Vụ rò rỉ tài liệu nội bộ lớn nhất lịch sử Vạn lý Tường lửa Trung Quốc (GFW): phân tích liên quan đến Geedge và MESA

 (gfw.report)
24 điểm bởi GN⁺ 2025-09-15 | 8 bình luận | Chia sẻ qua WhatsApp
  • Đã xảy ra vụ rò rỉ hơn 500GB gồm tài liệu nội bộ, mã nguồn, nhật ký công việc của Vạn lý Tường lửa Trung Quốc (GFW)
  • Dữ liệu bị rò rỉ được cho là bắt nguồn từ Geedge NetworksMESA Lab, bao gồm các công nghệ kiểm duyệt và giám sát liên quan đến Trung Quốc và nhiều quốc gia khác
  • Nhiều loại tệp với tổng dung lượng hơn 600GB đã được công khai, cần đặc biệt lưu ý an ninh khi truy cập và phân tích
  • Geedge và MESA Lab là các tổ chức nòng cốt về nghiên cứu và phát triển của GFW, đồng thời phụ trách xuất khẩu công nghệ cho các cơ quan Trung Quốc và các quốc gia thuộc sáng kiến Vành đai và Con đường
  • Cho đến nay, phân tích chi tiết mã nguồn vẫn chưa được thực hiện, và các kết quả phân tích bổ sung sẽ tiếp tục được cung cấp qua GFW Report và các kênh khác

1. Giới thiệu

  • Vào ngày 11 tháng 9 năm 2025, vụ rò rỉ tài liệu nội bộ lớn nhất trong lịch sử Vạn lý Tường lửa Trung Quốc (GFW) đã xảy ra
  • Vụ rò rỉ lần này bao gồm một lượng dữ liệu rất lớn như hơn 500GB mã nguồn, nhật ký công việc và hồ sơ liên lạc nội bộ
  • Nguồn gốc của dữ liệu rò rỉ được xác định là Geedge Networks (nhà khoa học chủ chốt Fang Binxing) và MESA Lab (Viện Nghiên cứu Kỹ thuật Thông tin thuộc Viện Hàn lâm Khoa học Trung Quốc), hai nhóm công nghệ cốt lõi của GFW
  • Theo tài liệu, các tổ chức này không chỉ hoạt động tại các khu vực của Trung Quốc như Tân Cương, Giang Tô và Phúc Kiến, mà còn xuất khẩu công nghệ kiểm duyệt và giám sát sang Myanmar, Pakistan, Ethiopia, Kazakhstan và các quốc gia khác thông qua các khuôn khổ như Vành đai và Con đường
  • Do quy mô dữ liệu và mức độ ảnh hưởng là rất lớn, các phân tích và cập nhật sẽ tiếp tục được thực hiện trên GFW Report và Net4People

2. Liên kết tải xuống

  • Có thể truy cập khoảng 600GB tệp bị rò rỉ qua trang Enlace Hacktivista (torrent và tải trực tiếp qua HTTPS)
    • Chỉ riêng tệp lưu trữ mirror/repo.tar đã chiếm 500GB, đồng thời trang cũng cung cấp danh sách đầy đủ các tệp và thông tin dung lượng
  • Hướng dẫn chi tiết liên quan đến việc sử dụng các tệp đã được David Fifield giải thích trên Net4People (GitHub)

3. Lưu ý bảo mật

  • Cần nhấn mạnh rằng dữ liệu bị rò rỉ có tính chất rất nhạy cảm, do đó việc tải xuống và phân tích đòi hỏi một môi trường an toàn vận hành phù hợp
  • Vì các tệp có thể chứa yếu tố rủi ro tiềm ẩn (giám sát hoặc mã độc), nên khuyến nghị phân tích trong môi trường cô lập như máy ảo không kết nối Internet

4. Bối cảnh

  • Vạn lý Tường lửa (GFW) là tên gọi chung của hệ thống kiểm duyệt Internet, vận hành theo cấu trúc trong đó các cơ quan và doanh nghiệp phân chia vai trò và phối hợp với nhau theo nhiều loại hợp đồng khác nhau
  • Nguồn gốc của vụ rò rỉ lần này là Geedge Networks và MESA Lab, các tổ chức nòng cốt về nghiên cứu và phát triển (R&D) của GFW
  • MESA Lab trực thuộc Viện Nghiên cứu Kỹ thuật Thông tin của Viện Hàn lâm Khoa học Trung Quốc, và được phát triển từ NELIST (từ năm 2008~) do Fang Binxing dẫn dắt
  • Theo lịch sử phát triển của MESA Lab, nhóm được đặt tên chính thức là MESA vào năm 2012, đã thực hiện các dự án an ninh mạng quan trọng, nhận các giải thưởng trong chương trình nhân tài, triển khai các dự án kỹ thuật quy mô lớn, tuyển dụng thêm nhà nghiên cứu và giành nhiều giải thưởng khoa học công nghệ cấp quốc gia
  • Năm 2018, Geedge Networks được thành lập, với các thành viên nòng cốt là nhân sự xuất thân từ Viện Hàn lâm Khoa học Trung Quốc và các trường đại học lớn

5. Phân tích các tệp ngoài mã nguồn

  • Trong số các tệp bị rò rỉ, các tài liệu không phải mã nguồn đã được nhiều nhóm chuyên môn phân tích chi tiết
  • David Fifield hiện đang tổng hợp các bài đưa tin liên quan và phân tích kỹ thuật
  • Tuy vậy, việc phân tích các tệp mã nguồn vẫn chưa hoàn tất

6. Phân tích các tệp mã nguồn

  • Phần mã nguồn hiện vẫn chưa được phân tích một cách có hệ thống
  • Vì vụ rò rỉ lần này quan trọng và có tác động lớn, nội dung phân tích sẽ tiếp tục được cập nhật trên trang hiện tại và các nơi như Net4People
  • Các nội dung như phân tích, câu hỏi, ý kiến và tài liệu bổ sung sẽ được thu thập và hướng dẫn công khai hoặc riêng tư thông qua GFW Report

Tham khảo

  • Báo cáo này ban đầu được đăng trên GFW Report, và tình trạng phân tích cùng các tài liệu sẽ tiếp tục được chia sẻ trên Net4People và các kênh khác

Bài viết liên quan

8 bình luận

 
ndrgrd 2025-09-15

Các tập đoàn độc tài khổng lồ cấu kết để giám sát hàng trăm triệu người... nghe như một câu chuyện SF kinh dị, nhưng thật đáng sợ khi đó lại là điều đang diễn ra trong thế giới thực
 
egirlasm 2025-09-16

Vụ Edward Snowden vẫn còn rất rõ trong ký ức mà, chuyện độc tài các kiểu… chẳng lẽ ở đây tôi cũng phải đọc những bình luận như thế này sao, chẳng lẽ là người ủng hộ số 2? Làm ơn đừng chỉ ngồi viết code trong phòng nữa, hãy đi đây đi đó để nhìn thế giới đi ~
 
regentag 2025-09-17

Bỏ qua chuyện chính trị sang một bên, rốt cuộc bạn muốn nói gì vậy?
Tôi hoàn toàn không hiểu được mạch câu và ngữ cảnh.
 
crawler 2025-09-16

Không thấy nói gì về Hàn Quốc ở đâu cả, nên tôi không hiểu vì sao đột nhiên lại lôi chuyện chính trị Hàn Quốc ra.

Xin hãy rời khỏi trang này. Bạn kiểu đầu óc chính trị như vậy không cần thiết cho cộng đồng này.
 
ndrgrd 2025-09-16

Chỉ nghe những gì bạn nói thôi cũng thấy bạn có vẻ là người đã sống quá lâu trong thế giới Internet và không thể giao tiếp tử tế ngoài đời thực.
Đừng chỉ ngồi trong phòng viết mấy bình luận kiểu này nữa, hãy đi đây đi đó ngoài xã hội và sống bằng cách giao lưu với "người thật".
 
ndrgrd 2025-09-16
  1. Tôi không ủng hộ đảng đó.
  2. Tôi không biết bạn học đâu ra cái thái độ cứ lải nhải về “người bầu số 2”, nhưng trông bạn thật thô lỗ và vô học.
  3. Chẳng biết gì về người khác mà lại lên mặt dạy đời về cuộc sống thì chỉ đáng bị cười chê. Bạn nghĩ mình hơn tôi ở điểm nào?
  4. Việc sự cố đó đã xảy ra không có nghĩa là chuyện các nhà độc tài hiện nay làm ra những việc như thế trở thành điều bình thường và không còn đáng ngạc nhiên.
 
cnaa97 2025-09-15

Mã nguồn Big Brother bị rò rỉ!
 
GN⁺ 2025-09-15
Ý kiến trên Hacker News

  • Có một số phân tích và thảo luận thú vị ở đây

    • Trong số những khách hàng đầu tiên của Geedge kể từ khi thành lập năm 2018 có chính phủ Kazakhstan, và công ty đã bán sản phẩm chủ lực của mình là Tiangou Secure Gateway (TSG)

    • Giải pháp này giám sát và lọc toàn bộ lưu lượng web tương tự Great Firewall của Trung Quốc, đồng thời kiểm soát cả các nỗ lực vượt chặn

    • Công cụ tương tự cũng đã được triển khai tại Ethiopia và Myanmar để thực thi lệnh cấm VPN một cách hiệu quả. Geedge đã hợp tác với các nhà mạng địa phương (Safaricom, Frontiir, Ooredoo v.v.) để xây dựng các hệ thống kiểm duyệt cấp quốc gia

    • Từ vụ rò rỉ tài liệu nội bộ, quá trình nhân viên Geedge đảo ngược các công cụ VPN chủ chốt để tìm cách chặn đã bị phơi bày. Cụ thể, họ nói rằng đã “giải quyết” được 9 VPN thương mại, và áp dụng nhiều kỹ thuật để phát hiện và chặn lưu lượng của chúng

    • Ở Trung Quốc, phần lớn VPN thương mại hiện không thể truy cập, và các công cụ chống kiểm duyệt chủ chốt cũng rất khó tiếp cận

    • Tài liệu bị rò rỉ còn bao gồm cả thông tin chụp bắt email dạng văn bản thuần

    • Có suy đoán rằng xu hướng chặn VPN gần đây của Nga cũng sẽ dùng công nghệ kiểu này

      • Nhìn vào việc tường lửa của Nga trực tiếp “gõ cửa” các websocket endpoint đáng ngờ, hoặc cắt các kết nối ssh có lưu lượng cao, người ta cho rằng chính phủ Nga đang mua và dùng toàn bộ stack của Trung Quốc

    • Khi thấy nhắc tới việc chụp bắt email dạng văn bản thuần, có người nghĩ rằng các nước phương Tây chắc chắn cũng không thể không làm điều tương tự

      • Họ nói rằng mọi người cần nhận thức đây là thực tế thường nhật và hành xử theo đó

  • Nhấn mạnh rằng khi chính phủ triển khai các cơ chế kiểm soát kỹ thuật lên chính công dân của mình, năng lực kiềm chế chính phủ mà người dân từng có sẽ biến mất

    • Kiểm duyệt quy mô lớn, giám sát và xâm phạm quyền riêng tư là điều không thể dung hòa với phẩm giá con người

    • Lập luận vị lợi cho việc kiểm duyệt trực tuyến nhân danh “lợi ích công” như chống khủng bố, bảo vệ trẻ em chỉ nhìn vào hiệu ứng bậc một và bỏ qua các tác động xa hơn

    • Một khi đã nếm vị ngọt của kiểm duyệt, chính phủ sẽ không bao giờ đậy lại cái chai đó nữa

    • Rốt cuộc, việc chặn không chỉ dừng ở nội dung nguy hiểm hay gây khó chịu, mà kiểm duyệt sẽ tùy tiện mở rộng để phục vụ lợi ích của những kẻ muốn giữ quyền lực

    • Mong rằng vụ rò rỉ liên quan tới Great Firewall lần này sẽ giúp các nhà nghiên cứu và nhà hoạt động tìm ra những cách mới để chống lại kiểm duyệt

    • Có một lời chỉ ra ngắn gọn rằng bạn đang hiểu sai chiến trường từ gốc

    • Lấy ví dụ việc thanh niên Nepal hồi đầu tháng này đã trực tiếp đốt nhà và đuổi các nghị sĩ để phản ứng với đợt chặn mạng xã hội quy mô lớn của chính phủ, và nói rằng thật ra đã từng có lúc cái “chai” đó được đậy lại

    • Nhắc lại trường hợp Đức và cảnh báo về sự lạc quan rằng vụ rò rỉ GFW sẽ hữu ích

  • Khiến người ta tự hỏi kiểu người thất bại đến mức nào mới quyết định dùng tài năng của mình để tạo ra những công cụ như thế này

    • Nếu có tiền thì sẽ luôn có ai đó làm. Hoặc đó là việc có thể bị ép phải làm
      • Đáng buồn nhưng cần luôn suy nghĩ và hành động với giả định đó trong hầu hết mọi vấn đề

  • Chia sẻ kinh nghiệm từng sống ở một quốc gia dùng GFW trước đây

    • Trước khi v2ray xuất hiện, việc dùng một giao thức tùy ý thường hay vượt chặn thành công

    • Nếu biến kết nối SSH thành socks5 rồi bọc bằng ROT13 hoặc mã hóa ROTn tùy ý, có thể tránh được hiện tượng tường lửa giảm tốc độ dần sau vài KB

    • OpenSSH để lộ tên và phiên bản của nó dưới dạng văn bản thuần khi kết nối nên rất dễ bị đoán

    • Theo thời gian tường lửa cũng trở nên chủ động hơn, bắt đầu hạ tốc độ ngay lập tức với các giao thức chưa xác định

    • Nếu bắt chước lưu lượng HTTP hợp lệ, chẳng hạn giả vờ tải tệp favicon.ico, thì có thể trao đổi an toàn chỉ phần packet chứa nội dung

    • Dự án Iodine cũng thử cách tương tự với packet ping nhưng tốc độ chậm hơn

    • Ngày nay v2ray thậm chí còn khuyến nghị ngụy trang giống lưu lượng thật nhất có thể, bao gồm cả hình dạng trang web hợp lệ, chứng chỉ v.v.

    • Sau khi bắt đầu kiếm được tiền, người này còn nghĩ tới việc gửi lưu lượng theo kiểu round-robin qua nhiều IP vì một IP nhất quán sẽ tạo dấu vân tay

    • Vì không còn sống ở quốc gia đó nữa nên chưa thử được giả thuyết này, nhưng sau khi xem mã nguồn bị rò rỉ thì nghĩ đây có thể là một dự án cuối tuần thú vị

    • Trong khi các bộ giải mã lưu lượng như TCP, HTTP, QUIC v.v. được ghi rõ, thì không có UDP, và điều đó không ảnh hưởng tới việc vượt chặn. Có lẽ cùng một giới hạn tốc độ theo IP đã hoạt động với UDP ở tầng thấp hơn

    • Bổ sung thêm từ kinh nghiệm của tôi, khi vận hành một máy chủ Outline trên cùng một IP trong 3 năm thì GFW luôn chặn IP đó sau khoảng 3 ngày

      • Outline làm rối lưu lượng bằng shadowsocks, nhưng có vẻ vẫn bị chặn sau 3 ngày quan sát
      • Tôi định thử nghiệm tiếp bằng cách tiếp tục xoay nhiều máy chủ trong lần ghé thăm tới
      • VPN dự phòng (dùng openvpn/wireguard) cũng bị chặn tương tự sau khoảng 3 ngày
      • Gần đây trong một tuần tôi chỉ luân phiên dùng hai máy chủ thì lại không bị chặn, khá thú vị
      • Tôi đoán yếu tố chặn quan trọng hơn là mẫu hình lưu lượng chứ không phải giao thức

    • Có người muốn được giải thích thêm về ý tưởng bọc kết nối SSH bằng ROT13 hoặc ROTn để tránh bị tường lửa chặn

      • Họ nói muốn tự triển khai thử, nên nếu còn script hay công cụ nào thì muốn xem
      • Trong vài năm gần đây họ vẫn liên tục triển khai nguyên mẫu soft router warps sử dụng kỹ thuật exfil, và quan tâm tới việc áp dụng cách tương tự sang các giao thức mạng khác ngoài DNS/HTTP smuggling
      • Link tham khảo dự án của tôi: https://github.com/tholian-network/warps

  • Tò mò không biết ai là “Snowden của Trung Quốc” đứng sau vụ rò rỉ lần này

    • Mong rằng sẽ không ai bao giờ tìm ra người đó

  • Tôi biết lưu lượng QUIC không thể bị tấn công bằng kỹ thuật MITM, nên thấy tò mò GFW xử lý nó ra sao. Không rõ họ chặn hoàn toàn hay chỉ lọc

    • Không chỉ QUIC mà TLS và các kênh mã hóa khác cũng có thể được bảo vệ tương tự

      • Việc nhận diện rồi chặn các kênh đó không khó
      • Mẫu hình lưu lượng của một truy cập web bình thường và của người dùng dồn toàn bộ lưu lượng qua một kết nối là rất khác nhau
      • Ví dụ các trang video dung lượng lớn như YouTube vốn đã bị chặn ở Trung Quốc, nên lưu lượng VPN rất dễ trở thành mục tiêu
      • Với mỗi giao thức chủ chốt như QUIC đều có những kỹ thuật đối phó riêng được chuẩn bị sẵn
      • Chỉ riêng giao thức không phải là đáp án, và nếu thực sự muốn đấu với GFW thì cần các giao thức chống kiểm duyệt được thiết kế riêng
      • Không thể tránh phân tích mẫu hình của tường lửa chỉ bằng các giao thức phổ dụng, được dùng rộng rãi

    • Theo báo cáo https://gfw.report/publications/usenixsecurity25/en/#3, tường lửa Trung Quốc cũng sniff thông tin SNI trong bắt tay giống như với TLS để chặn

    • Thắc mắc tại sao QUIC lại khác HTTP1.1 hay 2 từ góc nhìn tấn công MITM

      • Thứ ngăn MITM rốt cuộc vẫn là chứng chỉ
      • Nếu nhà chức trách buộc thiết bị phải tin cậy chứng chỉ gốc của họ thì QUIC cũng không khác biệt gì mấy

    • Việc lưu lượng QUIC được mã hóa không có nghĩa là nó ngăn được MITM

    • Thông thường người ta dựa vào metadata như IP đích, hoặc vào các đòn tấn công hạ cấp

      • Chừng nào chưa phải mọi máy chủ đều hỗ trợ QUIC thì tường lửa vẫn có thể giả vờ như máy chủ không hỗ trợ QUIC
      • Bạn có thể nghĩ việc vượt chặn qua Cloudflare là an toàn, nhưng thực tế Tây Ban Nha từng chặn toàn bộ Cloudflare trong các trận bóng đá, nên cũng không thể chủ quan

  • Việc những hệ thống kiểm duyệt như thế này đang được cài đặt khắp nơi được xem là kết quả của một nỗ lực có chủ đích

    • Có cảm giác như bỗng nhiên mọi nhà lãnh đạo đều trở nên thiên về độc tài
      • Ngay cả lãnh đạo các nền dân chủ phương Tây cũng chỉ giả vờ coi trọng dân chủ, còn bản chất thì như nhau

  • Tôi chỉ cần một tường lửa đơn giản chỉ chặn quảng cáo thôi

  • Ban đầu tôi lo rằng các nước phương Tây như Anh sẽ bắt chước những hệ thống như vậy

    • Tôi không nghĩ ngay lúc này mọi người đều đang tích cực cố gắng làm theo, nhưng đó cũng không phải nỗi lo quá mức

    • Thực tế là chúng ta đang tiến gần hơn tới kiểu hệ thống như thế

    • Việc Đảng Cộng sản Trung Quốc phải huy động một hệ thống khổng lồ như vậy chỉ để ngăn người dân tiếp cận thông tin và bày tỏ ý kiến trái chiều cho thấy chế độ đó có vấn đề nghiêm trọng

    • May mắn là chúng ta đang sống trong những xã hội tương đối tự do

    • Internet đang ngày càng lép vế trước sự can thiệp và kiểm duyệt của chính phủ. Tôi cảm thấy đó không phải điều tốt

    • Mục tiêu của các hệ thống này không phải là chặn tận gốc mọi sự bất tuân hay mọi nhận thức, mà là làm chậm tốc độ lan truyền kiểu viral của tin đồn hay thông tin kích động

      • Làm vậy sẽ giúp chính phủ có thêm thời gian chuẩn bị phản ứng cần thiết
      • Ở những nơi xã hội chưa chuẩn bị cho việc lan truyền thông tin không giới hạn, có thể phát sinh tác dụng phụ như các vụ lynch trên WhatsApp ở Ấn Độ
      • Trong bối cảnh Mỹ trên thực tế đang dẫn dắt Internet toàn cầu, những quốc gia không có cơ chế kiểm soát sẽ dễ bị tác động ảnh hưởng hoặc “cách mạng màu”. (Trung Quốc là ngoại lệ)
      • Cuối cùng mọi quốc gia rồi cũng sẽ xây dựng phiên bản GFW của riêng mình, và không có lựa chọn nào khác nếu muốn giành chủ quyền Internet
      • Mỹ chỉ là nước triển khai sau cùng nhờ ảnh hưởng mạnh và các công cụ pháp lý có thể áp lên các công ty Internet trong nước

    • Tôi nghe podcast chính trị Anh Not Another One, trong đó có nhắc rằng chính sách chặn nội dung khiêu dâm của Anh đang được các chính trị gia nước ngoài chú ý vì mức độ kiểm soát truy cập nội dung quá mạnh

      • Cách đây 20 năm, rất khó tưởng tượng trẻ em có thể tiếp cận loại nội dung cực đoan như vậy
      • Ở Anh, việc xuất bản sách có tính dung tục bị điều chỉnh bởi Obscene Publications Acts, nhưng nội dung trực tuyến thì lại được cho phép trong một thời gian dài

    • Ngay từ đầu GFW đã do Cisco làm, và phương Tây cũng đã có sẵn toàn bộ công nghệ liên quan

      • Chỉ cần có danh nghĩa là có thể triển khai bất cứ lúc nào
      • Trung Quốc phụ thuộc vào xuất khẩu nên không chặn tất cả mọi thứ
      • Cũng có nhiều dịch vụ proxy, nhưng đa số đều có hậu thuẫn từ chính phủ

    • Thực ra gần như mọi công ty cũng đang dùng một phần các hệ thống như vậy trong nội bộ (proxy, firewall, content filter)

      • Đặc biệt phổ biến trong các ngành bị quản lý chặt như tài chính, ngân hàng
      • Tôi cũng vận hành một proxy trên mạng của mình để tùy ý lọc các nội dung không mong muốn như quảng cáo

    • Đối với cách diễn giải rằng chế độ của Đảng Cộng sản Trung Quốc yếu đến mức phải chặn ý kiến của công dân, có người giải thích bằng cách ví với trường hợp OpenAI

      • Cũng như trong mô hình AI, chất lượng dữ liệu quan trọng hơn kiến trúc, với con người thì chất lượng thông tin được nạp vào còn quan trọng hơn
      • Mục đích chính của Great Firewall là kiểm duyệt đối lập chính trị, nhưng đồng thời cũng có yếu tố ngăn công dân Trung Quốc sa vào loại truyền thông “đồ ăn rác”
      • Douyin (TikTok bản Trung Quốc) bị kiểm duyệt chính trị rất mạnh, nhưng chất lượng video thì “lành mạnh” hơn
      • Douyin hướng tới hài hòa xã hội, còn Tiktok theo đuổi tối đa hóa doanh thu quảng cáo, nên hệ giá trị thuật toán rất khác
      • Hành động của chính phủ Trung Quốc không thể chỉ giải thích bằng “đàn áp đối lập chính trị”, mà còn có thể được xem là một phần của sứ mệnh lớn hơn là thực hiện “hài hòa xã hội” theo tinh thần Nho giáo
      • Điều này giải thích tốt hơn các hành động của chính phủ, kể cả xu hướng quản lý quá mức, như sự khác biệt giữa thuật toán Douyin và Tiktok. “Đàn áp đối lập” không phải tiêu chí duy nhất

  • Toàn bộ cuộc thảo luận này khiến tôi cảm thấy đầy rẫy những kẻ đóng vai luật sư của quỷ

    • Thể hiện rằng xã hội đã xuống cấp