V polovině února bylo na platformě GitHub zveřejněno na 190 megabytů dokumentů čínské kybernetické firmy I-SOON (čínsky An-sün 安洵) poskytující hackerské a kyberšpionážní služby čínským institucím. Únik materiálů, jež z GitHubu po nějaké době zmizely kvůli údajnému porušení podmínek služby, označila Dakota Cary a Alexandar Milenkoski, analytici kyberbezpečnostní platformy SentinelOne, za „vůbec první vhled do interních operací hackerské firmy navázané na [čínský] stát“.
Z dokumentů vyplývá, že společnost I-SOON nabízí své služby klíčovým čínským orgánům z oblasti bezpečnosti a obrany, včetně ministerstev veřejné a státní bezpečnosti a Čínské lidové osvobozenecké armády. Těmito zakázkami se před bezprecedentním únikem firma chlubila i na vlastním webu, který byl krátce poté zablokován. Na veřejnost se dostaly návrhy smluv, marketingové materiály představující produkty, tedy spyware, které I-SOON vyvíjí, nabídky konkrétních služeb podložené dříve realizovanými operacemi či screenshoty WeChatových konverzací mezi zaměstnanci firmy a klienty.
Nájemní hackeři ve službách strany a státu
Zatím není jasné, kdo za únikem stál, zaměstnanci společnosti I-SOON však pro AP News anonymně potvrdili, že materiály jsou pravé, a čínské orgány již vyšetřují okolnosti. Přestože není vyloučeno zapojení zejména amerických tajných služeb, analytici Sentinelu se podle charakteru uniklého materiálu domnívají, že únik byl pravděpodobně motivován snahou konkurence poškodit firmu I-SOON. Odhaluje totiž mimo jiné až směšně nízké ceny za hackerské operace – například za útok na vietnamské ministerstvo hospodářství firma inkasovala 55 tisíc dolarů – a stížnosti zaměstnanců na nízké platy. Zveřejněné materiály tak ukazují na existenci „soupeřivého tržního prostředí pro nezávislé dodavatele hackerských služeb [čínskému státu]“.
Mezi cíli dříve realizovaných operací jsou podle materiálů státní instituce celkem čtrnácti států, převážně ze střední, jižní a jihovýchodní Asie, ale například také prodemokratické organizace v Hongkongu. Několikrát je přitom zmiňováno i NATO, v zemích Aliance se ale útoky zaměřovaly hlavně na think tanky a nevládní organizace. Podle Sentinelu seznamy cílů a těch, kdo si získání jejich dat objednali, ukazují I-SOON jako „firmu soutěžící o menší hackerské zakázky u celé řady vládních orgánů a institucí“. Jedna z nabídek se například týká zakázek v Sin-ťiangu, kde jsou místní Ujguři a další muslimské menšiny dlouhodobě předmětem státem řízené sekuritizace a dohledu, včetně sledování soukromých online aktivit. Firma uváděla své předchozí zkušenosti s „protiteroristickými operacemi“, včetně hackerských útoků na cíle v Afghánistánu a Pákistánu.
Součástí dokumentů jsou také screenshoty představující hardware a software, který firma nabízí, včetně zařízení k extrakci dat maskujících se za powerbanky či baterie nebo získávajících přístup do zařízení přes wifi připojení. Společnost dodává také spyware určený prakticky pro všechny typy zařízení i operační systémy či nástroje pro získávání uživatelských dat z mnoha čínských aplikací jako Weibo, WeChat nebo Baidu, ale také z těch zahraničních, jmenovitě z X a Telegramu. Podle odborníků nejsou tyto nástroje v ničem nové či revoluční. Únik nicméně ukazuje vzkvétající trh nabízející tyto služby státnímu sektoru v ČLR. Nálezy jsou přitom v souladu s dřívějšími zjištěními a odpovídají některým v minulosti zaznamenaným útokům.
Ekosystém kybernetické bezpečnosti s čínskými rysy
Materiály poskytují jak cenné informace o čínských hrozbách pro odborníky na kybernetickou bezpečnost a odhalování hrozeb, tak i nové poznatky ohledně fungování čínských operací v oblasti veřejné a státní bezpečnosti a obrany. Přinášejí důkazy o narůstající všudypřítomné státní kontrole cílící na disidenty a aktivisty doma i v zahraničí, etnické menšiny v Sin-ťiangu a Tibetu či činnost aktivistů v Hongkongu či na Tchaj-wanu. Vypovídají také o čínskými orgány objednaných hackerských útocích na instituce jiných států nebo o šíření pročínských narativů na sociálních sítích. Společnost se jmenovitě chlubí přístupy k databázím mnoha zahraničních institucí, jako např. malajská ministerstva zahraničí a vnitra, thajská ministerstva financí a obchodu, mongolské ministerstvo zahraničí a policie, letecké společnosti Macau Airways či Air Astana atd.
Na svých stránkách společnost před jejich odstavením inzerovala schopnost zajistit takzvané útoky APT (advanced persistent threats; pokročilé trvalé hrozby) a obranu před nimi. Tyto útoky provádějí sofistikované hackerské sítě, často právě ve službách konkrétních států, které si mohou dovolit vysoké finanční i lidské náklady. Specialista na malware Mathieu Tartare pro AP News potvrdil, že společnost I-SOON je pravděpodobně napojená na čínskou státní hackerskou síť označovanou jako Fishmonger, která je zodpovědná např. za hackerské útoky na hongkongské univerzity v době studentských protestů. Slovenská kyberbezpečnostní firma ESET tuto síť, známou také jako Winnti, již několik let monitoruje a odhalila dílčí útoky na vládní úřady v zahraničí, nevládní organizace i think tanky v Asii, Evropě i na americkém kontinentu.
Únik dokumentů tak pomáhá poskytnout ucelenější obrázek o spolupráci mezi soukromým IT sektorem a bezpečnostními složkami. To potvrzují i analytici z firmy TeamT5 sídlící na Tchaj-wanu, kteří již dříve označovali soukromý sektor za „klíčový pro čínské útoky APT v celosvětovém měřítku“. Mezi dokumenty jsou podle nich i doklady o tom, že se I-SOON podílel na vývoji nechvalně známého malwaru RAT (Remote Access Trojan) ShadowPad, tedy toho, který byl použit mimo jiné právě v útoku na hongkongské univerzity. Zmiňují také, že mezi produkty I-SOONu jsou i nástroje na nabourávání se do systémů nelegálního online hazardu, proti němuž čínské orgány intenzivně bojují. Toto vše dokazuje úzké vazby mezi hackerskými firmami jako I-SOON a zájmy a cíli čínské vlády.
IT firmy pomáhají státu zajistit dohled nad obyvateli a přístup k jejich datům, s důrazem na „rizikové“ obyvatelstvo, jako jsou etnické menšiny, aktivisté či disidenti aktivní online. Směrem ven pak jde hlavně o šíření pročínských narativů na sociálních sítích a prosazování čínských zájmů. Podle reportáže deníku New York Times materiály inzerovaly přístup k informacím, které mohou sloužit pro potřeby čínské policie i armády, včetně softwaru schopného monitorovat dění na čínských sociálních sítích či osobní údaje i aktivity uživatelů na sítích X a Telegram, podrobných map pozemních komunikací na Tchaj-wanu nebo uživatelských metadat telekomunikačních společností. I-SOON se přitom jeví jen jako jedna z mnoha takových firem nabízejících služby čínskému státu.
Tvrdá konkurence – motor pokroku
Únik však zároveň odhaluje slabiny tohoto ekosystému: záznamy interních konverzací ukazují vysokou míru nespokojenosti přetěžovaných a nedostatečně placených zaměstnanců, která mohla stát za zveřejněním citlivých dokumentů. Jak pro noviny Guardian uvedla Mei Danowski specializující se na kybernetickou bezpečnost ve vztahu k Číně, firmy musí samy vyhledávat byznysové příležitosti a nabízet své služby státu ve vysoce kompetitivním prostředí.
Danowski se shodou okolností na firmu I-SOON a její úsilí o získání státních zakázek od ministerstva veřejné bezpečnosti a provinčních oddělení veřejné bezpečnosti zaměřila již v říjnu loňského roku, kdy se v čínském Čcheng-tu dostal k soudu spor mezi již známou hackerskou společností ve službách čínského státu Chengdu 404 a I-SOONem.
Výkonným ředitelem společnosti I-SOON je Wu Chaj-po (吴海波) alias shutdown, známý hacker „první generace“, nazývané „rudí hackeři“ (红客; Honker) nebo také „zelená armáda“ (绿色兵团). Tato generace, která začala svou činnost již v roce 1997, bývá označována jako „vlastenečtí hackeři“. V roce 2019 I-SOON obdržel certifikaci na dodávání technologií a vybavení pro Kancelář kybernetické bezpečnosti a obrany čínského ministerstva veřejné bezpečnosti (公安部网络安全保卫局). O rok později firma získala od ministerstva průmyslu a informačních technologií bezpečnostní prověrku druhého stupně, která ji opravňovala k „výzkumu a výrobě zbraní a zařízení pro státní bezpečnost“. Na základě toho poté získala zakázku v prefektuře Aksu v Ujgurské autonomní oblasti Sin-ťiang, pro niž pravděpodobně vyvíjela malware do mobilů k získávání přístupu k aplikacím a datům uživatelů.
Týmy analyzující kybernetické hrozby již dříve identifikovaly skupinu označovanou jako Earth Lusca operující z provincie S‘-čchuan, kde je jedna z klíčových poboček I-SOONu. Mezi cíli útoků této skupiny byly čínské společnosti provozující online hazard, vládní instituce na Tchaj-wanu, Filipínách, v Thajsku, Vietnamu, Spojených arabských emirátech, Mongolsku či v Nigérii, řada vzdělávacích institucí, médií, lidskoprávních organizací, ale také organizace zabývající se výzkumem covidu-19, nepálské telekomunikační společnosti, v ČLR zakázaná náboženská hnutí nebo platformy pro obchodování s kryptoměnami. Tyto cíle do značné míry korespondují s materiály I-SOONu. Přímé linky mezi I-SOONem a konkrétními čínskými hackerskými skupinami jsou zatím sporadické, únik nicméně odhalil jasné vazby mezi touto firmou a čínským státem a mnohé detaily o fungování ekosystému, v němž soukromé firmy soutěží o přízeň ústředních i lokálních vládních bezpečnostních institucí.
Arthur Kaufman pro China Digital Times shrnuje, že „uniklé dokumenty I-SOONu ukazují především na nestabilitu čínského ekosystému kybernetické špionáže“. Společnost měla zjevně finanční potíže kvůli nedostatku zakázek, což může naznačovat ekonomické problémy a korupci v tomto sektoru. To však neznamená, že by kybernetické útoky z Číny v budoucnu ustávaly, spíše naopak: nastavení tohoto ekosystému nutí firmy aktivně hledat příležitosti.