Vazamento massivo mostra como uma empresa chinesa está exportando o Grande Firewall para o mundo

Um vazamento de mais de 100.000 documentos mostra que uma empresa chinesa pouco conhecida vem vendendo discretamente sistemas de censura aparentemente modelados no Grande Firewall para governos ao redor do mundo.

A Geedge Networks, empresa fundada em 2018 que tem como um de seus investidores o "pai" da infraestrutura massiva de censura da China, se autodenomina uma provedora de monitoramento de redes, oferecendo ferramentas de segurança cibernética de nível empresarial para "obter visibilidade abrangente e minimizar riscos de segurança" para seus clientes, mostram os documentos. De fato, pesquisadores descobriram que a empresa opera um sistema sofisticado que permite aos usuários monitorar informações online, bloquear determinados sites e ferramentas de VPN e espionar indivíduos específicos.

Pesquisadores que analisaram o material vazado descobriram que a empresa é capaz de incorporar recursos avançados de vigilância no que equivale a uma versão comercial do Grande Firewall — uma solução completa com hardware que pode ser instalado em qualquer data center de telecomunicações e software operado por autoridades governamentais locais. Os documentos também discutem funções desejadas nas quais a empresa está trabalhando, como ataques cibernéticos de aluguel e geofencing para determinados usuários.

De acordo com os documentos vazados, a Geedge já iniciou suas operações no Cazaquistão, Etiópia, Paquistão e Mianmar, além de outro país não identificado. Um anúncio de emprego público mostra que a Geedge também está procurando engenheiros que possam viajar para outros países para realizar trabalhos de engenharia, incluindo vários países não mencionados nos documentos vazados, segundo a WIRED.

Os arquivos, incluindo entradas do Jira e do Confluence, código-fonte e correspondência com uma instituição acadêmica chinesa, envolvem principalmente documentação técnica interna, registros de operação e comunicações para solucionar problemas e adicionar funcionalidades. Fornecidos por meio de um vazamento anônimo, os arquivos foram analisados ​​por um consórcio de organizações de direitos humanos e mídia, incluindo a Anistia Internacional, InterSecLab, Justice For Myanmar, Paper Trail Media, The Globe and Mail, o Projeto Tor, o jornal austríaco Der Standard e Follow The Money.

“Isso não é como a interceptação legal que todos os países fazem, incluindo as democracias ocidentais”, diz Marla Rivera, pesquisadora técnica do InterSecLab, uma instituição global de pesquisa forense digital. Além da censura em massa, o sistema permite que governos visem indivíduos específicos com base em suas atividades em sites, como ter visitado um determinado domínio.

O sistema de vigilância que Geedge está vendendo "dá tanto poder ao governo que ninguém deveria ter", diz Rivera. "Isso é muito assustador."

No centro da oferta da Geedge está uma ferramenta de gateway chamada Tiangou Secure Gateway (TSG), projetada para ser instalada em data centers e que pode ser dimensionada para processar o tráfego de internet de um país inteiro, revelam os documentos. Segundo os pesquisadores, cada pacote de tráfego de internet passa por ela, onde pode ser escaneado, filtrado ou bloqueado imediatamente. Além de monitorar todo o tráfego, os documentos mostram que o sistema também permite a configuração de regras adicionais para usuários específicos que considere suspeitos e a coleta de suas atividades na rede.

Para tráfego de internet não criptografado, o sistema é capaz de interceptar informações sensíveis, como conteúdo de sites, senhas e anexos de e-mail, de acordo com os documentos vazados. Se o conteúdo estiver devidamente criptografado pelo protocolo Transport Layer Security, o sistema utiliza técnicas de inspeção profunda de pacotes e aprendizado de máquina para extrair metadados do tráfego criptografado e prever se ele está passando por uma ferramenta de evasão de censura, como uma VPN. Se não conseguir distinguir o conteúdo do tráfego criptografado, o sistema também pode optar por sinalizá-lo como suspeito e bloqueá-lo por um período.

Uma captura de tela do painel do Geedge para Mianmar mostra que o sistema está monitorando 81 milhões de conexões de internet simultaneamente, embora teoricamente possa ser expandido ainda mais com mais hardware, dizem os pesquisadores do InterSecLab. Outros documentos mostram que, em fevereiro de 2024, o equipamento do Geedge havia sido instalado em 26 data centers em 13 provedores de serviços de internet em Mianmar. A Frontiir, uma operadora de telecomunicações local em Mianmar, negou anteriormente ter "construído, planejado ou projetado qualquer coisa relacionada à vigilância", mas foi descoberto no vazamento que havia instalado equipamentos Geedge em seu data center. A Investcom, uma operadora de telecomunicações de joint venture entre empresas birmanesas e libanesas, disse estar "ciente de alegações relacionadas a tecnologias de terceiros em Mianmar", mas se recusou a "confirmar ou negar a existência de sistemas de terceiros" em uma resposta por escrito aos pesquisadores da Justice for Myanmar.

A Geedge oferece um serviço completo de soluções contra censura, incluindo hardware para gateways de internet. De acordo com o InterSecLab, a Geedge inicialmente utilizava equipamentos de marcas ocidentais como HP e Dell, mas posteriormente passou a usar hardware fabricado por empresas chinesas para evitar possíveis sanções.

Outro produto fundamental da Geedge é o Cyber ​​Narrator, a principal interface de usuário por meio da qual clientes governamentais não técnicos podem acessar os dados monitorados pelo Tiangou Secure Gateway em tempo real, com uma visão panorâmica, mostram os documentos. Em capturas de tela do sistema encontradas no vazamento, os operadores do Cyber ​​Narrator podem ver a localização geográfica de cada usuário de internet móvel com base em suas comunicações de serviço de celular, bem como analisar se o usuário está acessando a internet por meio de serviços de VPN.

No caso de Mianmar, registros internos revelam que o Geedge identificou 281 ferramentas de VPN populares, incluindo suas especificações técnicas, preços de assinatura e se podem ser usadas em Mianmar. Um documento separado identificou 54 aplicativos marcados como de maior prioridade para bloqueio. A lista de ferramentas priorizadas inclui principalmente serviços comerciais populares, como o ExpressVPN, bem como o Signal , o aplicativo de mensagens criptografadas.

Os documentos mostram que a capacidade técnica da Geedge está crescendo rapidamente. "Eu estava lendo os testes e [percebi que] eles passaram de não bloquear a maioria das VPNs para bloquear quase todas em meses", com base em descobertas de acadêmicos com quem a empresa trabalha, diz Rivera.

Embora os documentos vazados não contenham registros de contratos comerciais, eles mencionam os clientes em codinomes enigmáticos. Os pesquisadores conseguiram identificar quatro dos clientes de governos estrangeiros no Cazaquistão (K18 e K24), Paquistão (P19), Etiópia (E21) e Mianmar (M22) vasculhando os documentos vazados em busca de menções à localização geográfica dos data centers, rastreando registros de cargas internacionais da Geedge para outros países e baseando-se em relatórios anteriores sobre o envolvimento de empresas chinesas na venda de software de censura. Há a menção adicional de um cliente com o código A24, mas não há evidências suficientes para demonstrar a que se refere.

Os esforços de contratação pública da Geedge podem fornecer mais informações sobre seus potenciais planos de expansão. Em uma plataforma de recrutamento terceirizada na China, a Geedge está contratando um engenheiro sênior de operações e manutenção no exterior para manter os sistemas nos países da iniciativa "Cinturão e Rota". O anúncio de emprego indica que a vaga pode exigir uma estadia de três a seis meses fora da China, viajando para Paquistão, Malásia, Bahrein, Argélia e Índia. Em março, a empresa também estava contratando tradutores de língua espanhola e francesa que pudessem apoiar os negócios internacionais da Geedge.

No Paquistão, por exemplo, um documento de renovação de licença mostra que os serviços Geedge, incluindo recursos para monitorar estatísticas em tempo real e reter informações de e-mail, foram licenciados para a Autoridade de Telecomunicações do Paquistão em outubro de 2024. Outro tíquete de suporte do Jira mostra o exemplo de um e-mail interceptado, completo com o conteúdo completo, assunto, protocolo, anexo, nomes do remetente e do destinatário e os endereços IP envolvidos.

Os pesquisadores acreditam que alguns funcionários da Geedge conseguem acessar informações interceptadas pelo cliente, o que pode ser um risco à segurança nacional dos governos clientes.

A experiência da Geedge no Paquistão também demonstra que a empresa está desenvolvendo produtos em equipamentos interoperáveis ​​para atrair diferentes clientes. Antes da chegada da Geedge ao Paquistão, o país havia trabalhado com a Sandvine, uma empresa canadense que fornecia equipamentos para inspeção profunda de pacotes antes de se retirar devido às sanções americanas. Quando a Sandvine saiu, seu hardware permaneceu em data centers paquistaneses, de acordo com o vazamento. A Geedge se mudou para readaptar a infraestrutura existente, mostram os documentos, oferecendo uma transição para um novo regime de censura — que eventualmente seria executado em hardware fabricado na China.

A capacidade e a disposição da empresa em trabalhar com o hardware deixado pela Sandvine devem servir de alerta para os países que emitem licenças de exportação para tecnologias sensíveis, afirma Jurre van Bergen, tecnólogo da organização sem fins lucrativos de direitos humanos Anistia Internacional: "Uma vez exportado, está lá, e eles vão reutilizá-lo de alguma forma. Acho que isso demonstra os limites das sanções."

Pesquisadores alertam que não há documentação concreta no vazamento que comprove que o sistema do Geedge seja responsável pela censura da internet ocorrida em um país específico, mas mudanças operacionais importantes nos registros técnicos do Geedge correspondem a eventos notáveis. Na Etiópia, por exemplo, o sistema foi alterado de um modo que monitora passivamente o tráfego para um modo que pode interromper ativamente o tráfego "poucos dias antes do desligamento da internet" em fevereiro de 2023, afirma Rivera. No total, o vazamento mostra 18 vezes em que o sistema de gateway Geedge na Etiópia passou de monitoramento passivo para interferência ativa, o que causou lentidão nos serviços.

Ao mesmo tempo, o serviço VPN canadense Psiphon, que documentos mostram que pode ser alvo do sistema do Geedge, corroborou as descobertas do vazamento de que eles observaram mudanças no comportamento do usuário em Mianmar que podem ser causadas por bloqueios massivos no nível do provedor de serviços de internet, mais ou menos na mesma época em que o Geedge foi implantado lá.

Embora a Geedge Networks possa ser obscura dentro e fora da China, ela mantém laços estreitos com as forças que construíram o controverso sistema de filtragem e bloqueio da China, agora conhecido como o Grande Firewall. Quando a Geedge Networks foi fundada em 2018, usava um nome diferente, Zhongdian Jizhi, demonstrando sua conexão com a China Electronics Corporation (CEC), um enorme conglomerado estatal com laços estreitos com os serviços militares e de segurança do país. (Zhongdian é a abreviação de CEC em chinês.) A CEC foi sancionada pelo governo dos Estados Unidos em 2020.

O que também conecta as duas empresas é Fang Binxing , um cientista da computação chinês frequentemente chamado de "pai do Grande Firewall", pois liderou o desenvolvimento inicial do sistema de censura. O trabalho de Fang essencialmente alcançaria o que o ex-presidente dos EUA Bill Clinton comparou a pregar gelatina na parede: controlar uma tecnologia que foi projetada para dar a todos acesso igual à informação. À medida que a tecnologia se desenvolve, o Grande Firewall também foi construído em níveis mais altos, bloqueando efetivamente a maioria dos chineses de acessar informações consideradas politicamente inaceitáveis ​​pelo governo chinês, independentemente de estarem usando computadores, celulares ou mesmo tecnologia de ponta, como modelos de IA.

Em 2019, quando Fang ainda era cientista-chefe da CEC, tornou-se investidor da empresa Jicheng (Hainan) Technology Investment, detendo uma participação de 40%, segundo bancos de dados de registros corporativos chineses. A Jicheng é investidora da Geedge Networks e compartilha o mesmo executivo com esta última empresa. Em 2024, Fang montou um novo estúdio de pesquisa em segurança cibernética com a ajuda da Geedge, informou a mídia estatal chinesa Xinhua .

A Geedge não está apenas exportando a censura chinesa para o exterior; ela está reimportando lições aprendidas no exterior para aprimorar a repressão interna, mostram os registros. Anos depois de vender tecnologias para outros países, a Geedge passou a visar também os governos provinciais chineses, atendendo às suas necessidades específicas. Primeira parada: Xinjiang.

A região, lar de milhões de muçulmanos uigures, tem sofrido intensa vigilância digital pelo governo chinês na última década. Documentos vazados da Geedge mostram que a empresa está colaborando com instituições de pesquisa chinesas para expandir os sistemas de monitoramento na região. Um roteiro de um discurso proferido na filial de Xinjiang da Academia Chinesa de Ciências em 2024, encontrado no vazamento, menciona que "o (firewall) nacional está evoluindo de um modelo centralizado para um modelo distribuído". Fotos no vazamento mostram que a empresa convidou alunos do Massive and Effective Stream Analysis (Mesalab), um laboratório de pesquisa da Academia Chinesa de Ciências, para visitar a sala de servidores da Geedge em Xinjiang.

Esta implantação provincial em Xinjiang, codificada como J24 no vazamento, começou em 2024 após um programa de testes inicial. Assim como em outros países, os centros operacionais da Geedge estão integrados às instalações de dados de telecomunicações em Xinjiang.

Enquanto isso, a Geedge também operou projetos-piloto em outras duas províncias chinesas, Fujian e Jiangsu, de acordo com os registros vazados. Capturas de tela e outros documentos desses projetos mostram que o foco do sistema era detectar sites de golpes financeiros , o que acontece com mais frequência nas províncias costeiras do leste da China.

Além de coletar informações de trânsito em escala ampla e individual, o projeto de Xinjiang também explorava algumas funções experimentais. Uma lista de recursos desejáveis ​​encontrada no vazamento mostra que a Geedge pretendia atualizar o Cyber ​​Narrator para que ele pudesse construir gráficos de relacionamento entre usuários e grupos de indivíduos de acordo com os aplicativos que utilizam. A empresa também planeja triangular a localização de um usuário por meio de estações de celular e criar cercas geográficas para determinados usuários, mostram os registros.

Outro recurso de protótipo encontrado no vazamento é descrito como uma "pontuação de reputação" individual. Cada usuário da internet recebe uma pontuação básica de 550, que pode ser aumentada pela autenticação de suas informações pessoais, incluindo o documento de identidade nacional, dados de reconhecimento facial e informações de emprego. Se a pontuação de reputação do usuário não ultrapassar 600, ele não poderá acessar a internet.

Não está claro se esses recursos foram percebidos e incorporados aos sistemas de vigilância da Geedge implantados na China e no exterior.

A tentativa contínua da Geedge de descobrir informações de indivíduos é particularmente preocupante, pois a empresa também tem a capacidade de injetar malware no tráfego de internet dos usuários, afirma Lea Horne, outra pesquisadora do InterSecLab. "Isso torna muito mais fácil encontrar uma maneira de atingir um indivíduo. Em vez de tentar adivinhar qual site ele visita que não suporta HTTPS, você pode simplesmente analisar toda a atividade anterior dele na internet, encontrar um site que não usa regularmente uma conexão segura e injetar malware nesse site na próxima visita", afirma. E embora alguns recursos estivessem sendo testados na China, assim que a tecnologia estiver madura, qualquer cliente estrangeiro poderá solicitar os mesmos recursos em seus sistemas por meio de uma simples atualização de software.