Dipartimento di Giustizia degli Stati Uniti: arrestato l'hacker cinese dietro la botnet altamente distruttiva 911 S5 "Cloud Router" e neutralizzata la minaccia

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato questa settimana la rimozione dell'estesa botnet proxy 911 S5 e l'arresto del suo presunto operatore, un cittadino cinese. All'inizio della settimana, il Dipartimento del Tesoro ha sanzionato tre individui cinesi, Yunhe Wang, Jingping Liu e Yanni Zheng, collegati alla creazione e al funzionamento della botnet. Queste sanzioni si sono estese anche a tre società tailandesi presumibilmente possedute o controllate da Wang.

L'annuncio del Dipartimento di Giustizia ha confermato che Wang, ritenuto l'amministratore della botnet, è stato arrestato il 24 maggio e la botnet è stata smantellata con successo. L'esperto di sicurezza informatica Brian Krebs aveva evidenziato la botnet 911 S5 nel 2022, identificando Wang come il suo proprietario. Sebbene il 911 S5 sia stato spento poco dopo il rapporto di Krebs, è riapparso nell'ottobre 2023 come Cloud Router, per poi cessare nuovamente le operazioni poco prima dell'intervento del governo americano.

L’interruzione della botnet faceva parte di uno sforzo di applicazione della legge internazionale che coinvolgeva agenzie di Stati Uniti, Germania, Singapore e Tailandia. Questa operazione ha portato al sequestro di 23 domini e oltre 70 server utilizzati sia dalla botnet 911 S5 che da quella Cloud Router. Descritta dal direttore dell'FBI come "probabilmente la botnet più grande del mondo", 911 S5 ha compromesso 19 milioni di dispositivi Windows in più di 190 paesi tra il 2014 e il 2022. Il malware della botnet è stato distribuito tramite applicazioni VPN "gratuite", convertendo segretamente i dispositivi infetti in proxy per varie attività illecite.

Questi proxy compromessi hanno facilitato numerose operazioni dannose, inclusi attacchi informatici, frodi, minacce di bombe, sfruttamento minorile e violazioni delle esportazioni. Secondo il Dipartimento di Giustizia, il software di interfaccia client del 911 S5, ospitato su server con sede negli Stati Uniti, ha consentito ai criminali informatici all'estero di utilizzare carte di credito rubate e altri proventi ottenuti illecitamente per acquistare ed esportare illegalmente merci.

Wang è accusato di associazione a delinquere per commettere frode informatica, frode informatica sostanziale, associazione a delinquere per commettere frode telematica e associazione a delinquere per commettere riciclaggio di denaro, che potrebbero comportare una pena detentiva di 65 anni. L'accusa afferma che Wang ha guadagnato circa 99 milioni di dollari dalla vendita di indirizzi IP proxy tra il 2018 e il 2022, con parte del ricavato utilizzato per acquisire proprietà immobiliari in più paesi e diversi veicoli di lusso. Le autorità hanno sequestrato beni per un valore di circa 30 milioni di dollari e identificato ulteriori proprietà confiscabili per un valore di altri 30 milioni di dollari. Wang è stato arrestato a Singapore ed è in attesa di estradizione negli Stati Uniti.

In risposta a questa repressione, l'FBI ha fornito linee guida agli utenti per rilevare e rimuovere le applicazioni VPN dannose dai propri dispositivi tramite il collegamento di indagine qui .