O Departamento de Justiça dos EUA (DoJ) disse na quarta-feira que desmantelou o que descreveu como “provavelmente a maior botnet do mundo”, que consistia em um exército de 19 milhões de dispositivos infectados que foram alugados a outros atores de ameaças para cometer uma ampla gama de crimes. .
A botnet, que tem presença international em mais de 190 países, funcionava como um serviço de proxy residencial conhecido como 911 S5. Um cidadão chinês de 35 anos, YunHe Wang, foi preso em Singapura em 24 de maio de 2024, por criar e atuar como administrador principal da plataforma ilegal de 2014 a julho de 2022.
Wang foi acusado de conspiração para cometer fraude informática, fraude informática substantiva, conspiração para cometer fraude eletrônica e conspiração para cometer lavagem de dinheiro. Se for condenado por todas as acusações, Wang enfrentará uma pena máxima de 65 anos de prisão.
O Departamento de Justiça disse que a botnet foi usada para realizar ataques cibernéticos, fraudes financeiras, roubo de identidade, exploração infantil, assédio, ameaças de bomba e violações de exportação.
É importante notar que Wang foi identificado como proprietário do 911 S5 pelo jornalista de segurança Brian Krebs em julho de 2022, após o qual foi encerrado abruptamente em 28 de julho de 2022, citando uma violação de dados de seus principais componentes.
Embora tenha ressuscitado sob uma marca diferente CloudRouter alguns meses depois, de acordo com Spur, o serviço encerrou as operações no fim de semana passado, disse o cofundador da empresa de segurança cibernética, Riley Kilmer, a Krebs.
“Wang e outros são acusados de terem criado e disseminado malware para comprometer e acumular uma rede de milhões de computadores residenciais Home windows em todo o mundo”, de acordo com uma acusação não selada.
“Esses dispositivos foram associados a mais de 19 milhões de endereços IP exclusivos, incluindo 613.841 endereços IP localizados nos Estados Unidos. Wang então gerou milhões de dólares oferecendo aos cibercriminosos acesso a esses endereços IP infectados mediante o pagamento de uma taxa”.
Proxies residenciais (RESIPs) são redes de dispositivos de usuários legítimos que roteiam o tráfego em nome de assinantes pagos. Normalmente envolve os provedores que alugam acesso para rotear o tráfego de rede através de computadores, smartphones ou roteadores pertencentes a usuários reais.
O objetivo principal é usar esses serviços de proxyware para canalizar o tráfego através dos endereços IP desses dispositivos, de modo a anonimizar a origem das solicitações maliciosas.
Documentos judiciais acusam Wang de supostamente propagar o malware por meio de programas gratuitos de Rede Privada Digital (VPN), como MaskVPN e DewVPN, bem como outros serviços pagos por instalação que o agrupam com software program pirata.
Estima-se que o réu tenha gerenciado uma infraestrutura que abrange 150 servidores em todo o mundo, 76 dos quais foram adquiridos de provedores de serviços on-line baseados nos EUA.
“Usando servidores dedicados, Wang implantou e gerenciou aplicativos, comandou e controlou os dispositivos infectados, operou seu serviço 911 S5 e forneceu aos clientes pagantes acesso a endereços IP proxy associados aos dispositivos infectados”, disse o DoJ.
Também é alegado que o 911 S5 permitiu que atores criminosos contornassem os sistemas de detecção de fraude financeira e roubassem bilhões de dólares de instituições financeiras, emissores de cartão de crédito e programas de empréstimos federais, incluindo alívio pandêmico e o programa Empréstimo para Desastres por Lesões Econômicas (EIDL), enviando reivindicações fraudulentas. .
Além disso, o serviço possibilitou que atacantes residentes fora dos EUA comprassem bens com cartões de crédito roubados ou rendimentos derivados de crimes, e os exportassem ilegalmente para fora do país, em violação das leis de exportação dos EUA.
Estima-se que Wang, por sua vez, tenha recebido aproximadamente US$ 99 milhões pela venda de acesso aos endereços IP proxy sequestrados, usando o dinheiro ilícito para comprar quatro carros de luxo, vários relógios de pulso caros e 21 propriedades residenciais ou de investimento nos EUA. China, Singapura, Tailândia e Emirados Árabes Unidos
Outros ativos digitais de propriedade de Wang incluem mais de uma dúzia de contas bancárias nacionais e internacionais e mais de 24 carteiras de criptomoedas, que foram usadas para executar o esquema. A empresa de análise Blockchain Chainalysis revelou que os endereços associados a Wang detêm US$ 136,4 milhões em criptomoedas.
A remoção, resultado de um esforço coordenado entre os EUA, Singapura, Tailândia e Alemanha, resultou na interrupção de 23 domínios e mais de 70 servidores que constituem o ponto essential do 911 S5. O esforço também resultou na apreensão de bens avaliados em aproximadamente US$ 30 milhões.
Simultaneamente à acusação de Wang, o Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro impôs sanções contra o réu junto com seu co-conspirador Jingping Liu e a procuração Yanni Zheng por suas atividades associadas ao botnet 911 S5 e ao proxy residencial serviço.
A agência também sancionou três entidades sediadas na Tailândia, nomeadamente Spicy Code Firm Restricted, Tulip Biz Pattaya Group Firm Restricted e Lily Suites Firm Restricted, que seriam propriedade ou controladas por Wang, observando que a Spicy Code Firm Restricted foi usada para comprar imóveis no país.
“A conduta aqui alegada parece ter sido arrancada de um roteiro: um esquema para vender acesso a milhões de computadores infectados por malware em todo o mundo, permitindo que criminosos de todo o mundo roubem bilhões de dólares, transmitam ameaças de bomba e troquem materiais de exploração infantil”, disse. Matthew S. Axelrod, do Bureau de Indústria e Segurança (BIS) do Departamento de Comércio dos EUA.
“O que eles não mostram nos filmes é o trabalho meticuloso que é necessário pelas autoridades nacionais e internacionais, trabalhando em estreita colaboração com parceiros da indústria, para derrubar um esquema tão descarado e fazer com que uma prisão como esta aconteça”.
