Файрвол на заказ. Кто строит новый «цифровой железный занавес», и где он пройдёт

Утечка внутренних данных из экосистемы Великого китайского файрвола вскрыла экспорт цензурных и наблюдательных технологий за пределы КНР. Анонимный информатор 9 сентября 2025 года передал массив в Enlace Hacktivista — независимое вики-сообщество, публикующее взломанные и слитые наборы данных. Объём — свыше 500 ГБ: исходные коды, рабочие журналы, служебная переписка и документы из Jira, Confluence, GitLab и других систем. Материалы указывают на поставки решений Geedge Networks в Мьянму, Пакистан, Эфиопию и Казахстан, причём речь идёт не о частных внедрениях, а об инфраструктуре, способной глушить доступ к сети, отслеживать людей и блокировать инструменты обхода даже с зашифрованным трафиком.

Источник массива связан с ядром технической команды: компанией Geedge Networks и лабораторией MESA при Институте инженерии информации Китайской академии наук. В выгрузках отражены исследования, разработка и операционная деятельность систем цензуры; метки времени на скриншотах показывают, что значительная часть данных относится к 2024 году. Ещё до публичного релиза коалиция правозащитных и медийных организаций изучила содержимое и описала «Шёлковый путь слежки», где экспорт цензурных комплексов увязан с инициативой «Пояс и путь».

К анализу примерно 100 тысяч файлов месяцами подключались канадская Globe and Mail, австрийская Der Standard, Follow the Money, исследователи InterSecLab, Amnesty International, Justice For Myanmar, Tor Project и Paper Trail Media. Все подтвердили коммерческую доступность китайских систем слежки и цензуры. По их выводам, Geedge Networks позиционирует себя как обычный вендор сетевого оборудования и ПО, однако поставляемые комплексы позволяют наблюдать за целыми странами, отключать интернет и точечно находить, маркировать и подавлять отдельных пользователей.

В Пакистане Geedge, по данным Amnesty International, заменил прежний национальный фильтр на более совершенную архитектуру. В отчёте названы две ключевые подсистемы — Web Monitoring System WMS 2.0 и Lawful Intercept Management System LIMS. Технологическую основу предоставила Geedge Networks, аппаратные платформы и ПО для межсетевого экранирования — Niagara Networks из США и Thales из Франции, а для LIMS применена технология немецкой Utimaco, поставленная через эмиратскую Datafusion. Amnesty считает, что Geedge продаёт коммерческую версию GFW , впервые развернутого в самой КНР и экспортируемого в третьи страны через скрытые цепочки поставок — для массовой слежки за миллионами жителей.

В Мьянме Justice For Myanmar обнаружила доказательства тесного взаимодействия нелегитимной военной администрации с Geedge при внедрении коммерческого аналога китайского файрвола: участие 13 телеком-операторов и интернет-шлюзов, а также 26 дата-центров. По оценке правозащитников, это дало властям неограниченный доступ к онлайн-активности 33,4 млн пользователей в стране.

В Эфиопии, где власти неоднократно отключали сеть под предлогами нацбезопасности и борьбы с «ненавистью» и дезинформацией, в утечке фигурируют таблицы с дата-центрами и перечнями крупных изменений конфигураций.

Казахстан, судя по документам, стал первым зарубежным заказчиком Geedge: сотрудничество началось после избрания Касым-Жомарта Токаева в 2019 году, а слитые изображения показывают списки IP-адресов национального центра и 17 городов, где параллельно работали три продукта производителя.

Отмечена и ещё одна «неизвестная» страна, запросившая у Geedge развёртывание сложной системы цензуры и наблюдения.

Комплексы Geedge выявляют применение множества средств обхода. По запросу клиентов доступны дополнительные функции: построение графов связей, выявление абонентов, часто меняющих SIM-карты или совершающих зарубежные звонки, создание геозон для конкретных людей, а также сервисы DDoS-атак на заказ (DDoS-for-Hiring). Центральный интерфейс называется Cyber Narrator — это операторский SIEM/OLAP-контур, позволяющий видеть сетевой трафик на уровне абонента и определять местоположение мобильных пользователей в реальном времени.

Интерфейс Cyber ​​Narrator (InterSecLabs)

Для агрегирования больших потоков метаданных описан TSG Galaxy — хранилище, собирающее и сводящее информацию обо всех интернет-сессиях. Флагманский продукт Tiangou Secure Gateway (TSG) работает как магистральный или национальный шлюз фильтрации и управления трафиком с возможностями, сопоставимыми с Великим китайским файрволом: глубокий анализ пакетов , обнаружение и блокирование средств обхода, искусственное замедление соединений, мониторинг, трекинг, маркировка и блокировка отдельных пользователей, а также внедрение вредоносного кода на стороне абонента.

Содержимое утечки указывает и на формирование в Китае модельного уровня «провинциальных файрволов», дополняющих национальный контур: Geedge, согласно документам, взаимодействовала с региональными администрациями по добавлению локальных правил цензуры, отличающихся в зависимости от территории. В массивах встречаются фото служебных поездок и, предположительно, серверных помещений во время внедрения TSG. Архитектура решений изначально рассчитана на устойчивость к адресным санкциям: программные компоненты совместимы с широким спектром оборудования. При этом у производителя есть и собственные платформы — устройство TSGX основано на серверном железе китайской Nettrix.

Проверка фрагментов исходных кодов продолжается. По оценке команды GFW Report, масштаб и последствия утечки носят долгосрочный и значимый характер — как для понимания реальной конструкции китайской цензуры, так и для отслеживания её трансграничной экспансии.