřejněno na 190 megabytů dokumentů čínské kybernetické firmy I-SOON poskytující hackerské a kyberšpionážní služby čínským institucím. Únik materiálů, jež z GitHubu po nějaké době zase zmizely experti označují za „vůbec první vhled do interních operací hackerské firmy navázané na čínský stát“.

Z dokumentů vyplývá, že společnost I-SOON nabízí své služby klíčovým čínským orgánům z oblasti bezpečnosti a obrany, včetně ministerstev veřejné a státní bezpečnosti a Čínské lidové osvobozenecké armády. Těmito zakázkami se před bezprecedentním únikem firma chlubila i na vlastním webu, který byl krátce poté zablokován.

Na veřejnost se dostaly návrhy smluv, marketingové materiály představující produkty, tedy spyware, které I-SOON vyvíjí, nabídky konkrétních služeb podložené dříve realizovanými operacemi či screenshoty WeChatových konverzací mezi zaměstnanci firmy a klienty.

Najmi si své hackery

Zatím není jasné, kdo za únikem stál, zaměstnanci společnosti I-SOON však pro AP News anonymně potvrdili, že materiály jsou pravé, a čínské orgány již vyšetřují okolnosti kauzy.

Autorkou textu je Kamila Hladíková. Text vznikl v rámci projektu Sinopsis, se kterým HlídacíPes.org spolupracuje.

Přestože není vyloučeno zapojení zejména amerických tajných služeb, analytici kyberbezpečnostní platformy SentinelOn Dakota Cary a Alexandar Milenkoski, mají za to, že únik byl pravděpodobně motivován snahou konkurence poškodit firmu I-SOON.

Odhaluje totiž mimo jiné až směšně nízké ceny za hackerské operace (například za útok na vietnamské ministerstvo hospodářství firma inkasovala 55 tisíc dolarů) a stížnosti zaměstnanců na nízké platy. Zveřejněné materiály také ukazují, že na trhu s poskytováním hackerských služeb státu panuje slušná konkurence.

Únik ukazuje vzkvétající trh nabízející tyto služby státnímu sektoru v ČLR. Nálezy jsou přitom v souladu s dřívějšími zjištěními a odpovídají některým v minulosti zaznamenaným útokům.

Mezi cíli dříve realizovaných operací jsou podle materiálů státní instituce celkem čtrnácti států, převážně ze střední, jižní a jihovýchodní Asie, ale například také prodemokratické organizace v Hongkongu. Několikrát je zmiňováno i NATO.

V zemích Severoatlantické aliance se ale útoky zaměřovaly hlavně na think tanky a nevládní organizace. Podle Sentinelu seznamy cílů a těch, kdo si získání jejich dat objednali, ukazují I-SOON jako „firmu soutěžící o menší hackerské zakázky u celé řady vládních orgánů a institucí“.

Jedna z nabídek se například týká zakázek v Sin-ťiangu, kde jsou místní Ujguři a další muslimské menšiny dlouhodobě předmětem státem řízené sekuritizace a dohledu, včetně sledování soukromých online aktivit. Firma uváděla své předchozí zkušenosti s „protiteroristickými operacemi“, včetně hackerských útoků na cíle v Afghánistánu a Pákistánu.

Součástí dokumentů jsou také screenshoty představující hardware a software, který firma nabízí, včetně zařízení k extrakci dat maskujících se za powerbanky či baterie nebo získávajících přístup do zařízení přes wifi připojení.

Společnost dodává také spyware určený prakticky pro všechny typy zařízení i operační systémy či nástroje pro získávání uživatelských dat z mnoha čínských aplikací jako Weibo, WeChat nebo Baidu, ale také z těch zahraničních, jmenovitě z X a Telegramu.

Podle odborníků nejsou tyto nástroje v ničem nové či revoluční. Únik nicméně ukazuje vzkvétající trh nabízející tyto služby státnímu sektoru v ČLR. Nálezy jsou přitom v souladu s dřívějšími zjištěními a odpovídají některým v minulosti zaznamenaným útokům.

Ekosystém kybernetické bezpečnosti

Materiály poskytují jak cenné informace o čínských hrozbách pro odborníky na kybernetickou bezpečnost a odhalování hrozeb, tak i nové poznatky ohledně fungování čínských operací v oblasti veřejné a státní bezpečnosti a obrany.

Přinášejí důkazy o narůstající všudypřítomné státní kontrole cílící na disidenty a aktivisty doma i v zahraničí, etnické menšiny v Sin-ťiangu a Tibetu či činnost aktivistů v Hongkongu či na Tchaj-wanu.

IT firmy pomáhají státu zajistit dohled nad obyvateli a přístup k jejich datům, s důrazem na „rizikové“ obyvatelstvo, jako jsou etnické menšiny, aktivisté či disidenti aktivní online.

Vypovídají také o čínskými orgány objednaných hackerských útocích na instituce jiných států nebo o šíření pročínských narativů na sociálních sítích. Společnost se jmenovitě chlubí přístupy k databázím mnoha zahraničních institucí, jako například malajská ministerstva zahraničí a vnitra, thajská ministerstva financí a obchodu, mongolské ministerstvo zahraničí a policie, letecké společnosti Macau Airways či Air Astana atd.

Na svých stránkách společnost před jejich odstavením inzerovala schopnost zajistit takzvané útoky APT (advanced persistent threats; pokročilé trvalé hrozby) a obranu před nimi. Tyto útoky provádějí sofistikované hackerské sítě, často právě ve službách konkrétních států, které si mohou dovolit vysoké finanční i lidské náklady.

Specialista na malware Mathieu Tartare pro AP News potvrdil, že společnost I-SOON je pravděpodobně napojená na čínskou státní hackerskou síť označovanou jako Fishmonger, která je zodpovědná např. za hackerské útoky na hongkongské univerzity v době studentských protestů.

Slovenská kyberbezpečnostní firma ESET tuto síť, známou také jako Winnti, již několik let monitoruje a odhalila dílčí útoky na vládní úřady v zahraničí, nevládní organizace i think tanky v Asii, Evropě i na americkém kontinentu.

Únik dokumentů tak pomáhá poskytnout ucelenější obrázek o spolupráci mezi soukromým IT sektorem a bezpečnostními složkami. To potvrzují i analytici z firmy TeamT5 sídlící na Tchaj-wanu, kteří již dříve označovali soukromý sektor za „klíčový pro čínské útoky APT v celosvětovém měřítku“.

Mezi dokumenty jsou podle nich i doklady o tom, že se I-SOON podílel na vývoji nechvalně známého malwaru RAT (Remote Access Trojan) ShadowPad, tedy toho, který byl použit mimo jiné právě v útoku na hongkongské univerzity.

Zmiňují také, že mezi produkty I-SOONu jsou i nástroje na nabourávání se do systémů nelegálního online hazardu, proti němuž čínské orgány intenzivně bojují. Toto vše dokazuje úzké vazby mezi hackerskými firmami jako I-SOON a zájmy a cíli čínské vlády.

IT firmy pomáhají státu zajistit dohled nad obyvateli a přístup k jejich datům, s důrazem na „rizikové“ obyvatelstvo, jako jsou etnické menšiny, aktivisté či disidenti aktivní online. Směrem ven pak jde hlavně o šíření pročínských narativů na sociálních sítích a prosazování čínských zájmů.

Podle reportáže deníku New York Times materiály inzerovaly přístup k informacím, které mohou sloužit pro potřeby čínské policie i armády, včetně softwaru schopného monitorovat dění na čínských sociálních sítích či osobní údaje i aktivity uživatelů na sítích X a Telegram, podrobných map pozemních komunikací na Tchaj-wanu nebo uživatelských metadat telekomunikačních společností. I-SOON se přitom jeví jen jako jedna z mnoha takových firem nabízejících služby čínskému státu.

Tvrdá konkurence – motor pokroku

Únik však zároveň odhaluje slabiny tohoto ekosystému: záznamy interních konverzací ukazují vysokou míru nespokojenosti přetěžovaných a nedostatečně placených zaměstnanců, která mohla stát za zveřejněním citlivých dokumentů.

Jak pro noviny Guardian uvedla Mei Danowski specializující se na kybernetickou bezpečnost ve vztahu k Číně, firmy musí samy vyhledávat byznysové příležitosti a nabízet své služby státu ve vysoce kompetitivním prostředí.

Únik odhalil jasné vazby mezi touto firmou a čínským státem a mnohé detaily o fungování ekosystému, v němž soukromé firmy soutěží o přízeň ústředních i lokálních vládních bezpečnostních institucí.

Danowski se shodou okolností na firmu I-SOON a její úsilí o získání státních zakázek od ministerstva veřejné bezpečnosti a provinčních oddělení veřejné bezpečnosti zaměřila již v říjnu loňského roku, kdy se v čínském Čcheng-tu dostal k soudu spor mezi již známou hackerskou společností ve službách čínského státu Chengdu 404 a I-SOONem.

Výkonným ředitelem společnosti I-SOON je Wu Chaj-po alias shutdown, známý hacker „první generace“, nazývané „rudí hackeři“ nebo také „zelená armáda“.

Tato generace, která začala svou činnost již v roce 1997, bývá označována jako „vlastenečtí hackeři“. V roce 2019 I-SOON obdržel certifikaci na dodávání technologií a vybavení pro Kancelář kybernetické bezpečnosti a obrany čínského ministerstva veřejné bezpečnosti.

O rok později firma získala od ministerstva průmyslu a informačních technologií bezpečnostní prověrku druhého stupně, která ji opravňovala k „výzkumu a výrobě zbraní a zařízení pro státní bezpečnost“.

Na základě toho poté získala zakázku v prefektuře Aksu v Ujgurské autonomní oblasti Sin-ťiang, pro niž pravděpodobně vyvíjela malware do mobilů k získávání přístupu k aplikacím a datům uživatelů.

Týmy analyzující kybernetické hrozby již dříve identifikovaly skupinu označovanou jako Earth Lusca operující z provincie S‘-čchuan, kde je jedna z klíčových poboček I-SOONu.

Mezi cíli útoků této skupiny byly čínské společnosti provozující online hazard, vládní instituce na Tchaj-wanu, Filipínách, v Thajsku, Vietnamu, Spojených arabských emirátech, Mongolsku či v Nigérii, řada vzdělávacích institucí, médií, lidskoprávních organizací, ale také organizace zabývající se výzkumem covidu-19, nepálské telekomunikační společnosti, v ČLR zakázaná náboženská hnutí nebo platformy pro obchodování s kryptoměnami.

Tyto cíle do značné míry korespondují s materiály I-SOONu. Přímé linky mezi I-SOONem a konkrétními čínskými hackerskými skupinami jsou zatím sporadické, únik nicméně odhalil jasné vazby mezi touto firmou a čínským státem a mnohé detaily o fungování ekosystému, v němž soukromé firmy soutěží o přízeň ústředních i lokálních vládních bezpečnostních institucí.

Arthur Kaufman pro China Digital Times shrnuje, že „uniklé dokumenty I-SOONu ukazují především na nestabilitu čínského ekosystému kybernetické špionáže“. Společnost měla zjevně finanční potíže kvůli nedostatku zakázek, což může naznačovat ekonomické problémy a korupci v tomto sektoru.

To však neznamená, že by kybernetické útoky z Číny v budoucnu ustávaly, spíše naopak: nastavení tohoto ekosystému nutí firmy aktivně hledat příležitosti.