Ένας Κινέζος υπήκοος που συνδέεται με μια από τις πιο επιζήμιες εκστρατείες hacking που χρηματοδοτούνται από το κράτος στην πρόσφατη ιστορία, εκδόθηκε στις Ηνωμένες Πολιτείες από την Ιταλία.
Ο Xu Zewei, 34, πολίτης της Λαϊκής Δημοκρατίας της Κίνας, προσγειώθηκε σε αμερικανικό έδαφος το περασμένο Σαββατοκύριακο και εμφανίστηκε ενώπιον του αμερικανικού περιφερειακού δικαστηρίου στο Χιούστον του Τέξας, στις 27 Απριλίου 2026.
Αντιμετωπίζει ένα ομοσπονδιακό κατηγορητήριο εννέα που καλύπτει μια εκστρατεία εισβολών υπολογιστών που πραγματοποιήθηκε μεταξύ Φεβρουαρίου 2020 και Ιουνίου 2021, μια περίοδος που επικαλύπτεται με την κορύφωση της πανδημίας COVID-19 και την άνοδο της ευρέως γνωστής επιχείρησης hacking HAFNIUM.
Οι υποτιθέμενες δραστηριότητες του Xu ξεπερνούν πολύ το συνηθισμένο έγκλημα στον κυβερνοχώρο. Τα δικαστικά έγγραφα αποκαλύπτουν ότι αξιωματικοί του Υπουργείου Κρατικής Ασφάλειας της Κίνας (MSS), και συγκεκριμένα του Γραφείου Κρατικής Ασφάλειας της Σαγκάης (SSSB), ζήτησαν από τον Xu να πραγματοποιήσει τις εισβολές.
Εκείνη την εποχή, ο Xu εργαζόταν στην Shanghai Powerock Network Co. Ltd. (Powerock), μια ιδιωτική κινεζική εταιρεία τεχνολογίας που οι εισαγγελείς περιγράφουν ως μία από τις πολλές εταιρείες που «διευκολύνουν» την κινεζική κυβέρνηση για να αποκρύψει τον άμεσο ρόλο της στις επιχειρήσεις στον κυβερνοχώρο.
Αυτή η συμφωνία, όπου το Πεκίνο αναθέτει σε τρίτους την κατασκοπεία σε ιδιωτικές επιχειρήσεις με συμβόλαιο, έχει γίνει γνωστό πρότυπο στην κινεζική κρατική δραστηριότητα στον κυβερνοχώρο.
Το Υπουργείο Δικαιοσύνης των ΗΠΑ, ο όμιλος που παρακολουθείται πλέον ευρέως σε όλη τη βιομηχανία κυβερνοασφάλειας με το όνομα Silk Typhoon.
Το HAFNIUM πιστώνεται ότι παραβίασε περισσότερους από 12.700 οργανισμούς στις ΗΠΑ, πλήττοντας τομείς που κυμαίνονται από ακαδημαϊκά ιδρύματα έως νομικές υπηρεσίες και όμορες κρατικές οντότητες.
Ο βοηθός διευθυντής του τμήματος Cyber του FBI, Brett Leatherman, δήλωσε ότι η έκδοση δείχνει ότι η εμβέλεια του FBI εκτείνεται πολύ πέρα από τα σύνορα των ΗΠΑ, προειδοποιώντας ότι και άλλοι που διεξάγουν παρόμοιες επιχειρήσεις για λογαριασμό της Κίνας αντιμετωπίζουν τον ίδιο κίνδυνο δίωξης.
Ξεκινώντας στις αρχές του 2020, ο Xu και οι συνεργάτες του στόχευσαν πανεπιστήμια με έδρα τις ΗΠΑ, ιολόγους και ανοσολόγους που διεξάγουν έρευνα για εμβόλια, θεραπείες και μεθόδους δοκιμών για τον COVID-19.
Στις 19 Φεβρουαρίου 2020 ή περίπου, ο Xu επιβεβαίωσε σε έναν αξιωματικό της SSSB ότι είχε παραβιάσει επιτυχώς το δίκτυο ενός ερευνητικού πανεπιστημίου στη Νότια Περιφέρεια του Τέξας.
Μέρες αργότερα, αυτός ο αξιωματικός έδωσε εντολή στον Xu να αποκτήσει πρόσβαση σε συγκεκριμένους λογαριασμούς email που ανήκαν σε επιστήμονες που ασχολούνται με την έρευνα για τον COVID-19.
Ο Xu αργότερα επιβεβαίωσε ότι εξήγαγε το πλήρες περιεχόμενο των γραμματοκιβωτίων αυτών των ερευνητών και ανέφερε την επιτυχία του στους χειριστές του SSSB.
Ο συγκατηγορούμενος του, Zhang Yu, 44, επίσης υπήκοος της ΛΔΚ, παραμένει ελεύθερος. Όποιος έχει πληροφορίες σχετικά με την τοποθεσία του Zhang παρακαλείται να επικοινωνήσει με το FBI στο 1-800-CALL-FBI (1-800-225-5324).
Το επιτόπιο γραφείο του FBI στο Χιούστον ηγείται της έρευνας και η υπόθεση διώκεται από τον βοηθό εισαγγελέα των ΗΠΑ Mark McIntyre και τον αναπληρωτή αρχηγό Matthew Anzaldi του Τμήματος Εθνικής Ασφάλειας στον κυβερνοχώρο της Εθνικής Ασφάλειας.
Ξεκινώντας στα τέλη του 2020, ο Xu και οι συνωμότες του έστρεψαν την εστίασή τους στην εκμετάλλευση γνωστών τρωτών σημείων στον Microsoft Exchange Server, μια ευρέως αναπτυγμένη πλατφόρμα εταιρικών email που χρησιμοποιείται από οργανισμούς σε όλο τον κόσμο.
Μετά την απόκτηση αρχικής πρόσβασης, η ομάδα εγκατέστησε κελύφη ιστού στους διακομιστές που είχαν παραβιαστεί για να διατηρήσει μόνιμη απομακρυσμένη πρόσβαση.
Το κέλυφος Ιστού είναι ένα κακόβουλο σενάριο που επιτρέπει σε έναν εισβολέα να ελέγχει έναν μολυσμένο διακομιστή μέσω ενός προγράμματος περιήγησης ιστού, επιτρέποντας την επαναλαμβανόμενη πρόσβαση χωρίς να ενεργοποιεί μια νέα ειδοποίηση εισβολής.
Τα κελύφη Ιστού που χρησιμοποιήθηκαν από τον Xu και τους συνεργάτες του συνδέονταν συγκεκριμένα με τους ηθοποιούς του HAFNIUM εκείνη την εποχή, γεγονός που επέτρεπε στους ερευνητές να διαπιστώσουν ιατροδικαστική απόδοση.
Τα θύματα σε αυτή τη φάση ήταν ένα δεύτερο πανεπιστήμιο του Τέξας και μια παγκόσμια δικηγορική εταιρεία με γραφεία στην Ουάσιγκτον, DC. Μέσα στα συστήματα αυτής της δικηγορικής εταιρείας, η ομάδα έψαξε σε γραμματοκιβώτια χρησιμοποιώντας λέξεις-κλειδιά όπως “Κινεζικές πηγές”, “MSS” και “HongKong”, υποδεικνύοντας έναν εστιασμένο στόχο συλλογής πληροφοριών και όχι μόνο την οικονομική κλοπή.
Τον Απρίλιο του 2021, το Υπουργείο Δικαιοσύνης διεξήγαγε μια επιχείρηση εξουσιοδοτημένη από το δικαστήριο για την αφαίρεση εκατοντάδων κελυφών ιστού από ευάλωτα συστήματα των ΗΠΑ.
Μέχρι τον Ιούλιο του 2021, οι Ηνωμένες Πολιτείες και τα συμμαχικά κράτη απέδωσαν επισήμως την πλήρη εκστρατεία HAFNIUM στην κινεζική MSS.
VIA: cybersecuritynews.com
