Каждый Android под полным контролем. Утечка показала, как спецслужбы читают Telegram и китайские мессенджеры

leer en español

Knownsec Китай утечка данных разведка GitHub RAT Telegram
Каждый Android под полным контролем. Утечка показала, как спецслужбы читают Telegram и китайские мессенджеры
Knownsec Китай утечка данных разведка GitHub RAT Telegram

12 тысяч документов раскрыли китайский арсенал кибероружия.

image

Хакеры обнародовали крупнейшую утечку данных в истории китайской кибербезопасности — из архивов компании «知道创宇» (Knownsec), тесно связанной с государственными структурами КНР. Опубликованные материалы, объём которых превышает 12 тысяч секретных документов, раскрыли детали национальной программы киберразведки, внутренние инструменты атак и глобальные списки целей, охватывающие более двадцати стран. Событие вызвало бурную реакцию в международном экспертном сообществе, поскольку впервые настолько масштабно раскрыт внутренний контур китайской инфраструктуры сетевых операций.

Слив данных был впервые замечен 2 ноября 2025 года. Файлы появились на GitHub, откуда впоследствии были удалены администрацией платформы за нарушение условий использования, однако копии уже распространились по исследовательским форумам и частным архивам специалистов по кибербезопасности. Судя по опубликованным материалам, компрометации подверглись внутренние отчёты, исходный код специализированных программ и электронные таблицы, отражающие взаимодействие компании с правительственными структурами Китая. Среди документов встречаются описания сетевых операций, проведённых против зарубежных объектов, а также внутренние учётные данные и биллинговые записи, что указывает на доступ злоумышленников к корпоративной инфраструктуре Knownsec.

Компания была основана в 2007 году и в 2015-м получила крупные инвестиции от Tencent. До инцидента в её штате насчитывалось свыше 900 сотрудников, а региональные подразделения действовали по всей стране. Knownsec известна как один из пионеров концепций облачного мониторинга и распределённой защиты в Китае. Среди её клиентов — финансовые учреждения, государственные организации и крупные интернет-площадки. Именно благодаря этому положение компании в китайской экосистеме кибербезопасности делает произошедший инцидент особенно показательным: удар пришёлся не только по отдельному подрядчику, но и по всей модели взаимодействия частных подрядчиков с государственными проектами киберразведки.

Содержимое утёкших архивов свидетельствует, что речь идёт не о коммерческих материалах, а о стратегической инфраструктуре. Наиболее примечательная часть — таблицы с глобальными целями, где указаны объекты из Японии, Вьетнама, Индии, Индонезии, Нигерии, Великобритании и других стран. В одной из таблиц перечислено 80 зарубежных целей, против которых, по утверждению авторов архива, проводились успешные операции. Среди примеров упоминаются 95 гигабайт миграционных данных, похищенных из Индии, 3 терабайта телефонных записей южнокорейского оператора LG U Plus и 459 гигабайт дорожной документации, полученной из Тайваня. В совокупности эти материалы показывают неразрывную связь Knownsec с операциями, направленными на сбор разведданных за пределами Китая.

Наряду с целевыми данными в архиве обнаружены описания технических средств, используемых в атаках. В распоряжении компании имелись наборы многофункциональных троянов удаленного доступа (Remote Access Trojan, RAT), предназначенных для проникновения в системы под управлением Linux, Windows, macOS, iOS и Android. Особенно выделяется мобильный компонент для Android, способный извлекать историю сообщений из китайских мессенджеров и Telegram. Отдельное внимание привлекли упоминания аппаратных устройств, применяемых в полевых операциях: например, модифицированный повербанк, который незаметно загружает данные на сервер злоумышленников при подключении к компьютеру жертвы. Эти сведения позволяют предположить, что Knownsec участвовала не только в аналитической, но и в практической части наступательных операций.

Содержимое утечки подтверждает наличие у компании собственной системы почтовой разведки Un-Mail, предназначенной для извлечения и анализа переписки. В сопроводительных материалах упоминаются также внутренние сервисы учёта сотрудников, отчёты по финансовым операциям и проектные схемы взаимодействия с различными подразделениями китайских органов безопасности. Для исследователей это стало прямым подтверждением гипотезы о том, что известные китайские вендоры кибербезопасности могут одновременно выполнять государственные задачи в области киберопераций.

Представитель МИД КНР заявил Mrxn, что им ничего не известно о какой-либо утечке данных из Knownsec, и подчеркнул, что Китай выступает против всех форм сетевых атак. Такая формулировка уклончива и оставляет пространство для интерпретации, поскольку не опровергает факт возможного участия частных подрядчиков в операциях под государственным контролем. В контексте текущей международной обстановки этот ответ воспринимается как демонстрация позиции Китая: кибероперации рассматриваются им не как преступление, а как инструмент национальной безопасности, не подлежащий публичному обсуждению.

На фоне случившегося аналитики отмечают, что утечка может стать самым значимым случаем вскрытия внутренней архитектуры китайских киберопераций за последние годы, превосходящим по масштабу публикации об аналогичных структурах APT-групп. Международные специалисты уже изучают архивы для уточнения методов атак и идентификации общих компонентов с известными кампаниями, в том числе направленными против инфраструктуры в Азии и Европе. Если подлинность всех файлов будет подтверждена, инцидент способен изменить понимание того, как строится и управляется государственная система киберразведки Китая.