Een man die beschuldigd wordt van grootschalige cyberspionage namens de Chinese overheid, is uitgeleverd aan de Verenigde Staten. Xu Zewei, die wordt beschuldigd van spraakmakende hacks tegen Amerikaanse universiteiten en wereldwijde e-mailservers, zit nu in federale hechtenis in Houston, Texas.
De beschuldigingen: van pandemisch onderzoek tot wereldwijde e-mailinbreuken
Volgens het Amerikaanse ministerie van Justitie opereerde Xu als contractant voor het Chinese Ministerie van Staatsveiligheid. Aanklagers beweren dat Xu en een medeplichtige, Zhang Yu, centrale figuren waren in een reeks geavanceerde cyberaanvallen die bedoeld waren om de Chinese staatsbelangen te behartigen.
De aanklacht benadrukt twee primaire golven van kwaadwillige activiteit:
- COVID-19-onderzoeksdiefstal: Begin 2020 zou het duo zich naar verluidt op verschillende Amerikaanse universiteiten hebben gericht om gevoelig onderzoek naar de COVID-19-pandemie te stelen.
- De Microsoft Exchange-exploits: Vanaf maart 2021 maakte de groep, verbonden aan het hackerscollectief bekend als Hafnium (en later Silk Typhoon ), misbruik van beveiligingsfouten in Microsoft Exchange-servers. Deze ‘willekeurige’ campagne richtte zich op meer dan 60.000 entiteiten in de VS en overtrof met succes meer dan 12.700 organisaties, waaronder defensie-aannemers, advocatenkantoren en onderzoekers op het gebied van infectieziekten.
Het pad naar uitlevering
Xu’s juridische traject begon vorig jaar met zijn arrestatie in Italië op verzoek van de Amerikaanse autoriteiten. Na zijn uitlevering afgelopen zaterdag werd hij overgebracht naar het federale detentiecentrum in Houston.
Tijdens zijn eerste verschijning voor de rechtbank op maandag pleitte Xu niet schuldig aan alle aanklachten. Hij blijft in hechtenis terwijl de gerechtelijke procedure vordert. Als hij wordt veroordeeld, riskeert hij meer dan tien jaar gevangenisstraf.
Een groeiend patroon van door de staat gesponsorde cyberoorlogvoering
Deze zaak is geen op zichzelf staand incident, maar maakt deel uit van een al lang bestaande spanning tussen Washington en Peking over digitale spionage. Aanklagers beweren dat Xu werkte via Shanghai Powerock Network, een bedrijf dat volgens hen dient als dekmantel voor het uitvoeren van hackoperaties die rechtstreeks rapporteren aan Chinese staatsfunctionarissen.
Het belang van deze uitlevering ligt in de moeilijkheid om buitenlandse statelijke actoren ter verantwoording te roepen. Hoewel de VS regelmatig Chinese hackers hebben aangeklaagd, blijven velen buiten het bereik van de Amerikaanse wet. De uitlevering van Xu volgt op een vergelijkbare spraakmakende zaak uit 2022, waarin Yanjun Xu werd veroordeeld tot twintig jaar gevangenisstraf. Dit is een zeldzaam geval waarin een Chinese inlichtingenofficier met succes voor de rechter werd gebracht door een Amerikaanse rechtbank.
Context is belangrijk: De omvang van de Hafnium-aanvallen – gericht op tienduizenden organisaties – laat zien hoe één enkele kwetsbaarheid in veelgebruikte software door statelijke actoren kan worden misbruikt om grootschalige, mondiale inlichtingenverzameling uit te voeren.
Internationale wrijving
De uitlevering heeft scherpe kritiek uit Peking opgeleverd. Hoewel de Chinese ambassade in Washington niet reageerde op verzoeken om commentaar, heeft het Chinese ministerie van Buitenlandse Zaken zich officieel tegen deze stap verzet en de Amerikaanse regering beschuldigd van ‘het verzinnen van zaken’.
Conclusie
De uitlevering van Xu Zewei vertegenwoordigt een belangrijke, zij het zeldzame, overwinning voor de Amerikaanse autoriteiten in hun pogingen om door de staat gesponsorde cyberspionage te vervolgen. De uitkomst van dit proces zal waarschijnlijk dienen als een belangrijke indicator van hoe effectief de VS internationale actoren kunnen vervolgen die betrokken zijn bij grootschalige digitale diefstal van inlichtingen.
