Масштабная утечка показывает, как китайская компания экспортирует Великий китайский файрвол по всему миру

8 сентября 2025 г., 23:00

Компания Geedge Networks, связанная с основателем инфраструктуры массовой цензуры в Китае, продает свои системы цензуры и слежки как минимум четырем другим странам Азии и Африки.

Утечка более 100 000 документов свидетельствует о том, что малоизвестная китайская компания тайно продавала правительствам по всему миру системы цензуры, предположительно созданные по образцу Великого китайского файрвола .

Компания Geedge Networks, основанная в 2018 году и в число своих инвесторов включающая «отца» масштабной инфраструктуры цензуры в Китае, позиционирует себя как поставщик услуг сетевого мониторинга, предлагая инструменты кибербезопасности бизнес-класса для «обеспечения комплексного контроля и минимизации рисков безопасности» для своих клиентов, говорится в документах. Фактически, исследователи обнаружили, что компания использует сложную систему, позволяющую пользователям отслеживать онлайн-информацию, блокировать определённые веб-сайты и VPN-инструменты, а также шпионить за конкретными людьми.

Исследователи, изучившие утекшие материалы, обнаружили, что компания способна объединить передовые возможности слежки в нечто, фактически представляющее собой коммерческую версию «Великого китайского файрвола» — комплексное решение, включающее как аппаратное обеспечение, которое можно установить в любом телекоммуникационном центре обработки данных, так и программное обеспечение, используемое местными органами власти. В документах также описываются желаемые функции, над которыми работает компания, такие как заказные кибератаки и геозонирование определенных пользователей.

Согласно опубликованным документам, Geedge уже работает в Казахстане, Эфиопии, Пакистане и Мьянме, а также в ещё одной неустановленной стране. Как выяснил WIRED, опубликованное объявление о вакансиях показывает, что Geedge также ищет инженеров, готовых к командировкам в другие страны для выполнения инженерных работ, в том числе в несколько стран, не названных в опубликованных документах.

Файлы, включая записи Jira и Confluence, исходный код и переписку с китайским учебным заведением, в основном представляют собой внутреннюю техническую документацию, журналы операций и сообщения для решения проблем и расширения функциональности. Полученные в результате анонимной утечки, файлы были изучены консорциумом правозащитных и медийных организаций, включая Amnesty International, InterSecLab, Justice For Myanmar, Paper Trail Media, The Globe and Mail, Tor Project, австрийскую газету Der Standard и Follow The Money.

«Это не похоже на законный перехват, который практикуется во всех странах, включая западные демократии», — говорит Марла Ривера, технический исследователь InterSecLab, международного исследовательского центра цифровой криминалистики. Помимо массовой цензуры, система позволяет правительствам преследовать конкретных лиц на основе их действий на веб-сайтах, например, посещения определённого домена.

Система видеонаблюдения, которую продаёт Джидж, «даёт правительству столько полномочий, что его, по сути, никто не должен иметь», — говорит Ривера. «Это очень пугает».

Цифровой авторитаризм как услуга

В основе решения Geedge лежит шлюз Tiangou Secure Gateway (TSG), разработанный для размещения внутри центров обработки данных и способный масштабироваться для обработки интернет-трафика целой страны, как показывают документы. По словам исследователей, каждый пакет интернет-трафика проходит через него, где он может быть просканирован, отфильтрован или полностью заблокирован. Помимо мониторинга всего трафика, как показывают документы, система также позволяет устанавливать дополнительные правила для отдельных пользователей, которых она считает подозрительными, и собирать данные об их сетевой активности.

Согласно опубликованным документам, система способна перехватывать конфиденциальную информацию, такую как содержимое веб-сайтов, пароли и вложения к электронным письмам. Если содержимое должным образом зашифровано с помощью протокола TLS, система использует методы глубокой проверки пакетов и машинного обучения для извлечения метаданных из зашифрованного трафика и определения, проходит ли он через средство обхода цензуры, например, VPN. Если система не может распознать содержимое зашифрованного трафика, она также может пометить его как подозрительный и заблокировать на определённый период времени.

Один снимок экрана панели управления Geedge для Мьянмы показывает, что система отслеживает 81 миллион интернет-подключений одновременно, при этом теоретически её можно масштабировать ещё больше с помощью большего количества оборудования, говорят исследователи InterSecLab. Другие документы показывают, что по состоянию на февраль 2024 года оборудование Geedge было установлено в 26 центрах обработки данных у 13 интернет-провайдеров в Мьянме. Frontiir, местный оператор связи в Мьянме, ранее отрицал, что «строил, планировал или проектировал что-либо, связанное с наблюдением», но в ходе утечки выяснилось, что он установил оборудование Geedge в своём центре обработки данных. Investcom, совместный оператор связи между бирманской и ливанской компаниями, заявил, что ему «известно о претензиях, связанных со сторонними технологиями в Мьянме», но отказался «подтверждать или опровергать существование сторонних систем» в письменном ответе исследователям из Justice for Myanmar.

Geedge продаёт комплексные решения для борьбы с цензурой, включая оборудование для интернет-шлюзов. По данным InterSecLab, изначально Geedge использовала оборудование западных брендов HP и Dell, но позже перешла на оборудование китайских компаний, чтобы избежать потенциальных санкций.

Ещё один основополагающий продукт Geedge — Cyber Narrator, основной пользовательский интерфейс, через который нетехнически подготовленные государственные клиенты могут получить доступ к данным, отслеживаемым Tiangou Secure Gateway в режиме реального времени, с видом сверху, как следует из документов. На скриншотах системы, обнаруженных в утечке, операторы Cyber Narrator могут видеть географическое местоположение каждого пользователя мобильного интернета на основе данных его сотовой связи, а также анализировать, подключается ли пользователь к интернету через VPN-сервисы.

В случае с Мьянмой, согласно внутренним записям, Geedge выявил 281 популярный VPN-сервис с указанием технических характеристик, стоимости подписки и возможности использования в Мьянме. В отдельном документе было указано 54 приложения, отмеченных как наиболее приоритетные для блокировки. В список приоритетных инструментов входят в основном популярные коммерческие сервисы, такие как ExpressVPN, а также Signal — приложение для обмена зашифрованными сообщениями.

Документы показывают, что технические возможности Geedge стремительно растут. «Я изучал тесты и [понял, что] они прошли путь от полного отсутствия блокировки большинства VPN до блокировки практически всех VPN за несколько месяцев», — говорит Ривера, опираясь на выводы учёных, с которыми сотрудничает компания.

Взлом Интернета

Хотя в просочившихся документах нет записей о деловых контрактах, в них упоминаются клиенты под загадочными кодовыми именами. Исследователям удалось установить принадлежность четырёх иностранных государственных клиентов к Казахстану (K18 и K24), Пакистану (P19), Эфиопии (E21) и Мьянме (M22), проанализировав документы, содержащиеся в утечке, на предмет упоминаний о географическом расположении центров обработки данных, отслеживая данные о международных грузоперевозках из Geedge в другие страны и опираясь на предыдущие сообщения о причастности китайских компаний к продаже программного обеспечения для цензурирования. Также упоминается клиент под кодовым именем A24, но достаточных доказательств, указывающих на то, о чём идёт речь, нет.

Публичные объявления о найме Geedge могут предоставить дополнительную информацию о её потенциальных планах расширения. На сторонней платформе поиска работы в Китае Geedge ищет старшего инженера по эксплуатации и техническому обслуживанию для обслуживания систем в странах «Одного пояса, одного пути». В объявлении о вакансии указано, что для этого может потребоваться от трёх до шести месяцев работы за пределами Китая, включая поездки в Пакистан, Малайзию, Бахрейн, Алжир и Индию. Кроме того, в марте компания также нанимала переводчиков со знанием испанского и французского языков для поддержки зарубежных подразделений Geedge.

Например, в Пакистане один из документов о продлении лицензии показывает, что сервисы Geedge, включая возможности мониторинга статистики в реальном времени и сохранения информации электронной почты, были лицензированы Пакистанским управлением телекоммуникаций в октябре 2024 года. В другом обращении в службу поддержки Jira приведен пример перехваченного электронного письма с полным содержанием, темой, протоколом, вложением, именами отправителя и получателя, а также соответствующими IP-адресами.

Исследователи полагают, что некоторые сотрудники Geedge могут получить доступ к информации, перехваченной клиентом, что может представлять угрозу национальной безопасности для правительств стран-клиентов.

Опыт Geedge в Пакистане также показывает, что компания разрабатывает продукты на основе совместимого оборудования, чтобы быть привлекательной для разных клиентов. До прихода Geedge в Пакистан страна сотрудничала с Sandvine, канадской компанией, которая поставляла оборудование для глубокой проверки пакетов, прежде чем уйти из-за санкций США. Согласно утечке, после ухода Sandvine её оборудование оставалось в пакистанских центрах обработки данных. Согласно документам, Geedge переориентировала существующую инфраструктуру, предложив переход к новому режиму цензуры, который в конечном итоге будет работать на оборудовании китайского производства.

Способность и готовность компании работать с оборудованием, оставленным Sandvine, должна стать предупреждением для стран, выдающих экспортные лицензии на чувствительные технологии, считает Юрре ван Берген, технолог правозащитной некоммерческой организации Amnesty International: «После экспорта оно остаётся там, и его собираются использовать повторно в каком-то качестве. Думаю, это действительно говорит об ограниченности санкций».

Исследователи предупреждают, что в утечке нет фактических документов, подтверждающих ответственность системы Geedge за интернет-цензуру, имевшую место в конкретной стране, однако ключевые изменения в технических журналах Geedge соответствуют значимым событиям. Например, в Эфиопии система была переведена из режима пассивного мониторинга трафика в режим, позволяющий активно блокировать трафик, «всего за несколько дней до отключения интернета» в феврале 2023 года, говорит Ривера. В общей сложности, утечка показывает 18 случаев, когда шлюзовая система Geedge в Эфиопии переключалась с пассивного мониторинга на активное вмешательство, что приводило к замедлению работы сервисов.

В то же время канадский VPN-сервис Psiphon, который, как показывают документы, может быть целью системы Geedge, подтвердил выводы утечки о том, что они наблюдали изменения в поведении пользователей в Мьянме, которые могут быть вызваны массовыми блокировками на уровне интернет-провайдера, примерно в то же время, когда там была развернута Geedge.

Отец Великого брандмауэра

Хотя компания Geedge Networks малоизвестна как за пределами Китая, так и внутри страны, она тесно связана с теми, кто создал противоречивую китайскую систему фильтрации и блокировки, ныне известную как «Великий китайский файрвол». Когда Geedge Networks была основана в 2018 году, она носила другое название — Zhongdian Jizhi, что указывает на её связь с China Electronics Corporation (CEC) — крупным государственным конгломератом, тесно связанным с вооружёнными силами и службами безопасности страны. (Zhongdian — это сокращение от CEC на китайском языке.) CEC подверглась санкциям со стороны правительства США в 2020 году.

Что также связывает две компании, так это Фан Биньсин , китайский учёный-компьютерщик, которого часто называют «отцом Великого китайского файрвола», поскольку он руководил ранними разработками системы цензуры. Работа Фана, по сути, достигла того, что бывший президент США Билл Клинтон сравнивал с прибиванием желе к стене: контроля над технологией, разработанной для предоставления каждому равного доступа к информации. По мере развития технологий Великий китайский файрвол становился всё выше, фактически блокируя большинству китайцев доступ к информации, которую китайское правительство считает политически неприемлемой, независимо от того, используют ли они компьютеры, телефоны или даже передовые технологии, такие как модели искусственного интеллекта.

В 2019 году, когда Фан ещё работал главным научным сотрудником CEC, он стал инвестором компании Jicheng (Hainan) Technology Investment, владея 40% акций, согласно китайским базам данных корпоративных записей. Цзичэн является инвестором Geedge Networks и занимает в ней те же руководящие должности. В 2024 году Фан создал новую исследовательскую студию по кибербезопасности при поддержке Geedge, сообщило китайское государственное агентство «Синьхуа» .

Замкнутый круг

Geedge не только экспортирует китайскую цензуру за границу, но и перенимает опыт, полученный за рубежом, для совершенствования репрессий на родине, как показывают данные. Спустя годы после продажи технологий другим странам, Geedge начала также ориентироваться на китайские провинциальные правительства, удовлетворяя их специфические потребности. Первая остановка: Синьцзян.

Регион, где проживают миллионы уйгурских мусульман, в последнее десятилетие подвергался интенсивному цифровому наблюдению со стороны китайского правительства. Утечка документов Geedge свидетельствует о том, что компания сотрудничает с китайскими исследовательскими институтами для расширения систем мониторинга. В тексте выступления в Синьцзянском отделении Китайской академии наук в 2024 году, обнаруженном в утечке, упоминается, что «национальный межсетевой экран развивается от централизованной к распределенной модели». Фотографии, представленные в утечке, показывают, что компания пригласила студентов из исследовательской лаборатории Массивного и эффективного потоковой аналитики (Mesalab) Китайской академии наук посетить серверную комнату Geedge в Синьцзяне.

Развертывание системы в провинции Синьцзян, обозначенное в утечке как J24, началось в 2024 году после первоначальной тестовой программы. Как и в других странах, операционные центры Geedge встроены в телекоммуникационные объекты передачи данных в Синьцзяне.

Тем временем, согласно утечке данных, Geedge также запустила пилотные проекты в двух других китайских провинциях, Фуцзянь и Цзянсу. Скриншоты и другие документы этих проектов показывают, что система была сосредоточена на выявлении сайтов финансового мошенничества , что чаще всего происходит в восточных прибрежных провинциях Китая.

Помимо сбора информации о дорожном движении как в широком, так и в индивидуальном масштабе, проект в Синьцзяне также изучал некоторые экспериментальные функции. Список желаемых функций, обнаруженный в утечке, показывает, что Geedge стремился обновить Cyber Narrator, чтобы тот мог строить графы взаимосвязей между пользователями и отдельными лицами в группах в зависимости от используемых ими приложений. Также планируется триангулировать местоположение пользователя с помощью мобильных станций и создавать геозоны для определенных пользователей, говорится в записях.

Другая функция-прототип, обнаруженная в утечке, описывается как индивидуальный «рейтинг репутации». Каждому интернет-пользователю присваивается базовый рейтинг 550, который можно увеличить, подтвердив личные данные пользователя, включая национальный идентификатор, данные распознавания лиц и сведения о трудоустройстве. Если рейтинг репутации пользователя не превысит 600, он не сможет получить доступ к интернету.

Неясно, были ли эти функции реализованы и включены в системы наблюдения Geedge, развернутые в Китае и за рубежом.

Продолжающиеся попытки Geedge получить доступ к информации о пользователях вызывают особую тревогу, поскольку компания также имеет возможность внедрять вредоносное ПО в интернет-трафик пользователей, говорит Ли Хорн, другой исследователь из InterSecLab. «Это значительно упрощает поиск способа атаковать пользователя. Вместо того, чтобы пытаться угадать, какой сайт он посещает, не поддерживающий HTTPS, можно просто просмотреть всю его прошлую интернет-активность, найти сайт, который регулярно не использует безопасное интернет-соединение, и внедрить вредоносное ПО на этот сайт при следующем посещении», — говорит она. И хотя некоторые функции тестировались в Китае, как только технология станет полностью зрелой, любой иностранный клиент сможет запросить те же функции в своих системах, просто обновив программное обеспечение.