Ликвидирован ботнет 911 S5 с 19 млн зараженных устройств

Министерство юстиции США в сотрудничестве с международными партнерами ликвидировало прокси-ботнет 911 S5, проникавший в системы жертв под видом бесплатных VPN-приложений. Кроме того, в Сингапуре был арестован 35-летний гражданин Китая Юньхэ Ван, который считается его администратором.

Распространение ботнета

ФБР говорит, что, вероятно, 911 S5 является «самым крупным ботнетом в мире» — в его состав входило около 19 миллионов IP-адресов в 190 странах мира. Malware начал распространяться ещё в 2011 году с помощью нескольких вредоносных VPN-приложений, оснащённых прокси-бэкдорами, — MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN и ShineVPN. Эти VPN заражали устройства и добавляли их в ботнет, который предоставлял другим преступникам услугу резидентных прокси-серверов.

Ботнет распространял лично Юньхэ Ван вместе со своими подельниками. В результате с 2014-го по июль 2022 года с 911 S5 было связано более 19 миллионов уникальных IP-адресов, включая 613 841 IP-адресов в Соединённых Штатах.

В том же 2022 году сотрудники Шербрукского университета опубликовали исследование, где предупреждали о том, что операторы ботнета 911 S5 привлекают потенциальных жертв с помощью рекламы бесплатных VPN-приложений с прокси-бэкдорами.

Спустя месяц после публикации этого исследования ботнет прекратил работу — тогда критически важные компоненты его инфраструктуры были уничтожены в результате взлома. Однако через несколько месяцев он возобновил работу под названием CloudRouter.

Как работает ботнет

За годы работы ботнета Ван заработал около 99 миллионов долларов, продавая преступникам доступ к резидентным прокси. Его покупатели использовали взломанные устройства для совершения различных преступлений: кибератак, мошеннических операций, ложных сообщений об угрозах взрывов, сталкинга и обхода экспортных ограничений.

Американские правоохранители также сообщают, что клиенты 911 S5 использовали прокси для подачи десятков тысяч мошеннических заявок на участие в программах, связанных с законом «О помощи, содействии и экономической безопасности в связи с коронавирусом».

Кроме того, с помощью прокси было подано 560 тысяч мошеннических заявок на получение страховки по безработице и более 47 тысяч заявок на получение кредитов EIDL (Economic Injury Disaster Loan). В итоге у финансовых учреждений, эмитентов банковских карт и федеральных кредитных программ были украдены миллиарды долларов.

На этой неделе Минфин США наложил санкции как на самого Вана, так и на его подельников — ими были Цзинпин Лю (отмывал деньги 911 S5), Янни Чжэнь (выступал в качестве доверенного лица Вана) и три компании (Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited и Lily Suites Company Limited), которые либо принадлежали Вану, либо подконтрольны ему.

Вану предъявлены обвинения в сговоре с целью совершения компьютерного мошенничества, в мошенничестве с использованием компьютерной техники, в сговоре с целью совершения мошенничества с использованием электронных средств связи и в сговоре с целью отмывания денег. В случае признания его виновным по всем пунктам обвинения ему грозит максимальное наказание в виде 65 лет лишения свободы.