ABD Hazine Bakanlığı, “911 S5” olarak bilinen konut proxy hizmetini kontrol eden devasa bir botnet ile bağlantılı üç Çin vatandaşı ve üç Tayland merkezli şirketten oluşan bir siber suç ağına onay verdi.
Kanada Sherbrooke Üniversitesi’ndeki araştırmacılar, neredeyse iki yıl önce, Haziran 2022’de, bu gayri meşru konut proxy hizmetinin, IP adreslerini 911 S5 botnet’ine eklemek üzere tasarlanmış kötü amaçlı yazılımları yüklemek için ücretsiz VPN hizmetleri sunarak potansiyel kurbanları cezbettiğini ortaya çıkardı.
O zamanlar botnet, dünyanın her yerinden yaklaşık 120.000 konut proxy düğümünü kontrol ediyordu ve bunların tümü, açık denizde bulunan veya bir bulut sunucusunda barındırılan birden fazla komuta ve kontrol sunucusuyla iletişim kuruyordu.
Bir ay sonra, araştırmacı gazeteci Brian Krebs, 911 S5’in ticari operasyonlarının temel bileşenlerinin bir güvenlik ihlali nedeniyle yok edilmesinin ardından “patladığını” bildirdi. Siber güvenlik şirketi Spur Intelligence’ın Şubat ayı raporuna göre, proxy botnet aylar sonra “CloudRouter” olarak yeniden canlandırıldı.
Yabancı Varlıklar Kontrol Ofisi (OFAC) Salı günü yaptığı açıklamada, “911 S5 botnet’i, kurban bilgisayarları tehlikeye atan ve siber suçluların, ele geçirilen bu bilgisayarlar üzerinden internet bağlantılarını proxy olarak kullanmasına olanak tanıyan kötü amaçlı bir hizmetti” dedi.
“Bir siber suçlu, 911 S5 botnet’i aracılığıyla dijital izlerini gizledikten sonra, siber suçlarının izini kendi bilgisayarı yerine kurbanın bilgisayarına doğru takip ettiği ortaya çıktı.”
OFAC, konut proxy botnetinin yaklaşık 19 milyon IP adresini tehlikeye attığını ekledi. Bu virüs bulaşmış cihazlar, siber suçluların Coronavirüs Yardım, Yardım ve Ekonomik Güvenlik Yasası ile ilgili programlar için on binlerce sahte başvuru göndermesine olanak tanıdı ve bu da milyarlarca dolar kayba yol açtı.
911 S5 kullanıcıları ayrıca, ele geçirilen bilgisayarlara bağlı yerleşik IP adreslerini kullanarak yaygın siber destekli dolandırıcılık yapmak için de bunu kullandı. Bu IP adresleri, Temmuz 2022’de ABD genelinde yapılan bir dizi bomba tehdidinde de kullanıldı.
OFAC bugün Yunhe Wang (911 S5 hizmet yöneticisi), Jingping Liu (operasyonun kara para aklama sorumlusu) ve Yanni Zheng’in (Yunhe Wang için vekaletname görevi gören) yanı sıra üç kuruluşa (Spicy Code Company Limited, Tulip) yaptırım uyguladı. Biz Pattaya Group Company Limited ve Lily Suites Company Limited), tamamı Yunhe Wang’a ait veya onun tarafından kontrol ediliyor.
Müsteşar Brian E. Nelson, “Bu kişiler, kişisel cihazları tehlikeye atmak için kötü niyetli botnet teknolojilerinden yararlanarak siber suçluların ihtiyacı olanlara yönelik ekonomik yardımı hileli bir şekilde güvence altına almasına ve vatandaşlarımızı bomba tehditleriyle terörize etmesine olanak sağladı” dedi.
“Hazine, emniyet teşkilatı meslektaşlarımız ve uluslararası ortaklarımızla yakın koordinasyon içinde, siber suçluları ve ABD vergi mükelleflerinden hırsızlık yapmak isteyen diğer yasa dışı aktörleri engellemek için harekete geçmeye devam edecektir.”
Bugünkü yaptırımların bir sonucu olarak, ABD çıkarlarını ve belirlenmiş kişi ve kuruluşların mülklerini içeren tüm işlemler yasaklanmıştır ve yaptırım uygulanan kişi ve şirketlerle yapılan ilişkiler de onları yaptırımlara veya yaptırım eylemlerine maruz bırakmaktadır.
Siber güvenlik firması Mandiant ayrıca geçen hafta, Çinli devlet korsanlarının, siber casusluk kampanyaları sırasında tespit edilmekten kaçınmak için güvenliği ihlal edilmiş çevrimiçi cihazlardan ve sanal özel sunuculardan oluşturulan geniş proxy sunucu ağlarına (aynı zamanda operasyonel aktarma kutusu ağları olarak da bilinir) giderek daha fazla güvendikleri konusunda uyardı.