Министерство юстиции США (DoJ) в среду заявило, что оно демонтировало то, что оно назвало "вероятно, крупнейшим ботнетом в мире за всю историю", который состоял из армии из 19 миллионов зараженных устройств, которые были переданы в аренду другим субъектам угрозы для совершения широкого спектра правонарушений.
Ботнет, имеющий глобальный охват, охватывающий более 190 стран, функционировал как прокси-сервис, известный как 911 S5. 35-летний гражданин Китая Юнхэ Ван был арестован в Сингапуре 24 мая 2024 года за создание нелегальной платформы и выполнение функций основного администратора нелегальной платформы с 2014 по июль 2022 года.
Вану предъявлены обвинения в сговоре с целью совершения компьютерного мошенничества, существенном компьютерном мошенничестве, сговоре с целью совершения мошенничества с использованием электронных средств и сговоре с целью отмывания денег. В случае признания его виновным по всем пунктам, Вану грозит максимальное наказание в виде 65 лет тюремного заключения.
Министерство юстиции заявило, что ботнет использовался для проведения кибератак, финансового мошенничества, кражи личных данных, эксплуатации детей, домогательств, угроз заложить бомбы и нарушений экспорта.
Стоит отметить, что Wang был идентифицирован как владелец 911 S5 журналистом по безопасности Брайаном Кребсом в июле 2022 года, после чего он внезапно закрылся 28 июля 2022 года, сославшись на утечку данных его ключевых компонентов.
Хотя несколько месяцев спустя он был возрожден под другим брендом CloudRouter, по данным Spur, с тех пор сервис прекратил свою деятельность примерно в минувшие выходные, соучредитель компании по кибербезопасности Райли Килмер сказал Кребсу.
"Ван и другие лица, как утверждается, создали и распространили вредоносное ПО для компрометации и накопления сети из миллионов обычных компьютеров Windows по всему миру", - говорится в обнародованном обвинительном заключении.
"Эти устройства были связаны с более чем 19 миллионами уникальных IP-адресов, включая 613 841 IP-адрес, расположенный в Соединенных Штатах. Затем Ван заработал миллионы долларов, предлагая киберпреступникам доступ к этим зараженным IP-адресам за определенную плату."
Локальные прокси (RESIPs) - это сети устройств законных пользователей, которые перенаправляют трафик от имени платных подписчиков. Обычно провайдеры арендуют доступ к маршрутизируемому сетевому трафику через компьютеры, смартфоны или маршрутизаторы, принадлежащие реальным пользователям.
Основная цель использования таких прокси-сервисов - перенаправление трафика через IP-адреса этих устройств с целью анонимизации источника вредоносных запросов.
Судебные документы обвиняют Вана в предполагаемом распространении вредоносного ПО через бесплатные программы виртуальной частной сети (VPN), такие как MaskVPN и DewVPN, а также другие платные сервисы, которые поставляли его в комплекте с пиратским программным обеспечением.
По оценкам, ответчик управлял инфраструктурой, охватывающей 150 серверов по всему миру, 76 из которых были взяты у американских поставщиков онлайн-услуг.
"Используя выделенные серверы, Ван развертывал приложения и управлял ими, командовал зараженными устройствами и контролировал их, управлял своей службой 911 S5 и предоставлял платежеспособным клиентам доступ к прокси-IP-адресам, связанным с зараженными устройствами", - говорится в сообщении Министерства юстиции.
Также утверждается, что 911 S5 позволяла преступным структурам обходить системы обнаружения финансового мошенничества и красть миллиарды долларов у финансовых учреждений, эмитентов кредитных карт и федеральных программ кредитования, включая помощь при пандемии и программу кредитования на случай стихийных бедствий (EIDL) путем подачи мошеннических требований.
Более того, сервис позволил злоумышленникам, проживающим за пределами США, приобретать товары с помощью украденных кредитных карт или доходов, полученных преступным путем, и незаконно вывозить их за пределы страны в нарушение экспортного законодательства США.
Ван, со своей стороны, по оценкам, получил около 99 миллионов долларов от продажи доступа к взломанным прокси-IP-адресам, используя полученные нечестным путем деньги для покупки четырех роскошных автомобилей, нескольких дорогих наручных часов и 21 жилой или инвестиционной недвижимости в США, Китае, Сингапуре, Таиланде и ОАЭ.
Другие цифровые активы, принадлежащие Wang, включают более десятка внутренних и международных банковских счетов и более 24 криптовалютных кошельков, которые использовались для реализации схемы. Блокчейн-аналитическая компания Chainalysis обнаружила, что на адресах, связанных с Wang, хранится 136,4 миллиона долларов в криптовалюте.
Отключение, ставшее результатом скоординированных усилий США, Сингапура, Таиланда и Германии, привело к отключению 23 доменов и более 70 серверов, которые составляют суть 911 S5. В ходе этой операции также были изъяты активы на сумму около 30 миллионов долларов.
Одновременно с обвинительным заключением Вана Управление по контролю за иностранными активами Министерства финансов США (OFAC) наложило санкции на обвиняемого вместе с его сообщником Цзинпином Лю и доверенным лицом Янни Чжэном за их деятельность, связанную с ботнетом 911 S5 и службой доверенности по месту жительства.
Агентство также ввело санкции против трех базирующихся в Таиланде юридических лиц, а именно Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited и Lily Suites Company Limited, которые, как утверждается, принадлежат или контролируются Вангом, отметив, что Spicy Code Company Limited использовалась для покупки недвижимости в стране.
"Предполагаемое здесь поведение читается так, словно оно взято из сценария: схема продажи доступа к миллионам зараженных вредоносным ПО компьютеров по всему миру, позволяющая преступникам по всему миру красть миллиарды долларов, передавать угрозы о взрывах и обмениваться материалами об эксплуатации детей", - сказал Мэтью С. Аксельрод из Бюро промышленности и безопасности Министерства торговли США (BIS).
"Чего не показывают в фильмах, так это кропотливой работы внутренних и международных правоохранительных органов, которые тесно сотрудничают с отраслевыми партнерами, чтобы пресечь такую наглую схему и произвести подобный арест".
Ботнет, имеющий глобальный охват, охватывающий более 190 стран, функционировал как прокси-сервис, известный как 911 S5. 35-летний гражданин Китая Юнхэ Ван был арестован в Сингапуре 24 мая 2024 года за создание нелегальной платформы и выполнение функций основного администратора нелегальной платформы с 2014 по июль 2022 года.
Вану предъявлены обвинения в сговоре с целью совершения компьютерного мошенничества, существенном компьютерном мошенничестве, сговоре с целью совершения мошенничества с использованием электронных средств и сговоре с целью отмывания денег. В случае признания его виновным по всем пунктам, Вану грозит максимальное наказание в виде 65 лет тюремного заключения.
Министерство юстиции заявило, что ботнет использовался для проведения кибератак, финансового мошенничества, кражи личных данных, эксплуатации детей, домогательств, угроз заложить бомбы и нарушений экспорта.
Стоит отметить, что Wang был идентифицирован как владелец 911 S5 журналистом по безопасности Брайаном Кребсом в июле 2022 года, после чего он внезапно закрылся 28 июля 2022 года, сославшись на утечку данных его ключевых компонентов.
Хотя несколько месяцев спустя он был возрожден под другим брендом CloudRouter, по данным Spur, с тех пор сервис прекратил свою деятельность примерно в минувшие выходные, соучредитель компании по кибербезопасности Райли Килмер сказал Кребсу.
"Ван и другие лица, как утверждается, создали и распространили вредоносное ПО для компрометации и накопления сети из миллионов обычных компьютеров Windows по всему миру", - говорится в обнародованном обвинительном заключении.
"Эти устройства были связаны с более чем 19 миллионами уникальных IP-адресов, включая 613 841 IP-адрес, расположенный в Соединенных Штатах. Затем Ван заработал миллионы долларов, предлагая киберпреступникам доступ к этим зараженным IP-адресам за определенную плату."
Локальные прокси (RESIPs) - это сети устройств законных пользователей, которые перенаправляют трафик от имени платных подписчиков. Обычно провайдеры арендуют доступ к маршрутизируемому сетевому трафику через компьютеры, смартфоны или маршрутизаторы, принадлежащие реальным пользователям.
Основная цель использования таких прокси-сервисов - перенаправление трафика через IP-адреса этих устройств с целью анонимизации источника вредоносных запросов.
Судебные документы обвиняют Вана в предполагаемом распространении вредоносного ПО через бесплатные программы виртуальной частной сети (VPN), такие как MaskVPN и DewVPN, а также другие платные сервисы, которые поставляли его в комплекте с пиратским программным обеспечением.
По оценкам, ответчик управлял инфраструктурой, охватывающей 150 серверов по всему миру, 76 из которых были взяты у американских поставщиков онлайн-услуг.
"Используя выделенные серверы, Ван развертывал приложения и управлял ими, командовал зараженными устройствами и контролировал их, управлял своей службой 911 S5 и предоставлял платежеспособным клиентам доступ к прокси-IP-адресам, связанным с зараженными устройствами", - говорится в сообщении Министерства юстиции.
Также утверждается, что 911 S5 позволяла преступным структурам обходить системы обнаружения финансового мошенничества и красть миллиарды долларов у финансовых учреждений, эмитентов кредитных карт и федеральных программ кредитования, включая помощь при пандемии и программу кредитования на случай стихийных бедствий (EIDL) путем подачи мошеннических требований.
Более того, сервис позволил злоумышленникам, проживающим за пределами США, приобретать товары с помощью украденных кредитных карт или доходов, полученных преступным путем, и незаконно вывозить их за пределы страны в нарушение экспортного законодательства США.
Ван, со своей стороны, по оценкам, получил около 99 миллионов долларов от продажи доступа к взломанным прокси-IP-адресам, используя полученные нечестным путем деньги для покупки четырех роскошных автомобилей, нескольких дорогих наручных часов и 21 жилой или инвестиционной недвижимости в США, Китае, Сингапуре, Таиланде и ОАЭ.
Другие цифровые активы, принадлежащие Wang, включают более десятка внутренних и международных банковских счетов и более 24 криптовалютных кошельков, которые использовались для реализации схемы. Блокчейн-аналитическая компания Chainalysis обнаружила, что на адресах, связанных с Wang, хранится 136,4 миллиона долларов в криптовалюте.
Отключение, ставшее результатом скоординированных усилий США, Сингапура, Таиланда и Германии, привело к отключению 23 доменов и более 70 серверов, которые составляют суть 911 S5. В ходе этой операции также были изъяты активы на сумму около 30 миллионов долларов.
Одновременно с обвинительным заключением Вана Управление по контролю за иностранными активами Министерства финансов США (OFAC) наложило санкции на обвиняемого вместе с его сообщником Цзинпином Лю и доверенным лицом Янни Чжэном за их деятельность, связанную с ботнетом 911 S5 и службой доверенности по месту жительства.
Агентство также ввело санкции против трех базирующихся в Таиланде юридических лиц, а именно Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited и Lily Suites Company Limited, которые, как утверждается, принадлежат или контролируются Вангом, отметив, что Spicy Code Company Limited использовалась для покупки недвижимости в стране.
"Предполагаемое здесь поведение читается так, словно оно взято из сценария: схема продажи доступа к миллионам зараженных вредоносным ПО компьютеров по всему миру, позволяющая преступникам по всему миру красть миллиарды долларов, передавать угрозы о взрывах и обмениваться материалами об эксплуатации детей", - сказал Мэтью С. Аксельрод из Бюро промышленности и безопасности Министерства торговли США (BIS).
"Чего не показывают в фильмах, так это кропотливой работы внутренних и международных правоохранительных органов, которые тесно сотрудничают с отраслевыми партнерами, чтобы пресечь такую наглую схему и произвести подобный арест".
