Китайская компания Geedge Networks наладила серийную продажу программно-аппаратных комплексов, позволяющих развёртывать инструменты для цензуры интернета в масштабах целой страны. Они уже работают в нескольких государствах, пишет Wired со ссылкой на данные расследования группы правозащитных организаций.

Обзор смартфона HUAWEI Pura 80 Pro: разумный флагман с мощнейшей камерой

Обзор планшета HUAWEI MatePad 11,5'' (2025): апгрейд без бликов

Ноутбуки HONOR MagicBook: технологии, дизайн и производительность для любых задач

Обзор ноутбука HONOR MagicBook Pro 16 HUNTER 2025. Для игр? Для работы? Для игр и работы!

В чем уникальность зум-камеры HUAWEI Pura 80 Ultra?

Шестиядерники за 10 тысяч рублей — сравнение и тесты

Компьютер месяца — сентябрь 2025 года

Обзор видеокарты Acer Nitro Intel Arc B580 OC

Источник изображения: Philipp Katzenberger / unsplash.com

Основанная в 2018 году компания Geedge Networks позиционируется как поставщик услуг сетевого мониторинга — она предлагает своим клиентам инструменты для «обеспечения комплексного контроля и минимизации угроз безопасности». В действительности, утверждают авторы расследования, это сложные системы, которые позволяют отслеживать потоки данных, блокировать определённые веб-сайты и VPN, а также следить за конкретными лицами. По сути, речь идёт о коммерческой версии «Великого китайского файрвола» — комплексном решении, включающем аппаратное обеспечение, которое можно установить в любом центре обработки данных, и программную часть. Компания работает над расширением возможностей систем — в перспективе они смогут проводить кибератаки и реализовывать различные режимы мониторинга в зависимости от регионов.

Системы Geedge уже работают в Эфиопии, Пакистане, Мьянме и других странах, не все из которых авторам расследования удалось установить. Известно о вакансиях в штате поставщика — компания ищет инженеров, которые могут выезжать в другие страны для проведения работ. Правозащитникам удалось изучить документы в используемых разработчиком системах Jira и Confluence, исходный код программных решений, переписку с одним из китайских учебных заведений, журналы операций, обращения для решения проблем и добавления новых функций.

Основой систем Geedge является шлюз Tiangou Secure Gateway (TSG), который устанавливается в ЦОД и может масштабироваться для управления трафиком целой страны. Через шлюз проходит каждый пакет трафика — здесь он может сканироваться, фильтроваться или полностью блокироваться. Система позволяет задавать правила для отдельных пользователей, которые считаются подозрительными, и собирать информацию об их сетевой активности. Она способна перехватывать информацию, в том числе содержимое сайтов, пароли и вложения к электронным письмам. При наличии TLS-шифрования используются методы глубокой проверки пакетов и машинного обучения для извлечения метаданных из зашифрованного трафика и прогнозирования того, используются ли средства обхода цензуры. Если распознать содержимое зашифрованного трафика не получается, его можно пометить как подозрительный и заблокировать на определённый момент времени.

Источник изображения: Krzysztof Kowalik / unsplash.com

На одном из снимков экрана видно, что система Geedge в Мьянме отслеживает 81 млн интернет-подключений одновременно, и в теории её можно расширить, установив дополнительное оборудование. По состоянию на февраль 2024 года оборудование Geedge стояло в 26 ЦОД 13 провайдеров в Мьянме, гласят документы, — сами провайдеры подтвердить это отказались. Ранее Geedge поставляла свои системы на оборудовании HP и Dell, но затем стала использовать продукцию китайских компаний, чтобы избежать возможных санкций.

Ещё один основополагающий продукт Geedge носит название Cyber Narrator. Это упрощённый пользовательский интерфейс, который открывает доступ к данным Tiangou Secure Gateway в реальном времени для неспециалистов — сотрудников государственных органов. Операторы Cyber Narrator могут видеть местоположение каждого пользователя мобильного интернета на основе данных о подключении его устройств к сотовым сетям; а также фиксировать факт использования VPN. В Мьянме Geedge выявила 281 популярный VPN-сервис с указанием технических характеристик, стоимости подписки и возможностью работы в стране. В одном из документов были выделены 54 приложения, помеченные как приоритетные для блокировки. За несколько месяцев система Geedge получила возможность блокировать практически все VPN, указывают эксперты.

В изученных правозащитниками документах нет записей о контрактах, а клиенты упоминаются под кодовыми именами. Изучив местоположения указанных ЦОД, схемы международных грузоперевозок и прочие сведения, удалось установить, в частности, Пакистан, Эфиопию и Мьянму; некоторые страны оказались неопознанными. Geedge размещает на открытых платформах объявления о вакансиях — в частности, она искала инженера по эксплуатации систем, который смог бы отправляться в длительные командировки от трёх до шести месяцев в страны, которые участвуют в инициативе «Один пояс — один путь», в том числе в Пакистан, Малайзию, Бахрейн, Алжир и Индию. Компания также искала переводчиков, говорящих на французском и испанском языках.

Известно, что в октябре 2024 года Пакистанское управление электросвязи (PTA) закупило лицензии на сервисы мониторинга статистики в реальном времени и сохранения данных об электронной почте. В одной из записей на платформе Jira содержится пример перехваченного системой Geedge электронного письма: в наборе данных содержатся его тема и полный текст, вложение, протокол, имена отправителя и получателя и соответствующие IP-адреса. У сотрудников компании есть доступ к перехватываемой таким образом информации, что может представлять угрозу национальной безопасности для стран, чьи правительства закупают системы Geedge.

Источник изображения: Marc-Olivier Jodoin / unsplash.com

Поставщик проявляет гибкость и может адаптировать свои системы под оборудование клиента. До сотрудничества с Geedge власти Пакистана закупали средства глубокой проверки пакетов данных от канадской компании Sandvine, но впоследствии лишились доступа к новым поставкам и поддержке из-за американских санкций. Оборудование Sandvine так и осталось работать в пакистанских ЦОД, и пришедшая на смену канадскому поставщику Geedge переориентировала существующую инфраструктуру заказчика и подготовила его к переводу на китайское оборудование. В Эфиопии систему Geedge в феврале 2023 года перевели из состояния пассивного мониторинга в режим активной блокировки всего за несколько дней; в Мьянме система использовалась для блокировки канадского VPN-сервиса Psiphon, и его операторы отметили изменения в поведении жителей страны.

В 2018 году, когда Geedge Networks только начала работу, она первоначально носила название Zhongdian Jizhi, что указывает на её связь с конгломератом China Electronics Corporation (CEC), который по-китайски носит сокращённое название Zhongdian. Две компании объединяет личность китайского учёного Фана Биньсина (Fang Binxing), которого называют «отцом Великого китайского файрвола», потому что он руководил ранними разработками системы цензуры. В 2019 году, будучи главным научным сотрудником CEC, он приобрёл 40 % в компании Jicheng (Hainan) Technology Investment, которая, в свою очередь, является инвестором в Geedge Networks — у двух компаний один и тот же руководитель. В 2024 году господин Фан при участии Geedge открыл новый исследовательский центр в области кибербезопасности.

Системы Geedge активно работают и в Китае, где адаптируются под специфику различных провинций. Операционные центры Geedge подключили к телекоммуникационным объектам Синцзяна. Проводились пилотные проекты в провинциях Фуцзянь и Цзянсу, направленные на борьбу с распространёнными в восточных регионах ресурсами со схемами финансового мошенничества.

Известно о разработке экспериментальных функций. Интерфейс Cyber Narrator получил обновление с поддержкой функции построения графов — взаимосвязей пользователей с другими лицами и группами лиц в зависимости от используемых ими приложений. В планах значится определение их местоположений по вышкам сотовой связи и группировка пользователей сети по этому признаку для усиленного мониторинга. Известно также о прототипе функции «рейтинга репутации»: каждому человеку начисляется базовый рейтинг 550 баллов, который можно увеличить, подтвердив персональные данные, в том числе указав паспортные данные, зарегистрировавшись в системе распознавания лиц и передав сведения о трудоустройстве. Пользователям с рейтингом ниже 600 баллов доступ в интернет не предоставляется. Установить, были ли запущены эти функции в системах Geedge, работающих в Китае и за рубежом, не удалось.

Исследователи пришли к выводу, что попытки Китая цензурировать трафик, передаваемый с помощью Quick UDP Internet Connections (QUIC), несовершенны и подвергают страну риску атак, которые ослабляют её систему цензуры или даже ограничивают доступ к альтернативным DNS-резолверам. Операторы «Золотого щита», также известного как «Великий китайский файрвол», начали блокировать некоторые соединения QUIC ещё в апреле 2024 года, но делают это бессистемно.

Обзор планшета HUAWEI MatePad 11,5'' (2025): апгрейд без бликов

Шестиядерники за 10 тысяч рублей — сравнение и тесты

В чем уникальность зум-камеры HUAWEI Pura 80 Ultra?

Обзор ноутбука HONOR MagicBook Pro 16 HUNTER 2025. Для игр? Для работы? Для игр и работы!

Обзор видеокарты Acer Nitro Intel Arc B580 OC

Ноутбуки HONOR MagicBook: технологии, дизайн и производительность для любых задач

Обзор смартфона HUAWEI Pura 80 Pro: разумный флагман с мощнейшей камерой

Компьютер месяца — сентябрь 2025 года

Источник изображений: unsplash.com

Эти выводы были опубликованы на прошлой неделе в статье, подготовленной исследователями из Массачусетского университета в Амхерсте, Стэнфордского университета, Колорадского университета в Боулдере и активистской группы Great Firewall Report. Статья под названием «Разоблачение и обход цензуры QUIC на основе SNI в “Великом китайском файрволе”» будет представлена на симпозиуме по безопасности USENIX на следующей неделе.

QUIC — интернет-протокол, разработанный Google в конце 2012 года. Он использует протокол пользовательских дейтаграмм (UDP) вместо протокола управления передачей (TCP), позволяет мультиплексировать несколько потоков данных и содержит возможности шифрования, эквивалентные TLS и SSL. QUIC имеет меньшую задержку соединения и передачи, чем TCP, и при этом допускает потерю некоторых пакетов за счёт хорошего выравнивания границ криптографических блоков с границами пакетов. Эксперты утверждают, что на сегодняшний день по крайней мере десять процентов веб-сайтов используют QUIC, в том числе многие сервисы, предоставляемые Meta✴ и Google.

Китай использует «Великий китайский файрвол» (ВКФ) для блокировки сайтов обеих компаний, поэтому обновление QUIC представляется разумным расширением его всеобъемлющего режима цензуры. Исследователи отметили, что устройства, ответственные за цензуру QUIC, расположены на том же участке сети, что и существующие устройства ВКФ, что говорит об использовании ими общей инфраструктуры и схожих подходов к управлению.

«Чёрный список QUIC от “Великого Китайского файрвола” существенно отличается от чёрных списков, используемых для цензуры TLS, HTTP или DNS в Китае, — говорится в статье. — В частности, чёрный список QUIC составляет примерно 60 % от размера чёрного списка DNS по количеству доменов. Удивительно, но многие из этих доменов даже не поддерживают QUIC, что делает неясным, почему они оказались в чёрном списке, специфичном для QUIC».

Исследователи также заметили «особенности парсинга», когда ВКФ пытался обрабатывать полезную нагрузку QUIC, не соответствующую требованиям стандартов, затрачивая ресурсы на обработку пакетов, которые не являются попытками доступа к запрещённым сайтам.

В статье также утверждается, что Китай не может блокировать весь трафик QUIC, а процент успешных попыток цензуры колеблется в зависимости от времени суток. Протестировав блокировку QUIC в Пекине, Шанхае и Гуанчжоу, исследователи обнаружили «чёткую суточную закономерность во всех трёх городах: процент блокировки достигает пика в ранние утренние часы и снижается до минимума в течение дня».

Как поясняется в статье, «QUIC шифрует все пакеты, в отличие от TLS, где имя сервера назначения отправляется открытым текстом. В QUIC даже первое сообщение о рукопожатии, QUIC Client Initial, зашифровано, хотя и с использованием ключа, который может быть получен пассивным сетевым наблюдателем». Это означает, что цензору, желающему заблокировать соединения QUIC на основе поля Server Name Indication (SNI), необходимо расшифровать первый пакет каждого соединения QUIC, чтобы определить сайт назначения, что резко увеличивает операционные расходы и делает скорость блокировки чувствительной к нагрузке на сеть, которая меняется в течение дня.

Выявленные проблемы с обработкой исходных пакетов QUIC побудили авторов статьи задуматься о возможности целенаправленного ослабления возможностей цензуры в Китае путём отправки пакетов QUIC в ВКФ. Проведя эксперименты, не нарушающие работу китайского интернета, исследователи пришли к выводу, что таким образом можно существенно ослабить инфраструктуру ВКФ из-за пределов Китая.

Исследователи также обнаружили, что блокировщик QUIC от ВКФ позволяет инициировать «атаку на доступность», которая преднамеренно запускает механизм цензуры. Системы цензуры часто снимают блокировку трафика через несколько минут, но злоумышленники могут намеренно отправлять дополнительные поддельные пакеты, чтобы сохранить цензуру. Подобная атака может привести к блокировке доступа из Китая ко всем открытым или корневым иностранным DNS-резолверам, что вызовет масштабные сбои с разрешением доменных имён в стране.

«Защита от этой атаки с одновременным применением цензуры затруднена из-за простоты подмены UDP-пакетов, — говорится в статье. — Необходимо тщательное проектирование, чтобы цензоры могли применять целевые блокировки в QUIC, одновременно предотвращая атаки на доступность».

Исследователи опасались, что их работа может нанести вред китайскому интернету и гражданам, и поэтому в январе 2025 года раскрыли информацию о ней китайским властям. В марте авторы наблюдали изменения в поведении ВКФ, анализ которых показывает, что разработчикам ВКФ пока удалось лишь частично нейтрализовать уязвимость.

Авторы не раскрыли китайским властям возможность снижения производительности ВКФ при увеличении нагрузки на сеть, но поделились этой информацией с сообществами противников цензуры, после чего информация была раскрыта публично.

«Мы выбрали эту стратегию раскрытия информации, поскольку атака, снижающая производительность, затрагивает только инфраструктуру ВКФ, а не пользователей. Раскрытие информации цензору в частном порядке позволило бы им усилить механизмы цензуры до того, как более широкое сообщество противников цензуры узнало бы об этой уязвимости и извлекло бы из неё уроки», — объяснили свои мотивы авторы статьи.

Источник изображения: pexels.com

В феврале 2025 года группа учёных и специалистов в области кибербезопасности сообщила об обнаруженной в 2021 году уязвимости Wallbleed в «Великом китайском файрволе». В течение четырёх лет они постоянно эксплуатировали её, стремясь изучить механизмы работы системы, публичная информация о которой практически отсутствует. В частности, они выяснили, что данные оставались в памяти оборудования от нуля до пяти секунд, а его центральные процессоры имели архитектуру x86_64. Они также установили, что уязвимые промежуточные узлы обрабатывали трафик с сотен миллионов китайских IP-адресов, то есть практически со всей страны.

Wallbleed — не первая уязвимость, обнаруженная в китайской системе блокировки ресурсов. В 2010 году в Сети был опубликован скрипт, который из-за уязвимости в DNS позволял получать 122 байта дополнительных данных из памяти серверов файрвола.