资料照片：2024年2月20日，遭遇文件泄露事件的中国私人安全公司安洵位于成都子公司的办公室。（美联社照片）

中国警方正在调查一起未经授权且极不寻常的网络文件泄露，这些文件来自一家与中国最高警务机构和政府其他部门有联系的私人安全承包商，记录了明显的黑客活动以及监视中国人和外国人的工具。

涉事公司安洵（I-Soon）提供的工具的明显目标包括：发生过严重反政府抗议活动的地区的少数民族和持不同政见者，例如香港或穆斯林人口稠密的新疆地区。

安洵的两名员工证实了上周晚些时候大量文件的泄露以及随后的调查，该公司与中国公安部有联系。即便没有任何特别新颖或有效的工具被曝光，分析师也认为此次泄露十分严重，其中包括数百页的合同、营销演示、产品手册以及客户和员工名单。

它们详细揭示了中国当局用来监视海外异见人士、对其他国家进行黑客攻击以及在社交媒体上宣扬亲北京言论的方法。

这些文件显示，安洵显然对中亚和东南亚以及香港和自治的台湾岛的网络进行了黑客攻击，北京声称台湾是其领土。

中国国家特工使用这些黑客工具来发掘诸如“X”一类的中国境外社交媒体平台的用户身份，侵入电子邮件并隐藏海外特工的在线活动。这些文件还描述了一些伪装成电源板和电池的设备，可用于破坏Wi-Fi网络。

上文提及的两名安洵员工告诉美联社，该公司和中国警方正在调查这些文件是如何泄露的。其中一名员工表示，安洵周三（2月21日）就此次泄露事件召开了一次会议，他被告知这不会对业务造成太大影响，要“继续正常工作”。出于对可能遭到报复的担忧，美联社没有透露这些员工的名字，不过按照中国的惯例，他们确实提供了自己的姓氏。

泄漏文件的源头尚不清楚。中国外交部没有立即回应置评请求。

影响深远的泄露事件

网络安全公司“记录未来”（Recorded Future）的分析师乔恩·康德拉（Jon Condra）称，这是有史以来涉及“涉嫌为中国安全部门提供网络间谍活动和有针对性的入侵服务”的公司的最大的泄露事件。他说，根据泄露的材料，安洵的目标组织包括外国政府和电信公司，以及中国境内的在线赌博公司。

在这次包含190兆字节的泄露之前，安洵网站上有一个列出客户的页面，其中以公安部为首，包括11个省级安全部门和约40个市级公安部门。

另一个页面宣传了“高级持续性威胁”（advanced persistent threat）与“攻击和防御”的能力，使用了对“高级持续性威胁”的缩写APT——网络安全行业用它来描述世界上最复杂的黑客组织，而这个页面在周二上午之后就不可访问了。泄露的内部文件描述了安洵数据库，其中包含以黑客手段从世界各地的外国网络收集的数据，这些数据被作为宣传并出售给中国警方。

周二晚些时候，该公司的网站已经完全不可访问。安洵的一位代表拒绝了美联社的采访请求，并表示该公司将在未具体说明的未来某天发布正式声明。

根据中国公司记录，安洵于2010年在上海成立，并在其他三个城市设有子公司，其中一家位于成都，根据泄露的内部幻灯片资料，成都的子公司负责黑客攻击和研发。

安洵成都子公司周三照常营业。通往这家公司五层办公楼的小巷里，红色的春节灯笼在风中摇曳。员工们进进出出，在外面抽烟、喝着咖啡。办公楼里面贴着共产党党徽，上面写着：“保守党和国家秘密是每个公民应尽的义务。”

安洵的工具似乎被中国警方用来遏制海外社交媒体上的异议，并在这些平台上充斥亲北京的内容。当局可以直接监视中国社交媒体平台，并命令它们删除反政府的帖子。但他们在脸书（Facebook）或X等海外网站上缺乏这种能力，而数百万中国用户涌入这些网站以逃避国家监视和审查。

德国马歇尔基金会（German Marshall Fund）亚洲项目高级研究员马雷克·奥尔伯格（Mareike Ohlberg）表示：“中国政府对社交媒体监控和评论非常感兴趣。”她查看了此次泄露的一些文件。

奥尔伯格说，为了控制舆论并阻止反政府情绪，控制国内关键帖子至关重要。 她说：“中国当局非常有兴趣追踪位于中国的用户。”

谷歌Mandiant网络安全部门的首席威胁分析师约翰·胡尔特奎斯特（John Hultquist）表示，泄露文件的源头可能是“竞争对手的情报机构、心怀不满的内部人士，甚至是另一家与之竞争的承包商”。胡特奎斯特说，数据显示，安洵的赞助商还包括国家安全部和中国人民解放军。

很多目标，很多国家

一份泄露的合同草案显示，安洵正在向新疆警方推销“反恐”技术支持，以追踪中亚和东南亚的来自新疆的维吾尔人，并声称它可以访问来自蒙古、马来西亚、阿富汗和泰国等国家的被黑客入侵的航空公司、手机和政府数据。目前尚不清楚该合同是否已签署。

“我们看到很多针对与少数民族——藏族、维吾尔族——有关的组织的攻击。许多针对外国实体的攻击可以通过政府国内安全优先事项的视角来看待，”网络安全公司“一号哨兵”（SentinelOne）的中国分析师达科塔·卡里（Dakota Cary）表示。

他表示，这些文件看起来是真的，因为它们符合承包商代表中国安全机构就国内政治优先事项进行黑客攻击的预期。

卡里找到了一份电子表格，其中包含从受害者收集的数据存储库列表，并将14个政府列为目标，其中包括印度、印度尼西亚和尼日利亚。他说，这些文件表明，安洵主要支持公安部。

卡里还对2021年初攻击台湾卫生部以确定其COVID-19病例数这一事件感到震惊，一些黑客攻击的低成本也让他印象深刻。他说，这些文件显示，安洵向客户收取了55000美元的费用去攻击越南经济部。

美联社对这些数据的初步审查发现，尽管一些聊天记录提到了北约，但没有迹象表明任何北约国家被黑客成功攻击。但这并不意味着国家支持的中国黑客不会试图攻击美国及其盟友。卡里表示，如果泄密者在中国境内——这似乎是有可能的，“泄露有关黑客攻击北约的信息将非常非常具有煽动性”，这种风险会让中国当局对于查明黑客身份更加坚定。

网络安全公司ESET的恶意软件研究员马修·达坦（Mathieu Tartare）表示，该公司已将安洵与一个名为“鱼贩”（Fishmonger）的中国国家黑客组织联系起来，该公司积极追踪该组织，并在该组织在学生抗议期间入侵香港大学后于2020年1月对此进行了报道。他说，自2022年以来，该黑客组织已将亚洲、欧洲、中美洲和美国的政府、非政府组织和智库作为目标。

法国网络安全研究员巴蒂斯特·罗伯特（Baptiste Robert）也梳理了这些文件，并表示安洵似乎找到了一种方法来破解X上的帐户，即使这些帐户具有双因素身份验证，以及另一种用于分析电子邮件收件箱的方法。他表示，美国网络运营商及其盟友是安洵泄漏事件的潜在嫌疑人，因为揭露中国国家黑客行为符合他们的利益。

美国网络司令部发言人不愿就国家安全局或网络司令部是否参与此次泄露事件发表评论。X的新闻办公室回复电子邮件称：“现在很忙，请稍后再来询问。”

近年来，包括美国在内的西方政府已采取措施阻止中国对海外的政府批评者进行监视和骚扰。关注中国人权的倡导组织“保护卫士”（Safeguard Defenders）的活动总监劳拉·哈思（Laura Harth）表示，这种策略让海外的中国人和外国公民对中国政府产生恐惧，压制批评并导致自我审查。他说：“它们是一种迫在眉睫的威胁，始终存在且很难摆脱。”

去年，美国官员对被派去骚扰海外中国异见人士的家人并在网上传播亲北京内容的40名中国警察提出指控。 哈思说，起诉书描述的策略与安洵文件中详细描述的策略类似。中国官员指责美国也进行类似活动。包括联邦调查局局长克里斯托弗·雷（Christopher Wray）在内的美国官员最近控诉中国国家黑客植入可用于破坏民用基础设施的恶意软件。

中国外交部发言人毛宁周一表示，美国政府长期以来一直在努力破坏中国的关键基础设施。她要求美国“停止利用网络安全问题抹黑其他国家”。

相关报道：

近日，在国际程式码分享平台GitHub上，有匿名人士上传大批疑似上海安洵信息公司（I-SOON）的内部资料，涉及销售合同、报价、销售对象、员工微信对话等。其中，有关文件还包括有关与50多个中国公安部门等警企合作，和30多个中国政府机构、国企等合作清单。在数份excel文件中，相关信息还列出疑似安洵公司过去曾攻击的目标及曾窃取的数十个国家、上百个政府部门、军政情报单位、电讯供应商、航空公司、大学等数据文件。

在GitHub上可见“上海安洵信息内幕”、“上海安洵信息不靠谱，坑国家政府机关”、“安洵背后的真相”、“安洵忽悠国家安全机关”、“安洵渗透海外政府部门包括印、泰、越、韩、北约”等内容。

截至目前，本台尚无法独立核实上述信息的真实性。

台湾的法律科技协会理事长、海洋大学法政学院教授江雅绮接受自由亚洲电台采访指出，从外泄文件中可见中国政府透过骇客公司向西方民主国家及周遭国家进行渗透的情况：“包括渗透的国家、单位，渗透或攻击的方法，证实中国政府长期透过民间公司去执行渗透、攻击他国的行动。资安是没有硝烟的战争，就算系统已被植入木马或间谍软体，若还未开始发动攻击，被攻击单位不见得能发现。台湾应意识到资安的重要性和防范的重要性。”

安洵疑外泄国家安全机关员工微信对话

点进GitHub中的“安洵忽悠国家安全机关”话题可见，疑似安洵员工微信对话截图泄露了一些日常运作和资讯取得、买卖情况。其中，中国公安部门是合作大户，时间为2020年11月和2022年1月两段区间。上述泄露的资料还出现买卖和相关信息保密期等对话。


“上海安洵”官网列出“警企合作”名单，涉及中国各地公安部门多达55个。（“上海安洵”官网截图）



此外，“香港”也是微信对话提到的关键字。而在员工对话中，“新疆”则是重点买卖情资。

根据中国的“企查查”网介绍，安洵信息是一家专注于信息安全的技术型企业，提供风险评估、代码审计、安全加固、安全运维、应急响应、渗透测试和APT攻击防护等服务。

但台湾的资安工作者吴伊婷接受自由亚洲电台采访指出，安洵的属性似乎并不简单。

安洵属性及运作成疑

在GitHub平台披露的“安洵渗透海外政府部门”列表内容包括：印度政府总统府、内政部、出入境数据表、固话户基础信息等；马来西亚的外交部、内政部、军网，蒙古的电信、外交部、警察局；阿富汗航空的乘客讯息；巴基斯坦反恐中心邮服数据、外交部礼宾司信息；吉尔吉斯坦运营商；尼泊尔政府、电信；泰国政府财政部、参议院、国家情报局、国内贸易部、国务委员办公室；土耳其科技数据表；埃及政府网；法国巴黎政治学院；印度尼亚西外交部；越南政府人民法院；缅甸政府部门邮政、通讯公司；韩国运营商、人口数据；香港出入境管理局 、职工盟、各大学、民主民生协进会等；台湾的台大医院病人比例数据、VIBO通讯公司用户表、政府道路信息数据、台湾大学应用力学研究所、淡江大学、圆桌教育基金会用户表等。

吴伊婷研判，上述有关疑似安洵被外泄的资料真实性较高，例如当中提到台大医院的医疗资料、台湾电信公司威宝（Vibo）、马来西亚政府部门等。这些单位过去都曾传出被骇，相关资料如今显示“没有权限”、“权限丢失”、“权限归属不明”，意味漏洞可能已修复。

吴伊婷说：“比较特别的，安洵应该有跟国外的骇客买一些可能别的骇客单位去入侵拿到的资料，或各种方式搜集到一些网路上公开泄露出来的骇客资料。”

吴伊婷认为，上述资料的重点在国安部门或重要情治单位，学校的价值较低，看来业者心态是“能搜就搜”，可见客户的需求以情报资料为主，业者会因应客户去订制这些资料。而中国国保、公安透过和民间业者、骇客组织“买资料”，若东窗事发可撇清责任。

专家：网路佣兵、骇客公司、仲介资料

台湾的国防安全研究院副研究员曾怡硕接受自由亚洲电台采访表示，上海安洵公司如同“网路的佣兵”，骇进他们熟悉的中国制设备，如公共基础设施、道路系统、通讯资讯网路设施相对容易。

至于中国国保、公安等部门是否借此向民间采购情报的问题，曾怡硕说，“高手在民间，会外包给外面的骇客，彼此签合约，可能有开标案你要去竞标。都属于网路佣兵。那些被骇的国家部门，如果采用中国的网络监视系统、医院的资讯管理系统，如采购华为基础设施，没有更改密码，网路佣兵有机可乘，轻易破解畅行无阻，再将窃取的资料回传。”

曾怡硕分析，中国的有关公司可能接受政府、公安部委托监控渗透到其他国家，可能意图是监控海外的异议人士。如果国安部要他们去渗透其他国家政府部门，可能要了解其他国家政要的资讯以及他国安全政策的走向和内部利益、其他商业机密、商业情报，不同部门有不同需求，开不同案子，希望他们能拿回什么样的资料。这些网路佣兵主要看钱办事，契约关系，没有忠于国家的道德高度，窃取到的资料待价而沽。中国业者比较不会将资讯卖到他国，因为受政府高度监控，被发现情资外泄会相当不利其人身安全。