Massives Leck zeigt, wie ein chinesisches Unternehmen die Große Firewall in die Welt exportiert

Aus dem Durchsickern von mehr als 100.000 Dokumenten geht hervor, dass ein wenig bekanntes chinesisches Unternehmen heimlich Zensursysteme an Regierungen auf der ganzen Welt verkauft hat, die offenbar der Großen Firewall nachempfunden sind.

Geedge Networks, ein 2018 gegründetes Unternehmen, zu dessen Investoren der „Vater“ der massiven chinesischen Zensurinfrastruktur zählt, präsentiert sich als Anbieter von Netzwerküberwachung und bietet seinen Kunden professionelle Cybersicherheitstools, um „umfassende Transparenz zu schaffen und Sicherheitsrisiken zu minimieren“, wie aus den Dokumenten hervorgeht. Tatsächlich fanden Forscher heraus, dass das Unternehmen ein ausgeklügeltes System betreibt, das es Nutzern ermöglicht, Online-Informationen zu überwachen, bestimmte Websites und VPN-Tools zu blockieren und bestimmte Personen auszuspionieren.

Forscher, die das durchgesickerte Material überprüften, fanden heraus, dass das Unternehmen in der Lage ist, erweiterte Überwachungsfunktionen in eine kommerzielle Version der Great Firewall zu integrieren – eine Komplettlösung mit Hardware, die in jedem Telekommunikations-Rechenzentrum installiert werden kann, und Software, die von lokalen Behördenmitarbeitern betrieben wird. Die Dokumente diskutieren auch gewünschte Funktionen, an denen das Unternehmen arbeitet, wie etwa die Möglichkeit, Cyberangriffe gegen Bezahlung durchzuführen und bestimmte Nutzer zu geofencing.

Den durchgesickerten Dokumenten zufolge ist Geedge bereits in Kasachstan, Äthiopien, Pakistan und Myanmar sowie einem weiteren nicht genannten Land tätig. Einer öffentlichen Stellenausschreibung zufolge sucht Geedge auch nach Ingenieuren, die für Ingenieursarbeiten in andere Länder reisen können, darunter auch in mehrere Länder, die in den durchgesickerten Dokumenten nicht genannt werden, wie WIRED herausgefunden hat.

Die Dateien, darunter Jira- und Confluence-Einträge, Quellcode und Korrespondenz mit einer chinesischen akademischen Einrichtung, beinhalten hauptsächlich interne technische Dokumentationen, Betriebsprotokolle und Mitteilungen zur Problemlösung und Erweiterung von Funktionen. Die durch ein anonymes Leck bereitgestellten Dateien wurden von einem Konsortium aus Menschenrechts- und Medienorganisationen untersucht, darunter Amnesty International, InterSecLab, Justice For Myanmar, Paper Trail Media, The Globe and Mail, das Tor-Projekt, die österreichische Zeitung Der Standard und Follow The Money.

„Das ist nicht vergleichbar mit der rechtmäßigen Überwachung, die jedes Land, auch die westlichen Demokratien, praktiziert“, sagt Marla Rivera, technische Forscherin bei InterSecLab, einem globalen Forschungsinstitut für digitale Forensik. Neben der Massenzensur ermöglicht das System Regierungen auch, bestimmte Personen anhand ihrer Website-Aktivitäten, beispielsweise des Besuchs einer bestimmten Domain, ins Visier zu nehmen.

Das Überwachungssystem, das Geedge verkauft, „gibt der Regierung so viel Macht, die eigentlich niemand haben sollte“, sagt Rivera. „Das ist sehr beängstigend.“

Kernstück von Geedges Angebot ist ein Gateway-Tool namens Tiangou Secure Gateway (TSG), das für den Einsatz in Rechenzentren konzipiert ist und laut Dokumenten so skaliert werden könnte, dass es den Internetverkehr eines ganzen Landes verarbeiten kann. Laut Forschern läuft jedes Datenpaket des Internetverkehrs durch das Tool und kann dort gescannt, gefiltert oder ganz gestoppt werden. Neben der Überwachung des gesamten Datenverkehrs ermöglicht das System laut Dokumenten auch die Einrichtung zusätzlicher Regeln für verdächtige Benutzer und die Erfassung ihrer Netzwerkaktivitäten.

Bei unverschlüsseltem Internetverkehr kann das System laut den geleakten Dokumenten sensible Informationen wie Website-Inhalte, Passwörter und E-Mail-Anhänge abfangen. Ist der Inhalt ordnungsgemäß über das Transport Layer Security-Protokoll verschlüsselt, extrahiert das System mithilfe von Deep Packet Inspection und maschinellem Lernen Metadaten aus dem verschlüsselten Datenverkehr und prognostiziert, ob dieser über ein Tool zur Umgehung von Zensur wie ein VPN läuft. Kann das System den Inhalt des verschlüsselten Datenverkehrs nicht unterscheiden, kann es ihn auch als verdächtig kennzeichnen und für einen bestimmten Zeitraum blockieren.

Ein Screenshot des Geedge-Dashboards für Myanmar zeigt, dass das System 81 Millionen Internetverbindungen gleichzeitig überwacht. Theoretisch lässt sich die Leistung mit mehr Hardware noch weiter steigern, so die Forscher von InterSecLab. Weitere Dokumente belegen, dass Geedges Geräte bis Februar 2024 in 26 Rechenzentren von 13 Internetdienstanbietern in Myanmar installiert waren. Frontiir, ein lokaler Telekommunikationsanbieter in Myanmar, bestritt zuvor, „irgendetwas im Zusammenhang mit Überwachung gebaut, geplant oder entworfen“ zu haben. Aus dem Leck ging jedoch hervor, dass das Unternehmen in seinem Rechenzentrum Geedge-Geräte installiert hatte. Investcom, ein Joint Venture zwischen burmesischen und libanesischen Telekommunikationsunternehmen, sagte, es sei sich „der Behauptungen im Zusammenhang mit Technologien von Drittanbietern in Myanmar bewusst“, weigerte sich jedoch in einer schriftlichen Antwort an die Forscher von Justice for Myanmar, „die Existenz von Systemen von Drittanbietern weder zu bestätigen noch zu dementieren“.

Geedge bietet Zensurlösungen aus einer Hand an, darunter auch Internet-Gateway-Hardware. Laut InterSecLab verwendete Geedge ursprünglich westliche Geräte von HP und Dell, wechselte später jedoch zu Hardware chinesischer Hersteller, um möglichen Sanktionen zu entgehen.

Ein weiteres grundlegendes Produkt von Geedge ist Cyber ​​Narrator, die zentrale Benutzeroberfläche, über die auch technisch nicht versierte Regierungskunden in Echtzeit und aus der Vogelperspektive auf die von Tiangou Secure Gateway überwachten Daten zugreifen können, wie Dokumente zeigen. Screenshots des Systems, die im Leak gefunden wurden, zeigen, dass die Betreiber von Cyber ​​Narrator den geografischen Standort jedes mobilen Internetnutzers anhand seiner Mobilfunkverbindungen erkennen und analysieren können, ob der Nutzer über VPN-Dienste auf das Internet zugreift.

Im Fall von Myanmar zeigen interne Aufzeichnungen, dass Geedge 281 beliebte VPN-Tools identifiziert hat, inklusive ihrer technischen Spezifikationen, Abonnementpreise und Angaben dazu, ob sie in Myanmar genutzt werden können. Ein separates Dokument identifizierte 54 Apps, die mit höherer Priorität blockiert werden sollten. Die Priorisierungsliste der Tools umfasst hauptsächlich beliebte kommerzielle Dienste wie ExpressVPN sowie Signal , die verschlüsselte Messaging-App.

Die Dokumente zeigen, dass Geedges technische Fähigkeiten rasant wachsen. „Ich habe mir die Tests durchgelesen und festgestellt, dass sie von der Blockierung der meisten VPNs auf die Blockierung fast aller VPNs innerhalb weniger Monate gestiegen sind“, sagt Rivera. Grundlage dafür seien Ergebnisse von Wissenschaftlern, mit denen das Unternehmen zusammenarbeitet.

Die geleakten Dokumente enthalten zwar keine Geschäftsverträge, nennen aber kryptische Codenamen der Kunden. Forscher konnten vier der ausländischen Regierungskunden in Kasachstan (K18 und K24), Pakistan (P19), Äthiopien (E21) und Myanmar (M22) identifizieren. Dazu durchsuchten sie die Dokumente nach Hinweisen auf die geografischen Standorte der Rechenzentren, verfolgten internationale Frachtaufzeichnungen von Geedge in andere Länder und griffen auf frühere Berichte über die Beteiligung chinesischer Unternehmen am Verkauf von Zensursoftware zurück. Zusätzlich wird ein Kunde mit dem Code A24 erwähnt, es gibt jedoch keine ausreichenden Beweise dafür, worauf sich dieser bezieht.

Geedges öffentliche Stellenbewerbungen könnten weitere Informationen zu seinen potenziellen Expansionsplänen liefern. Über eine externe Jobvermittlungsplattform in China stellt Geedge einen erfahrenen Betriebs- und Wartungsingenieur für die Wartung der Systeme in den Belt and Road-Ländern ein. Laut Stellenausschreibung könnte der Einsatz drei bis sechs Monate außerhalb Chinas erfordern und unter anderem nach Pakistan, Malaysia, Bahrain, Algerien und Indien reisen. Unabhängig davon suchte das Unternehmen im März auch spanisch- und französischsprachige Übersetzer, die Geedges Auslandsgeschäfte unterstützen könnten.

In Pakistan beispielsweise zeigt ein Dokument zur Lizenzerneuerung, dass die Geedge-Dienste, einschließlich der Funktionen zur Überwachung von Echtzeitstatistiken und zur Speicherung von E-Mail-Informationen, im Oktober 2024 an die pakistanische Telekommunikationsbehörde lizenziert wurden. Ein weiteres Jira-Supportticket zeigt das Beispiel einer abgefangenen E-Mail mit vollständigem Inhalt, Betreff, Protokoll, Anhang, Namen von Absender und Empfänger sowie den beteiligten IP-Adressen.

Forscher gehen davon aus, dass einige Mitarbeiter von Geedge auf vom Kunden abgefangene Informationen zugreifen können, was für die Regierungen der Kunden ein Risiko für die nationale Sicherheit darstellen könnte.

Geedges Erfahrungen in Pakistan zeigen auch, dass das Unternehmen Produkte auf interoperabler Ausrüstung entwickelt, um unterschiedliche Kunden anzusprechen. Vor Geedges Ankunft in Pakistan hatte das Land mit Sandvine zusammengearbeitet, einem kanadischen Unternehmen, das Deep-Packet-Inspection-Geräte lieferte, bevor es sich aufgrund von US-Sanktionen zurückzog. Nach dem Rückzug von Sandvine verblieb die Hardware laut dem Leak in pakistanischen Rechenzentren. Geedge zog ein, um die bestehende Infrastruktur umzufunktionieren, wie die Dokumente zeigen, und bot einen Übergang zu einem neuen Zensurregime an – eines, das letztendlich auf in China hergestellter Hardware laufen sollte.

Die Fähigkeit und Bereitschaft des Unternehmens, mit der von Sandvine zurückgelassenen Hardware zu arbeiten, sollte Ländern, die Exportlizenzen für sensible Technologien erteilen, eine Warnung sein, sagt Jurre van Bergen, Technologe bei der Menschenrechtsorganisation Amnesty International: „Sobald die Hardware exportiert ist, bleibt sie dort, und sie wird in irgendeiner Form wiederverwendet. Ich denke, das zeigt, wie grenzenlos die Sanktionen sind.“

Die Forscher weisen darauf hin, dass das Leck keine tatsächlichen Dokumente enthält, die beweisen, dass Geedges System für die Internetzensur in einem bestimmten Land verantwortlich ist. Wichtige Betriebsänderungen in den technischen Protokollen von Geedge korrespondieren jedoch mit bemerkenswerten Ereignissen. In Äthiopien beispielsweise wurde das System „nur wenige Tage vor der Internetabschaltung“ im Februar 2023 von einem Modus zur passiven Überwachung des Datenverkehrs auf einen Modus umgestellt, der den Datenverkehr aktiv stoppen kann, so Rivera. Insgesamt zeigt das Leck 18 Fälle, in denen das Geedge-Gateway-System in Äthiopien von passiver Überwachung auf aktive Eingriffe umschaltete – auf Kosten einer Verlangsamung der Dienste.

Gleichzeitig hat der kanadische VPN-Dienst Psiphon, der Dokumenten zufolge von Geedges System angegriffen werden kann, die Erkenntnisse aus dem Leck bestätigt. Er hat etwa zur gleichen Zeit, als Geedge dort eingesetzt wurde, Veränderungen im Nutzerverhalten in Myanmar beobachtet, die durch massive Blockaden auf der Ebene der Internetdienstanbieter verursacht werden können.

Obwohl Geedge Networks außerhalb und innerhalb Chinas unbekannt ist, unterhält das Unternehmen enge Verbindungen zu den Kräften, die Chinas umstrittenes Filter- und Sperrsystem, heute bekannt als die Große Firewall, aufgebaut haben. Als Geedge Networks 2018 gegründet wurde, firmierte es noch unter dem Namen Zhongdian Jizhi, was seine Verbindung zur China Electronics Corporation (CEC) verdeutlicht, einem riesigen staatlichen Konglomerat mit engen Verbindungen zum Militär und den Sicherheitsdiensten des Landes. (Zhongdian ist die chinesische Abkürzung für CEC.) CEC wurde 2020 von der US-Regierung sanktioniert.

Eine weitere Verbindung zwischen den beiden Unternehmen ist Fang Binxing , ein chinesischer Informatiker, der oft als „Vater der Großen Firewall“ bezeichnet wird, da er die frühe Entwicklung des Zensursystems leitete. Fangs Arbeit erreichte im Wesentlichen das, was der ehemalige US-Präsident Bill Clinton damit verglich, Wackelpudding an die Wand zu nageln: die Kontrolle über eine Technologie, die allen Menschen gleichen Zugang zu Informationen gewähren sollte. Mit der Weiterentwicklung der Technologie wurde auch die Große Firewall immer höher gebaut. Sie blockiert effektiv die Mehrheit der Chinesen am Zugriff auf Informationen, die von der chinesischen Regierung als politisch nicht akzeptabel erachtet wurden – unabhängig davon, ob sie Computer, Telefone oder sogar Spitzentechnologie wie KI-Modelle nutzten.

Im Jahr 2019, als Fang noch als leitender Wissenschaftler des CEC tätig war, wurde er Investor des Unternehmens Jicheng (Hainan) Technology Investment und hielt laut chinesischen Unternehmensdatenbanken einen Anteil von 40 Prozent. Jicheng ist Investor bei Geedge Networks und hat mit diesem Unternehmen die gleiche Führungsspitze. Im Jahr 2024 gründete Fang mit Hilfe von Geedge ein neues Forschungsstudio für Cybersicherheit, berichtete das chinesische Staatsmedium Xinhua .

Geedge exportiert nicht nur chinesische Zensur ins Ausland, sondern reimportiert auch im Ausland gewonnene Erkenntnisse, um die Repression im Inland zu verfeinern, wie Aufzeichnungen zeigen. Jahre nachdem Geedge Technologien an andere Länder verkauft hatte, begann das Unternehmen, auch chinesische Provinzregierungen für ihre spezifischen Bedürfnisse ins Visier zu nehmen. Erster Stopp: Xinjiang.

Die Region, in der Millionen uigurischer Muslime leben, wurde in den letzten zehn Jahren von der chinesischen Regierung intensiv digital überwacht. Durchgesickerte Dokumente von Geedge zeigen, dass das Unternehmen mit chinesischen Forschungseinrichtungen zusammenarbeitet, um die dortigen Überwachungssysteme auszubauen. Im Skript einer Rede, die 2024 vor der Xinjiang-Zweigstelle der Chinesischen Akademie der Wissenschaften gehalten wurde und das im Leak gefunden wurde, heißt es, dass sich „die nationale (Firewall) von einem zentralisierten zu einem verteilten Modell entwickelt“. Fotos im Leak zeigen, dass das Unternehmen Studierende des Massive and Effective Stream Analysis (Mesalab), einem Forschungslabor der Chinesischen Akademie der Wissenschaften, eingeladen hat, Geedges Serverraum in Xinjiang zu besuchen.

Dieser Einsatz in der Provinz Xinjiang, im Leck als J24 kodiert, begann 2024 nach einem ersten Testprogramm. Wie in anderen Ländern sind die Geedge-Betriebszentren in die Telekommunikations-Dateneinrichtungen in Xinjiang eingebettet.

Inzwischen hat Geedge laut den durchgesickerten Unterlagen auch in zwei anderen chinesischen Provinzen, Fujian und Jiangsu, Pilotprojekte durchgeführt. Screenshots und andere Dokumente dieser Projekte zeigen, dass der Schwerpunkt des Systems auf der Erkennung von Finanzbetrugs-Websites lag, die in den ostchinesischen Küstenprovinzen häufiger vorkommen.

Neben der Erfassung von Verkehrsinformationen im großen und individuellen Maßstab erforschte das Xinjiang-Projekt auch einige experimentelle Funktionen. Eine Liste wünschenswerter Funktionen aus dem Leak zeigt, dass Geedge Cyber ​​Narrator aktualisieren wollte, um Beziehungsdiagramme zwischen Nutzern zu erstellen und Einzelpersonen nach den von ihnen genutzten Apps zu gruppieren. Außerdem ist geplant, den Standort eines Nutzers über Mobilfunkstationen zu triangulieren und Geofences für bestimmte Nutzer zu erstellen, wie Aufzeichnungen zeigen.

Ein weiterer im Leak gefundener Prototyp wird als individueller „Reputationswert“ beschrieben. Jeder Internetnutzer erhält einen Basiswert von 550, der durch die Authentifizierung seiner persönlichen Daten, einschließlich Personalausweis, Gesichtserkennungsdaten und Beschäftigungsdaten, erhöht werden kann. Steigt der Reputationswert eines Nutzers nicht über 600, kann er nicht mehr auf das Internet zugreifen.

Es ist unklar, ob diese Funktionen realisiert und in die in China und im Ausland eingesetzten Überwachungssysteme von Geedge integriert wurden.

Geedges anhaltende Versuche, Informationen über Einzelpersonen auszuspähen, seien besonders besorgniserregend, da das Unternehmen auch in der Lage sei, Schadsoftware in den Internetverkehr von Nutzern einzuschleusen, sagt Lea Horne, eine weitere Forscherin bei InterSecLab. „So lässt sich eine Person viel einfacher ins Visier nehmen. Anstatt zu erraten, welche Website sie besucht, die kein HTTPS unterstützt, kann man sich einfach ihre gesamten Internetaktivitäten ansehen, eine Website finden, die nicht regelmäßig eine sichere Internetverbindung nutzt, und diese Website beim nächsten Besuch mit Schadsoftware füllen“, sagt sie. Und obwohl einige Funktionen in China getestet wurden, kann jeder ausländische Kunde, sobald die Technologie ausgereift ist, dieselben Funktionen über ein einfaches Software-Update in seinen Systemen anfordern.