Groot lek laat zien hoe een Chinees bedrijf de Great Firewall naar de wereld exporteert

Uit een lek van meer dan 100.000 documenten blijkt dat een relatief onbekend Chinees bedrijf in het geheim censuursystemen verkoopt aan overheden over de hele wereld, die lijken op de Great Firewall .

Geedge Networks, een bedrijf opgericht in 2018 dat de "vader" van China's enorme censuurinfrastructuur tot zijn investeerders rekent, profileert zich als een aanbieder van netwerkmonitoring en biedt cybersecuritytools van zakelijke kwaliteit om "volledig inzicht te krijgen en beveiligingsrisico's te minimaliseren" voor zijn klanten, zo blijkt uit de documenten. Onderzoekers ontdekten zelfs dat het een geavanceerd systeem hanteert waarmee gebruikers online informatie kunnen monitoren, bepaalde websites en VPN-tools kunnen blokkeren en specifieke personen kunnen bespioneren.

Onderzoekers die het gelekte materiaal hebben bestudeerd, ontdekten dat het bedrijf geavanceerde bewakingsmogelijkheden kan bundelen in wat neerkomt op een gecommercialiseerde versie van de Grote Firewall: een complete oplossing met zowel hardware die in elk telecomdatacenter kan worden geïnstalleerd als software die wordt beheerd door lokale overheidsfunctionarissen. De documenten bespreken ook de gewenste functies waaraan het bedrijf werkt, zoals cyberaanvallen voor huur en geofencing van bepaalde gebruikers.

Volgens de gelekte documenten is Geedge al actief in Kazachstan, Ethiopië, Pakistan en Myanmar, evenals in een ander onbekend land. Uit een openbare vacature blijkt dat Geedge ook op zoek is naar ingenieurs die naar andere landen kunnen reizen voor ingenieurswerk, waaronder naar verschillende landen die niet in de gelekte documenten worden genoemd, zo heeft WIRED ontdekt.

De bestanden, waaronder Jira- en Confluence-gegevens, broncode en correspondentie met een Chinese academische instelling, bestaan ​​voornamelijk uit interne technische documentatie, operationele logs en communicatie om problemen op te lossen en functionaliteiten toe te voegen. De bestanden, die via een anoniem lek beschikbaar kwamen, werden bestudeerd door een consortium van mensenrechten- en mediaorganisaties, waaronder Amnesty International, InterSecLab, Justice For Myanmar, Paper Trail Media, The Globe and Mail, het Tor Project, de Oostenrijkse krant Der Standard en Follow The Money.

"Dit is niet te vergelijken met de legale afluisterpraktijken die elk land toepast, inclusief westerse democratieën", zegt Marla Rivera, technisch onderzoeker bij InterSecLab, een wereldwijd instituut voor digitaal forensisch onderzoek. Naast massacensuur stelt het systeem overheden in staat om specifieke personen te targeten op basis van hun websiteactiviteiten, zoals het bezoeken van een bepaald domein.

Het bewakingssysteem dat Geedge verkoopt "geeft de overheid zoveel macht dat eigenlijk niemand die zou moeten hebben", zegt Rivera. "Dit is heel beangstigend."

De kern van Geedge's aanbod wordt gevormd door een gatewaytool genaamd Tiangou Secure Gateway (TSG), ontworpen voor gebruik in datacenters en schaalbaar om het internetverkeer van een heel land te verwerken, zo blijkt uit documenten. Volgens onderzoekers loopt elk pakketje internetverkeer erdoorheen, waar het kan worden gescand, gefilterd of volledig kan worden gestopt. Naast het monitoren van al het verkeer, blijkt uit documenten dat het systeem ook de mogelijkheid biedt om aanvullende regels in te stellen voor specifieke gebruikers die het als verdacht beschouwt en hun netwerkactiviteiten te verzamelen.

Bij ongecodeerd internetverkeer kan het systeem gevoelige informatie, zoals website-inhoud, wachtwoorden en e-mailbijlagen, onderscheppen, aldus de gelekte documenten. Als de inhoud correct is gecodeerd via het Transport Layer Security-protocol, gebruikt het systeem deep packet inspection en machine learning-technieken om metadata uit het gecodeerde verkeer te extraheren en te voorspellen of het een censuuromzeilingstool zoals een VPN passeert. Als het systeem de inhoud van het gecodeerde verkeer niet kan onderscheiden, kan het er ook voor kiezen om het als verdacht te markeren en het tijdelijk te blokkeren.

Een screenshot van het Geedge-dashboard voor Myanmar laat zien dat het systeem 81 miljoen internetverbindingen tegelijkertijd monitort, terwijl het theoretisch nog groter kan worden geschaald met meer hardware, aldus onderzoekers van InterSecLab. Andere documenten tonen aan dat de apparatuur van Geedge in februari 2024 was geïnstalleerd in 26 datacenters van 13 internetproviders in Myanmar. Frontiir, een lokale telecomoperator in Myanmar, ontkende eerder "iets te hebben gebouwd, gepland of ontworpen dat verband hield met surveillance", maar in het lek werd vastgesteld dat het Geedge-apparatuur in zijn datacenter had geïnstalleerd. Investcom, een joint-venture telecomoperator van Birmese en Libanese bedrijven, zei dat het "op de hoogte was van beweringen met betrekking tot technologieën van derden in Myanmar", maar weigerde "het bestaan ​​van systemen van derden te bevestigen of te ontkennen" in een schriftelijk antwoord aan de onderzoekers van Justice for Myanmar.

Geedge verkoopt een totaaloplossing voor censuur, waaronder hardware voor internetgateways. Volgens InterSecLab gebruikte Geedge oorspronkelijk apparatuur van westerse merken zoals HP en Dell, maar stapte hij later over op hardware van Chinese bedrijven om mogelijke sancties te vermijden.

Een ander fundamenteel product van Geedge is Cyber ​​Narrator, de belangrijkste gebruikersinterface waarmee niet-technische overheidsklanten toegang hebben tot de gegevens die Tiangou Secure Gateway in realtime monitort, blijkt uit documenten. In screenshots van het systeem dat in het lek is aangetroffen, kunnen Cyber ​​Narrator-beheerders de geografische locatie van elke mobiele internetgebruiker zien op basis van hun mobiele netwerkverbindingen, en analyseren of de gebruiker via VPN-diensten toegang heeft tot internet.

In het geval van Myanmar blijkt uit interne gegevens dat Geedge 281 populaire VPN-tools heeft geïdentificeerd, compleet met hun technische specificaties, abonnementsprijzen en of ze in Myanmar gebruikt kunnen worden. Een apart document identificeerde 54 apps die een hogere prioriteit hadden gekregen voor blokkering. De prioriteitenlijst met tools bevat voornamelijk populaire commerciële diensten zoals ExpressVPN, evenals Signal , de versleutelde berichten-app.

Uit de documenten blijkt dat Geedges technische vaardigheden snel groeien. "Ik las de tests door en realiseerde me dat ze binnen enkele maanden van het niet blokkeren van de meeste VPN's naar het blokkeren van bijna alle VPN's gingen", aldus Rivera, gebaseerd op bevindingen van academici waarmee het bedrijf samenwerkt.

Hoewel de gelekte documenten geen gegevens over zakelijke contracten bevatten, worden de klanten wel in cryptische codenamen genoemd. Onderzoekers konden vier van de buitenlandse overheidsklanten identificeren: Kazachstan (K18 en K24), Pakistan (P19), Ethiopië (E21) en Myanmar (M22) door documenten in het lek te doorzoeken op vermeldingen van geografische locaties van datacenters, internationale vrachtgegevens van Geedge naar andere landen te traceren en te putten uit eerdere rapportages over de betrokkenheid van Chinese bedrijven bij de verkoop van censuursoftware. Er wordt ook melding gemaakt van een klant met code A24, maar er is onvoldoende bewijs om aan te tonen waarnaar deze verwijst.

De publieke wervingscampagnes van Geedge kunnen meer informatie opleveren over de mogelijke uitbreidingsplannen. Via een extern wervingsplatform in China zoekt Geedge een senior operations- en maintenance engineer voor het buitenland om de systemen in de "Belt and Road"-landen te onderhouden. Volgens de vacature zou het drie tot zes maanden buiten China moeten duren, met reizen naar Pakistan, Maleisië, Bahrein, Algerije en India. Daarnaast nam het bedrijf in maart ook Spaanstalige en Franstalige vertalers aan die Geedges buitenlandse activiteiten zouden kunnen ondersteunen.

In Pakistan blijkt bijvoorbeeld uit een document voor licentieverlenging dat de Geedge-services, inclusief mogelijkheden om realtime statistieken te monitoren en e-mailinformatie te bewaren, in oktober 2024 in licentie zijn gegeven aan de Pakistan Telecommunication Authority. Een ander Jira-supportticket bevat een voorbeeld van een onderschepte e-mail, compleet met de volledige inhoud, onderwerp, protocol, bijlage, namen van afzender en ontvanger en de betrokken IP-adressen.

Onderzoekers zijn van mening dat sommige Geedge-werknemers toegang hebben tot informatie die door de klant is onderschept, wat een risico voor de nationale veiligheid kan vormen voor de regeringen van de klant.

Geedges ervaring in Pakistan laat ook zien dat het producten bouwt op interoperabele apparatuur om verschillende klanten aan te spreken. Voordat Geedge naar Pakistan kwam, werkte het land samen met Sandvine, een Canadees bedrijf dat apparatuur voor diepe pakketinspectie leverde en zich terugtrok onder Amerikaanse sancties. Toen Sandvine vertrok, stond de hardware nog steeds in Pakistaanse datacenters, aldus het lek. Geedge nam zijn intrek om de bestaande infrastructuur een nieuwe bestemming te geven, zo blijkt uit de documenten, en bood daarmee een overgang naar een nieuw censuurregime – een regime dat uiteindelijk op in China geproduceerde hardware zou draaien.

Het vermogen en de bereidheid van het bedrijf om met de door Sandvine achtergelaten hardware te werken, zou een waarschuwing moeten zijn voor landen die exportvergunningen voor gevoelige technologieën afgeven, zegt Jurre van Bergen, technoloog bij de mensenrechtenorganisatie Amnesty International: "Zodra het geëxporteerd is, is het daar en gaan ze het op de een of andere manier hergebruiken. Ik denk dat het wel de grenzen van de sancties aangeeft."

Onderzoekers waarschuwen dat er geen daadwerkelijke documentatie in het lek is die bewijst dat Geedges systeem verantwoordelijk is voor de internetcensuur die in een bepaald land heeft plaatsgevonden, maar belangrijke wijzigingen in de technische logs van Geedge komen overeen met opmerkelijke gebeurtenissen. In Ethiopië bijvoorbeeld werd het systeem overgeschakeld van een modus die passief verkeer monitort naar een modus die actief verkeer kan stoppen "slechts enkele dagen voor de internetafsluiting" in februari 2023, aldus Rivera. In totaal toont het lek 18 keer dat het Geedge-gatewaysysteem in Ethiopië overschakelde van passief monitoren naar actief ingrijpen ten koste van het vertragen van de dienstverlening.

Tegelijkertijd heeft de Canadese VPN-dienst Psiphon, waarvan documenten aantonen dat het een doelwit kan zijn van Geedge's systeem, de bevindingen van het lek bevestigd. Ze hebben namelijk veranderingen in gebruikersgedrag in Myanmar waargenomen die kunnen worden veroorzaakt door massale blokkades bij internetproviders. Dit gebeurde rond dezelfde tijd dat Geedge daar werd geïmplementeerd.

Hoewel Geedge Networks buiten en binnen China misschien onbekend is, heeft het nauwe banden met de krachten die China's controversiële filter- en blokkeringssysteem hebben ontwikkeld, nu bekend als de Grote Firewall. Toen Geedge Networks in 2018 werd opgericht, droeg het een andere naam, Zhongdian Jizhi, wat de connectie met China Electronics Corporation (CEC) aantoonde, een enorm staatsconglomeraat met nauwe banden met de militaire en veiligheidsdiensten van het land. (Zhongdian is de afkorting van CEC in het Chinees.) CEC werd in 2020 door de Amerikaanse overheid gesanctioneerd.

Wat de twee bedrijven ook verbindt, is Fang Binxing , een Chinese computerwetenschapper die vaak de "vader van de Grote Firewall" wordt genoemd, omdat hij leiding gaf aan de vroege ontwikkeling van het censuursysteem. Fangs werk zou in wezen bereiken wat voormalig Amerikaans president Bill Clinton vergeleek met het vastspijkeren van een pudding aan de muur: het beheersen van een technologie die ontworpen was om iedereen gelijke toegang tot informatie te geven. Naarmate de technologie zich ontwikkelde, werd de Grote Firewall ook hoger gebouwd, waardoor de meerderheid van de Chinezen effectief de toegang werd ontzegd tot informatie die door de Chinese overheid als politiek onacceptabel werd beschouwd, ongeacht of ze computers, telefoons of zelfs geavanceerde technologie zoals AI-modellen gebruikten.

In 2019, toen Fang nog hoofdwetenschapper bij CEC was, werd hij investeerder in het bedrijf Jicheng (Hainan) Technology Investment, waar hij volgens Chinese bedrijfsdatabases een belang van 40 procent had. Jicheng is investeerder in Geedge Networks en deelt dezelfde directie als dat bedrijf. In 2024 richtte Fang met de hulp van Geedge een nieuwe cybersecurity-onderzoeksstudio op, meldde het Chinese staatsmedium Xinhua .

Geedge exporteert niet alleen Chinese censuur naar het buitenland; het importeert ook lessen die in het buitenland zijn geleerd om de repressie in eigen land te verfijnen, zo blijkt uit gegevens. Jaren nadat het technologieën aan andere landen had verkocht, begon Geedge ook Chinese provinciale overheden te targeten vanwege hun unieke behoeften. Eerste stop: Xinjiang.

De regio, waar miljoenen Oeigoerse moslims wonen, heeft de afgelopen tien jaar te maken gehad met intensieve digitale surveillance door de Chinese overheid. Uit de gelekte documenten van Geedge blijkt dat het bedrijf samenwerkt met Chinese onderzoeksinstellingen om de monitoringsystemen daar uit te breiden. Een uitgeschreven versie van een toespraak die in 2024 werd gehouden bij de vestiging Xinjiang van de Chinese Academie van Wetenschappen, die in het lek is gevonden, vermeldt dat "de nationale (firewall) evolueert van een gecentraliseerd naar een gedistribueerd model." Foto's in het lek laten zien dat het bedrijf studenten van de Massive and Effective Stream Analysis (Mesalab), een onderzoekslaboratorium van de Chinese Academie van Wetenschappen, heeft uitgenodigd om Geedges serverruimte in Xinjiang te bezoeken.

Deze provinciale implementatie in Xinjiang, in het lek gecodeerd als J24, startte in 2024 na een eerste testprogramma. Net als in andere landen zijn de Geedge-exploitatiecentra ingebed in de telecomdatafaciliteiten in Xinjiang.

Ondertussen heeft Geedge ook pilotprojecten uitgevoerd in twee andere Chinese provincies, Fujian en Jiangsu, volgens de gelekte gegevens. Screenshots en andere documenten van deze projecten laten zien dat het systeem zich richtte op het detecteren van websites met financiële oplichting , wat vaker voorkomt in de oostelijke kustprovincies van China.

Naast het verzamelen van verkeersinformatie op zowel brede als individuele schaal, onderzocht het Xinjiang-project ook enkele experimentele functies. Een lijst met gewenste functies die in het lek werd gevonden, toont aan dat Geedge Cyber ​​Narrator wilde updaten zodat het relatiegrafieken tussen gebruikers en groepen individuen kon samenstellen op basis van de apps die ze gebruiken. Het project is ook van plan om de locatie van een gebruiker te trianguleren via mobiele zendstations en geofences te creëren voor bepaalde gebruikers, zo blijkt uit gegevens.

Een andere prototypefunctie die in het lek werd aangetroffen, wordt beschreven als een individuele "reputatiescore". Elke internetgebruiker krijgt een basisscore van 550, die kan worden verhoogd door de persoonlijke gegevens van de gebruiker te verifiëren, waaronder de nationale identificatiegegevens, gezichtsherkenningsgegevens en werkgegevens. Als de reputatiescore van de gebruiker niet boven de 600 uitkomt, heeft hij of zij geen toegang tot het internet.

Het is onduidelijk of deze functies zijn gerealiseerd en opgenomen in de bewakingssystemen van Geedge in China en daarbuiten.

Geedges voortdurende poging om informatie van individuen te achterhalen is bijzonder zorgwekkend, omdat het bedrijf ook malware in het internetverkeer van gebruikers kan injecteren, zegt Lea Horne, een andere onderzoeker bij InterSecLab. "Het maakt het veel gemakkelijker om een ​​manier te vinden om een ​​individu te targeten. In plaats van te proberen te raden welke website ze bezoeken die geen HTTPS ondersteunt, kun je gewoon kijken naar al hun internetactiviteiten in het verleden, een website vinden die niet regelmatig een beveiligde internetverbinding gebruikt en malware op die website injecteren wanneer je die de volgende keer bezoekt," zegt ze. En hoewel sommige functies in China werden getest, kan elke buitenlandse klant, zodra de technologie volwassen is, dezelfde functies in hun systemen aanvragen via een eenvoudige software-update.