Дубинка на експорт - ForkLog: криптовалюти, ІІ, сингулярність, майбутнє

! img-b3664e36f08eeb00-10453436756907015# Експортний клуб

Як і чому Пекін допомагає авторитарним режимам контролювати інтернет

Слиті дані підтверджують: Пекін перейшов від внутрішньої цензури до активного експорту інструментів контролю. Китайські підрядники постачають готові інфраструктурні рішення для боротьби з інакомисленням в Пакистан, Ефіопію та М'янму

Однак головний висновок з недавніх витоків стосується не політики, а уразливості приватності кожного користувача мережі перед обличчям технології глибокої перевірки мережевих пакетів даних (DPI) нового покоління

ForkLog розібрався у витоках документів китайських технологічних компаній Geedge Networks та KnownSec

Анатомія витоку

Восени в відкритий доступ потрапили два великих масиви даних. Перший — 100 000 документів компанії Geedge Networks, що спеціалізується на мережевому моніторингу та цензурі. Другий — 12 000 файлів фірми KnownSec, пов'язаної з державною безпекою КНР.

Слив дає рідкісну можливість заглянути «під капот» індустрії кіберстеження. Якщо раніше експерти лише припускали наявність експортних версій Великого китайського файрвола, то тепер відомі технічні специфікації, архітектура і конкретні клієнти.

Geedge Networks — не просто IT-компанія. Вона тісно пов'язана з MESA Lab (державною лабораторією КНР) та Фан Бінсіном, якого називають батьком китайського файрволу. Утечі показують, що розробки, роками випробовувані на населення КНР, тепер упаковані в комерційний продукт для продажу за кордоном.

Великий файрвол у коробці

Головна розробка Geedge — система Tiangou Secure Gateway (TSG). Це апаратно-програмний комплекс, що встановлюється в дата-центрах інтернет-провайдерів. Він дозволяє аналізувати, фільтрувати та блокувати трафік в масштабах цілої країни.

Його архітектура модульна і надзвичайно ефективна:

1. Cyber Narrator — система моніторингу в реальному часі. Вона фіксує кожну дію користувача: відвідувані сайти, DNS-запити, IP-адреси, часові мітки та обсяг переданих даних. Це журнал активності всього населення.
2. TSG Galaxy — аналітичний центр. Сюди стікаються дані від Cyber Narrator. Система будує профілі користувачів, виявляє закономірності та соціальні графи.
3. Tiangou — пульт управління. Дозволяє операторам (співробітникам спецслужб або поліції) додавати ключові слова до чорного списку, блокувати домени та конкретних користувачів.

Система працює не тільки за IP-адресами. Використовується глибокий аналіз DPI. Якщо трафік зашифрований (HTTPS), система аналізує метадані та поведінкові патерни, щоб визначити тип переданої інформації.

Кейс М'янми: технології проти протесту

Утечка підтвердила географію поставок. Китай експортує модель державного контролю під ключ. У документах фігурують коди проектів для різних країн:

1. K18/K24 (Казахстан): активна фаза впровадження;
2. P19 (Пакистан): використовується для контролю соціальних заворушень;
3. M22 (М'янма): система розгорнута для придушення протестів після військового перевороту 2021 року.

Останній кейс найбільш показовий — підтверджена роль китайських технологій у придушенні громадянського невдоволення. Після військового перевороту нові влади зіткнулися з необхідністю контролю над інформаційним простором.

Документи Geedge підтверджують: компанія поставила інфраструктуру для міанманських провайдерів. Система моніторить 81 млн інтернет-з'єднань одночасно.

Що саме робить система в М'янмі:

• деанонімізація — виявлення користувачів VPN;
• блокування інструментів — внутрішні записи показують, що Geedge ідентифікувала та класифікувала 281 популярний VPN-сервіс (, включаючи ExpressVPN) та месенджери на кшталт Signal;
• динамічна фільтрація — в звітах зафіксовано перехід від «моніторингу» до «активної блокування» практично всіх засобів обходу за лічені місяці.

В М'янмі обладнання Geedge виявлено в дата-центрах оператора Frontiir та компанії Investcom. Це доводить, що технології подвійного призначення впроваджуються безпосередньо в цивільну телекомунікаційну інфраструктуру.

Скам-центри та глобальна загроза

Паралельно з державним шпигунством зростає загроза від кримінальних структур, які використовують ті ж сірі зони. У регіоні процвітають скам-центри — закриті території, звідки шахраї атакують користувачів по всьому світу.

США вже почали боротьбу з цією інфраструктурою, видали наказ про вилучення терміналів Starlink, які використовуються шахраями в М'янмі. Google, у свою чергу, подав до суду на операторів платформи Lighthouse, які займаються фішингом.

Однак поєднання слабкого правового захисту та наявності потужної технічної бази (поставленої ззовні) створює ідеальні умови для кіберзлочинності.

KnownSec: шпигунство та кіберзброя

Якщо Geedge займається «обороною» (цензурою), то витік KnownSec розкриває наступальні можливості. Документи містять інформацію про інструменти для зламу та віддаленого доступу до пристроїв на Windows, Linux, Android та iOS.

Ключові знахідки:

1. Масштаб крадіжки. Хакери повідомили про викрадення 95 ГБ даних імміграційної служби Індії та 3 ТБ записів дзвінків південно корейського оператора LG U Plus. У списках цілей — організації з 80 країн.
2. Інструментарій. Виявлено інструменти для витягування переписок з Telegram та Signal на заражених Android-пристроях.
3. Хардварні хаки. Згадуються «троянські» павербанки, які скачують дані зі смартфона при підключенні зарядки.
4. Використання ШІ. Зловмисники застосовували мовні моделі (, зокрема, Claude від Anthropic) для написання шкідливого коду та аналізу вкрадених даних, обходячи захисні механізми нейромереж.

Зворотна петля: обкатка на експорт

Технології не просто продаються — досвід їх використання за кордоном повертається в Китай для посилення внутрішнього контролю. Утечки вказують на те, що Geedge застосовує напрацювання з Пакистану та М'янми для модернізації систем стеження в Сіньцзяні та інших провінціях КНР.

В документах описуються такі експериментальні функції:

• соціальний скоринг — присвоєння користувачу рейтингу надійності. Базовий рівень — 550 балів. Якщо рейтинг не зростає (наприклад, без надання біометрії), доступ до інтернету обмежується;
• геофенсинг — створення віртуальних меж для конкретних користувачів на основі даних стільникових веж.

Висновки для кожного

Інформація про експорт китайської кіберзброї може здаватися далекою від звичайного користувача, який не живе в М'янмі чи Пакистані. Однак витоки руйнують кілька популярних міфів про цифрову безпеку:

1. HTTPS та шифрування — не панацея. Сучасні системи DPI, подібні до Tiangou, навчилися ефективно аналізувати зашифровані трафіки. Навіть якщо вони не бачать вміст пакета, то аналізують метадані: розмір, частоту запитів, таймінги. Це дозволяє з високою точністю визначати використання VPN, Tor або месенджерів, навіть якщо сам трафік нечитаємий.
2. VPN не приховує. Головне завдання систем типу Cyber Narrator — не просто заблокувати VPN, а помітити користувача. Факт звернення до засобів обходу сам по собі стає тригером для системи, поміщаючи юзера в групу «підозрільних». У М'янмі це призвело до прицільного полювання на тих, хто використовував конкретні додатки.
3. Поведенчий аналіз важливіший за ключові слова. Системи еволюціонували від пошуку слів до побудови графів зв'язків. Алгоритми аналізують, з ким ви спілкуєтеся, в які групи входите і як переміщаєтеся. Витік інформації показав плани щодо впровадження «рейтингу репутації» — автоматизованої системи, яка приймає рішення про блокування доступу на основі сукупності поведінкових факторів, а не одиничного порушення.
4. Апаратна загроза актуальна. Історія з «шпигунськими павербанками» нагадує, що небезпека не завжди походить з програмного коду. Підключення гаджета до неперевірених джерел живлення або USB-портів у громадських місцях несе реальний ризик фізичного злома.

Висновок

Утечки KnownSec і Geedge Networks підтвердили існування глобального ринку «цифрового авторитаризму». Китай пропонує режимам не лише обладнання, а й методи контролю.

Для рядового користувача це сигнал: епоха простого обходу блокувань закінчується. На зміну їй приходить протистояння з алгоритмами, здатними виявляти аномалії в зашифрованому трафіку та будувати профіль людини за непрямими ознаками. Приватність тепер вимагає не просто встановлення додатку, а розуміння того, які сліди залишає кожна дія в мережі.