專業傳承 在地記錄

安洵密件|揭曾盜職工盟資料入侵考評局 偽裝小米充電寶滲透 WiFi 系統

分享:

美聯社日前報道,中國網絡安全公司上海安洵信息機密文件外洩,顯示該公司曾對英、印、馬、泰、台、港等政府部門發動網絡攻擊。香港的前職工盟、中大、科大、電盈等也有資料外洩;文件顯示,有內地安保人員曾欲取職工盟的資料。科大、中大、教大、考評局、食環署回覆《集誌社》指未發現資料洩漏、被盜或黑客活動。中國外交部昨(22日)在例行記者會回應稱「不了解」情況。

公司簡介文件指,在 2013 年成立 APT(即進階持續性攻擊) 網絡滲透研究部門,曾參與公安境外專案。(GitHub 文件截圖)

《集誌社》在軟件開發平台 GitHub ,翻查上海安洵的外洩文件。綜合資料,安洵 2010 年在上海成立,2013 年成立 APT(即進階持續性攻擊) 網絡滲透研究部門、2015 年在四川成都成立「產品研發中心」,在 2018 年「參與公安部境外專項案件網絡攻堅」,又多次主辦公安系統網安培訓。

「偽裝成小米充電寶」滲透 WiFi 系統

根據安洵《產品手冊》和價單文件,公司提供竊取 Google 和 Microsoft 等「目標郵箱」權限、獲取郵件內容,三年價格為 240 萬人民幣(下同);攻擊、獲取目標人物 Twitter 權限;遠程控制目標電腦和手機,包括屏幕截圖、錄音、鍵盤記錄等;利用「偽裝成小米充電寶」或「超小型電路板」,滲透 WiFi 網絡截取用戶文件、定位、通話記錄等;進行自動化滲透和持續網絡攻擊,三年價格為 350 萬。

公司提供竊取 Google 和 Microsoft 等「目標郵箱」權限,三年價格為 240 萬人民幣;又用偽裝「小米充電寶」滲透 WiFi 網絡。(GitHub 文件截圖)

公司文件顯示 APT 團隊會進行「目標滲透服務」如情報偵查、數據和權限獲取,包括境外特定目標政府組織、境內外其他組織如「涉疆、涉港、涉台」,舉例指曾入侵印度外交部、國務部、財政部,尼泊爾外交、國防部門以及總統府,持續取得機密訊息。文件也顯示,印度僱員公職金組織 (EPFO) 會員姓名、身分證、銀行帳戶等逾 33GB 數據外洩;台灣政府有 459GB 各市建築物及全台國道 3D 模型數據外洩。

公司文件指 APT 團隊會進行「目標滲透服務」如情報偵查、數據和權限獲取等。(GitHub 文件截圖)

向新疆公安推銷對維吾爾族監控

根據一份列出公司在 2016 年至 2022 年期間、安洵與內地政府、尤其是公安部門,最少簽訂近百份合約協議,其中一份合約被定義為「秘密」,顯示解放軍 78012 部隊以 48 萬購入實訓、實戰平台。不少合約則被定義為「內部」,合約金額由近三萬至 330 萬不等。例如河口市公安局以 22 萬要求獲取四個郵箱數據、拉薩市公安局以 333 萬購入電腦遠程控制、郵件密取、Twitter 取證等平台和 WiFi 植入設備等。

另一份與新疆巴州公安局的合作協議文件顯示,安洵向公安局推銷為「反恐」提供技術支援,提到已控制多個國家內聯網和郵服,如巴基斯坦政府、反恐中心、多個警察局,阿富汗國家安全委員會郵服等,也針對敍利亞、烏茲別克斯坦、伊朗等特定組織進行滲透,可加強公安局對「維吾爾族恐怖行動」的監控和管理。

外洩文件包括一份在 2016 年至 2022 年期間、安洵與各部門簽訂合約協議的列表。(GitHub 文件截圖)

公司其中一份列表,列出了 79 項曾被入侵網絡權限的目標,包括馬來亞西、蒙古、泰國、越南、緬甸、印度政府,其中最少涉及 11 個香港政府部門和機構。政府部門有考評局和食環署,網站和辦公網權限被入侵,其中考評局涉及有姓名、郵箱和地址資料外洩。考評局回覆指局方資訊和網絡系統安全措施一直有效運作,未收到資料被盜或外洩報告,會持續加強資訊保安;食環署則回覆指資訊系統和網絡最近沒受到任何惡意入侵、沒有任何資料外洩事故。

文件指教大、科大等有數據外洩 教大指暫未發現

院校方面,香港東華學院、教育大學、科技大學、樹仁大學、中文大學的網站、辦公網、郵服權限被入侵。其中教育大學有 3.23GB 數據外洩,主要為「目標郵箱」數據文件;科大 2021 年部分院系 2.48GB 的文件和郵件外洩;樹仁大學在 2019 年 10 月至 2021 年 3 月期間有郵件和數據外洩,涉及校方高層如校長、中國聯絡處處長、高級行政助理等目標;中文大學在 2019 年底部分院系的姓名、院系訊息外洩。

教大回覆指網絡有多重防火牆和網絡安全設備保護,會定期檢視保安狀況,暫未發現有任何資料洩漏情況;科大回覆指經常提升網絡保安系統,過去數年被黑客攻擊的個案因而大幅減少,經調查後未發現 2021 年有任何資料外洩或被盜取;中大則回覆指未發現有證據顯示 2019 年有相關黑客活動,會繼續密切監察。

其中一份列表列出 79 項曾被入侵網絡權限的目標,包括 11 個香港政府部門和機構。(GitHub 文件截圖)

至於職工盟,文件顯示外洩資料包括 2020 至 21 年間,組織員工基本訊息如電話、郵箱、護照號碼、地址等。安洵員工對話截圖更顯示,2020 年 11 月有員工指「河源國保」治安支隊想取得職工盟資料(「國保」為公安部國內安全保衛部簡稱,已改名為政治安全保衛局),又指「治安就是專門搞這些案件」,但相關資料已給「廳」(公安廳)、「系統內是通的」,所以暫時不再提供。另外,民協人員名字、地址、公司訊息和身體情況等資料也涉外洩。

列表顯示 PCCW 在 2005 至 2016 年間,有 245MB 用戶數據包括姓名、地址、電話號碼、用戶密碼等外洩,和記電訊也被指有 5.54GB 用戶資料外洩。《集誌社》已向兩間公司查詢仍候回覆;私隱專員公署回覆查詢指沒收到相關資料外泄事故通報。

外交部:不了解情況

法新社記者在 22 日外交部例行記者會提問,指專家分析安洵涉入侵外國政府網絡、滲透社交媒體等,中國政府是否曾雇用其在境外開展黑客行動?外交部發言人毛寧回應指「不了解」所提到的情况,中方堅決反對、依法打擊各種形式的網絡攻擊行為。

安洵全名為上海安洵信息技術有限公司,2010年在上海成立,屬民營企業,大股東兼董事長為吳海波。根據公司在2021年的簡介資料,公司與中國互聯網企業、公安部門等建立戰略合作關係,主要客戶為大型國企、政府機構、國家執法部門、軍事機構等,為公共安全部門提供情報解決方案、信息安全服務等,業務覆蓋 31 個省市地區。根據美聯社報道,安洵兩名員工確認事件、指公司和內地警方正調查;安洵官網原列出的合作單位包括各地 55 個公安部門,但現已未能瀏覽,而上載至 GitHub 的文件現已被刪除。