Departament Sprawiedliwości USA: Chiński haker odpowiedzialny za wysoce niszczycielski botnet „Cloud Router” 911 S5 aresztowany, a zagrożenie zneutralizowane

Departament Sprawiedliwości Stanów Zjednoczonych ogłosił w tym tygodniu zamknięcie rozległego botnetu proxy 911 S5 i aresztowanie jego rzekomego operatora, obywatela Chin. Na początku tygodnia Departament Skarbu nałożył sankcje na trzy chińskie osoby – Yunhe Wang, Jingping Liu i Yanni Zheng – powiązane z utworzeniem i działaniem botnetu. Sankcje te objęły także trzy przedsiębiorstwa w Tajlandii rzekomo będące własnością Wanga lub przez niego kontrolowane.

Oświadczenie Departamentu Sprawiedliwości potwierdziło, że 24 maja Wang, uważany za administratora botnetu, został aresztowany, a botnet został pomyślnie zlikwidowany. Ekspert ds. cyberbezpieczeństwa Brian Krebs zwrócił uwagę na botnet 911 S5 w 2022 r., identyfikując Wanga jako jego właściciela. Chociaż model 911 S5 został wyłączony wkrótce po raporcie Krebsa, pojawił się ponownie w październiku 2023 r. jako Cloud Router, by ponownie zaprzestać działalności tuż przed interwencją rządu USA.

Zakłócenie botnetu było częścią międzynarodowych działań organów ścigania, w które zaangażowały się agencje z USA, Niemiec, Singapuru i Tajlandii. Operacja ta doprowadziła do przejęcia 23 domen i ponad 70 serwerów używanych zarówno przez botnety 911 S5, jak i Cloud Router. Opisany przez dyrektora FBI jako „prawdopodobnie największy botnet na świecie”, w latach 2014–2022 911 S5 zainfekował 19 milionów urządzeń z systemem Windows w ponad 190 krajach. Szkodliwe oprogramowanie botnetu było dystrybuowane za pośrednictwem „bezpłatnych” aplikacji VPN, potajemnie przekształcając zainfekowane urządzenia w serwery proxy za różne nielegalne działania.

Te skompromitowane serwery proxy ułatwiały liczne szkodliwe operacje, w tym cyberataki, oszustwa, groźby bombowe, wykorzystywanie dzieci i naruszenia eksportu. Według Departamentu Sprawiedliwości oprogramowanie interfejsu klienta 911 S5, hostowane na serwerach w USA, umożliwiło cyberprzestępcom za granicą wykorzystanie skradzionych kart kredytowych i innych dochodów uzyskanych w wyniku przestępstwa do zakupu i nielegalnego eksportu towarów.

Wangowi postawiono zarzuty spisku mającego na celu popełnienie oszustwa komputerowego, istotnego oszustwa komputerowego, spisku mającego na celu popełnienie oszustwa drogą elektroniczną oraz spisku mającego na celu popełnienie prania pieniędzy, co może skutkować karą 65 lat więzienia. Z aktu oskarżenia wynika, że Wang zarobił około 99 milionów dolarów na sprzedaży adresów IP zastępczych w latach 2018–2022, a część dochodów wykorzystała na zakup nieruchomości w wielu krajach i kilku luksusowych pojazdów. Władze przejęły aktywa o wartości około 30 milionów dolarów i zidentyfikowały dodatkowe mienie podlegające przepadkowi o wartości kolejnych 30 milionów dolarów. Wang został zatrzymany w Singapurze i oczekuje na ekstradycję do Stanów Zjednoczonych.

W odpowiedzi na tę akcję FBI udostępniło użytkownikom wytyczne dotyczące wykrywania i usuwania złośliwych aplikacji VPN ze swoich urządzeń , korzystając z łącza do sprawdzenia dostępnego tutaj .