Het Amerikaanse ministerie van Justitie (DoJ) zei woensdag dat het wat het omschreef als ‘waarschijnlijk het grootste botnet ter wereld ooit’ heeft ontmanteld, dat bestond uit een leger van 19 miljoen geïnfecteerde apparaten die waren verhuurd aan andere bedreigingsactoren om een breed scala aan overtredingen te begaan. .
Het botnet, dat een wereldwijde voetafdruk heeft in meer dan 190 landen, functioneerde als een residentiële proxy-service, bekend als 911 S5. Een 35-jarige Chinese staatsburger, YunHe Wang, werd op 24 mei 2024 in Singapore gearresteerd omdat hij van 2014 tot juli 2022 het illegale platform had opgericht en als hoofdbeheerder van het illegale platform had opgetreden.
Wang is beschuldigd van samenzwering om computerfraude te plegen, substantiële computerfraude, samenzwering om telegrafische fraude te plegen en samenzwering om het witwassen van geld te plegen. Als Wang op alle punten wordt veroordeeld, riskeert hij een maximumstraf van 65 jaar gevangenisstraf.
Het ministerie van Justitie zei dat het botnet werd gebruikt voor het uitvoeren van cyberaanvallen, financiële fraude, identiteitsdiefstal, uitbuiting van kinderen, intimidatie, bommeldingen en exportschendingen.
Het is vermeldenswaard dat Wang in juli 2022 door beveiligingsjournalist Brian Krebs werd geïdentificeerd als de eigenaar van 911 S5, waarna het op 28 juli 2022 abrupt werd gesloten, onder verwijzing naar een datalek in de belangrijkste componenten ervan.
Hoewel het een paar maanden later onder een andere merknaam CloudRouter weer tot leven kwam, is de dienst volgens Spur sindsdien ergens afgelopen weekend gestopt, vertelde mede-oprichter van het cyberbeveiligingsbedrijf Riley Kilmer aan Krebs.
“Wang en anderen zouden malware hebben gemaakt en verspreid om een netwerk van miljoenen residentiële Windows-computers wereldwijd te compromitteren en te vergaren”, aldus een niet-verzegelde aanklacht.
“Deze apparaten waren gekoppeld aan meer dan 19 miljoen unieke IP-adressen, waaronder 613.841 IP-adressen in de Verenigde Staten. Wang genereerde vervolgens miljoenen dollars door cybercriminelen tegen betaling toegang te bieden tot deze geïnfecteerde IP-adressen.”
Residentiële proxy's (RESIP's) zijn netwerken van legitieme gebruikersapparaten die verkeer routeren namens betalende abonnees. Meestal gaat het om aanbieders die toegang huren om netwerkverkeer via computers, smartphones of routers van echte gebruikers te routeren.
Het belangrijkste doel van het gebruik van dergelijke proxyware-services is om verkeer via de IP-adressen van deze apparaten te leiden om zo de bron van de kwaadaardige verzoeken te anonimiseren.
In gerechtelijke documenten wordt Wang beschuldigd van het verspreiden van de malware via gratis Virtual Private Network (VPN)-programma's, zoals MaskVPN en DewVPN, evenals andere pay-per-install-diensten die de malware bundelden met illegale software.
De beklaagde beheert naar schatting een infrastructuur die 150 servers over de hele wereld omvat, waarvan 76 afkomstig zijn van in de VS gevestigde online dienstverleners.
“Met behulp van de dedicated servers heeft Wang applicaties geïmplementeerd en beheerd, de geïnfecteerde apparaten bestuurd en gecontroleerd, zijn 911 S5-service beheerd en betalende klanten toegang gegeven tot proxy-IP-adressen die verband hielden met de geïnfecteerde apparaten”, aldus het DoJ.
Er wordt ook beweerd dat 911 S5 criminele actoren in staat stelde systemen voor het opsporen van financiële fraude te omzeilen en miljarden dollars te stelen van financiële instellingen, creditcarduitgevers en federale leningprogramma's, waaronder pandemiehulp en het Economic Injury Disaster Loan (EIDL) -programma door frauduleuze claims in te dienen. .
Bovendien maakte de dienst het voor aanvallers die buiten de VS woonden mogelijk om goederen te kopen met gestolen creditcards of crimineel verkregen opbrengsten, en deze illegaal naar het buitenland te exporteren, in strijd met de Amerikaanse exportwetten.
Wang van zijn kant heeft naar schatting ongeveer 99 miljoen dollar ontvangen uit de verkoop van toegang tot de gekaapte proxy-IP-adressen, waarbij hij het onrechtmatig verkregen geld gebruikte om vier luxe auto's, verschillende dure polshorloges en 21 woningen of beleggingspanden in de VS te kopen. China, Singapore, Thailand en de VAE
Andere digitale activa die eigendom zijn van Wang omvatten meer dan een dozijn binnenlandse en internationale bankrekeningen en meer dan 24 cryptocurrency-portefeuilles, die werden gebruikt om het plan uit te voeren. Blockchain-analysebedrijf Chainalysis onthulde dat de adressen die aan Wang zijn gekoppeld $ 136,4 miljoen aan cryptocurrency bevatten.
De verwijdering, het resultaat van een gecoördineerde inspanning tussen de VS, Singapore, Thailand en Duitsland, heeft geresulteerd in de verstoring van 23 domeinen en meer dan 70 servers die de kern vormen van 911 S5. Bij de inspanning werd ook beslag gelegd op activa ter waarde van ongeveer $ 30 miljoen.
Gelijktijdig met de aanklacht tegen Wang heeft het Office of Foreign Assets Control (OFAC) van het ministerie van Financiën sancties opgelegd aan de verdachte, samen met zijn mede-samenzweerder Jingping Liu en volmacht Yanni Zheng voor hun activiteiten in verband met het 911 S5-botnet en de residentiële proxy dienst.
Het agentschap heeft ook sancties opgelegd aan drie in Thailand gevestigde entiteiten, namelijk Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited en Lily Suites Company Limited, waarvan wordt gezegd dat ze eigendom zijn van of gecontroleerd worden door Wang, en merkte op dat Spicy Code Company Limited werd gebruikt om onroerend goed in het land.
“Het gedrag dat hier wordt beweerd, leest alsof het uit een scenario is geplukt: een plan om toegang te verkopen tot miljoenen met malware geïnfecteerde computers wereldwijd, waardoor criminelen over de hele wereld miljarden dollars kunnen stelen, bommeldingen kunnen verzenden en materiaal over kinderuitbuiting kunnen uitwisselen”, aldus de woordvoerder. Matthew S. Axelrod van het Bureau of Industry and Security (BIS) van het Amerikaanse ministerie van Handel.
“Wat ze echter niet in de films laten zien, is het moeizame werk dat de binnenlandse en internationale wetshandhavingsinstanties, in nauwe samenwerking met partners uit de industrie, nodig hebben om zo’n schaamteloos plan neer te halen en een arrestatie als deze te laten gebeuren.”
