安洵泄密档彻底改变情报界对中共的看法

图为位于东莞的中共黑客组织。（AFP via Getty Images)

更新 2024-02-29 2:31 PM 人气 2444

【大纪元2024年02月29日讯】（大纪元记者林燕编译报导）中国安全公司安洵（i-Soon）泄露文件揭开了中共商业网络间谍网的一角。网络专家表示，安洵泄露事件彻底改变了开源情报（OSINT）社区对中共公安部网络行动的看法。

安洵是一家在四川成都注册的中共公安部（MPS）的安全承包商。

来自网络威胁情报（CTI）界的许多专业人士都证实了安洵泄漏数据与之前的报告相符。所以，这次泄露事件为国外的网络威胁情报分析人员提供了前所未有的研究机会。

SentinelOne公司的网络威胁研究人员亚历山大·米伦科斯基（Alexander Milenkoski）和达科塔·卡里（Dakota Cary）在一篇博文中表示：“此次泄露提供了一些迄今为止最具体的细节，揭示了中国网络间谍生态系统的成熟本质。它明确表明了（中共）政府提出的目标要求如何驱使独立承包商在黑客雇用市场中的竞争。”

安洵泄漏事件的时间线

根据米伦科斯基和卡里的发现，这次泄漏最早的源头是有人于2024年1月15日注册了一个i-soon@proton.me的电子邮件地址。

2月16日，与此电子邮件地址关联的账户开始将安洵泄漏内容上传到软件开发平台GitHub。

一位台湾分析师在GitHub上发现了该文档，并于2月18日在社交媒体上分享了这一发现。

2月23日，i-S00n存储库被删除。但随后又有复制版本出现。

大多数专家研判泄露文件是真

大多数网络威胁情报分析师在分析了安洵数据后，认为这些文件及其数据是真实的。

Equinix公司威胁研究员威廉·托马斯（Will Thomas）在接受《信息安全》（Infosecurity）杂志采访时表示：“根据详细程度、泄露的聊天日志、数据量以及重叠妥协指标（IOC）的佐证，我有中度到高度相信这些文件是真的。”

谷歌云Mandiant Intelligence首席分析师约翰·霍尔特奎斯特（John Hultquist）也告诉《信息安全》说：“我们有充分的理由相信这是支持中国境内全球和国内网络间谍活动的承包商的真实数据。”

一位要求匿名的法国网络安全顾问也得出了同样的结论。

美联社记者表示，他们收到了两名安洵员工的确认，这些数据是真的。

安洵从事哪些威胁活动

泄露文件显示了中共政府的商业承包商如何开发网络间谍工具来支持与北京有关联的威胁行为者。

根据泄露的内容，安洵旗下包括三个渗透团队、一个安全研究团队和一个基础支持团队，约有70人。

他们的工作包括：设计用于在Windows、macOS、Linux、iOS和Android系统上的远程访问木马（RAT），收集和分析电子邮件数据的平台，侵入Outlook账户的平台，Twitter监控平台使用，开源情报数据的侦察平台，用于追踪WiFi设备并干扰WiFi信号的物理硬件设备，为在国外工作的代理商使用类似Tor网络的通信设备等。

其中一份文件列出了目标组织以及该公司通过黑客攻击所赚取的费用。

为某省中共公安厅提供访问印度指定邮箱账号服务，一周两次取文件，收费2万元（人民币，下同）。

马来西亚和菲律宾的相关报价更低。欧美的类似业务要价则高出很多。根据安洵内部员工通讯，“美国一个部委的webshell要卖百万元以上”。

Webshell是黑客经常使用的一种恶意脚本，目的是获得服务器的执行操作权限。

“像FBI（美国联邦调查局），目前市场价一个箱子账号密码是10万到15万成交的。”一名员工在泄漏文件中写道。箱子指代电子邮箱。