中国当局と関連するハッカーの徐澤偉(Xu Zewei)は、悪名高い「Silk Typhoon」(HAFNIUM)サイバーキャンペーンの中心的な役割を果たしたとされており、イタリアから米国に身柄を引き渡されました。これは国家が支援するサイバー諜報活動に対抗するための継続的な取り組みにおいて重要な進展です。
34歳の中国国籍の徐は、週末の身柄引き渡しに続いて、ヒューストンの米国地方裁判所に出廷しました。
彼は2020年2月から2021年6月の間に実施された一連のサイバー侵入に関連した9件の起訴に直面しています。
米国検察は、徐がパンデミックの重要な時期に、アメリカの大学、法律事務所、およびCOVID-19研究機関を対象とした大規模なハッキング作戦に参加したと主張しています。
裁判所の文書によると、徐は中国の国家安全保障省(MSS)、特にその上海国家安全保障局(SSSB)の指示下で活動していました。
当時、彼は上海パワーロックネットワーク株式会社に雇用されていたとされており、これは中国政府が故意に否定できるようにしながらサイバー作戦を実施するために使用したとされている複数の「支援」企業の1つです。
COVID-19研究を標的に
最も深刻な容疑の1つは、COVID-19ワクチン、治療法、検査に取り組んでいる米国を拠点とする研究者に対するサイバー攻撃を含みます。
検察は、徐と共謀者が大学のネットワークに侵入し、免疫学者とウイルス学者に属する機密メールアカウントにアクセスしたと主張しています。
2020年2月、徐はMSS当局に対して、テキサス州を拠点とする研究大学への侵入に成功したことを確認したとされています。
徐はまた、Microsoft Exchangeサーバーの脆弱性の広範な悪用への関与で告発されており、このキャンペーンはMicrosoftが2021年3月に公に発表し、Silk Typhoonとしても知られるHAFNIUMとして広く追跡されていました。
その後、彼は特定の研究者のメールボックスからデータを抽出するよう指示され、報告によると彼がそうしたこと、そして盗まれた情報を情報ハンドラーに引き渡しました。
米国当局は、これらの侵入が、グローバルな協力と科学的完全性がパンデミックに対抗する上で重要であった時期に発生し、国家安全保障と知的財産盗難に関する懸念を提起したと強調しました。
攻撃者は、Exchange Serverのゼロデイ脆弱性を利用して、世界中の数千のシステムへの不正なアクセスを獲得しました。
悪用後、彼らは侵害されたサーバーへの永続的なリモートアクセスを可能にする悪意のあるスクリプト、webシェルを配置しました。
被害者には米国の大学と国際法律事務所が含まれており、攻撃者は盗まれたメールから「MSS」、「香港」、および米国の政策立案者への言及などの機密用語を検索しました。
Microsoft、CISA、およびFBIによってリリースされた緊急パッチとガイダンスにもかかわらず、侵害されたシステムの数百は開示の数週間後も脆弱なままでした。
より広いサイバー諜報ネットワーク
米国当局は、徐のケースが中国における国家支援サイバー請負業者のより広いエコシステムを強調していると述べています。
これらのグループは、世界的に脆弱なシステムをスキャンし、それらを悪用し、政府の情報機関に渡されるか第三者に売却される可能性があるデータを収集するとされています。
このモデルにより、国家主体は直接的な関与を曖昧にしながら、サイバー作戦の規模を拡大することができます。
当局は、そのような無差別キャンペーンが、他の脅威アクターによって再利用される可能性のある侵害されたシステムを後に残すことで、グローバルなサイバーセキュリティリスクを増加させると警告しています。
徐は、詐欺、保護されたシステムへの不正なアクセス、コンピューターへの意図的な損傷、加重身分詐欺を含む複数の容疑に直面しています。有罪判決を受けた場合、数十年の懲役に直面する可能性があります。
彼の共謀者とされる44歳の張宇(Zhang Yu)は逃亡中です。FBIは張の居場所に関する情報を持つ誰でも名乗り出るよう促しています。
調査はFBIのヒューストン現地事務所によって主導されており、米国検察と国際的なパートナーからのサポートを受けています。イタリアの法執行機関、特にPolizia Postaleは、ミラノでの徐の逮捕とその後の身柄引き渡しに重要な役割を果たしました。
このケースは、米国当局が国境を越えてサイバー犯罪者を追跡する意思の増加、特に重要なインフラストラクチャと機密研究を対象とする国家主体の作戦に関連するものを追跡する意思の増加を強調しています。
翻訳元: https://gbhackers.com/silk-typhoon-hacker/
