近日,在国际程式码分享平台GitHub上,有匿名人士上传大批疑似上海安洵信息公司(I-SOON)的内部资料,涉及销售合同、报价、销售对象、员工微信对话等。其中,有关文件还包括有关与50多个中国公安部门等警企合作,和30多个中国政府机构、国企等合作清单。在数份excel文件中,相关信息还列出疑似安洵公司过去曾攻击的目标及曾窃取的数十个国家、上百个政府部门、军政情报单位、电讯供应商、航空公司、大学等数据文件。
在GitHub上可见“上海安洵信息内幕”、“上海安洵信息不靠谱,坑国家政府机关”、“安洵背后的真相”、“安洵忽悠国家安全机关”、“安洵渗透海外政府部门包括印、泰、越、韩、北约”等内容。
截至目前,本台尚无法独立核实上述信息的真实性。
台湾的法律科技协会理事长、海洋大学法政学院教授江雅绮接受自由亚洲电台采访指出,从外泄文件中可见中国政府透过骇客公司向西方民主国家及周遭国家进行渗透的情况:“包括渗透的国家、单位,渗透或攻击的方法,证实中国政府长期透过民间公司去执行渗透、攻击他国的行动。资安是没有硝烟的战争,就算系统已被植入木马或间谍软体,若还未开始发动攻击,被攻击单位不见得能发现。台湾应意识到资安的重要性和防范的重要性。”
安洵疑外泄国家安全机关员工微信对话
点进GitHub中的“安洵忽悠国家安全机关”话题可见,疑似安洵员工微信对话截图泄露了一些日常运作和资讯取得、买卖情况。其中,中国公安部门是合作大户,时间为2020年11月和2022年1月两段区间。上述泄露的资料还出现买卖和相关信息保密期等对话。
此外,“香港”也是微信对话提到的关键字。而在员工对话中,“新疆”则是重点买卖情资。
根据中国的“企查查”网介绍,安洵信息是一家专注于信息安全的技术型企业,提供风险评估、代码审计、安全加固、安全运维、应急响应、渗透测试和APT攻击防护等服务。
但台湾的资安工作者吴伊婷接受自由亚洲电台采访指出,安洵的属性似乎并不简单。
安洵属性及运作成疑
在GitHub平台披露的“安洵渗透海外政府部门”列表内容包括印度政府总统府、内政部、出入境数据表、固话户基础信息等;马来西亚的外交部、内政部、军网,另外还有蒙古、阿富汗、巴基斯坦、吉尔吉斯斯坦、泰国、土耳其、香港、台湾等政府、企业、学术机构的信息。
吴伊婷研判,上述有关疑似安洵被外泄的资料真实性较高,例如当中提到台大医院的医疗资料、台湾电信公司威宝(Vibo)、马来西亚政府部门等。这些单位过去都曾传出被骇,相关资料如今显示“没有权限”、“权限丢失”、“权限归属不明”,意味漏洞可能已修复。
吴伊婷说:“比较特别的,安洵应该有跟国外的骇客买一些可能别的骇客单位去入侵拿到的资料,或各种方式搜集到一些网路上公开泄露出来的骇客资料。”
吴伊婷认为,上述资料的重点在国安部门或重要情治单位,学校的价值较低,看来业者心态是“能搜就搜”,可见客户的需求以情报资料为主,业者会因应客户去订制这些资料。而中国国保、公安透过和民间业者、骇客组织“买资料”,若东窗事发可撇清责任。
专家:网路佣兵、骇客公司、仲介资料
台湾的国防安全研究院副研究员曾怡硕接受自由亚洲电台采访表示,上海安洵公司如同“网路的佣兵”,骇进他们熟悉的中国制设备,如公共基础设施、道路系统、通讯资讯网路设施相对容易。
至于中国国保、公安等部门是否借此向民间采购情报的问题,曾怡硕说,“高手在民间,会外包给外面的骇客,彼此签合约,可能有开标案你要去竞标。都属于网路佣兵。那些被骇的国家部门,如果采用中国的网络监视系统、医院的资讯管理系统,如采购华为基础设施,没有更改密码,网路佣兵有机可乘,轻易破解畅行无阻,再将窃取的资料回传。”
曾怡硕分析,中国的有关公司可能接受政府、公安部委托监控渗透到其他国家,可能意图是监控海外的异议人士。如果国安部要他们去渗透其他国家政府部门,可能要了解其他国家政要的资讯以及他国安全政策的走向和内部利益、其他商业机密、商业情报,不同部门有不同需求,开不同案子,希望他们能拿回什么样的资料。这些网路佣兵主要看钱办事,契约关系,没有忠于国家的道德高度,窃取到的资料待价而沽。中国业者比较不会将资讯卖到他国,因为受政府高度监控,被发现情资外泄会相当不利其人身安全。
记者:夏小华 责编:许书婷、何平 网编:瑞哲
来源:RFA