DOJ של ארה"ב: האקר סיני מאחורי 911 S5 'נתב ענן' הרסני ביותר נעצר והאיום נוטרל

משרד המשפטים האמריקני הודיע השבוע על הסרת רשת ה-proxy הנרחבת 911 S5 ועל מעצרו של המפעיל לכאורה שלו, אזרח סיני. מוקדם יותר השבוע, משרד האוצר הטיל סנקציות על שלושה אנשים סינים, Yunhe Wang, Jingping Liu ו- Yanni Zheng, הקשורים ליצירת ה-botnet ולהפעלתו. הסנקציות הללו הורחבו גם לשלוש חברות בתאילנד שבבעלות או בשליטתה לכאורה של וואנג.

הודעת משרד המשפטים אישרה כי וואנג, על פי החשד כמנהל הבוטנט, נעצר ב-24 במאי, והבוטנט פורק בהצלחה. מומחה אבטחת הסייבר בריאן קרבס הדגיש את רשת הבוט 911 S5 ב-2022, וזיהה את וואנג כבעליו. למרות שה-911 S5 נסגר זמן קצר לאחר הדיווח של קרבס, הוא עלה מחדש באוקטובר 2023 כנתב ענן, רק כדי להפסיק את פעילותו שוב רגע לפני התערבות ממשלת ארה"ב.

השיבוש של ה-botnet היה חלק ממאמץ בינלאומי לאכיפת חוק שכלל סוכנויות מארה"ב, גרמניה, סינגפור ותאילנד. פעולה זו הובילה לתפיסה של 23 דומיינים ולמעלה מ-70 שרתים ששימשו את הבוטנטים 911 S5 וגם Cloud Router. 911 S5, שתואר על ידי מנהל ה-FBI כ"ככל הנראה הבוטנט הגדול בעולם", פגע ב-19 מיליון מכשירי Windows ביותר מ-190 מדינות בין 2014 ל-2022. התוכנה הזדונית של הבוטנט הופצה באמצעות יישומי VPN 'חינמיים', והמירה באופן סמוי את המכשירים הנגועים לשרת proxy. לפעילויות בלתי חוקיות שונות.

נציגי פרוקסי שנפגעו אלה אפשרו פעולות זדוניות רבות, כולל התקפות סייבר, הונאה, איומי פצצות, ניצול ילדים והפרות ייצוא. לפי משרד המשפטים, תוכנת ממשק הלקוח 911 S5, המתארחת בשרתים מבוססי ארה"ב, אפשרה לפושעי סייבר בחו"ל להשתמש בכרטיסי אשראי גנובים ובהכנסות אחרות שהושגו בפשע כדי לרכוש ולייצא סחורות באופן לא חוקי.

וואנג עומד בפני אישומים של קשירת קשר לביצוע הונאת מחשבים, הונאת מחשבים מהותית, קשירת קשר לביצוע הונאה רשתית וקשירת קשר לביצוע הלבנת הון, שעלולה להוביל לעונש של 65 שנות מאסר. מכתב האישום עולה כי וואנג הרוויחה כ-99 מיליון דולר ממכירת כתובות IP פרוקסי בין 2018 ל-2022, כאשר חלק מהתמורה שימשה לרכישת נדל"ן במספר מדינות וכמה רכבי יוקרה. הרשויות תפסו נכסים בשווי של כ-30 מיליון דולר וזיהו נכסים נוספים שניתן לחלוט בשווי של 30 מיליון דולר נוספים. וואנג נתפס בסינגפור וממתין להסגרה לארצות הברית.

בתגובה לדיכוי זה, ה-FBI סיפק הנחיות למשתמשים לאיתור ולהסיר את יישומי ה-VPN הזדוניים מהמכשירים שלהם דרך קישור החקירה שלהם כאן .