Cittadino cinese estradato negli USA per attacchi informatici durante la pandemia

Un cittadino cinese, accusato di aver partecipato a una serie di attacchi informatici su larga scala durante la pandemia che hanno compromesso quasi 13.000 organizzazioni statunitensi, è stato estradato dall’Italia agli Stati Uniti e formalmente incriminato in tribunale federale. Lo ha annunciato il Dipartimento di Giustizia statunitense.

Xu Zewei e i suoi complici sono accusati di aver sfruttato una serie di vulnerabilità zero-day in Microsoft Exchange Server per sottrarre dati relativi a vaccini, trattamenti e test COVID-19 durante la prima ondata e i successivi picchi della pandemia. Secondo l’atto d’accusa, i crimini sarebbero stati diretti dai servizi di intelligence cinesi nell’ambito di una campagna di spionaggio nota come HAFNIUM.

Gli obiettivi degli attacchi includevano esperti di malattie infettive, studi legali, università, appaltatori della difesa e think tank politici. Il gruppo responsabile, noto oggi come Silk Typhoon, è stato identificato come un’entità sponsorizzata dallo Stato cinese.

«Xu dovrà rispondere delle sue presunte azioni nell’ambito di HAFNIUM, un gruppo responsabile di una vasta campagna di intrusioni diretta dal Ministero cinese della Sicurezza dello Stato, che ha compromesso oltre 12.700 organizzazioni statunitensi», ha dichiarato Brett Leatherman, vicedirettore della Divisione Cyber dell’FBI, in una nota.

Xu avrebbe agito mentre lavorava per Shanghai Powerock Network, una delle numerose società che hanno condotto attacchi per conto dei servizi di intelligence cinesi, secondo quanto riportato nei documenti giudiziari. Le autorità italiane lo hanno arrestato a Milano su richiesta degli Stati Uniti a luglio.

La sua cattura evidenzia l’opportunità che i funzionari statunitensi e i loro alleati possono cogliere quando gli attaccanti sponsorizzati da Stati stranieri viaggiano in Paesi che collaborano con Washington. L’Italia ha estradato Xu sabato, ma l’ordine di estradizione è stato reso pubblico solo lunedì, come dichiarato da Simona Candido, sua avvocata in Italia, a CyberScoop.

Lunedì scorso Xu è comparso per la prima volta presso il Tribunale Distrettuale Meridionale del Texas. Attualmente è detenuto in un carcere federale a Houston.

«Abbiamo perseguito questo momento per anni e attraverso continenti, e il messaggio che questo ufficio trasmette oggi è lo stesso che abbiamo lanciato quando abbiamo reso pubblico l’atto d’accusa: lavoreremo per proteggere il popolo americano», ha dichiarato John G.E. Marck, procuratore facente funzioni del Distretto Meridionale del Texas.

Secondo l’accusa, Xu avrebbe agito sotto la direzione del Bureau di Sicurezza dello Stato di Shanghai, un’agenzia del Ministero cinese della Sicurezza dello Stato, per infiltrarsi nelle reti di organizzazioni statunitensi, rubare dati e installare webshell per garantire un accesso remoto persistente. Le autorità lo accusano inoltre di aver sottratto informazioni su politici e agenzie governative statunitensi da uno studio legale globale con sede a Washington.

Microsoft aveva avvertito i clienti della campagna HAFNIUM nel marzo 2021. Successivamente, l’FBI e la Cybersecurity and Infrastructure Security Agency (CISA) hanno pubblicato un avviso congiunto sull’ampia compromissione di Microsoft Exchange Server.

L’azione odierna dimostra le conseguenze reali di queste attività sponsorizzate da Stati, rese possibili da una vasta rete di società private che operano sotto il controllo delle agenzie di intelligence cinesi.