В июле 2025 года в Милане был арестован 33-летний гражданин Китая Сюй Цзэвэй по обвинениям в связях с известной группировкой Silk Typhoon, осуществляющей кибератаки в интересах китайского государства. Происшествие привлекло международное внимание из-за масштабов взломов и последствий для безопасности США, а также отражает сложную природу современных кибершпионских операций. Сюй обвиняется в девяти эпизодах мошенничества с использованием средств связи, сговоре с целью нанесения ущерба и несанкционированного получения информации через компьютерные системы, а также в агрессивном использовании украденной идентификационной информации. Эти обвинения связаны с серией компьютерных вторжений, произошедших между февралем 2020 и июнем 2021 года в ряде американских компаний и правительственных агентств. Одним из ключевых событий стала кампания по использованию ранее неизвестных уязвимостей в сервере Microsoft Exchange — крупнейшей платформе для корпоративной электронной почты.
Эта кампания, известная под кодовым названием Hafnium, была направлена на тисячелетние организации и государственные структуры с целью скрытого сбора ценной информации. В числе жертв кибератак оказались университеты, включая Университет Техаса, где группа пыталась получить доступ к исследованиям вакцин против COVID-19. Эксперты связывают такие действия с усилиями китайских властей по сбору данных для укрепления национальной безопасности и технологического превосходства. Вместе с Сюем арестован его соучастник Чжан Юй, также гражданин Китая. Обоих подозревают в том, что они действовали по указаниям Шанхайского бюро Министерства государственной безопасности (MSS).
Группа Silk Typhoon тесно связана с UNC5221, именуемой также как Hafnium, и характеризуется применением нулевых дней — ранее неизвестных уязвимостей, которые позволяют атакующим проникать в системы без предупреждения. В дополнение к Microsoft Exchange, группа использовала сложные инструменты для сбора учетных данных и проникновения в цепочки поставок программного обеспечения, что позволяет получать долгосрочный доступ к сетям компаний и правительств. Масштаб операций впечатляет: согласно расследованиям, более 60 тысяч американских организаций стали потенциальными жертвами, из них более 12 700 подверглись успешным атакам. Объектами интереса были критически важные отрасли — здравоохранение, оборона, инфраструктура, а также предприятия, работающие с интеллектуальной собственностью. Специалисты подчеркивают, что действия Silk Typhoon представляют собой сочетание тактической выведки и стратегических операций с длительным присутствием в сетях жертв.
Проникновения осуществлялись при помощи специализированных скриптов PowerShell, а также известных уязвимостей, таких как CVE-2021-26855. Эти методы хорошо документированы в базах MITRE ATT&CK, что способствует их дальнейшему анализу и разработке средств защиты. Дополнительный интерес вызывает работа Сюя в компании Shanghai Powerock Network Co. Ltd., ранее неофициально упоминавшейся как посредник в правительственных кибероперациях Китая.
Это подтверждает предположения аналитиков о том, что китайская разведка активно использует частные организации и подрядчиков для маскировки своих действий в киберпространстве. В последнее время появилась информация о масштабных утечках, связанных с китайской хакерской сценой — данные с секретными документами компаний VenusTech и Salt Typhoon были выставлены на продажу на западных форумах DarkForums. Среди утекших материалов — сведения о взломанных системах, сотрудниках хакерских групп и сделках с государственными клиентами. Это позволяет лучше понять внутренние механизмы работы кибершпионских аппаратов Китая, а также свидетельствует о хрупкости контроля внутри этих структур. Важно отметить, что одна из компаний, Sichuan Juxinhe Network Technology Company Limited, упомянутая в утекших документах, уже подлежит санкциям американского казначейства за связи с Salt Typhoon.
Арест Сюя Цзэвэя вызвал неоднозначную реакцию: его защита настаивает на ошибочном задержании, ссылаясь на распространённость фамилии и кражу телефона в 2020 году. Между тем эксперты, такие как Джон Халтквист из Google Threat Intelligence Group, указывают, что подобные аресты, хотя и не остановят кибератаки полностью, могут повлиять на мотивацию молодых талантливых хакеров. Тем не менее, масштабы и профессионализм работы китайских операторов свидетельствуют о том, что подобные кампании будут продолжаться, лишь видоизменяясь и адаптируясь к новым условиям. Современная кибербезопасность сталкивается с необходимостью не только обнаруживать и предупреждать атаки, но и разбираться в глобальных связях хакерских группировок, их мотивах и методах работы. Случай Сюя Цзэвэя становится наглядным примером вызовов, с которыми сталкиваются правительства и компании при защите критической инфраструктуры и интеллектуальных активов.
Для успешной обороны требуется комплексный подход, включающий международное сотрудничество, совершенствование законодательства, а также применение передовых технологий искусственного интеллекта и машинного обучения. В итоге история ареста китайского хакера демонстрирует, как тесно переплелись национальные интересы и киберпространство, формируя новую реальность, где информационная безопасность становится ключевым элементом мировой политики и экономики.
