В Италии арестован предполагаемый подрядчик китайской гафниевой группы

Власти США предъявили мужчине и его сообщнику обвинения во взломе систем исследователей COVID-19 и организации серии кибератак, нацеленных на серверы Microsoft Exchange.

Итальянские власти и агенты ФБР арестовали китайца, который предположительно помогал пекинской группе Hafnium провести серию громких кибератак в 2020 и 2021 годах.

33-летнему Сюй Цзэвэю предъявлены обвинения во взломе компьютеров американских исследователей, изучающих вирус COVID-19, и использовании уязвимостей серверов Microsoft Exchange, что привело к глобальной серии атак. Во вторник Министерство юстиции объявило о его обвинении и аресте , а также о предъявлении обвинений другому китайцу, 44-летнему Чжан Юю, который остаётся на свободе.

По утверждению прокуроров, оба мужчины совершили нападения по поручению Министерства государственной безопасности Китая.

Во время кампании Сюй предположительно работал в фирме Shanghai Powerock Network Co. Ltd., которую прокуратура охарактеризовала как «компанию, помогавшую» проводить хакерские операции по указанию Пекина. Сюй, Юй и их сообщники предположительно отчитывались перед Шанхайским бюро государственной безопасности при МГБ.

Власти арестовали Сюй в Милане 3 июля при вылете из Китая. Ему грозит до 20 лет тюрьмы по двум пунктам обвинения в мошенничестве с использованием электронных средств связи и сговоре.

«В обвинительном заключении утверждается, что Сюй взломал и похитил важные исследования COVID-19 по заказу китайского правительства, в то время как то же самое правительство одновременно скрывало информацию о вирусе и его происхождении», — заявил Николас Ганджеи, прокурор США по Южному округу Техаса.

Позднее в 2020 году, согласно обвинительному заключению, Сюй и его сообщники начали эксплуатировать уязвимости Microsoft Exchange Server — недостатки, которыми вскоре воспользовались другие, развернув глобальную кампанию кибератак, поразившую тысячи клиентов Microsoft, включая государственные учреждения и компании. Эта серия атак вызвала редкое экстренное предупреждение от Агентства по кибербезопасности и безопасности инфраструктуры (CISA). США приписали первые взломы Китаю через несколько месяцев после их обнаружения.

«Этот арест знаменует собой завершение более чем десятилетней серии обвинительных заключений и других действий правоохранительных органов, которые обычно считались символическими», — заявил Джон Халтквист, главный аналитик Google Threat Intelligence Group. «Принято считать, что эти преступники никогда не увидят зал суда».

Google и другие компании связали Hafnium с Silk Typhoon, группой, связанной с Китаем, которая в последнее время сосредоточилась на использовании уязвимостей для проведения атак на цепочки поставок различных целей. Silk Typhoon также отслеживается как UNC5221 .