Pertandingan hacking menangkap bendera di konferensi keamanan umumnya memiliki dua tujuan: membantu peserta mengembangkan dan mendemonstrasikan keterampilan hacking komputer dan keamanan, dan membantu para pengusaha dan agensi pemerintah dalam menemukan dan merekrut bakat baru.
Tetapi satu konferensi keamanan di China mungkin telah mengambil kontesnya ke langkah yang lebih jauh – mungkin menggunakannya sebagai operasi mata-mata rahasia untuk membuat peserta mengumpulkan intelijen dari target yang tidak diketahui. Menurut dua peneliti Barat yang menerjemahkan dokumentasi untuk Zhujian Cup China, juga dikenal sebagai Kompetisi Serangan dan Pertahanan Siber Kolosal Nasional, salah satu bagian dari kompetisi tiga bagian, yang diadakan tahun lalu untuk pertama kalinya, memiliki sejumlah karakteristik yang tidak biasa yang menunjukkan tujuan potensial yang rahasia dan tidak ortodoks.
Menangkap bendera (CTF) dan jenis kompetisi hacking lainnya umumnya dihosting di jaringan tertutup atau “rentang siber” – infrastruktur khusus yang disiapkan untuk kontes sehingga peserta tidak merusak jaringan nyata. Rentang ini menyediakan lingkungan simulasi yang meniru konfigurasi dunia nyata, dan peserta ditugaskan untuk menemukan kerentanan dalam sistem, mendapatkan akses ke bagian tertentu dari jaringan, atau menangkap data.
Ada dua perusahaan besar di China yang menyiapkan rentang siber untuk kompetisi. Sebagian besar kompetisi memberikan pujian kepada perusahaan yang merancang rentang mereka. Terutama, Zhujian Cup tidak menyebutkan rentang siber atau penyedia rentang siber apa pun dalam dokumentasinya, membuat para peneliti bertanya-tanya apakah ini karena kontes diadakan dalam lingkungan nyata daripada simulasi.
Kompetisi juga mengharuskan siswa untuk menandatangani dokumen yang menyetujui beberapa syarat yang tidak biasa. Mereka dilarang untuk membahas sifat tugas yang diminta mereka lakukan dalam kompetisi dengan siapa pun; mereka harus setuju untuk tidak menghancurkan atau mengganggu sistem yang ditargetkan; dan pada akhir kompetisi, mereka harus menghapus backdoor yang mereka tanamkan di sistem dan semua data yang mereka peroleh darinya. Dan berbeda dari kompetisi lain di China yang diteliti oleh para peneliti, peserta dalam bagian ini dari Zhujian Cup dilarang membuat posting media sosial yang mengungkapkan sifat kompetisi atau tugas yang mereka lakukan sebagai bagian darinya.
Peserta juga dilarang untuk menyalin data, dokumen, atau materi cetak yang merupakan bagian dari kompetisi; mengungkapkan informasi tentang kerentanan yang ditemukan; atau mengeksploitasi kerentanan tersebut untuk tujuan pribadi. Jika kebocoran dari salah satu data atau materi ini terjadi dan menyebabkan kerugian bagi penyelenggara kontes atau China, sesuai dengan janji yang ditandatangani peserta, mereka dapat dituntut secara hukum.
“Saya berjanji bahwa jika terjadi insiden (atau kasus) pengungkapan informasi karena alasan pribadi, menyebabkan kerugian atau bahaya bagi penyelenggara dan negara, saya, sebagai individu, akan bertanggung jawab secara hukum sesuai dengan hukum dan peraturan yang berlaku,” kata janji itu.
Kompetisi diadakan bulan Desember lalu oleh Universitas Politeknik Northwestern, sebuah universitas ilmu pengetahuan dan teknik di Xi’an, Shaanxi, yang berafiliasi dengan Kementerian Industri dan Informatika China dan juga memiliki izin kerahasiaan tingkat atas untuk melakukan pekerjaan bagi pemerintah dan militer China. Universitas ini diawasi oleh Tentara Pembebasan Rakyat China.