美国司法部携手国际合作伙伴捣毁了 911 S5 代理僵尸网络,并在新加坡逮捕了管理员、35 岁的中国公民 YunHe Wang(音译王云河)。
美国联邦调查局局长 Christopher Wray 说:“联邦调查局与我们的国际伙伴合作,开展了一次有条不紊的联合网络行动,成功捣毁了 911 S5 僵尸网络,这可能是全球有史以来最大的僵尸网络。”
“我们逮捕了管理员王云河,没收了基础设施及资产,并对王云河及其同谋实施了制裁。”
早在 2011 年,王云河及其同谋就使用捆绑代理后门的多个恶意 VPN 应用程序将恶意软件植入到了受害者的设备上。
将受感染的设备添加到 911 S5 住宅代理服务的 VPN 应用程序包括:MaskVPN、DewVPN、PaladinVPN、ProxyGate、ShieldVPN 和 ShineVPN。
联邦调查局提供了关于如何确定你是否是 911 S5 恶意软件受害者的详细信息,详见https://www.fbi.gov/investigate/cyber/how-to-identify-and-remove-vpn-applications-that-contain-911-s5-backdoors。
在 2014 年至 2022 年 7 月期间,这个团伙创建了一个由全球数百万台住宅 Windows 计算机组成的庞大网络,这些计算机与 1900 余万个独特的 IP 地址相连,其中包括美国境内的 613841 个 IP 地址。
美国司法部声称:“王云河在全球范围内管理和控制着大约 150 台专用服务器,其中大约 76 台是他从美国的几家在线服务提供商那里租用的。”
“王云河使用这些专用服务器部署和管理应用程序,指挥和控制受感染的设备,运行其 911 S5 服务,并向付费客户提供访问与受感染设备相关的代理 IP 地址的权限。”
舍布鲁克大学的研究人员早在 2022 年 6 月透露,911 S5 团伙通过提供免费的 VPN 服务来引诱潜在的受害者安装代理恶意软件。
一个月后,该僵尸网络被关闭,起因是据称该团伙的关键组件在一次安全事件中遭破坏,但仅仅几个月后,它就以“CloudRouter”的名义死灰复燃了。
司法部目前正在向域名注册商和注册机构发出查封令,以查封这个犯罪网络使用的以下域名。
王云河通过向网络犯罪分子出售代理 IP 地址的访问权获得了大约 9900 万美元(7.16 亿元人民币)的收入。
犯罪分子利用受感染设备的互联网连接从事各种犯罪活动,包括网络攻击、炸弹威胁、剥削儿童、大规模欺诈、骚扰和违反出口规定。
911 S5 客户还使用非法的住宅代理服务提交了成千上万份与《新冠病毒援助、救济和经济保障法案》(CARES)相关的欺诈性申请。
他们还利用该服务提交了 56 万份欺诈性失业保险索赔和 47000 多份经济损失灾难贷款(EIDL)申请,导致金融机构、信用卡发卡机构和联邦贷款项目被盗数十亿美元。
周二,美国财政部也制裁了王云河(管理员)、刘景平(该团伙的洗钱者)和郑燕妮(充当王云河的代理人),以及由王云河拥有或控制的三家实体(Spicy Code Company Limited、 Tulip Biz Pattaya Group Company Limited和Lily Suites Company Limited)。
911 S5代理服务价格:
911用户的流量如何通过住宅IP地址路由传输图:
据 5 月 24 日公布的起诉书显示,王云河的众多资产和财产现在被没收,“包括一辆 2022 年法拉利 F8 Spider S-A、一辆宝马 i8、一辆宝马 X7 M50d 和一辆劳斯莱斯,十多个国内和国际银行账户,二十多个加密货币钱包,数块豪华手表,21 处住宅或投资房产(遍布泰国、新加坡、阿联酋、圣基茨和尼维斯以及美国)以及 20 个域名。”
如果上述所有罪名成立,王云河将面临最高 65 年的监禁,罪名包括共谋实施计算机欺诈和重大计算机欺诈、共谋实施电信欺诈以及共谋洗钱。