Un ciudadano chino ha sido arrestado en Milán, Italia, por sus supuestos vínculos con un género de piratería patrocinado por el estado conocido como Tifón de Silk y por sufrir a término ataques cibernéticos contra organizaciones estadounidenses y agencias gubernamentales.
El hombre de 33 abriles Xu Zeweiha sido destacado de nueve cargos de fraude de alambre y conspiración para causar daños y obtener información por camino no acreditado a computadoras protegidas, así como cometer robo de identidad agravado. Los detalles del arresto fueron reportados por primera vez por los medios italianos.
Se alega que Xu participó en las intrusiones informáticas de los EE. UU. Entre febrero de 2020 y junio de 2021, incluida una ola de ataque masivo que aprovechó las fallas del día cero en Microsoft Exchange Server, un clúster de actividad que el fabricante de Windows diseñó como Hafnium.
El sospechoso además está destacado de participar en los esfuerzos de espionaje de China durante la pandemia Covid-19, intentando obtener camino a la investigación de vacunas en varias universidades estadounidenses, incluida la Universidad de Texas.
Se cree que Xu, yuxtapuesto con el coacusado y el franquista de Zhang Yu chino, realizó los ataques basados en las instrucciones dadas por la Oficina de Seguridad del Estado del Tarea de Seguridad del Estado (MSS) Shanghai (SSSB).
“A partir de finales de 2020, Xu y sus conspiradores explotaron ciertas vulnerabilidades en Microsoft Exchange Server, un producto de Microsoft ampliamente utilizado para remitir, admitir y juntar mensajes de correo electrónico”, dijo el Unidad de Probidad. “Su explotación de Microsoft Exchange Server fue supuestamente a la vanguardia de una campaña masiva dirigida a miles de computadoras en todo el mundo y conocidas públicamente como ‘Hafnium'”.
El tifón de seda, que se superpone con UNC5221, es conocido por el uso de vulnerabilidades de día cero y compromisos exitosos de las empresas de tecnología en los ataques de la sujeción de suministro. Se dice que el género se dirigió a más de 60,000 entidades estadounidenses, victimizando con éxito más de 12,700 para robar información confidencial a través de la campaña Hafnium.
En revelaciones anteriores, el tifón de seda ha demostrado una preferencia por atacar sectores vinculados a la propiedad intelectual y la resiliencia franquista, como la atención médica, la defensa e infraestructura crítica. Sus campañas a menudo implican una combinación de cosecha de credenciales, compromiso de la sujeción de suministro y operaciones de camino a dispendioso plazo, lo que indica un mandato más amplio centrado en la sumario de inteligencia inmediata y estratégica.
Si correctamente Hafnium se clasifica ampliamente como una amenaza persistente vanguardia (APT), los analistas que vinculan su actividad con UNC5221 han asignado técnicas esencia, como el camino original a través de CVE-2021-26855 y el movimiento contiguo a través de scripts de potencia de potencia, a los patrones de MITER ATT & CK. La superposición refleja un ecosistema APT más amplio que combina la explotación de día cero, las operaciones de contratistas subcontratadas y las estrategias de camino a dispendioso plazo, temas núcleos en las discusiones continuas sobre la atribución y la postura de defensa cibernética.
El Unidad de Probidad además ha afirmado que Zewei trabajó para una empresa convocatoria Shanghai Powerock Network Co. Ltd. Cuando se llevaron a término los ataques, prestando más crédito a otros informes de que China está aprovechando una variedad de contratistas y empresas privadas para difundir campañas de espionaje patrocinadas por el estado en un esfuerzo por oscurecer la décimo del gobierno.
Un prospección fresco de los conjuntos de datos chinos filtrados que aparecieron a la traspaso en Darkforums, un foro de delitos cibernéticos en inglés, ha arrojado más luz sobre la sombría imagen de piratería en el país. El elegancia supuestamente contiene documentos no públicos relacionados con Venustech, un importante proveedor de seguridad de TI en China con un enfoque en servir a los clientes gubernamentales y al tifón de sal, según Spycloud.
Los documentos de Venustech, filtrados por un sucesor llamado IronTooth, referen organizaciones ya pirateadas, encima de contener información por entendimiento que muestran varias entidades gubernamentales chinas a las que la compañía ofrece sus servicios.
Se dice que el segundo juego incluye detalles sobre varios empleados detrás del género de piratería de typhoon de sal e información sobre 242 enrutadores pirateados. Igualmente filtrado por Chinabob, el sucesor de Darkforums que ha anunciado el conjunto de datos, es una hoja de cálculo que supuestamente muestra transacciones entre varios clientes de los gobiernos y sus vendedores.
El documento enumera tres compañías de vendedores diferentes: Sichuan Zhixin Ruijie Network Technology Company Limited, Beijing Huanyu Tiangiong Information Technology Company Limited y Sichuan Juxinhe Network Technology Company Limited. Vale la pena señalar que Sichuan Juxinhe fue sancionado por el Unidad del Caudal de los Estados Unidos a principios de enero por sus vínculos con Salt Typhoon.
“Si correctamente el origen de estas filtraciones es incierto, estos datos que aparecen a la traspaso en un foro de piratería occidental se ajustan a algunas tendencias generales que hemos observado al monitorear las comunidades ciberdeliminales chinas: la sumario de datos y el ingenio de inteligencia sancionados por China son fugas (y) cibercriminales de la sinfera de la sinfencia que parecen estar cada vez más presentes en los espacios de delincuencia digitales occidentales”, dice Spycloud.
Según un referencia de Reuters, Xu se ha opuesto a la solicitud de extradición, reclamando un caso de identidad errónea. El abogado de Xu agregó que su patronímico es congruo popular en China y que su teléfono móvil le había sido robado en 2020.
“Desafortunadamente, el impacto de este arresto no se sentirá de inmediato. Hay varios equipos compuestos por docenas de operadores que continuarán llevando a término el espionaje cibernético”, dijo John Hultquist, analista caudillo, Google Threat Intelligence Group (GTIG), en un comunicado compartido con The Hacker News.
“Los patrocinadores del gobierno no serán disuadidos. Es poco probable que el arresto detenga las operaciones o incluso los ralentice significativamente, pero puede dar a algunos de estos jóvenes piratas informáticos una razón para pensar dos veces ayer de involucrarse en este trabajo”.
