美国司法部：高度破坏性的 911 S5“云路由器”僵尸网络背后的中国黑客已被逮捕并消除威胁

美国司法部本周宣布，已拆除庞大的 911 S5 代理僵尸网络，并逮捕了一名涉嫌运营该网络的中国公民。本周早些时候，美国财政部对三名与该僵尸网络的创建和运营有关的中国个人实施了制裁，他们分别是王云鹤、刘静平和郑燕妮。这些制裁还扩展到据称由王云鹤拥有或控制的三家泰国公司。

司法部公告证实，据信是僵尸网络管理员的王某于 5 月 24 日被捕，僵尸网络被成功拆除。网络安全专家 Brian Krebs 曾在 2022 年重点介绍了 911 S5 僵尸网络，并认定王某为其所有者。尽管 911 S5 在 Krebs 报告发布后不久就被关闭，但它在 2023 年 10 月以 Cloud Router 的身份重新出现，但在美国政府干预之前再次停止运营。

此次僵尸网络破坏行动是美国、德国、新加坡和泰国等国机构参与的国际执法行动的一部分。此次行动查获了 911 S5 和 Cloud Router 僵尸网络使用的 23 个域名和 70 多台服务器。FBI 局长称 911 S5 是“可能是世界上最大的僵尸网络”，在 2014 年至 2022 年间，它入侵了 190 多个国家的 1900 万台 Windows 设备。该僵尸网络的恶意软件通过“免费”VPN 应用程序传播，秘密将受感染的设备转换为各种非法活动的代理。

这些被入侵的代理服务器为众多恶意操作提供了便利，包括网络攻击、欺诈、炸弹威胁、儿童剥削和出口违规。据美国司法部称，托管在美国服务器上的 911 S5 客户端界面软件使国外网络犯罪分子能够使用被盗信用卡和其他犯罪所得购买和非法出口商品。

王某面临共谋实施计算机欺诈、实质性计算机欺诈、共谋实施电信欺诈和共谋实施洗钱的指控，可能被判处 65 年监禁。起诉书称，王某在 2018 年至 2022 年期间通过出售代理 IP 地址赚取了约 %9$s0 万美元，部分收益用于购买多个国家的房地产和多辆豪华汽车。当局已扣押价值约 3000 万美元的资产，并确定了价值另外 3000 万美元的可没收财产。王某在新加坡被捕，正在等待引渡到美国。

为了应对此次打击，FBI 提供了指南，用户可以通过此处的调查链接从他们的设备中检测并删除恶意 VPN 应用程序。