Министерство юстиции США, совместно с международными партнерами, ликвидировало прокси-ботнет 911 S5 и арестовало в Сингапуре 35-летнего гражданина Китая Юньхэ Вана, который считается его администратором. 911 S5 проникал в системы жертв под видом бесплатных VPN-приложений, которые на самом деле оснащались прокси-бэкдорами.
В опубликованном американскими властями заявлении директор ФБР Кристофер Рэй (Christopher Wray) называет 911 S5 «вероятно, самым крупным ботнетом в мире», так как в его состав входило около 19 млн IP-адресов в 190 странах мира.
«Мы арестовали администратора 911 S5, Юньхэ Вана, изъяли инфраструктуру и активы ботента, а также ввели санкции против Вана и его сообщников», — заявляет Рэй.
По данным следователей, еще в 2011 году Ван и его подельники начали распространять малварь с помощью нескольких вредоносных VPN-приложений, оснащенных прокси-бэкдорами: MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN и ShineVPN. Эти VPN заражали устройства жертв и добавляли скомпрометированные девайсы в ботнет, который предоставлял другим преступникам услугу резидентных прокси.
В результате, в период с 2014 по июль 2022 года, Ван создал сеть, в которую вошли миллионы компьютеров под управлением Windows по всему миру. Суммарно с 911 S5 связано более 19 млн уникальных IP-адресов, включая 613 841 IP-адрес в Соединенных Штатах.
«Ван контролировал и управлял приблизительно 150 выделенными серверами по всему миру, примерно 76 из которых он арендовал у американских провайдеров, — говорится в заявлении Минюста США. — Используя эти серверы, Ван развертывал приложения и управлял ими, контролировал зараженные устройства, управлял своим сервисом 911 S5 и предоставлял платным клиентам доступ к проксированным IP-адресам, связанным с зараженными устройствами».
Стоит отметить, что еще в 2022 году исследователи из Шербрукского университета предупреждали о том, что операторы ботнета 911 S5 привлекают потенциальных жертв, рекламируя бесплатные VPN-приложения, которые затем используются для установки прокси-малвари.
Примерно через месяц после публикации этого исследования ботнет прекратил работу, так как критически важные компоненты его инфраструктуры тогда были уничтожены в результате взлома. Однако спустя еще несколько месяцев он вернулся в строй под новым названием CloudRouter.
Сообщается, что в общей сложности Ван заработал около 99 млн долларов, продавая другим преступникам доступ к резидентным прокси. Его покупатели использовали взломанные устройства для совершения самых разных преступлений, включая кибератаки, мошеннические операции, ложные сообщения об угрозах взрывов, сталкинг и обход экспортных ограничений.
Также, по информации правоохранителей, клиенты 911 S5 использовали нелегальные прокси для подачи десятков тысяч мошеннических заявок на участие в программах, связанных с Законом «О помощи, содействии и экономической безопасности в связи с коронавирусом» (Coronavirus Aid, Relief, and Economic Security Act, CARES).
Еще прокси применялись для подачи 560 000 мошеннических заявок на получение страховки по безработице и более 47 000 заявок на получение кредитов EIDL (Economic Injury Disaster Loan), в результате чего у финансовых учреждений, эмитентов банковских карт и федеральных кредитных программ были украдены миллиарды долларов.
Отдельно отмечается, что на этой неделе Министерство финансов США наложило санкции на Вана (администратора 911 S5), Цзинпина Лю (отмывал деньги 911 S5), Янни Чжэня (выступавшего в качестве доверенного лица Вана) и три организации (Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited и Lily Suites Company Limited), которые либо принадлежали Вану, либо находились под его контролем.
Согласно обвинительному заключению, теперь имущество и множество активов Вана подлежат конфискации, включая: «Ferrari F8 Spider S-A 2022 года, BMW i8, BMW X7 M50d, Rolls Royce, более десятка локальных и международных банковских счетов, более двух десятков криптовалютных кошельков, несколько люксовых наручных часов, 21 объект жилой или коммерческой недвижимости (в Таиланде, Сингапуре, ОАЭ, Сент-Китс и Невисе, а также в США) и 20 доменов».
В случае признания Вана виновным по всем пунктам обвинения (включая сговор с целью совершения компьютерного мошенничества, мошенничество с использованием компьютерной техники, сговор с целью совершения мошенничества с использованием электронных средств связи и сговор с целью отмывания денег), ему грозит максимальное наказание в виде 65 лет лишения свободы.