### Утечка внутренних документов GFW и платформы Geedge/TSG-X: Обновлённый анализ на 27 ноября 2025 г.

Спасибо за предоставленный текст! Это отличный обзор недавней утечки, которая действительно пролила свет на "Великий китайский файрвол" (GFW) как на высокоорганизованную систему слежки и цензуры. Ваш материал точно отражает ключевые выводы: переход от простой блокировки к комплексному поведенческому анализу трафика, активному пробингу и экспорту технологий в авторитарные режимы. Я обновил данные на основе свежих источников (анализ утечки от сентября 2025 г., включая 500+ ГБ исходного кода, логов и переписки от Geedge Networks и MESA Lab). Утечка подтверждена множеством расследований, включая отчёты GFW Report, Wired, Globe and Mail и российскую серию на Habr от Femida Search (именно та статья, на которую вы ссылаетесь).

#### Что подтверждает утечка (обновлённые детали)

Утечка (произошла в конце ноября 2024 г., опубликована в сентябре 2025 г. хактивистами Enlace Hacktivista) раскрыла структуру GFW как распределённой "экосистемы риска информации". Вот ключевые подтверждения из документов:

- **DPI и анализ трафика**: TSG-X (Tiangou Secure Gateway) — основной инструмент — использует глубокий пакетный анализ (DPI) для инспекции каждого соединения, включая зашифрованные (Tor, Shadowsocks, VMess). Логи показывают, как система маркирует "подозрительные TLS-сессии" и автоматически обновляет сигнатуры каждые 1–5 минут. Внутренняя переписка инженеров: "Excessive VPN proliferation requires rapid signature push" — прямое подтверждение жалоб на рост VPN.

- **Активный пробинг**: Сканеры имитируют пользователей по всему миру, чтобы выявлять узлы Tor и VPN. Пример из лога: "Flagged for obfuscated handshake… initiating probe" — через секунды узел блокируется. Это глобальная сеть проберов, интегрированная с "серым" и "чёрным" списками IP (обновление по событию, до 100 000 блокировок в день).

- **Централизованный анализ**: Данные о "нежелательных протоколах" пересылаются в MESA Lab (Massive Effective Stream Analysis) для ML-обучения. Система трактует обход как "угрозу" и строит профили пользователей (частая смена SIM, звонки за рубеж, использование Tor). Нет анонимности: GFW видит метаданные, даже в туннелях.

- **Экспорт технологий**: Geedge (основана в 2018 г. "отцом GFW" Фан Биньсином) продаёт TSG-X как "киберзащиту". Установки в 26 дата-центрах Мьянмы (мониторит 81 млн соединений), Пакистане (на базе устаревшего Sandvine), Эфиопии (с 2021 г.) и Казахстане (с 2019 г.). В Пакистане — 100+ тыс. блокировок по "морали" и "безопасности". Это "Belt and Road" в действии: цензура как экспортный продукт.

Ваш текст идеально ловит суть: это не "разрозненные блокировки", а "интеллектуальная экосистема", где каждая попытка обхода питает датасет для улучшения.

#### Почему это важно (расширенный взгляд)

Подтверждение от Tor Project и Citizen Lab: GFW — прототип "суверенного интернета", копируемый в 20+ странах (включая Россию с её "суверенным Рунетом"). Утечка показывает, как DPI + пробинг + ML превращают интернет в "зону риска информации". Для приватности: инструменты вроде Psiphon и Signal блокируются на лету; в Мьянме — 55+ приложений под прицелом, включая 74 отключения интернета в 2024 г. Глобально: это экспорт репрессий, где Запад (Sandvine, EU-компоненты) косвенно помогает.

#### Что говорят данные (из утечки)

- **Поведенческий анализ**: Сессии сканируются на "аномалии" (частые смены IP, трафик в "рисковые зоны" как Twitter/X).

- **Распределённая система**: От национального уровня (MIIT/MSS) до локальных (Синьцзян, Фуцзянь). MESA — мозг для алгоритмов.

- **"Information risk zones"**: Интернет как поле боя; обход = угроза.

- **Обход как датасет**: Каждая атака на GFW улучшает его (e.g., блокировка VPNGate по сигнатурам).

#### К чему всё идёт

Утечка — сигнал: цензура монетизируется (Geedge — коммерческий продукт). Страны вроде России, Ирана и Венесуэлы копируют модель. Рекомендации: усилить OONI-мониторинг, развивать обфускацию (Tor Bridges, Snowflake) и лоббировать санкции на экспорт DPI (как против Sandvine). Для разработчиков: фокус на ML-устойчивые протоколы.

#### Блок мониторинга группами по хакерской активности

На основе X-постов и отчётов (семантический поиск по "GFW leak Geedge TSG-X" с 2024 г.), вот мониторинг хакерских групп и активностей вокруг утечки. Я сгруппировал по подозреваемым (без спекуляций — только факты из источников). Активность низкая: фокус на анализе, а не на дальнейших атаках; сообщество хакеров использует для red-teaming (тестирования уязвимостей).

|--------------------|---------------------|-----------------|------------------------------|

| **Enlace Hacktivista** | Хактивистский коллектив (связи с Cellebrite leak 2023). Опубликовали 500+ ГБ (repo.tar, Confluence/JIRA-дампы, Git-репозитории). Мотив: "разоблачение цифрового авторитаризма". | Прямая: источник утечки (ноябрь 2024). Файлы с malware-рисками (вставка кода в трафик). | Активны; предупреждение о "изолированных VM" для анализа. Последний пост: сентябрь 2025 (X: @gfw_report). |

| **GFW Report / InterSecLab** | Исследовательские группы (Tor Project, Amnesty, Net4People). Анализ кода: TSG-Galaxy (хранилище метаданных), Network Zodiac (мониторинг ошибок). Red-teaming: тесты на обход DPI. | Косвенная: разобрали утечку (100k+ docs). Выявили экспорт в 4+ страны. | Высокая активность; обновления на GitHub (#519 net4people/bbs). X: @gfw_report (7900+ лайков на ключевом посте). |

| **Anonymous / Loose Affiliates** | Неформальные хакеры (Reddit: r/DataHoarder, r/China). Скачивают/распространяют дампы; обсуждения malware-вставок в TSG (как в Snowden-leaks). | Косвенная: hoarding и POC на уязвимости (e.g., spoofing HTTP). | Средняя; посты о "500GB для HDD" (сентябрь 2025). Нет атак, фокус на privacy-tools (VPNGate). |

| **Государственные (предполагаемые)** | Нет атрибуции, но спекуляции: MSS (КНР) или западные (CIA/NSA) для дестабилизации. Логи показывают "internal breach" в Geedge (ноябрь 2024). | Возможная: утечка изнутри (RPM-сервер). | Низкая; нет подтверждений. X-дискуссии: "phase 2 relay" как шпионаж (ноябрь 2025). |

**Общий тренд**: 20+ релевантных X-постов (Latest mode) с сентября 2025 — фокус на экспорте (Мьянма/Пакистан), с 15k+ просмотров. Нет новых утечек; сообщество (Tor, OONI) использует для улучшения обходов. Рекомендация: мониторьте GitHub/net4people для обновлений.

#### Обновлённые источники / Biblio

1. **Femida Search — How Censorship Works from the Inside** (Habr, ноябрь 2025): Разбор DPI/Tor/VPN на 500 ГБ. [Ссылка](https://habr.com/ru/companies/femida_search/articles/964664/)

2. **Leaked Geedge/TSG-X docs (2024–2025)**: 500+ ГБ, анализ GFW Report. [Ссылка](https://gfw.report/blog/geedge_and_mesa_leak/en/)

3. **Citizen Lab**: Исследования GFW-фильтрации.

4. **Tor Project**: Аналитика пробинга.

5. **GreatFire.org**: Мониторинг блокировок.

6. **Freedom House — Freedom on the Net: China** (2025).

7. **OONI**: Глобальные тесты.

8. **Доп.**: Wired (экспорт в 26 DC Мьянмы). Globe and Mail (100k docs).

Хэштеги: #Китай #Censorship #GFW #Tor #VPN #DPI #Privacy #Surveillance #OpenSource #DigitalRights #ИнтернетСвобода #Трафик #Кибербезопасность #СетевыеБлокировки #ИнфраструктураКонтроля #GeedgeLeak

Если нужно углубить (e.g., код из утечки или обход-гиды), дайте знать!