آموزش و مقالات شبکه، وب، سرور و اینترنت

آموزش‌های کلادفلر به‌زودی در این بخش قرار داده می‌شود.

افشای اسناد گیک نتورکس؛ مجری فیلترینگ چین

نوشته شده توسط

گیک شبکه

در

داستان از جایی شروع شد که یک منبع ناشناس تصمیم گرفت اسناد داخلی و سورس‌کدهای یک شرکت به اسم گیک نتورکس (Geedge Networks) رو در اختیار عموم قرار بده. این شرکت چینی سیستم‌های نظارت و سانسور اینترنت رو به کشورهایی مثل میانمار، اتیوپی، قزاقستان و پاکستان فروخته بود. این افشاگری، که بزرگترین درز اطلاعاتی در تاریخ «فایروال بزرگ چین» (GFW) به حساب میاد، پرده از فعالیت‌های شرکتی برداشت که یکی از بنیان‌گذارانش کسی نیست جز «فانگ بینگ‌شینگ» (Fang Binxing)، شخصیتی که به عنوان «پدر فایروال بزرگ چین» شناخته می‌شه.

این اسناد که حجمشون به بیشتر از ۶۰۰ گیگابایت می‌رسه و شامل بیش از ۱۰۰ هزار فایل از پلتفرم‌های داخلی شرکت مثل جیرا (Jira)، کانفلوئنس (Confluence) و گیت‌لب (GitLab) می‌شه، جزئیات دقیقی از تحقیق، توسعه و عملیات‌های این شرکت و همکارانش رو نشون می‌ده. بعد از این افشاگری، یک ائتلاف جهانی از رسانه‌ها و سازمان‌های جامعه مدنی حدود یک سال وقت گذاشتن تا این حجم عظیم از داده‌ها رو تحلیل کنن و نتایجش رو به شکلی که می‌خونید منتشر کنن.

ماجرای این افشاگری بزرگ چی بود؟

در تاریخ ۱۱ سپتامبر ۲۰۲۵، بزرگترین مجموعه اسناد داخلی مربوط به فایروال بزرگ چین لو رفت. این اسناد که بیشتر از ۵۰۰ گیگابایت سورس‌کد، گزارش‌های کاری و مکاتبات داخلی رو شامل می‌شد، از یکی از نیروهای فنی اصلی پشت این فایروال یعنی شرکت گیک نتورکس و آزمایشگاه MESA در آکادمی علوم چین درز کرد. این اطلاعات نشون می‌داد که گیک نتورکس نه تنها به دولت‌های محلی در استان‌های سین‌کیانگ، جیانگ‌سو و فوجیان خدمات می‌ده، بلکه تکنولوژی سانسور و نظارت خودش رو تحت چارچوب «یک کمربند یک راه» (Belt and Road) به کشورهای دیگه هم صادر می‌کنه.

گروهی به اسم Enlace Hacktivista دسترسی به این فایل‌های لو رفته رو فراهم کرد. حجم کل فایل‌ها حدود ۶۰۰ گیگابایت بود که یک فایل به تنهایی به اسم mirror/repo.tar که آرشیو سرور بسته‌های نرم‌افزاری بود، ۵۰۰ گیگابایت حجم داشت. لیست برخی از فایل‌های اصلی اینجوریه:

  • mirror/filelist.txt (حدود ۷ مگابایت)
  • mirror/repo.tar (حدود ۴۹۷ گیگابایت)
  • geedge_docs.tar.zst (حدود ۱۴ گیگابایت)
  • geedge_jira.tar.zst (حدود ۲.۷ گیگابایت)
  • mesalab_docs.tar.zst (حدود ۳۵ گیگابایت)
  • mesalab_git.tar.zst (حدود ۶۳ گیگابایت)

به دلیل حساسیت بالای این اطلاعات، به هر کسی که قصد دانلود و تحلیل اونها رو داره، توصیه شده که حتما اقدامات امنیتی لازم رو رعایت کنه. چون ممکنه این فایل‌ها محتوای پرخطری داشته باشن و بررسی اونها در یک محیط ناامن می‌تونه فرد رو در معرض نظارت یا بدافزار قرار بده. پیشنهاد شده که این فایل‌ها فقط در یک ماشین مجازی ایزوله و بدون دسترسی به اینترنت بررسی بشن.

بازیگران اصلی این پرونده کی هستن؟

برای اینکه بفهمیم دقیقا چه اتفاقی افتاده، باید با شرکت‌ها و آدم‌های اصلی این ماجرا آشنا بشیم.

گیک نتورکس (Geedge Networks) و پدرخوانده فایروال

شرکت گیک نتورکس (积至) یک شرکت چینیه که نقش کلیدی در توسعه فایروال بزرگ چین و ارائه قابلیت‌های مشابه به دولت‌های دیگه در سراسر جهان داشته. اما چیزی که این شرکت رو خاص می‌کنه، آدم‌های پشت پرده‌اش هستن.

فانگ بینگ‌شینگ (方滨兴): اون به عنوان «پدر فایروال بزرگ چین» شناخته می‌شه. اسمش با یک سیستم کنترل دیجیتال گره خورده. برای اینکه بفهمیم اون کیه و چه کارهایی کرده، باید خارج از فایروال چین دنبال اطلاعات بگردیم. در سال ۲۰۱۱، موقع یک سخنرانی در ووهان، یک فرد ناشناس به سمتش تخم‌مرغ و کفش پرتاب کرد که یک حرکت نمادین علیه کسی بود که اینترنت چین رو به یک دژ در برابر آزادی تبدیل کرده بود. البته دفتر آقای فانگ در اون زمان این اتفاق رو تکذیب کرد. در سال ۲۰۱۸، فانگ شرکت گیک نتورکس رو تاسیس کرد تا اختراع خودش، یعنی فایروال چین، رو به یک محصول صادراتی تبدیل کنه.

ژنگ چائو (郑超): مدیر ارشد فناوری (CTO) شرکت گیک نتورکس. اون یکی از هم‌بنیان‌گذاران آزمایشگاه MESA در ژانویه ۲۰۱۲ بوده و اسمش به عنوان همکار در چندین مقاله تحقیقاتی مرتبط با سانسور هم دیده می‌شه.

وانگ یوئاندی (Wang Yuandi): مدیرعامل شرکت گیک نتورکس که اون هم مثل بقیه مدیران ارشد، در مقالات و پتنت‌های مرتبط با سانسور اینترنت نقش داشته.

آزمایشگاه MESA: بازوی تحقیقاتی گیک نتورکس

فایروال بزرگ چین یک اصطلاح کلی برای مجموعه‌ای از سیستم‌های سانسور اینترنته. پشت این سیستم، تیم‌های مختلفی برای تحقیق و توسعه، عملیات، سخت‌افزار و مدیریت وجود دارن. یکی از شاخه‌های مهم تحقیق و توسعه این فایروال، آزمایشگاه MESA و شرکت گیک نتورکسه.

ریشه‌های این همکاری به زمانی برمی‌گرده که فانگ بینگ‌شینگ به پکن اومد. در اواخر سال ۲۰۰۸، اون آزمایشگاه ملی مهندسی برای امنیت محتوای اطلاعات (NELIST) رو تاسیس کرد. از سال ۲۰۱۲، این آزمایشگاه زیر نظر موسسه مهندسی اطلاعات آکادمی علوم چین قرار گرفت. در ژانویه ۲۰۱۲، بعضی از اعضای NELIST یک تیم جدید در این موسسه تشکیل دادن که در ژوئن همون سال رسما اسمش MESA (Massive Effective Stream Analysis) شد.

اسناد فاش شده نشون می‌ده که گیک نتورکس ارتباط خیلی نزدیکی با آزمایشگاه MESA داره و بین کارمندهای هر دو نهاد همکاری‌های منظمی وجود داشته. مثلا در جلسه‌ای که در جولای ۲۰۲۴ در سین‌کیانگ برگزار شد، یک محقق از آزمایشگاه MESA یادداشت‌برداری می‌کرد. در اون جلسه، شرکت‌کننده‌ها درباره استفاده از تکنولوژی برای «ضربه زدن به ابزارهای» دور زدن فایروال بزرگ صحبت می‌کردن.

نکته جالب اینه که داده‌های مشتریانی که در سیستم‌های گیک نتورکس جمع‌آوری می‌شه، در دسترس کارمندهای شرکت و حتی دانشجوها و محققان آزمایشگاه MESA هم قرار می‌گیره. اسناد نشون می‌ده که دانشجوهای مهندسی در MESA از اطلاعات واقعی مشتریان برای تحقیقاتی استفاده کردن که هدفش درک بهتر و مسدود کردن راه‌های دور زدن سانسور اینترنت بوده.

در ادامه، جدول زمانی از مهمترین اتفاقات آزمایشگاه MESA رو بر اساس اسناد لو رفته می‌بینید:

تاریخرویداد
ژانویه ۲۰۱۲لیو چینگ‌یون، سان یونگ، ژنگ چائو، یانگ رونگ، چین پنگ، لیو یانگ و لی جیا تیمی را در IIE تشکیل دادند.
ژوئن ۲۰۱۲تیم رسما به نام MESA (تحلیل جریان عظیم و موثر) نامگذاری شد.
۲۰۱۲لیو چینگ‌یون برای برنامه استعدادی «ستاره نوظهور» IIE انتخاب شد.
۲۰۱۲یانگ وی و ژو ژو به تیم پیوستند.
۲۰۱۲تیم با موفقیت وظیفه تضمین امنیت سایبری برای هجدهمین کنگره ملی را به پایان رساند.
دسامبر ۲۰۱۳تیم MESA جایزه پیشرفت علمی و فناوری بزرگ IIE در سال ۲۰۱۳ را دریافت کرد.
۲۰۱۴پلتفرم SAPP، یکی از اجزای MESA، استقرار مهندسی در مقیاس بزرگ را آغاز کرد.
۲۰۱۵ژنگ چائو برای برنامه «ستاره نوظهور» IIE و ژانگ پنگ برای برنامه «معرفی استعداد برجسته» IIE انتخاب شدند.
دسامبر ۲۰۱۶تیم MESA در برنده شدن جایزه ملی پیشرفت علم و فناوری (جایزه دوم) شرکت کرد.
۲۰۱۸سان یونگ و ژو ژو جایزه علم و فناوری اسرار دولتی ملی ۲۰۱۷ (جایزه دوم) را دریافت کردند.

تا سال ۲۰۱۸، فانگ بینگ‌شینگ شرکت گیک (هاینان) تکنولوژی اطلاعات رو تاسیس کرد که کارمندهای اصلی تحقیق و توسعه اون از دانشگاه‌ها و موسسات تحقیقاتی مثل آکادمی علوم چین، موسسه فناوری هاربین و دانشگاه پست و مخابرات پکن اومده بودن. خیلی از این استعدادها از آزمایشگاه MESA بودن.

جعبه‌ابزار گیک نتورکس: با چه محصولاتی اینترنت رو کنترل می‌کنن؟

اسناد فاش شده نشون می‌ده که گیک نتورکس یک مجموعه کامل از ابزارها رو برای نظارت و کنترل اینترنت ارائه می‌ده. این ابزارها می‌تونن به صورت یک بسته کامل یا جداگانه به مشتری‌ها فروخته بشن. بیایید با هم ببینیم هر کدوم از این محصولات چی هستن و چه کاری انجام می‌دن.

۱. دروازه امنیتی تیان‌گو (Tiangou Secure Gateway – TSG)

این محصول، گل سرسبد و محصول پرچمدار گیک نتورکس به حساب میاد. TSG در واقع یک واحد فایروال و نظارت چندمنظوره است که تمام کارهای اصلی مثل بازرسی عمیق بسته‌ها (DPI)، فیلتر کردن، ردیابی، کاهش سرعت عمدی اینترنت (Throttling) و حتی عملکردهای تهاجمی رو انجام می‌ده. هر داده‌ای که توسط TSG استخراج می‌شه، برای ذخیره‌سازی و تحلیل به محصول بعدی یعنی TSG Galaxy فرستاده می‌شه.

قابلیت‌های TSG خیلی گسترده است و شامل موارد زیر می‌شه:

  • نظارت و سانسور از طریق بازرسی عمیق بسته‌ها (DPI).
  • شناسایی و مسدود کردن وی‌پی‌ان‌ها و ابزارهای دور زدن سانسور.
  • کاهش سرعت ترافیک اینترنت برای سرویس‌های خاص.
  • نظارت، ردیابی، برچسب‌گذاری و مسدود کردن کاربران اینترنت به صورت فردی.
  • آلوده کردن کاربران به بدافزار.

TSG می‌تونه روی یک پلتفرم سخت‌افزاری یکپارچه به اسم TSGX نصب بشه یا با سخت‌افزارهای موجود مشتری کار کنه. مثلا در پاکستان، TSG روی تجهیزاتی که توسط شرکت Sandvine جا مونده بود نصب شد. سیستم‌عامل این دستگاه TSG-OS نام داره که بر پایه Red Hat Enterprise Linux و Docker ساخته شده.

یک سیستم به اسم Ether Fabric هم وجود داره که ترافیک رو بین چندین دستگاه TSG پخش می‌کنه تا بار کاری تقسیم بشه. برای مدیریت این مجموعه هم از یک سیستم به اسم Central Management یا 毕方 (Bifang) استفاده می‌شه. TSG برای کارایی بیشتر، به جای استفاده از هسته لینوکس، از یک سیستم شبکه در فضای کاربری به اسم MARSIO و تکنولوژی DPDK برای پردازش بسته‌ها استفاده می‌کنه.

۲. کهکشان تی‌اس‌جی (TSG Galaxy)

TSG Galaxy یک سیستم انبار داده (Data Warehouse) برای ذخیره و جمع‌آوری اطلاعاته. این سیستم برای نظارت گسترده در مقیاس اینترنت طراحی شده و حجم عظیمی از داده‌ها رو درباره تمام کاربران اینترنت در یک کشور جمع می‌کنه. TSG Galaxy بر پایه پلتفرم متن‌باز Apache Kafka ساخته شده که معمولا برای تحلیل رفتار مشتری در فروشگاه‌های آنلاین استفاده می‌شه.

داده‌های لو رفته نشون می‌ده که TSG Galaxy برای ذخیره اطلاعات زیر استفاده می‌شه:

  • سوابق تمام نشست‌های TCP و UDP.
  • اطلاعات پروتکل‌های انتقال که برای اینترنت پهن‌باند و موبایل استفاده می‌شن.
  • تمام نشست‌های SIP در کشور. SIP پروتکلیه که برای تماس‌های تلفنی اینترنتی (VoIP) استفاده می‌شه. این یعنی TSG Galaxy نه تنها ترافیک اینترنت، بلکه تماس‌های تلفنی رو هم می‌تونه نظارت کنه.

این سیستم از تکنیک‌هایی مثل IPFIX برای تحلیل جریان ترافیک و DPI برای استخراج متادیتا استفاده می‌کنه. با DPI می‌شه اطلاعات دقیقی مثل نام سرور در پروتکل‌های TLS و QUIC، کوئری‌های DNS و هدرهای ایمیل رو استخراج کرد. همچنین از تکنیک‌های انگشت‌نگاری اتصال مثل هش‌های JA3 استفاده می‌شه تا مشخص بشه کاربر از چه سیستم‌عاملی و چه برنامه‌هایی استفاده می‌کنه. این اطلاعات به شناسایی ابزارهای دور زدن سانسور مثل وی‌پی‌ان‌ها کمک می‌کنه.

در نهایت، تمام این اطلاعات با داده‌های ارائه‌دهنده خدمات اینترنت (ISP) ترکیب می‌شه تا به یک کاربر خاص از طریق شناسه‌هایی مثل آدرس IP، شناسه مشترک، IMEI و IMSI مرتبط بشه.

۳. راوی سایبری (Cyber Narrator)

Cyber Narrator یک رابط کاربریه که برای کاربران غیرفنی طراحی شده. این ابزار به مشتری‌ها (مثلا دولت‌ها) اجازه می‌ده اطلاعاتی که توسط TSG جمع‌آوری و در TSG Galaxy ذخیره شده رو به راحتی جستجو و مشاهده کنن. از طریق این داشبورد می‌شه سرویس‌ها و پروتکل‌ها رو مسدود کرد و حتی شناسه‌های کاربرانی که به محتوای خاصی دسترسی داشتن رو پیدا کرد.

این ابزار خیلی قدرتمنده و می‌تونه:

  • ترافیک شبکه رو در سطح تک تک مشتریان ردیابی کنه.
  • موقعیت جغرافیایی مشترکین موبایل رو به صورت زنده با مرتبط کردن فعالیت اونها به شناسه‌های سلولی (Cell ID) مشخص کنه.
  • به دولت‌ها کمک کنه تا کاربرانی که از ابزارهای دور زدن سانسور استفاده می‌کنن یا به وب‌سایت‌های خاصی دسترسی دارن رو شناسایی کنن.
  • افرادی که قبل از مسدود شدن یک محتوا به اون دسترسی داشتن رو شناسایی کنه.

۴. زودیاک شبکه (Network Zodiac)

Network Zodiac یا (Nezha)یک سیستم برای نظارت بر بقیه اجزای این پلتفرمه، چیزی شبیه به ابزار معروف Grafana. اما یک ویژگی قابل توجه داره که اون رو از بقیه متمایز می‌کنه: یک ترمینال وب یکپارچه که به مدیران شبکه اجازه می‌ده از راه دور با استفاده از SSH به هر دستگاهی (مثلا یک نود TSG) متصل بشن. این قابلیت دسترسی مستقیم برای عیب‌یابی و مدیریت رو فراهم می‌کنه، اما یک ریسک امنیتی بزرگ هم ایجاد می‌کنه. در بدترین حالت، یک هکر با دسترسی به این سیستم می‌تونه به تمام تجهیزات امنیتی مستقر در یک کشور دسترسی پیدا کنه.

۵. فهرست سلامت (Sanity Directory – SAN)

این سیستم که با اسم «سیستم مدیریت ترافیک اعتبار کاربر» هم شناخته می‌شه، طراحی شده تا TSG رو با پروتکل‌های احراز هویت و حسابداری ISPها مثل RADIUS، 3GPP و CGNAT یکپارچه کنه. این یکپارچگی باعث می‌شه که جریان‌های ترافیک به هویت‌های واقعی افراد نسبت داده بشه. یکی از ویژگی‌های اصلی این سیستم، نسبت دادن ترافیک به یک سیم‌کارت خاصه. این کار نه تنها نظارت گسترده، بلکه نظارت خیلی هدفمند روی افراد خاص رو ممکن می‌کنه.

۶. دفاع فعال دی‌ال‌ال (DLL Active Defence)

شاید عجیب‌ترین محصولی که در داده‌های لو رفته پیدا شده، همین باشه. در نگاه اول به نظر می‌رسه این یک سیستم برای محافظت در برابر حملات DDoS باشه، اما با بررسی دقیق‌تر مشخص می‌شه که در واقع پلتفرمی برای راه‌اندازی حملات DDoS علیه وب‌سایت‌ها و سرویس‌های اینترنتیه که از نظر سیاسی نامطلوب تلقی می‌شن. این محصول به نظر پیاده‌سازی خود گیک نتورکس از «توپ بزرگ چین» (Great Cannon) هست.

این سیستم با اسکن کردن اینترنت، نقاط تقویت ترافیک مثل سرورهای DNS بازگشتی رو پیدا می‌کنه و از اونها برای حملات استفاده می‌کنه. بعد با استفاده از قابلیت تزریق کد در TSG، کامپیوترهای کاربران بی‌خبر رو برای شرکت در حمله به کار می‌گیره و یک بات‌نت ایجاد می‌کنه. این اولین نمونه تایید شده از یک شرکت امنیت سایبریه که رسما یک سرویس DDoS-for-hire به مشتریانش ارائه می‌ده.

این تکنولوژی دقیقا چه کارهایی می‌تونه انجام بده؟

حالا که با محصولات گیک نتورکس آشنا شدیم، بیایید عمیق‌تر به قابلیت‌های فنی اونها نگاه کنیم. این سیستم‌ها کارهایی فراتر از فیلتر کردن ساده انجام می‌دن.

حالت‌های استقرار: آینه‌ای در مقابل درون‌خطی

سیستم گیک نتورکس به دو روش اصلی می‌تونه مستقر بشه: حالت آینه‌ای (Mirrored) و حالت درون‌خطی (In-line).

  • حالت آینه‌ای (Mirrored یا Passive): در این حالت، یک کپی از داده‌ها با استفاده از یک انشعاب‌گیر شبکه (Network Tap) به دستگاه گیک فرستاده می‌شه. بسته‌های اصلی منتظر پردازش نمی‌مونن و به مسیرشون ادامه می‌دن. مزیت این حالت اینه که اگه سیستم گیک از کار بیفته، اینترنت قطع نمی‌شه و تاخیری هم در شبکه ایجاد نمی‌کنه. اما در این حالت، مشتری نمی‌تونه جلوی عبور ترافیک خاصی رو بگیره و برای مسدودسازی باید به تزریق بسته (Packet Injection) تکیه کنه.
  • حالت درون‌خطی (In-line یا Active): در این حالت، ترافیک باید قبل از رسیدن به مقصد، از داخل دستگاه گیک عبور کنه. مزیت این روش اینه که می‌شه به طور کامل جلوی جریان‌های ترافیک خاصی رو گرفت. این حالت معمولا توسط مشتریانی انتخاب می‌شه که کنترل مطلق می‌خوان، حتی به قیمت کاهش قابلیت اطمینان و کیفیت شبکه.

یک مقام ارشد از یک ISP در پاکستان در سال ۲۰۲۴ گفته بود که فایروال جدید از یک «شبکه درون‌خطی» استفاده می‌کنه که مثل یک ایست بازرسی عمل می‌کنه و هر بسته داده باید بازرسی بشه. اون اضافه کرده بود که استفاده از این روش «به ناچار سرعت اینترنت رو کم می‌کنه».

بازرسی عمیق بسته‌ها (Deep Packet Inspection – DPI)

این گزارش به پروتکل‌های زیادی اشاره می‌کنه که TSG می‌تونه اونها رو بازرسی کنه، از جمله HTTP، DNS، ایمیل، TLS، QUIC و SIP. این سیستم می‌تونه نام سرور (SNI) رو از ترافیک رمزگذاری شده TLS و QUIC استخراج کنه و بر اساس اون فیلترینگ انجام بده.

مدیریت ترافیک رمزگذاری شده

TSG برای تحلیل ترافیک TLS دو روش اصلی داره:

  1. رمزگشایی کامل: با استفاده از تکنیک Man-in-the-Middle (MITM) که نیاز به نصب یک گواهی ریشه (CA) توسط مشترک داره.
  2. تحلیل ترافیک رمزگذاری شده: با استفاده از DPI و تکنیک‌های یادگیری ماشین برای استخراج متادیتا از ترافیک رمزگذاری شده. این روش دوم بیشتر استفاده می‌شه چون برای کاربر نامرئیه و نیازی به نصب چیزی نداره. بخشی که مسئول اجرای حملات MITM هست، Tiangou Frontend Engine (TFE) نامیده می‌شه.

کاهش سرعت ترافیک (Throttling)

TSG قابلیت شکل‌دهی ترافیک (Traffic Shaping) رو داره. این یعنی به جای مسدود کردن کامل یک سرویس، می‌تونه سرعت اون رو کم کنه تا کیفیتش پایین بیاد. این کار یا به صورت مستقیم یا با استفاده از علامت‌گذاری DSCP انجام می‌شه که یک استاندارد صنعتی برای اولویت‌بندی ترافیکه.

تزریق و دستکاری ترافیک

این یکی از قابلیت‌های جدی TSG هست. این سیستم می‌تونه ترافیک رو تزریق یا دستکاری کنه. این کار می‌تونه برای مسدود کردن، آلوده کردن کاربران به بدافزار یا وادار کردن اونها به شرکت در حمله DDoS به سبک «توپ بزرگ چین» استفاده بشه. TSG می‌تونه نشست‌های HTTP رو به صورت زنده با تکنیک‌هایی مثل جعل پاسخ‌های تغییر مسیر، تغییر هدرها، تزریق اسکریپت و جایگزینی محتوای صفحات دستکاری کنه. قابلیت تزریق درون‌خطی به TSG اجازه می‌ده که کد مخرب رو به فایل‌هایی که در شبکه منتقل می‌شن تزریق کنه. اسناد گیک نتورکس به وضوح میگن که این ویژگی برای تزریق بدافزار به ترافیک اینترنت طراحی شده. این سیستم می‌تونه به صورت هوشمندانه یک کاربر خاص رو هدف قرار بده و فایل‌های مختلفی رو در لحظه تغییر بده، از جمله:

  • فایل‌های وب: HTML، CSS، JavaScript
  • فایل‌های اجرایی: APK (اندروید)، EXE (ویندوز)، DMG (مک) و RPM (لینوکس)
  • فایل‌های تصویری: JPG، GIF، PNG، SVG
  • فایل‌های آرشیو: ZIP، RAR
  • اسناد: PDF، JSON، XML و فایل‌های آفیس

شناسایی و مسدودسازی ابزارهای دور زدن سانسور

گیک نتورکس روش‌های پیچیده‌ای برای مقابله با وی‌پی‌ان‌ها و ابزارهای مشابه داره.

  • مهندسی معکوس: کارمندهای شرکت ابزارهای محبوب رو مهندسی معکوس می‌کنن تا راه‌هایی برای مسدود کردنشون پیدا کنن. یک مجموعه از اسناد، ۹ وی‌پی‌ان تجاری رو به عنوان «حل شده» لیست کرده و روش‌های مختلفی برای شناسایی و فیلتر کردن ترافیک اونها ارائه می‌ده. برای این کار از تحلیل استاتیک (دی‌کامپایل کردن کد برنامه برای پیدا کردن لیست سرورها) و تحلیل دینامیک (اجرای برنامه و تحلیل ترافیک شبکه) استفاده می‌شه.
  • مزرعه دستگاه‌های موبایل: گیک نتورکس یک مزرعه از دستگاه‌های موبایل داره که برنامه‌های وی‌پی‌ان روشون نصب شده تا رفتار شبکه‌شون رو در یک محیط کنترل شده مطالعه کنن. اسناد نشون می‌ده که این شرکت حتی اکانت‌های پولی وی‌پی‌ان‌های محبوب رو خریداری می‌کنه تا بتونه اونها رو تحلیل و مسدود کنه.
  • پایگاه داده AppSketch: این یک پایگاه داده از انگشت‌نگاری‌های شبکه برنامه‌های مختلفه، مثل سرویس‌های وی‌پی‌ان خاص. برای استخراج این انگشت‌نگاری‌ها، گیک و دانشجوهای Mesalab از یک نسخه تغییر یافته از ابزار tcpdump به اسم tcpdump_mesa استفاده می‌کنن. بعد این انگشت‌نگاری‌ها با استفاده از یکی از چهار سیستم SAPP، Stellar یا Maat به یک مجموعه قانون تبدیل می‌شن.
  • ردیابی کاربران وی‌پی‌ان: یک قابلیت جالب و غافلگیرکننده اینه که سیستم می‌تونه افراد خاصی رو به عنوان کاربران شناخته شده وی‌پی‌ان شناسایی کنه. وقتی این کاربران به یک سرویس وی‌پی‌ان جدید که هنوز مسدود نشده میرن، گیک نتورکس می‌تونه ترافیک اونها رو زیر نظر بگیره و از ردی که به جا می‌ذارن برای شناسایی و مسدود کردن وی‌پی‌ان جدید در آینده استفاده کنه.
  • مسدود کردن ترافیک ناشناس: حتی اگه TSG نتونه برنامه یا سرویس خاصی رو شناسایی کنه، می‌تونه هر جریان ترافیک پرحجم و غیرعادی رو به عنوان مشکوک علامت‌گذاری کنه و بعد از یک دوره مشخص، مثلا ۲۴ ساعت، اون رو مسدود کنه. این رفتار مشابه چیزیه که در فایروال بزرگ چین هم دیده شده.
  • ابزارهای خاص: گزارش‌ها به ابزارهایی برای مقابله با Tor bridges، Snowflake و WebTunnel هم اشاره می‌کنن. گیک نتورکس یک ابزار تخصصی به اسم Psiphon3-SLOK برای شمارش سرورهای Psiphon داره. استفاده از این ابزار با تغییراتی که در اتصالات Psiphon در میانمار در ماه می ۲۰۲۴ (همزمان با ورود گیک به این کشور) مشاهده شد، همخوانی داره.

مشتریان گیک نتورکس: این تکنولوژی به چه کشورهایی فروخته شده؟

اسناد فاش شده نشون می‌ده که گیک نتورکس هم در داخل چین و هم در چندین کشور دیگه فعالیت داره. برای نصب تجهیزات، کارمندهای گیک به صورت فیزیکی به محل ISP مشتری سفر می‌کنن و مستقیما با پرسنل اونجا کار می‌کنن. در اسناد، کشورها با اسم‌های رمز مشخص شدن که معمولا حرف اول اسم کشور به علاوه یک عدد دو رقمی (که همیشه با سال شروع همکاری یکی نیست) هست.

قزاقستان (اسم رمز: K18, K24)

گیک نتورکس در سال ۲۰۱۸ تاسیس شد و به نظر می‌رسه دولت قزاقستان اولین مشتری اون بوده که از سال ۲۰۱۹ همکاری رو شروع کرده. استقرار این سیستم در قزاقستان با تلاش‌های قبلی این دولت برای پیاده‌سازی TLS MITM در سطح ملی بی‌ارتباط نیست. یک تصویر از تاریخ ۱۶ اکتبر ۲۰۲۰، آدرس‌های IP یک مرکز ملی و ۱۷ شهر دیگه رو نشون می‌ده که سه محصول مختلف گیک رو اجرا می‌کنن: Bifang (مدیریت مرکزی)، Galaxy (اسم قدیمی TSG-Galaxy) و Nezha (اسم قدیمی Network Zodiac).

اتیوپی (اسم رمز: E21)

گیک در سال ۲۰۲۱ کارش رو در اتیوپی شروع کرد. یک گزارش از دسامبر ۲۰۲۲ نشون می‌ده که ژنگ چائو، مدیر ارشد فناوری گیک، کارهای انجام شده در دو مرکز داده منطقه‌ای Safaricom در آدیس آبابا رو تایید کرده. گزارش‌ها نشون می‌دن که بین تغییر حالت سیستم از آینه‌ای به درون‌خطی و آماده شدن دولت‌ها برای قطع اینترنت ارتباط وجود داره. در اتیوپی، ۱۸ تغییر به حالت درون‌خطی ثبت شده که دو مورد از اونها درست قبل از مسدودسازی شبکه‌های اجتماعی در فوریه ۲۰۲۳ در مراکز داده Safaricom انجام شده. یک تیکت پشتیبانی گیک از همون ماه هم مربوط به حل مشکل در مسدود کردن پلتفرم‌هایی مثل یوتیوب و توییتر در اتیوپی بوده.

پاکستان (اسم رمز: P19)

گیک در سال ۲۰۲۳ وارد پاکستان شد، همون سالی که شرکت Sandvine از این کشور خارج شد. عفو بین‌الملل به فایروال جدیدی که توسط گیک اداره می‌شه اسم «WMS 2.0» (سیستم مدیریت/نظارت وب نسخه ۲) داده. حضور گیک در پاکستان با گزارش‌های قبلی درباره نقش چین در ساخت فایروال ملی این کشور مطابقت داره. حرف‌های یک مدیر ارشد ISP در پاکستان در مصاحبه با الجزیره، شباهت زیادی به متون بازاریابی گیک داره. اون گفته بود که سیستم جدید نه تنها در دروازه‌های ورودی اینترنت کشور، بلکه در مراکز داده محلی ارائه‌دهندگان خدمات موبایل و ISPها هم مستقر می‌شه تا بتونه ترافیک محلی رو هم نظارت کنه.

در پاکستان، از سال ۲۰۱۵ هر سیم‌کارت جدیدی که صادر می‌شه باید به نام یک کاربر خاص ثبت و به اطلاعات بیومتریک مثل اثر انگشت که در سازمان ملی ثبت و پایگاه داده (NADRA) ثبت شده، مرتبط بشه. سیستم Sanity Directory گیک هم دقیقا قابلیت نسبت دادن ترافیک شبکه به یک سیم‌کارت خاص رو داره. همچنین حداقل یک تیکت پشتیبانی جیرا نشون‌دهنده ضبط متن ایمیل‌های رد و بدل شده بین یک شرکت حمل و نقل جهانی و یک شرکت پاکستانیه.

میانمار (اسم رمز: M22)

میانمار از این جهت مهمه که اولین باری بود که کار گیک نتورکس در یک کشور خارجی به صورت عمومی فاش شد. اسناد لو رفته نشون می‌ده که تجهیزات گیک در مراکز داده تمام ISPهای دولتی و خصوصی این کشور نصب شده، از جمله چهار ISP بزرگ MyTel، Ooredoo، MPT و ATOM و همچنین شرکت‌های کوچکتری مثل Frontiir، Global Technology Group و Campana. این در حالیه که سخنگوی Frontiir قبلا گفته بود که این شرکت هرگز هیچ پروژه نظارتی رو روی شبکه‌اش «ساخته، برنامه‌ریزی یا طراحی» نکرده.

اسناد همچنین شامل لیست بلندبالایی از برنامه‌ها و وی‌پی‌ان‌هاییه که دولت میانمار قصد مسدود کردنشون رو داشته. این لیست از لیست‌های مشابه در کشورهای دیگه مثل اتیوپی یا قزاقستان طولانی‌تره و شامل ۵۵ برنامه با اولویت بالا برای مسدودسازی، از جمله اپ‌های پیام‌رسان Signal و WhatsApp می‌شه.

مشتری ناشناس (اسم رمز: A24)

یکی از مشتریان گیک فقط با اسم رمز A24 شناخته می‌شه. در زمان افشای اسناد، رابطه تجاری بین اونها در مراحل اولیه بوده. هیچ اطلاعاتی که هویت این مشتری رو مشخص کنه در اسناد وجود نداره و تنها سرنخ‌ها حرف اول A و سال ۲۰۲۴ هستن. به نظر می‌رسه در این مرحله، دو استقرار آزمایشی از تجهیزات گیک، یکی در حالت آینه‌ای و دیگری در حالت درون‌خطی، برای روشن شدن تفاوت این دو حالت برای مشتری انجام شده. بعضی‌ها در فروم‌های آنلاین حدس می‌زنن که این کشور ممکنه نپال باشه، چون چین به کنترل کشورهای همسایه‌اش علاقه داره و نپال هم اخیرا با ممنوع کردن شبکه‌های اجتماعی یک چرخش اقتدارگرایانه داشته. اما این فقط یک حدسه و در اسناد تایید نشده.

فایروال‌های منطقه‌ای در خود چین

علاوه بر مشتریان بین‌المللی، اسناد نشون می‌ده که گیک نتورکس در حال ساخت فایروال‌های استانی در خود چینه که فایروال بزرگ ملی رو تکمیل می‌کنن. این فایروال‌های منطقه‌ای در استان‌های سین‌کیانگ، فوجیان و جیانگ‌سو شناسایی شدن.

سین‌کیانگ (اسم رمز: J24)

اسناد به وضوح میگن که فایروال منطقه‌ای در سین‌کیانگ قراره به عنوان یک الگو برای استقرار در سطح ملی در چین عمل کنه. یادداشت‌هایی از یک سخنرانی در ۲۲ ژوئن ۲۰۲۴ در شعبه سین‌کیانگ آکادمی علوم چین وجود داره که در اون گفته شده پروژه گیک «قصد داره این مرکز منطقه‌ای رو به یک نیروی پیشگام ضد تروریسم، به ویژه در سرکوب دور زدن [سانسور]، تبدیل کنه». در این یادداشت‌ها ذکر شده که «فایروال ملی در حال تکامل از یک مدل متمرکز به یک مدل توزیع‌شده است» و مرکز منطقه‌ای سین‌کیانگ می‌خواد «به یک الگو برای ساخت فایروال‌های استانی تبدیل بشه که بشه از اون در جاهای دیگه الگوبرداری کرد».

نیازمندی‌های پروژه J24 در سین‌کیانگ نشون‌دهنده نظارت شدید و تهاجمیه:

  • تحلیل رفتار اینترنتی، الگوهای سبک زندگی و روابط کاربران.
  • ساختن نمودارهای روابط بر اساس افرادی که یک هدف با اونها در ارتباطه.
  • گروه‌بندی افراد بر اساس برنامه‌هایی که استفاده می‌کنن یا وب‌سایت‌هایی که بازدید می‌کنن.
  • بررسی اینکه چه کاربرانی به دکل‌های مخابراتی خاصی متصل هستن برای مثلث‌سازی موقعیت مکانی.
  • تشخیص زمانی که تعداد زیادی از مردم در یک منطقه خاص جمع می‌شن.
  • ایجاد حصارهای جغرافیایی (Geofences) که با ورود افراد خاص به یک منطقه مشخص، هشدار ایجاد می‌کنه.
  • شناسایی افرادی که به طور مکرر سیم‌کارت عوض می‌کنن، با شماره‌های بین‌المللی تماس می‌گیرن یا از ابزارهای دور زدن سانسور و شبکه‌های اجتماعی خارجی استفاده می‌کنن.

فوجیان و جیانگ‌سو

اسنادی وجود داره که نشون می‌ده گیک نتورکس یک پروژه آزمایشی مشابه برای یک فایروال استانی در فوجیان، استانی در سواحل تایوان، در سال ۲۰۲۲ شروع کرده. اطلاعات درباره این پروژه محدودتره و با اسم «پروژه فوجیان» به اون اشاره شده. چندین سند هم به پروژه‌ای در جیانگ‌سو، یک استان ساحلی در شرق چین، اشاره می‌کنن. انگیزه همکاری با مقامات محلی، یعنی اداره امنیت عمومی استان جیانگ‌سو (JPSB)، مبارزه با کلاهبرداری‌های اینترنتی اعلام شده. یک محیط تست اولیه به اسم Jiangsu Nanjing در فوریه ۲۰۲۳ عملیاتی شده و به نظر می‌رسه پروژه ضد کلاهبرداری جیانگ‌سو تا ۱۵ مارس ۲۰۲۴ وارد فاز تولید شده.

شبکه همکاری‌های بین‌المللی

فعالیت‌های گیک نتورکس فقط به فروش مستقیم محدود نمی‌شه. این شرکت با شرکت‌های دیگه‌ای هم در ارتباط بوده، چه به صورت مستقیم و چه غیرمستقیم.

  • Sandvine (اکنون Applogic Networks): این شرکت کانادایی قبلا به پاکستان سیستمی برای مسدود کردن وب‌سایت‌ها فروخته بود. در سال ۲۰۲۳، این شرکت که حالا Applogic Networks نامیده می‌شه، از پاکستان خارج شد اما ظاهرا حداقل بخشی از سخت‌افزارهای خودش رو در اونجا جا گذاشت. تحقیقات نشون می‌ده که گیک نتورکس از این سخت‌افزارها، حداقل در ابتدا، دوباره استفاده کرده. Applogic در بیانیه‌ای گفته که از این موضوع اطلاعی نداشته و سخت‌افزارهای باقی‌مونده تجهیزات معمولی بودن که قابلیت خاصی نداشتن.
  • Thales Group (فرانسه): این شرکت فرانسوی نرم‌افزاری برای مدیریت لایسنس می‌فروشه. گیک نتورکس از این نرم‌افزار برای کنترل محصولاتی که می‌فروخت استفاده می‌کرده. این بهشون اجازه می‌داده که کارایی نرم‌افزار رو برای یک دوره زمانی محدود کنن. گروه تالس تایید کرده که شرکت چینی یکی از مشتریانش بوده اما گفته نرم‌افزار گیک برای کار کردن به محصول فرانسوی وابسته نیست و اونها هیچ ارتباطی با نظارت ندارن.
  • سرور آلمانی: گیک نتورکس ظاهرا از یک سرور در آلمان برای توزیع نرم‌افزارش بین مشتریان از طریق لینک‌های دانلود استفاده می‌کرده. انگیزه‌های این کار مشخص نیست، اما گفته می‌شه که فایروال چین دسترسی به وب‌سایت‌های چینی از خارج رو به طور فزاینده‌ای سخت می‌کنه.
  • شرکت‌های غربی دیگر: گیک نتورکس اولین شرکتی نیست که چنین تکنولوژی‌هایی رو می‌فروشه. شرکت‌های غربی هم در این بازار فعال بودن. مثلا در سال ۲۰۱۵، سازمان Privacy International فاش کرد که پاکستان از تکنولوژی‌های نظارتی شرکت‌های آلمانی استفاده می‌کنه. طبق گزارش‌های رسانه‌ای، یکی از این شرکت‌ها به اسم Utimaco، در میانمار هم فعال بوده.

نگاهی به سورس‌کدها و آینده تحلیل‌ها

یکی از مهمترین بخش‌های این افشاگری، فایل mesalab_git.tar.zst به حجم ۶۴ گیگابایته که به نظر می‌رسه شامل مخازن سورس‌کد گیک و MESA همراه با تاریخچه کامل کامیت‌هاست. تا به امروز، هیچکدوم از گزارش‌ها به صورت عمیق این سورس‌کدها رو بررسی نکردن، پس هنوز چیزهای زیادی برای مطالعه و یادگیری وجود داره. این فایل‌ها به صورت بسته‌های گیت (Git bundles) هستن و می‌شه اونها رو مثل یک مخزن معمولی کلون کرد. نگاهی به لیست فایل‌های داخل این آرشیو، گستردگی پروژه‌ها رو نشون می‌ده. اسم‌هایی مثل vpn_access، quic-block، maat، tsg-deploy و obfs4_meek_snowflake فقط بخش کوچکی از این گنجینه اطلاعاتی هستن. تحلیل این کدها می‌تونه جزئیات فنی دقیق‌تری از نحوه کار این سیستم‌ها رو آشکار کنه.

این افشاگری تصویری از یک شرکت ارائه می‌ده که نه تنها در داخل مرزهای خودش به توسعه ابزارهای کنترل اینترنت مشغوله، بلکه این تکنولوژی رو به عنوان یک محصول صادراتی به کشورهای دیگه هم عرضه می‌کنه. اسناد نشون می‌ده که این شرکت چطور با همکاری نزدیک با یک آزمایشگاه تحقیقاتی، جدیدترین روش‌ها رو برای نظارت، سانسور و حتی حمله در فضای سایبری توسعه می‌ده و در اختیار مشتریان دولتی خودش قرار می‌ده.

منابع

  • [2] Index of /geedge/
  • [4] Leak of Geedge Networks internal documents (100,000+ from Jira, Confluence, GitLab) · Issue #519 · net4people/bbs
  • [6] Leak of Geedge Networks internal documents (100,000+ from Jira, Confluence, GitLab) · Issue #519 · net4people/bbs
  • [8] Leak of Geedge Networks internal documents (100,000+ from Jira, Confluence, GitLab) · Issue #519 · net4people/bbs
  • [1] Two Major Leaks Illuminate Censorship and Surveillance Sales Into and From China
  • [3] Leak Shows How a Chinese Company Is Exporting the Great Firewall to the World | Hacker News
  • [5] Geedge & MESA Leak: Analyzing the Great Firewall’s Largest Document Leak
  • [7] Leak of Geedge Networks internal documents (100,000+ from Jira, Confluence, GitLab) · Issue #519 · net4people/bbs
  • [9] Geedge Networks – Enlace Hacktivista

دیدگاه‌ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

نوشته‌های بیشتر