美国司法部宣布逮捕受中国情报机构资助的网络黑客

7月8日华盛顿报道，美国司法部今天宣布，应美国要求，33岁的中华人民共和国公民徐泽伟于7月3日在意大利被捕。徐泽伟及其同案被告、44岁的中华人民共和国公民张宇被控九项罪名，起诉书今日在德克萨斯州南区法院公布。

根据起诉书指控，徐泽伟涉嫌在2020年2月至2021年6月期间参与计算机入侵活动，其中包括“HAFNIUM”恶意入侵行动，该行动导致包括美国在内的全球数千台计算机遭到入侵。徐泽伟在意大利米兰被捕，并将面临引渡程序。

根据美国法庭文件，负责中国国内反间谍、非军事对外情报，以及中国政治和国内安全的中国国家安全部（MSS）上海国家安全局（SSSB）官员指使徐某实施此次黑客攻击。徐某在实施计算机入侵时为一家名为上海力洛克网络有限公司（Powerock）的公司工作，该公司是众多为中国政府实施黑客攻击的中国“幕后”公司之一。

美国国家安全司助理司法部长艾森伯格表示：“此次逮捕凸显了美国对追捕那些试图窃取美国公司和大学信息的黑客的耐心和不懈承诺。司法部将找到你们，并追究你们对威胁我们网络安全、损害我们人民和机构的责任。”

美国德克萨斯州南区联邦检察官甘杰（Nicholas Ganjei）表示：“起诉书指控徐泽伟受中国政府指使，入侵并窃取了关键的新冠病毒研究成果，与此同时，中国政府还隐瞒了有关病毒及其起源的信息，德克萨斯州南区联邦检察官多年来一直等待将徐泽伟绳之以法，而这一天即将到来。正如本案所示，即使需要数年时间，我们也将追查到黑客，并让他们为自己的罪行付出代价。美国不会忘记。”

美国联邦调查局网络部门助理局长莱瑟曼（Brett Leatherman）表示：“2020年2月，随着全球疫情爆发，徐泽伟和其他为中国共产党（CCP）工作的网络犯罪分子将美国大学作为目标，窃取了具有突破性的新冠病毒研究成果。次年，这些犯罪分子以一个名为HAFNIUM的组织的身份，利用美国系统中的零日漏洞窃取了更多研究成果，中共通过HAFNIUM攻击了超过6万家美国实体，成功使超过12,700家实体受害，以窃取敏感信息。此次逮捕行动由我们与意大利执法合作伙伴共同执行，彰显了联邦调查局（FBI）对中共资助的黑客追究其罪行的坚定决心。”

根据美国法庭文件，2020年初，徐泽伟及其同伙入侵并攻击了美国大学、从事新冠疫苗、治疗和检测研究的免疫学家和病毒学家。徐某等人向监督和指挥黑客活动的上海国家安全局官员报告了他们的活动。例如，在2020年2月19日左右，徐泽伟向一名上海国家安全局官员确认，他已经入侵了位于德克萨斯州南区一所研究型大学的网络。 2020年2月22日左右，国家安全局官员指示徐泽伟锁定并访问该校从事新冠病毒研究的病毒学家和免疫学家的特定电子邮箱。徐泽伟后来向中国国家安全局官员证实，他确实获取了这些研究人员邮箱的内容。

从2020年末开始，徐建军及其同伙利用了微软Exchange服务器（Microsoft Exchange Server）中的某些漏洞。Exchange服务器是微软广泛使用的收发和存储电子邮件产品。他们对微软Exchange服务器的攻击是针对全球数千台计算机的大规模攻击活动的先头部队，该活动被公开称为“HAFNIUM”。

美国法庭文件称，2021年3月，微软公开披露了由中国政府支持的黑客在中国境内发起的入侵活动。2021年3月，微软和其他行业合作伙伴发布了检测工具、补丁和其他信息，以帮助受害实体识别和缓解这起网络事件。此外，美国联邦调查局和网络安全与基础设施安全局（CSA）于2021年3月10日发布了关于微软Exchange服务器入侵的联合警告。然而，截至2021年3月底，数百个Web Shell仍然残留在某些运行微软Exchange Server软件的美国计算机上。

美国法庭文件还称，2021年4月，美国司法部宣布了一项经法院授权的行动，旨在修复美国数百台被HAFNIUM攻击者利用的计算机。2021年7月，美国及其外国合作伙伴将HAFNIUM攻击活动归咎于中国国家安全部。

根据美国法庭文件，徐泽伟利用微软Exchange服务器攻击的受害者包括位于德克萨斯州南区的另一所大学和一家在全球设有办事处的包括华盛顿特区的律师事务所。在利用运行微软Exchange服务器的计算机后，徐泽伟及其同伙在这些计算机上安装了Webshel​​l，以实现远程管理。这些Webshel​​l当时是HAFNIUM攻击者特有的。与之前的新冠病毒研究入侵行动一样，徐泽伟和张宇在中国国家安全局官员的监督和指导下共同参与了HAFNIUM入侵行动。例如，在2021年1月30日左右，徐泽伟向张宇确认，他已经入侵了另一所大学的网络。随后，大约在2021年2月28日，徐某向一名中国国家安全局官员汇报了他成功入侵的情况。这名官员随后指示徐泽伟从另一名中国国家安全局官员那里获取其他成功入侵的清单。未经授权访问该律师事务所的网络，徐泽伟及其同伙张宇得以从邮箱中窃取信息，并在其中搜索有关特定美国政策制定者和政府机构的信息。他们的搜索词包括“中国消息来源”、“国家安全部”和“香港”。

美国司法部表示，对徐泽伟的指控是最新一起，揭露了中国利用庞大的私营公司和承包商网络以掩盖中国政府参与的方式进行黑客攻击和窃取信息的行为。该网络在中国的“安全港”内运作，受利益驱使，他们广泛撒网，识别易受攻击的计算机，利用这些计算机，然后识别可以直接或间接出售给中国政府的信息。这种基本上不加区分的做法导致美国和其他地方出现了更多的受害者，全球更多的系统容易受到第三方的利用，更多的信息被盗，而这些信息往往不是中国政府感兴趣的，因此被出售给其他第三方。

徐泽伟被指控共谋实施电信欺诈和两项电信欺诈罪，每项罪名最高可判处20年监禁；共谋通过未经授权访问受保护的计算机造成损害并获取信息、实施电信欺诈和实施身份盗窃，最高可判处5年监禁；两项通过未经授权访问受保护的计算机获取信息罪，最高可判处5年监禁；两项故意损坏受保护的计算机罪，最高可判处10年监禁；以及严重身份盗窃罪，最高可判处2年监禁，另一名被告张宇目前仍逍遥法外。

联邦调查局休斯顿外地办事处正在调查此案。美国司法部国际事务办公室为逮捕被告提供了宝贵的协助。

德克萨斯州南区助理检察官麦金泰尔（Mark McIntyre）和马克（John Marck），以及美国国家安全司国家安全网络部门副主管安扎尔迪（Matthew Anzaldi）正在起诉此案。美国司法部国际事务办公室负责处理引渡事宜。