Китайського громадянина Сюй Цзевея (Xu Zewei), якого влада США вважає причетним до державної хакерської групи Silk Typhoon, екстрадували до Сполучених Штатів з Італії. Йому закидають участь у масштабних операціях кібершпигунства проти американських університетів та державних структур, зокрема спроби викрасти чутливі дані про розробку вакцин і тестів на COVID‑19, а також експлуатацію уразливостей Microsoft Exchange Server.
Кого звинувачують: Сюй Цзевей та пред’явлені обвинувачення
За даними Міністерства юстиції США (DoJ), 34‑річного Сюя затримали в Італії в липні 2025 року, після чого він був екстрадований до США. Американська сторона висуває йому дев’ять епізодів шахрайства із використанням засобів зв’язку (wire fraud), змову з метою несанкціонованого доступу до захищених комп’ютерних систем, завдання шкоди цим системам, а також обтяжену крадіжку особистості.
Слідство стверджує, що Сюй діяв у змові з іншим громадянином Китаю, Чжан Ю (Zhang Yu), під координацією Шанхайського бюро державної безпеки (Shanghai State Security Bureau, SSSB), яке входить до структури Міністерства державної безпеки КНР (MSS). Чжан, за інформацією США, залишається в розшуку.
Silk Typhoon, Hafnium та атаки на Microsoft Exchange Server
«Компанії‑посередники» у структурі державного кібершпигунства
На момент інкримінованих атак Сюй працював у компанії Shanghai Powerock Network Co. Ltd.. Міністерство юстиції США описує Powerock як одну з так званих «enabling companies» — формально приватних китайських фірм, які фактично виконують завдання спецслужб: від технічної розвідки до точкових атак на іноземні організації.
Залучення таких підрядників дозволяє державним структурам розмивати відповідальність і ускладнювати атрибуцію атак. Наявність комерційної «прокладки» створює додатковий рівень правдоподібного заперечення, коли уряд може стверджувати, що йдеться про «самодіяльність» приватної компанії.
Zero‑day уразливості Microsoft Exchange та кластер Hafnium
Частина епізодів, які інкримінують Сюю, пов’язана з експлуатацією zero‑day уразливостей у Microsoft Exchange Server — поштовому сервері, що широко використовується держорганами, університетами та бізнесом. Zero‑day — це уразливість, про яку виробник продукту ще не знає або не встиг випустити виправлення, тому захист від неї мінімальний.
Microsoft відстежувала відповідну активність під ім’ям Hafnium — кластер загроз, пов’язаний із китайськомовними операторами. Атакувальники встановлювали на скомпрометовані сервери web‑shell — спеціальні скрипти, що дають змогу дистанційно виконувати команди, вивантажувати дані й розгортати додаткове шкідливе ПЗ. У 2021 році масова експлуатація уразливостей Exchange, за оцінками дослідників, торкнулася десятків тисяч організацій по всьому світу.
Цілі атак: університети США та дослідження COVID‑19
У матеріалах обвинувачення зазначено, що вже на початку 2020 року Сюй та його ймовірні спільники цілеспрямовано атакували університети США, імунологів та вірусологів, які працювали над вакцинами, методами лікування та тестування на COVID‑19. Головною метою було отримання доступу до результатів досліджень, внутрішньої наукової комунікації та іншої конфіденційної інформації.
Такий фокус на медичних і фармацевтичних установах узгоджується з глобальним трендом: у період пандемії державні хакерські угруповання з різних країн намагалися здобути наукову перевагу шляхом викрадення розробок у закордонних лабораторій і компаній. На практиці це означає, що наука й охорона здоров’я стали повноцінними цілями кібершпигунства, нарівні з оборонною та енергетичною інфраструктурою.
Правовий вимір: заперечення провини та значення екстрадиції
Сюй Цзевей заперечує будь‑яку причетність до урядових кібератак і називає свою справу випадком помилкової ідентифікації. За словами адвоката, на момент затримання в Мілані він перебував в Італії з дружиною у туристичній поїздці. На першому засіданні в США Сюй заявив про свою невинуватість за всіма пунктами обвинувачення.
Екстрадиція з Італії демонструє посилення міжнародної кооперації правоохоронців у справах, пов’язаних із кібершпигунством і кіберш kriminalом. Водночас до винесення вироку зберігається презумпція невинуватості, а суду належить оцінити достатність цифрових доказів: журнали подій, технічні артефакти, мережеві індикатори компрометації та інші матеріали, що пов’язують конкретну особу з конкретними атаками.
Практичні уроки для кібербезпеки організацій
Кейс Silk Typhoon ще раз підтверджує: для державних хакерських груп у пріоритеті наукові дослідження, критична інфраструктура та органи влади. Будь‑яка організація, яка працює з критично важливими або інтелектуальними даними, має виходити з припущення, що опиниться в полі зору професійних атакувальників.
Ключові заходи захисту в контексті подібних кампаній включають:
— Швидке оновлення та керування патчами. Уразливості рівня Microsoft Exchange zero‑day дуже швидко переходять від точкового використання до масових атак. Затримка з оновленням навіть на кілька днів суттєво збільшує ризики.
— Сегментація мережі й принцип найменших привілеїв. Компрометація одного поштового сервера не повинна автоматично давати зловмиснику повний контроль над усією інфраструктурою. Доступи мають бути обмежені строгою роллю користувача.
— Розширений моніторинг та журналювання. Використання EDR/XDR‑рішень, регулярний threat hunting, аналіз логів веб‑серверів і поштових систем допомагають виявляти web‑shell та підозрілу активність до того, як відбудеться витік даних.
— Управління ризиками постачальників і навчання персоналу. З огляду на роль підрядників та сторонніх компаній, критично важливо перевіряти ланцюг поставок, контролювати доступ третіх сторін і постійно підвищувати обізнаність співробітників щодо сучасних кіберзагроз.
Історія з підозрюваним учасником Silk Typhoon показує, що кібершпигунство на стику державних інтересів і комерційних структур перетворюється на довгострокову стратегічну загрозу для науки, бізнесу й державного сектору. Організаціям варто вже зараз переглянути захист поштових систем, процеси управління уразливостями та реагування на інциденти — і розглядати кіберстійкість не як разовий проєкт, а як безперервний процес інвестування в безпеку.
