Responsive Image

研究称中国对维吾尔人监控比外界所知更早、更广泛

研究称中国对维吾尔人监控比外界所知更早、更广泛

纽约时报中文网, 2020年7月2日

恶意软件隐藏在应用程序和网站中,以从数百万中国维吾尔族穆斯林的手机中收集数据。 GILLES SABRIE FOR THE NEW YORK TIMES

台湾台北——研究人员称,在中国警察在西部地区新疆安装高性能监控摄像头并拘禁成千上万少数民族之前,中国的黑客已经在制作恶意软件。

旧金山移动安全公司Lookout的研究人员周三表示,从2013年开始的中国黑客行动一直持续到今天。这是一项规模庞大但往往悄无声息的行动的一部分,其目的是从人们的手机——最易于了解一个人的设备——中获取数据。

Lookout发现了八种恶意软件之间的关联——其中有些是已知的,有些是新发现——表明与中国政府有关联的组织是如何入侵新疆维吾尔族人使用的Android手机的,其规模远超此前的想象。

从时间线上看,该黑客行动是中国维吾尔族监视工作的早期基石,后来又扩展到收集血液样本、声纹记录、面部扫描其他个人数据,以将新疆转变为一个实质上的警察国家。其中还可以看到,中国的监控人员会不遗余力地追踪逃离到另外15个国家的维吾尔人。

黑客制作的工具隐藏在维吾尔人使用的特殊键盘中,并伪装成第三方网站中的常用应用。有些工具可以远程打开手机的麦克风,记录通话或在聊天应用上导出照片、手机位置和聊天记录。还有的嵌入应用程序之中,这些应用提供维吾尔语新闻、以维吾尔族为目标用户的美容技巧、《古兰经》等经文以及最新的穆斯林神职人员被逮捕细节。

“无论中国维吾尔人走到哪里,无论走得多远,无论是土耳其、印度尼西亚还是叙利亚,恶意软件都在跟随他们,”参与揭露该黑客活动的Lookout威胁情报工程师阿普尔瓦·库马尔(Apurva Kumar)说。“就像看着掠食者在世界各地跟踪猎物一样。”

十年前,中国人民解放军的黑客以攻击的规模著称,其技术并不精良。但在美国的制裁威胁下,中国国家主席习近平在2015年与贝拉克·奥巴马(Barack Obama)总统达成了一项协议,停止为商业利益侵入美国目标。该协议起效了一段时间中国黑客在美国的活动大为减少。

去年秋天,私营研究机构确定,在同一时期,中国将最先进的黑客工具转向了自己的人民。多项研究——谷歌研究人员、安全公司Volexity和多伦多大学蒙克全球事务学院的公民实验室——同时分别发现了对中国维吾尔族和藏族的iPhone和Android手机进行先进的中国黑客攻击的情况。


新疆一个公园入口处配备了面部识别技术的安全检查点。 GILLES SABRIÉ FOR THE NEW YORK TIMES

谷歌的研究人员发现,黑客已经将工具植入了在中国及其他国家的维吾尔人经常光顾的网站,这些工具可能会入侵他们的iPhone并窃取其数据。

Lookout的最新分析表明,中国黑客入侵手机的行动比安全专家、人权活动家和间谍软件受害者所意识到的更为广泛,也更具侵略性。但是研究中国监视的专家表示,鉴于北京监视新疆之久,这并不奇怪。

“我们应该想想智能手机监视如何被用来跟踪人们的内心生活,他们的日常行为,他们的可信赖度,”在科罗拉多大学博尔德分校研究少数民族人口监视的雷风(Darren Byler)说。

雷风说,2015年,随着北京严厉打击新疆零星的民族暴力活动,当局越来越“急切”地跟踪网络上迅速增长的维吾尔人的交流。维吾尔人开始担心,他们在网上谈论伊斯兰或政治是有风险的。曾于2015年住在新疆的雷风说,那些善用科技的维吾尔人会另外买一部“清白的手机”。

在新疆的街道上,警察开始没收维吾尔人的手机。有时,他们在几个月后将它们归还,手机上已被安装了新的间谍软件。有时人们拿回来的电话完全不是之前的那部。前往维吾尔族村庄的官员定期记录用于识别智能手机的序列号。他们在街道两旁安置新的硬件设备跟踪路过的人的手机。

根据证词政府文件,当局将拥有两部手机或一部老式手机、随意弃用一部手机或根本不用手机的维吾尔族人拉进拘禁营。

Lookout表示,在同一时期,中国加速了黑客入侵手机方面的行动。其中一种中国恶意软件早在2011年就被黑客使用,名为GoldenEagle,因为该词在他们的代码中到处都是——看起来指的是在新疆用于捕猎的鹰。但是它的使用率在2015年和2016年有所上升。Lookout发现了超过650个版本的GoldenEagle恶意软件以及大量维吾尔语的伪装应用,它们作为木马以监视用户的移动通信。

这些恶意应用模仿了所谓的虚拟专用网络,即用于建立加密网络连接并查看在中国境内被禁内容的软件。他们还针对维吾尔人经常用于购物、视频游戏、音乐流媒体、成人媒体和旅行预订的应用,以及维吾尔语专用键盘应用。一些应用为维吾尔族人提供美容和传统医学技巧。还有的伪装成Twitter、Facebook、中国即时通讯服务QQ和搜索巨头百度的应用。

下载完成后,这些应用为中国黑客提供了一个实时窗口,以了解其目标用户的手机活动。中国的监控人员还可以随时关闭间谍软件,比如当该软件看起来消耗了过多电量的时候。在某些情况下,Lookout发现,要想从目标手机上获取数据,所有中国黑客所需要做的就是向用户发送一条隐形的短信。恶意软件捕获了受害者的数据,并通过回复文本信息将其发送回攻击者的手机,随即将所有交换记录删除。

2019年6月,Lookout发现了隐藏在名为“叙利亚新闻”的应用中的中国恶意软件。该应用中的内容针对维吾尔人用户,表明中国正试图诱使叙利亚境内的维吾尔人下载他们的恶意软件。北京的黑客会追踪维吾尔人到叙利亚,这使Lookout的研究人员得以了解中国对维吾尔人涉入叙利亚内战的担忧。Lookout的研究人员在科威特、土耳其、印度尼西亚、马来西亚、阿富汗和巴基斯坦发现了类似的针对维吾尔人的恶意应用。

公民实验室等其他安全研究小组的研究人员此前发现了中国入侵手机的黑客活动的各种足迹,并认为这些活动与中国政府黑客有关。但是,Lookout的新报告似乎是研究人员首次将过去的活动与新的手机恶意程序联系起来,并将它们归为同类。
“国家在多大程度上参与了这些活动,始终是一个没有答案的问题,”Lookout安全情报总监克里斯托夫·赫卜埃森(Christoph Hebeisen)表示。他还说:“这可能是爱国黑客所为,就像我们在俄罗斯看到的情况。但针对维吾尔族、藏族、侨民——甚至有一例针对达伊什——的攻击,则表明情况并非如此。”此处的达伊什是对伊斯兰国的另一个称呼。

在多部智能手机上发现了似乎是中国恶意软件的测试版本后,Lookout的研究人员得到了攻击者身份的一个线索——这些智能手机聚集在中国国防承包商西安天和防务技术公司总部及其周围。

天和是大型国防技术供应商,2015年曾派遣员工去往新疆举行的一次大型国防会议上推销可以监视人群的产品。随着该地区的监视淘金热,天和扩大了规模,于2018年在新疆成立了子公司。该公司未回复请求置评的电子邮件。

“这可能是一个有趣的巧合,”赫卜埃森说。“也有可能就是确凿的证据。”