Státy stále častěji zařazují kybernetické operace do svého arzenálu státních nástrojů. Tato sofistikovaná integrace kombinuje otevřené zdroje informací, geoprostorové zpravodajství, lidské zpravodajství a kybernetickou špionáž s umělou inteligencí, což umožňuje shromažďování a analýzu stále rostoucích datových sad. Takové operace se také čím dál více outsourcují. Tato zpráva zkoumá jeden případ outsourcovaných kybernetických zpravodajských schopností, který vyšel najevo díky úniku interních dokumentů z čínské kyberbezpečnostní firmy.

V únoru 2024 únik dokumentů z i-Soon, čínské kyberbezpečnostní firmy spojené s národní bezpečnostní strukturou Číny, poskytl nové důkazy o rozsáhlých a tajných kyberšpionážních aktivitách Čínské lidové republiky. Únik dat přináší cenný vhled do priorit Strany při najímání hackerů k cílení na okrajové komunity, včetně tibetské exilové správy v Dharamsale, Ujgurů v diaspoře, prodemokratických zastánců v Hongkongu a oficiálních subjektů v sousedních zemích jako mongolská policie a indická celní správa.

Únik dokumentů ukazuje jak kontinuitu operací, tak postupný vývoj v čínském strategickém využívání zaměřených sledovacích technologií. Dlouholetí pozorovatelé zde nacházejí důležité důkazy, že cílení Číny na zranitelné jednotlivce a skupiny prostřednictvím komerčních čínských kyberbezpečnostních společností přesahuje hranice ČLR, infiltruje stovky oficiálních a individuálních systémů.

Analýza dokumentů i-Soon odhaluje, že tibetská správa v exilu a soukromá kancelář Dalajlámy v Indii byly mezi cíli sofistikované kyberšpionáže. i-Soon, jejíž největšími klienty byli čínská policie, Lidová osvobozenecká armáda, Ministerstvo státní bezpečnosti a tibetské regionální úřady se sídlem v Lhase, využívala pokročilé technologické schopnosti pro dolování dat a analýzu komunikačních vzorců.

Údaje z úniku dat i-Soon byly propojeny s předchozími kampaněmi známými jako Advanced Persistent Threats (APT), zaměřenými na Centrální tibetskou správu, soukromou kancelář Dalajlámy a tibetské a ujgurské občanské společnosti. Jednotka 42 Palo Alto oznámila s vysokou mírou důvěry, že i-Soon je spojena s APT skupinou známou jako Poison Carp. Toto připsání vychází z forenzních důkazů z úniku dat i-Soon, které spojují společnost s infrastrukturou, kterou Citizen Lab přisuzuje Poison Carp, čínské hrozbě, jež je dosud známá především tím, že cílí na mobilní telefony tibetských a ujgurských sociálních hnutí.

Cílení na mobilní telefony úředníků CTA od roku 2018 představuje významný posun v taktice používané aktéry hrozeb a signalizuje adaptaci na moderní komunikační metody. Kompromitace mobilních zařízení i-Soon by usnadnila sběr velkého množství vysoce citlivých informací o úřednících, což by je i osoby v jejich sociální síti vystavilo značnému riziku.

Jedna klíčová bílá kniha nalezená v datech i-Soon podrobně popisuje schopnosti jejího produktu, přičemž jako případovou studii uvádí kompromitované e-mailové schránky tibetských osob žijících v exilu, což demonstruje schopnost produktu spravovat a analyzovat „masivní“ sbírky dat na „terabajtovém měřítku“. Tato schopnost je přizpůsobena rozsáhlé poptávce čínských zpravodajských agentur, domácích i zahraničních, po dolování značného množství zachycených e-mailových dat a podrobné mapování sociálních sítí cílených osob.

Použití nových zpravodajských taktik proti diasporickým populacím před globálním nasazením také naznačuje přístup ke kyberoperacím, v němž zranitelné populace slouží téměř jako laboratoře, v nichž Čína zdokonaluje své špionážní schopnosti. Když jsou tyto operace nasměrovány na Dharamsalu, mohlo by to nejen přinést zpravodajské informace o tibetských exulantech, ale také zvýšit sofistikovanost čínského kybernetického arzenálu, čímž se snižuje riziko odhalení a přisouzení při globálních operacích proti lépe chráněným obranám.

Analýza osobních vztahů v cílových sítích Tibeťanů v exilu nasazená i-Soonem zrcadlí potlačující bezpečnostní metody používané v Tibetu. Jelikož mezi zákazníky i-Soon je Úřad veřejné bezpečnosti Tibetské autonomní oblasti, je možné, že síť osobních a profesionálních kontaktů odhalená z kompromitovaných e-mailových schránek vyšších tibetských úředníků v Indii mohla být později zahrnuta do známé platformy velkých dat pro policejní dohled. Tato platforma je klíčová v kampani, která kriminalizuje i umírněné kulturní a náboženské projevy, advokacii jazykových práv a navíc odhaluje vazby na tibetské sítě v exilu.

Centrální tibetská správa a soukromá kancelář Dalajlámy jsou pod digitální hrozbou již pětadvacet let, přičemž operace GhostNet, která infikovala počítače v kanceláři Dalajlámy, se dostala do globálních titulků v roce 2009. První veřejné uznání těchto bezpečnostních výzev na počátku 2000s předcházelo varování západních zpravodajských služeb ohledně těchto průniků. Současné hrozby jsou však definovány svou komplexností a utajeností a využívají jak známých, tak neznámých zranitelností v síťových systémech.

Data z úniku i-Soon poskytují náhled na analytické schopnosti APT skupin na vysoké úrovni, umožňují nové porozumění tomu, jak čínský stát zpracovává a využívá data získaná APT skupinami pro čínské zpravodajské a vojenské zákazníky i-Soon. Tato data také zdůrazňují účast komerčních podniků na kybernetických špionážních aktivitách a poskytují významné náhledy na využití složitých systémů sledování řízených umělou inteligencí, které slouží k prosazování politických kontrol nad etnickými menšinami ČLR nejen uvnitř vlastních hranic, ale i v zahraničí, v diasporách. Testování těchto sofistikovaných technologií na zranitelných periferních komunitách, jako jsou Tibeťané a Ujguři, se zdá být strategickým krokem pro společnosti jako i-Soon k posílení svých korporátních zájmů.

Únik dat z i-Soon podtrhuje kybernetické hrozby, kterým čelí tibetská správa v exilu, a nejenže zdůrazňuje potřebu kybernetické bezpečnosti, ale i hluboké důsledky kyberšpionáže pro zranitelné populace. Zvýrazňuje potřebu zvýšené ostražitosti a mezinárodní spolupráce pro posílení digitální