Китайский гражданин Сюй Цзэвэй (Xu Zewei), которого американские власти считают участником государственной хакерской группы Silk Typhoon, экстрадирован в США из Италии. Его обвиняют в серии кибершпионских операций против университетов и государственных структур США, включая попытки хищения конфиденциальных данных о разработке вакцин и тестов на COVID‑19, а также в эксплуатации уязвимостей Microsoft Exchange Server.
Обвинения против Сюй Цзэвэя: кибершпионаж, мошенничество и кража личности
По данным Министерства юстиции США (DoJ), 34‑летний Сюй был задержан итальянскими властями в июле 2025 года и впоследствии экстрадирован в Соединённые Штаты. Ему вменяются девять эпизодов мошенничества с использованием средств связи (wire fraud), заговор с целью несанкционированного доступа к охраняемым компьютерным системам, нанесения ущерба этим системам и отягощённая кража личности.
Следствие утверждает, что Сюй действовал не в одиночку. Вместе с другим гражданином Китая, Чжан Ю (Zhang Yu), он якобы проводил атаки под руководством Шанхайского бюро государственной безопасности (Shanghai State Security Bureau, SSSB), входящего в структуру Министерства государственной безопасности КНР (MSS). Чжан Ю, по информации американских властей, до сих пор находится в розыске.
Silk Typhoon, Hafnium и эксплуатация уязвимостей Microsoft Exchange
Роль «компаний-исполнителей» в инфраструктуре MSS
Согласно обвинительному заключению, на момент атак Сюй работал в компании Shanghai Powerock Network Co. Ltd. Министерство юстиции США характеризует Powerock как одну из множества так называемых «enabling companies» — коммерческих структур в Китае, которые формально являются частными, но фактически выполняют задания спецслужб, включая кибершпионаж и целевые атаки на зарубежные организации.
Такая модель — привлечение внешних подрядчиков вместо прямого использования штатных сотрудников спецслужб — позволяет государственным структурам снизить формальную ответственность и усложнить атрибуцию атак, создавая дополнительный слой правдоподобного отрицания.
Нулевые уязвимости в Microsoft Exchange и группа Hafnium
Часть инкриминируемых Сюй атак связана с эксплуатацией нулевых уязвимостей (zero‑day) в Microsoft Exchange Server, широко используемом сервере корпоративной электронной почты. До их публичного раскрытия эти уязвимости позволяли атакующим получать удалённый доступ к серверам жертв без аутентификации.
Microsoft отслеживала соответствующую активность под условным именем Hafnium — это один из кластеров угроз, ассоциируемых с китайско‑говорящими операторами. Атакующие, по данным индустрии, устанавливали на взломанные серверы web‑shell — специальные скрипты, позволяющие удалённо управлять системой, выгружать данные и развертывать дополнительное вредоносное ПО. В 2021 году массовая эксплуатация уязвимостей Exchange затронула, по оценкам исследователей, десятки тысяч организаций по всему миру, от малого бизнеса до государственных учреждений.
Цели атак: университеты США и научные исследования COVID‑19
В обвинении говорится, что уже в начале 2020 года Сюй и его предполагаемые сообщники нацелились на университеты США, иммунологов и вирусологов, занимавшихся разработкой вакцин, методов лечения и тестирования на COVID‑19. Целью атак было получение доступа к результатам исследований, внутренней переписке и другим конфиденциальным данным.
Такой фокус на медицинских и фармацевтических организациях вписывается в более широкий глобальный тренд: по данным киберразведки разных стран, в период пандемии COVID‑19 многие государственно поддерживаемые хакерские группы — из Китая, России, Ирана и КНДР — пытались получить преимущество, крадя научные разработки и ноу‑хау у зарубежных исследовательских центров и компаний.
Отрицание причастности и правовые аспекты дела
Сюй Цзэвэй последовательно отрицает участие в кибероперациях китайского правительства и называет своё дело ошибкой идентификации. По словам его адвоката, на момент задержания в Милане он находился в Италии с супругой в туристической поездке. На первом судебном заседании в США он заявил о своей невиновности по всем пунктам обвинения.
Экстрадиция из Италии в США свидетельствует о растущем международном сотрудничестве правоохранительных органов в делах, связанных с киберпреступностью и кибершпионажем. В то же время, до вынесения приговора Сюй юридически сохраняет презумпцию невиновности, а суду предстоит оценить достаточность представленных цифровых доказательств — логов, технических артефактов, сетевых индикаторов компрометации и других материалов.
Значение дела Silk Typhoon для кибербезопасности организаций
История с предполагаемым участником Silk Typhoon подчёркивает, что для государственных хакерских групп приоритетными целями остаются научные исследования, критическая инфраструктура и госорганы. Организации, работающие с чувствительными данными, особенно в сфере здравоохранения и образования, должны исходить из предположения, что рано или поздно окажутся в поле зрения профессиональных атакующих.
Ключевые меры защиты в контексте подобных атак включают:
— Оперативное обновление и патч‑менеджмент. Уязвимости уровня Microsoft Exchange zero‑day быстро переходят от точечных операций к массовой эксплуатации. Задержка с установкой патчей на недели и даже дни резко повышает риск инцидента.
— Сегментация сети и принцип наименьших привилегий. Взлом почтового сервера не должен автоматически означать полный контроль над всей инфраструктурой.
— Расширенный мониторинг и журналирование. Анализ логов, внедрение EDR/XDR‑решений и регулярный Threat Hunting помогают выявлять web‑shell и аномальную активность задолго до утечки данных.
— Обучение сотрудников и оценка рисков поставщиков. Учитывая роль подрядчиков и внешних компаний, важно контролировать доступ третьих сторон и регулярно пересматривать модель угроз.
Дело Сюй Цзэвэя демонстрирует, как кибершпионаж на стыке государственных интересов и коммерческих структур превращается в долгосрочную стратегическую угрозу для науки, бизнеса и госорганов. Мир всё чаще рассматривает подобные атаки как элемент геополитического противостояния, а не только как преступление отдельных лиц. Чтобы не стать следующей жертвой группы уровня Silk Typhoon или Hafnium, организациям уже сейчас стоит пересмотреть свои подходы к защите почтовых систем, управлению уязвимостями и реагированию на инциденты — и инвестировать в киберустойчивость не как в разовый проект, а как в постоянный процесс.
