Kineski operateri crnog tržišta otvoreno novače insajdere vladinih agencija, plaćaju im pristup podacima o nadzoru, a zatim ih preprodaju na internetu, i to bez pitanja
Kina već dugo bez ikakvih pravnih provjera fizički i digitalno prati svoje građane. Međutim, kada se toliko kontrola privatnih podataka građana skupi unutar nekoliko vladinih agencija, ona ne ostaje tamo. Umjesto toga, ta nagrada privatnih informacija također je procurila na živahno crno tržište – ono u kojem insajderi prodaju vlastiti pristup bilo kojem prevarantu ili progonitelju koji je voljan platiti.
Na konferenciji o sigurnosti Cyberwarcona u Arlingtonu u Virginiji, istraživači iz tvrtke za kibernetičku sigurnost SpyCloud planiraju predstaviti svoje nalaze iz praćenja zbirke usluga na crnom tržištu koje nude kao jeftina i jednostavna pretraživanja podataka kineskih građana. Prodavači u mnogim slučajevima dobivaju te osjetljive informacije zapošljavanjem insajdera iz kineskih nadzornih agencija i vladinih izvođača,.
Rezultat je ekosustav koji djeluje u punom javnom pogledu gdje, za samo nekoliko dolara vrijedni kriptovalute, svatko može ispitivati telefonske brojeve, bankovne podatke, podatke o hotelima i letu ili čak podatke o lokaciji o ciljanim pojedincima.
Masivni nadzorni aparat
“Kina je stvorila ovaj masivni nadzorni aparat”, kaže Aurora Johnson, jedna od dvoje istraživača SpyClouda koji su pratili kako nadzorni podaci propuštaju crno tržište. I obični pojedinci rade u sustavu u kojem nema puno ekonomske i društvene mobilnosti i gdje nemaju nesmetan pristup tim bazama podataka o informacijama na temelju njihovih poslova u vladi ili tehnološkim tvrtkama. Dakle, oni zloupotrebljavaju taj pristup, u mnogim slučajevima krađom podataka i prodajom na kriminalnim tržištima.
Istraživači SpyClouda usredotočili su se na dobavljače podataka na kineskom jeziku koji nude svoje usluge na računima na usluzi za razmjenu poruka Telegram, uključujući one pod nazivom Carllnet, DogeSGK i X-Ray. Usluge, od kojih svaka ima desetke tisuća članova u svojoj Telegram grupi, opisuju se kao GSK-ovi ili “shègōng kù”, koje istraživači prevode kao “društvene inženjerske knjižnice” – ime je koje sugerira da usluge možda prvenstveno koriste prevaranti. Sve tri usluge koriste bodovni sustav u kojem korisnici mogu izvršiti plaćanja – obično u kriptovaluti Tether, iako su u nekim slučajevima kineske platne usluge WePay i Alipay prihvaćene – za “bodove”, ili ih radi zarade pozivaju drugi kupci. Kupci tada mogu unovčiti te kredite za obavljanje pretraživanja na temelju identifikatora u rasponu od imena ili adresa e-pošte do telefonskih brojeva do korisničkih imena na kineskim QQ, WeChat ili Weibo društvenim mrežama.
Potkupljivi građani
Kao odgovor na te upite za pretraživanje, usluge obećavaju podatke i zapise o ciljevima, uključujući telefonske brojeve, zapise poziva, bankovne račune, bračne zapise, registracije vozila, rezervacije hotela i bezbroj drugih osobnih podataka. Za veća plaćanja koja se kreću u stotinama dolara, usluge također nude premium pretraživanja za još osjetljivije informacije poput slika putovnica ili geolokacijskih zapisa, kažu istraživači SpyClouda, iako su proveli samo ograničene eksperimente na tim premium pretraživanjima. Neke od usluga posebno obećavaju detaljan pristup podacima iz kineske “velike tri” državne telekomunikacijske tvrtke: China Telecom, China Unicom i China Mobile.
WIRED je kontaktirao Carllnet, DogeSGK i X-Ray putem Telegrama, kao i velike tri kineske telekomunikacije čiji podaci tvrde da imaju pristup, ali nitko od njih nije odgovorio na zahtjeve za komentarom.
U nekim slučajevima, čini se da se usluge oslanjaju na prekršene baze podataka – zbirke podataka koje su hakeri procurili na internetu – kao i komercijalno prikupljene izvore podataka slične onima koje nude zapadni brokeri podataka, kao što su podaci o lokaciji koji su podigli mnoge besplatne aplikacije za pametne telefone. No, čini se da oni također nude informacije od insajdera u tehnološkim i telekomunikacijskim tvrtkama, bankama i kineskim državnim agencijama za nadzor, pa čak i otvoreno objavljuju oglase koji traže zaposlenike tih organizacija koje traže dodatni izvor prihoda. “Iskreno u potrazi za osobljem javne sigurnosti za uspostavljanje suradnje”, navodi se u jednom oglasu objavljenom na Telegramu, kako je preveo SpyCloud.
Insajderi zarađuju
Još jedno mjesto iz X-Ray Telegram feeda poziva “unutarnje osoblje” iz “javne sigurnosti, civilnih poslova, [i] banaka” da surađuju s uslugom. Prema jednom oglasu, insajderi se plaćaju više od 10.000 juana – ili gotovo 1.400 dolara – dnevno, dok druga radna mjesta za zapošljavanje obećavaju dvostruko više i kažu da će neki izvori primati plaćanja čak 70.000 juana dnevno, ili gotovo 10.000 dolara. “Postoje mnogi drugovi koji surađuju s nama i s klizištem surađuju već nekoliko godina”, stoji u jednom izvješću. Kako bi se dodatno ublažili strahovi, obećava “potpuni plan izbjegavanja rizika kako bi vas zaštitio”.
Plaćanje tim izvorima, sugerira jedan oglas, dolazi u obliku “virtualne valute” i nudi obuku u “miješanju” i drugim metodama povlačenja “uspoređujući s onima osoblja na crnom tržištu tamne mreže”, prema prijevodu SpyClouda – sugerirajući da su insajderi vjerojatno plaćeni u kriptovaluti, s obzirom na to da se usluge “miješanja” obično koriste za poraz praćenja kriptovaluta temeljenih na blockchain (lančani blok) analizi. “Možete dobiti novac s ljubavlju i povući novac s povjerenjem”, navodi se u priopćenju.
Curenje komunikacija i dokumenata
Kao daljnji dokaz da vladini nadzornici insajdera na tržištu brokera podataka ukazuju na curenje komunikacija i dokumenata iz I-Soon-a, izvođača kiber špijunaže u Ministarstvo javne sigurnosti i Ministarstva državne sigurnosti. U jednom procurjelom razgovoru, jedan zaposlenik tvrtke sugerira drugom da “samo čujem ovdje da prodam qb” i “prodaju sami nešto qb-a”. Istraživači SpyClouda tumače “qb” da znači “qíngbào” ili “obavještajna služba”.
S obzirom na to da je prosječna godišnja plaća u Kini, čak i u državnoj IT tvrtki, iznosi samo oko 30.000 dolara, obećanje – koliko god vjerodostojno ili sumnjivo – da će napraviti gotovo trećinu tog dnevno u zamjenu za prodaju pristupa podacima o nadzoru predstavlja snažno iskušenje, tvrde istraživači SpyClouda. “To nisu nužno glavni umovi”, kaže Johnson. “To su ljudi s mogućnošću i motivom da zarade malo novca sa strane.”
Visok stupanje korupcije
Da neki vladini insajderi zapravo unovčuju svoj pristup podacima o nadzoru treba očekivati usred kineske stalne borbe protiv korupcije, kaže Dakota Cary, istraživačica politike i kibernetičke sigurnosti u tvrtki za kibernetičku sigurnost SentinelOne, koja je pregledala saznanja SpyClouda. Transparency International, na primjer, rangira Kinu 76. u svijetu od 180 zemalja u svom indeksu korupcije, znatno ispod svake zemlje EU-a osim Mađarske – s kojom je bila vezana – uključujući Bugarsku i Rumunjsku. Korupcija je “u prevladavanju u sigurnosnim službama, u vojsci, u svim dijelovima vlade”, kaže Cary. “To je kulturni stav odozgo prema dolje u trenutnoj političkoj klimi. Uopće nije iznenađujuće da pojedinci s ovom vrstom podataka učinkovito iznajmljuju pristup koji imaju kao dio svog posla.
Podatci i o visokom komunističkim dužnosnicima
U svom istraživanju, analitičari SpyClouda otišli su toliko daleko da su pokušali koristiti brokere podataka sa sjedištem u Telegramu kako bi tražili osobne podatke o određenim visokim dužnosnicima Kineske komunističke partije i Narodnooslobodilačke vojske, pojedinih kineskih hakera pod pokroviteljstvom države koji su identificirani u američkim optužnicama i izvršni direktor tvrtke za kiber sigurnost I-Soon, Wu Haibo. Rezultati tih upita uključivali su vrećicu telefonskih brojeva, adrese e-pošte, brojeve bankovnih kartica, zapise o registraciji automobila i “hurpljive” lozinke – lozinke vjerojatno dobivene kršenjem podataka koje su zaštićene oblikom šifriranja, ali ponekad ranjive na pucanje – za te vladine dužnosnike i izvođače.
U nekim slučajevima, brokeri podataka barem tvrde da ograničavaju pretraživanja kako bi isključili slavne osobe ili vladine dužnosnike. No, istraživači kažu da su obično uspjeli pronaći zaobilazno rješenje. “Uvijek možete pronaći drugu uslugu koja je spremna obaviti pretragu i dobiti neke dokumente o njima”, kaže istraživačica SpyClouda Kyla Cardona.
Rezultat, kako to Cardona opisuje, još je neočekivanija posljedica sustava koji prikuplja tako ogromne i centralizirane podatke o svakom građaninu u zemlji. Ne samo da podaci o nadzoru istječu u privatne ruke, već također curi u ruke onih koji gledaju promatrače. “To je dvosjekli mač”, kaže Cardona. “Ovi podaci se prikupljaju za njih i od njih. Ali može se upotrijebiti i protiv njih.”
