美國在義大利逮捕涉嫌竊取COVID-19疫苗資訊的中國駭客

7月8日美國司法部（DOJ）宣布在義大利米蘭逮捕33歲中國嫌犯徐澤偉，此人與44歲同夥張宇總共遭起訴9項罪名，原因是他們涉嫌在2020年2月至2021年6月之間從事電腦入侵活動，其中包含參與駭客組織Hafnium，滲透全球數千臺電腦的大規模攻擊。值得留意的是，美國司法部特別提及，徐澤偉接收中國政府的命令，從事竊取COVID-19相關研究的成果。

法庭的文件指出，中國國家安全部（MSS）旗下的上海國家安全局（Shanghai State Security Bureau，SSSB）官員指示徐澤偉從事攻擊。當時徐澤偉在上海派絡網絡公司（Shanghai Powerock Network Co. Ltd.）任職，而該公司是專為中國政府幫忙發動網路攻擊的打手。

2020年初徐澤偉與同夥攻擊美國大學、免疫學專家、病毒學專家，竊取COVID-19疫苗、檢測方法、治療方法的研究成果，而且，由於上海國家安全局官員從中監控及下達命令，這些駭客也不時回報活動的進度。例如，徐澤偉大約在2020年2月19日前後向一名官員回報，他破壞德州南區一所研究型大學的網路環境；後續該官員於數日後下達命令，要求入侵COVID-19研究員的電子郵件信箱。

同年底這些駭客組成Hafnium，利用Exchange的特定漏洞從事活動，而這些活動同樣是在上海國家安全局官員監控下進行。這些駭客入侵的特徵，就是會在郵件伺服器植入Web Shell，以便遠端控制受害主機。這份起訴書指出，徐澤偉和張宇於2021年1月30日表示成功破壞一所大學的網路環境，後續在2月28日向官員呈報進度，隨後徐澤偉就接收到取得名單的命令。其中一起入侵法律事務所網路環境的事故，使得Hafnium能從電子郵件信箱挖掘與美國特定政府機關、政策制訂者有關的資訊，這些駭客搜尋的關鍵字包括：Chinese sources、MSS,、HongKong。

Hafnium造成的危害有多嚴重？FBI網路部門助理主任 Brett Leatherman指出，2021年中國政府藉由這些駭客，對超過6萬個美國企業組織下手，並成功從12,700個企業組織竊得敏感資訊。微軟當時針對Hafnium使用的資安漏洞ProxyLogon（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065）不僅發布修補程式，並揭露駭客的攻擊流程，同時他們也提供偵測Web Shell的工具，呼籲IT人員要儘速清查，這樣的做法並不常見。

徐澤偉被指控9項罪名，其中最嚴重的是共謀電信詐欺罪，最高可判處20年監禁，其他還有未經授權存取受保護電腦、意圖破壞電腦系統、竊取智慧財產與敏感研究資料等罪名。美國聯邦調查局（FBI）正在追緝在逃的共犯張宇，並希望線民能提供相關情報。