США объявили об аресте китайского госхакера, который подозревается в причастности к громким атакам, включая кражу результатов исследований COVID-19 из американских университетов. По версии следствия, он также был связан с кампанией Hafnium, направленной на серверы Microsoft Exchange. Минюст США уверен, что эти атаки были заказаны разведслужбами КНР.

Гражданин Китая Сюй Цзэвэй, 33 года, был арестован 3 июля в Милане по запросу американских властей. Сюй и его соучастник Чжан Юй обвиняются в компьютерных взломах в период с февраля 2020 года по июнь 2021-го. Если фигурант будет признан виновным по всем пунктам, ему грозит длительный тюремный срок. Чжан же в настоящее время находится на свободе.

Во время проведения атак Сюй работал в Shanghai Powerock Network Co. Ltd. США полагают, что правительство КНР использует разветвлённую сеть местных частных компаний и подрядчиков, включая Powerock, для проникновения в организации и кражи данных, скрывая при этом вмешательство государства.

В обвинительном заключении, оглашённом 8 июля, утверждается, что Сюй похитил критически важные данные исследований COVID-19 по поручению китайского правительства. В начале 2020 года он и его сообщники – предположительно — атаковали американские университеты, а также системы иммунологов и вирусологов, проводивших исследования вакцин, методов лечения и тестирования COVID-19. Хакеры якобы сообщили о своих действиях разведывательному агентству SSSB (Шанхайское бюро госбезопасности), которое контролировало и направляло их действия.

Также считается, что Сюй Цзэвэй и остальные причастны к эксплуатации многочисленных уязвимостей нулевого дня в Microsoft Exchange Server в рамках печально известной кампании Hafnium (тогда были взломаны тысячи компьютеров по всему миру): хакеры использовали уязвимости Microsoft Exchange для компрометации информации, касающейся конкретных политиков и государственных учреждений США. В числе прочего были атакованы университет в Техасе и юридическая фирма с офисами в других странах. После взлома компьютеров под управлением Microsoft Exchange Server обвиняемый с сообщниками установили на них веб-шеллы для удалённого администрирования. В июле 2021 года США официально приписали кампанию Hafnium китайской стороне.

Комментируя эту историю, главный аналитик Google Threat Intelligence Group Джон Халтквист заявил, что Сюй, по имеющимся данным, связан с группой Silk Typhoon, известной своим неоднократным использованием уязвимостей нулевого дня и успешными взломами сетей техкомпаний при атаках на цепочки поставок.

«К сожалению, эффект от данного ареста скажется не сразу. Несколько групп, состоящих из десятков операторов, продолжат заниматься кибершпионажем. Государственных спонсоров это не переубедит. Арест вряд ли остановит операции или даже существенно замедлит их, но может дать некоторым талантливым молодым хакерам повод дважды подумать, прежде чем ввязываться в эту работу», — добавил он.

Усам Оздемиров