中國資安業者知道創宇傳出資料外洩，曝露中國政府對全球進行監控的意圖

中國政府資助駭客打造的資安公司，並發展出網路犯罪生態圈，以便在全球從事網路間諜活動，過往研究人員只能根據找到的蛛絲馬跡，間接印證外界的猜測，自去年初安洵信息（i-Soon）內部資料在GitHub公開，反映這樣的態勢，現在又有中國資安業者的內部資料曝光，引起全球高度關注。

這項消息的曝光，源自11月5日資安研究員Mr-xn的簡體中文部落格文章，11月2日傳出與中國政府有關的大型資安業者知道創宇（Knownsec）發生資料外洩事故，駭客聲稱竊得超過1.2萬份機密資料，內容透露了中國的國家級網路攻擊武器、內部工具，以及目標名單。攻擊目標涵蓋臺灣、日本，以及越南等超過20個國家。

這批資料的具體內容，主要是知道創宇與中國政府合作的細節、網路武器的技術資料、內部工具的原始碼，以及中國境外的監控名單。最初駭客將資料上傳到儲存庫GitHub，後來已在資安社群散布。其中最受到外界關注的部分，是鎖定臺灣在內、超過20個國家與地區的「全球目標清單」，總共列出了80個攻擊目標，究竟知道創宇為中國政府偷到那些資料？該公司在外洩文件宣稱，他們取得臺灣道路規畫資料459 GB、韓國電信業者LG U Plus通訊記錄3 TB，以及印度移民資料95 GB。

此外，這批洩露的檔案還透露知道創宇使用的駭客工具與技術資料，他們打造一套複雜的遠端存取木馬（RAT）工具，攻擊的範圍涵蓋主要的電腦作業系統與行動裝置平臺。Mr-xn特別提到該公司在安卓平臺的攻擊程式碼，能從Telegram與中國即時通訊軟體擷取大量對話記錄。

後續另一名研究員NetAskari循線取得部分資料進行分析，透露更多細節。他提到內容提及知道創宇打造的物聯網搜尋引擎ZoomEye，號稱能在7至10天掃描所有的IPv4位址。不過比較特別的地方在於，該公司聲稱ZoomEye能用來掃描零時差漏洞，並搭配「關基目標庫（key target library）」，根據目標設備對受害組織的重要程度，來決定檢視的優先順序。

知道創宇也標榜本身打造的木馬程式能力，具備檢視檔案、處理程序管控、螢幕監控、鍵盤側錄等十多種功能，並且號稱能迴避超過40款防毒軟體的偵測，以及流量能穿越主流防火牆而不被攔截，甚至該公司提供客製化UDP與DNS傳輸機制的服務。

該公司也號稱能提供惡意程式框架GhostX，透過密碼、電子郵件轉發、對Cookie下手，或是刺探系統資訊的手法，對於Gmail與中國數十種郵件服務的用戶下手。他們也發展Un-Mail郵件取證系統，透過跨網站指令碼（XSS）攻擊手法，暗中搜括受害者所有信件，以及完整的通訊錄資料。

而根據NetAskari看到知道創宇聲稱從全球各國收集到的資料，他指出部分螢幕截圖的內容顯示，該公司似乎收集各式資料來繪製其他國家的重要數位基礎設施的架構，並企圖尋找可被利用的資安漏洞。其中一張截圖列出部分臺灣重要機構的網路資產名單，當中包含金融業者、電信業者、政府機關，以及研究單位管理的防火牆設備，並彙整設備的廠牌、IP位址，以及連接埠等細節。儘管NetAskari後續確認這批資料為2023年外流，並非新資料，不過這些資料的曝光，也進一步印證中國政府透過當地資安業者對全球發起網路間諜活動。