US DOJ: Chinese hacker achter zeer destructief 911 S5 'Cloud Router'-botnet gearresteerd en bedreiging geneutraliseerd

Het Amerikaanse ministerie van Justitie heeft deze week de verwijdering aangekondigd van het omvangrijke 911 S5 proxy- botnet en de arrestatie van de vermeende exploitant ervan, een Chinees staatsburger. Eerder deze week heeft het ministerie van Financiën sancties opgelegd aan drie Chinese personen, Yunhe Wang, Jingping Liu en Yanni Zheng, die verband hielden met de creatie en werking van het botnet. Deze sancties strekten zich ook uit tot drie bedrijven in Thailand die ogenschijnlijk eigendom waren van of gecontroleerd werden door Wang.

De aankondiging van het ministerie van Justitie bevestigde dat Wang, vermoedelijk de beheerder van het botnet, op 24 mei werd gearresteerd en dat het botnet met succes werd ontmanteld. Cybersecurity-expert Brian Krebs had in 2022 het 911 S5-botnet onder de aandacht gebracht en Wang als de eigenaar geïdentificeerd. Hoewel de 911 S5 kort na het rapport van Krebs werd stilgelegd, dook hij in oktober 2023 weer op als Cloud Router, om vervolgens weer te stoppen vlak voor de tussenkomst van de Amerikaanse regering.

De ontwrichting van het botnet maakte deel uit van een internationale wetshandhavingsinspanning waarbij instanties uit de VS, Duitsland, Singapore en Thailand betrokken waren. Deze operatie leidde tot de inbeslagname van 23 domeinen en meer dan 70 servers die werden gebruikt door zowel de 911 S5- als de Cloud Router-botnets. 911 S5, door de FBI-directeur omschreven als ‘waarschijnlijk het grootste botnet ter wereld’, heeft tussen 2014 en 2022 19 miljoen Windows-apparaten in meer dan 190 landen gecompromitteerd. De malware van het botnet werd verspreid via ‘gratis’ VPN-applicaties, waarbij de geïnfecteerde apparaten heimelijk in proxy’s werden omgezet. voor diverse illegale activiteiten.

Deze gecompromitteerde proxy's faciliteerden talloze kwaadaardige operaties, waaronder cyberaanvallen, fraude, bommeldingen, uitbuiting van kinderen en exportschendingen. Volgens het ministerie van Justitie stelde de 911 S5-clientinterfacesoftware, gehost op Amerikaanse servers, cybercriminelen in het buitenland in staat gestolen creditcards en andere crimineel verkregen opbrengsten te gebruiken om goederen te kopen en illegaal te exporteren.

Wang wordt beschuldigd van samenzwering om computerfraude te plegen, substantiële computerfraude, samenzwering om telegrafische fraude te plegen en samenzwering om geld wit te wassen, wat mogelijk kan resulteren in een gevangenisstraf van 65 jaar. In de aanklacht staat dat Wang tussen 2018 en 2022 ongeveer 99 miljoen dollar verdiende met de verkoop van proxy IP-adressen, waarbij een deel van de opbrengst werd gebruikt om onroerend goed in meerdere landen en verschillende luxe voertuigen te verwerven. De autoriteiten hebben bezittingen ter waarde van zo'n $30 miljoen in beslag genomen en nog meer verbeurde eigendommen met een waarde van nog eens $30 miljoen geïdentificeerd. Wang werd in Singapore opgepakt en wacht op uitlevering aan de Verenigde Staten.

Als reactie op dit harde optreden heeft de FBI richtlijnen gegeven voor gebruikers om de kwaadaardige VPN-applicaties van hun apparaten te detecteren en te verwijderen via hun onderzoekslink hier .