中共防火墙文件大规模泄密 跨国布局曝光

近日，中共防火长城技术核心机密文件大规模泄露，揭示中国公司已在南亚、西亚和非洲多个国家建立完整网络监控体系，并参与中国境内区域性防火墙建设。从省级到国家级、从境内到境外的全方位网络控制网络正在成型，其技术部署的规模和监控能力的深度，令国际社会震惊。

此次泄露源自防火长城背后的重要技术力量——积至（海南）信息技术有限公司（积至公司，Geedge Networks Ltd.），以及中国科学院信息工程研究所第二研究室的处理架构组MESA实验室。

对这起中共长城防火墙史上最大规模的文档泄露事件的进一步分析，揭示了“积至公司”海外技术部署的详细情况，以及该公司在中国境内区域性防火墙建设中的关键作用。

接上篇：中共防火墙内部机密文件大规模泄漏（上）

管窥中共网络监控海外部署：四国模式各异

根据泄露文件显示，“积至公司”至少向五个国家提供了技术服务：缅甸、巴基斯坦、埃塞俄比亚、哈萨克斯坦，以及一个仅以代号A24出现的未公开国家。这些国家在泄露材料中都以代号标识，多数情况下代号由国家名称首字母与两位年份组成。

（1）在缅甸：掌控了所有服务商 实现全面网络渗透控制

在缅甸，由号称中国“防火长城之父”的方滨兴创建的积至公司部署最为全面。

泄露文件显示，该公司硬件已安装在缅甸所有互联网服务提供商机房中，包括“四大”ISP（网际网络服务供应商）：MyTel、Ooredoo、MPT与ATOM，以及Frontiir、Global Technology Group、Golden TMH Telecom等较小服务商。

值得注意的是，缅甸互联网服务提供商Frontiir曾向外界否认参与任何监控项目。但泄露文档清楚显示，积至公司设备确实部署在包括Frontiir在内的所有缅甸ISP设施中。文档还包含所有ISP链路测试报告，显示2024年不同日期进行的网站连通性测试信息，旨在评估各ISP网络审查效果。

缅甸的“欲封锁VPN清单”比其它客户国家更长，文档记录了制定“高优先级应用”封锁规则的过程，涵盖55款应用，包括消息应用程序Signal与WhatsApp。

积至公司还开发了专门工具Psiphon3-SLOK来枚举Psiphon端点，这与2024年5月积至进入缅甸时当地观察到的Psiphon连接变化完全吻合。

（2）在巴基斯坦：助网络系统监控升级

在巴基斯坦，积至公司于2023年接替了因“助长侵犯人权”而受到美国制裁的加拿大公司Sandvine。泄露文件显示，积至不仅利用现有Sandvine安装设备，还提供新技术，驱动巴基斯坦“网络监控系统”（WMS 2.0）。

国际特赦组织（Amnesty International）将积至公司运营的防火墙称为“WMS 2.0”，以与其所取代的早期版本WMS区分。一位巴基斯坦资深ISP高管的表述与积至营销材料高度契合，称新WMS不仅部署在国家互联网关口，也部署在移动服务提供商与ISP的本地数据中心。

积至公司的Sanity Directory具备将网络行为归因到特定SIM卡的能力。在巴基斯坦，这一功能尤其敏感，因为该国自2015年起，每张发放给移动用户的新SIM卡都必须注册到特定用户名下，并与通过国家数据库与登记局登记的生物特征绑定。

（3）在埃塞俄比亚：直接介入政府网络封锁

在埃塞俄比亚，积至公司与当地电信运营商Safaricom合作，在其区域数据中心部署监控设备。泄露文件显示了一个重要细节：从镜像模式切换到在线模式，与政府准备实施断网之间存在直接相关性。

2023年2月，埃塞俄比亚全国反政府抗议浪潮期间，积至公司的一份工单显示，其专家受召处理与YouTube、Twitter（现在叫X）等社交媒体平台相关的问题，时间与外界报道的这些平台封锁情况完全吻合。

泄露文件日志显示，在埃塞俄比亚发生18次切换为在线模式的变更中，其中两次发生在2023年2月断网之前。

（4）在哈萨克斯坦：积至公司“中间人攻击”受该政府青睐

作为积至公司第一位客户，哈萨克斯坦政府从2019年开始使用该公司技术。积至的TSG（安全网关）产品能够实施类似政府颁发证书的TLS中间人攻击，这可能是该公司最初接触哈萨克斯坦政府时的主要卖点。

所谓“中间人攻击”是指，攻击者在用户与服务器等双方不知情的情况下，秘密拦截并可能篡改他们的通信。TLS中间人攻击是针对加密会话的初始化阶段进行的。

一张2020年10月16日的图片列出了一个国家中心及其它17个城市的IP地址，这些地点运行着积至公司的三种产品：Bifang（集中管理）、Galaxy（TSG-Galaxy早期名称）与Nezha（Network Zodiac旧称）。

泄露文件揭示：积至公司的反翻墙技术

值得关注的是，泄露文件揭示了积至公司对翻墙技术进行深度研究的详细情况。该公司购买VPN账户，并运营一个安装VPN应用的移动设备集群，专门用于研究其网络行为。

积至公司使用逆向工程技术，采用静态与动态分析创建封锁规则。静态分析涉及反编译应用源代码以找到返回服务器列表的API；动态分析则是在运行VPN应用的同时分析其网络流量，识别可用于封锁的模式。

公司还建立了名为AppSketch的应用网络指纹数据库，包含大量具体应用指纹信息。一个控制面板截图显示了一串带编号的VPN名称，包括CyberGhost VPN、Hotspot VPN、Opera VPN等，总数达4081个。

更令人震惊的是，积至公司系统能够通过观察既往已知VPN用户行为来发现新VPN端点。一旦将特定个人识别为已知VPN用户，系统就可以跟踪他们的互联网使用，并将任何未来未知高带宽流量归类为可疑，从而识别并封锁先前尚未识别的服务。

中国区域防火墙现雏形：新疆项目成样板 福建江苏作试点

除海外项目外，泄露文件还显示，积至公司参与了中国境内区域（省级）防火墙建设，这标志着中国正在出现一种补充国家级“防火长城”的省级防火墙模式。

新疆项目（代号J24）是积至公司最重要的境内项目之一。泄露材料包含2024年6月22日在中国科学院新疆分中心的一次讲话记录，该讲话指出积至项目“旨在将区域中心打造成反恐的先锋力量，尤其是在翻墙压制方面”。

讲话记录提到，“国家（防火墙）正从集中式向分布式演进”，而新疆区域中心旨在“成为可复制或可借鉴的省级（防火墙）建设样板”。这表明新疆的区域防火墙将作为中国全国部署的模板。

新疆部署的需求体现出强烈且侵入性的监控要求。积至公司希望在Cyber Narrator中支持对用户互联网行为、生活方式模式与关系的归纳与分析功能，还要加入根据目标交流对象构建关系图谱的能力，并按照用户所用应用或访问网站对人群进行分组。

系统还计划加入检查连接至特定移动基站用户的能力，通过基站进行位置三角定位，检测在某一地区出现的大量人群聚集。项目还包括创建地理围栏的能力，当特定个体进入指定区域时触发告警，以及查询历史位置信息追踪过往活动轨迹的功能。

文档显示，积至公司于2022年在福建开展了类似的省级防火墙试点项目。福建项目被称为“福建项目”，但相关信息相对有限。

在江苏，积至公司与江苏省鲍安厅合作，动机据称是打击网络诈骗。沟通记录显示，公安部门对允许积至构建大数据集群持谨慎态度，更倾向于让积至将其工具部署在现有基础设施上。“江苏反诈项目”于2024年3月15日转入生产模式。

积至公司的暗黑能力：从封网到实施恶意攻击

泄露文件揭示了积至公司技术能力的惊人范围。除传统的深度包检测和封锁功能外，该公司TSG系统还具备注入与修改流量的能力，既可用于封锁目的，也可用于以恶意软件感染用户。

系统能够实时修改HTTP会话，通过诸如伪造重定向响应、修改头部、注入脚本、替换文本与覆盖响应体等技术实现。TSG的在线注入能力允许在通过网络传输的文件中插入恶意代码，可对多种文件格式进行“即时”修改，包括HTML、CSS、JavaScript，以及Android APK、Windows EXE、macOS DMG镜像与Linux RPM包等。

更令人震惊的是，积至公司还开发了一个称为“DLL主动防御”的系统，实际上是一个针对被视为政治上不受欢迎的网站发动DDoS攻击的平台。该系统通过利用TSG的在线注入能力，有效地“招募”不知情的用户计算机参与攻击，形成僵尸网络。

泄露文件揭示了一个令人担忧的事实：储存在TSG Galaxy中的客户数据，对积至公司员工以及MESA实验室的学生和研究人员都可访问。数据显示，真实客户数据的快照有时会被分享给与积至关系密切的中国科学院Mesa Lab，用于研究目的。

此外，积至公司员工还具备在其办公室内部创建Wi-Fi网络的能力，使任何设备都能远程连接到客户网络。这一功能使他们能够在真实世界场景中验证封锁机制是否有效运行，但也带来了巨大的安全风险。

尼泊尔政府政权垮台 网络封锁是导火线

上述提到积至公司提供技术服务的缅甸、巴基斯坦、埃塞俄比亚及哈萨克斯坦四国，均与中共签署了“一带一路”合作文件，“一带一路”倡议被西方批评为“债务陷阱外交”。除埃塞俄比亚外，其余三国领导人近期参加了中共的九三阅兵。

值得一提的是，尼泊尔总理卡德加‧普拉萨德‧奥利（Khadga Prasad Oli）也参加了中共9月3日举行的阅兵活动，访华期间他曾与中共党魁习近平会面，强调深化双边关系并推进“一带一路”合作。

9月4日，尼泊尔政府以“打击假账号”为由封锁Facebook、Instagram、YouTube及X等26个网络社交平台，引发民众抗议，谴责政府实施互联网审查。

此次抗议自9月8日起升级为街头示威，民众的不满延伸到政府腐败与经济困境，警民冲突加剧。9日，总理奥利以及多名关键部长宣布辞职，这个已连续执政10年的共产党政权垮台。12日，前首席女大法官苏希拉‧卡尔基（Sushila Karki）被任命为临时总理，筹备2026年3月议会选举。

结语

此次史无前例的文档泄露，不仅暴露了防火长城技术的内部运作机制，更揭示了中共网络审查技术向海外输出的完整体系。从技术研发到海外部署，从翻墙工具对抗到区域防火墙建设，积至公司等中国机构构建的是一个覆盖全球的网络监控网络。

美国众议院对中共特别委员会主席约翰‧穆勒纳尔（John Moolenaar）此前在《新闻周刊》（Newsweek）发文，批评中共通过“防火长城”实施社会控制，封锁Facebook、X等平台，阻断信息流通，并向威权国家输出监控技术。他呼吁拆除“防火长城”，停止对言论的审查和限制，让中国人民能够了解真相。