ABD Adalet Bakanlığı ve uluslararası ortaklar, 911 S5 proxy botnet’ini çökertti ve yöneticisi olan 35 yaşındaki Çin vatandaşı YunHe Wang’ı tutukladı.
2011 gibi erken bir tarihte Wang ve komplocuları, proxy arka kapılarını bir araya getiren çok sayıda kötü amaçlı VPN uygulamasını kullanarak kötü amaçlı yazılımları kurbanların cihazlarına aktardı. 911 S5 konut proxy hizmetine güvenliği ihlal edilmiş cihazları ekleyen VPN uygulamaları arasında MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN ve ShineVPN yer alıyor.
2014 ile Temmuz 2022 arasında, Amerika Birleşik Devletleri’ndeki 613.841 IP adresi de dahil olmak üzere, 19 milyondan fazla benzersiz IP adresine bağlanan, dünya çapında milyonlarca yerleşik Windows bilgisayarından oluşan bir ağ oluşturdular.
“Wang [..] Adalet Bakanlığı, dünya çapında yaklaşık 150 özel sunucuyu yönetip kontrol ettiğini ve bunların yaklaşık 76’sını ABD merkezli çevrimiçi hizmet sağlayıcılardan kiraladığını söyledi.
“Wang, özel sunucuları kullanarak uygulamaları dağıttı ve yönetti, virüslü cihazları yönetti ve kontrol etti, 911 S5 hizmetini çalıştırdı ve ödeme yapan müşterilere virüslü cihazlarla ilişkili proxy IP adreslerine erişim sağladı.”
Sherbrooke Üniversitesi’ndeki araştırmacılar, Haziran 2022’de 911 S5 operatörlerinin, proxy kötü amaçlı yazılımını yüklemek için ücretsiz VPN hizmetleri sunarak potansiyel kurbanları cezbettiğini ortaya çıkardı.
Bir ay sonra, operasyonun kritik bileşenlerinin bir güvenlik ihlali nedeniyle yok edildiği iddiasının ardından botnet kapatıldı, ancak yalnızca birkaç ay sonra “CloudRouter” olarak yeniden dirildi.
Adalet Bakanlığı şu anda suç şebekesi tarafından kullanılan aşağıdaki alan adlarına el koymak için sicil memurlarına ve sicil kurumlarına el koyma emri çıkarıyor.
ALAN ADI | TLD | KAYIT ORANI | KAYIT |
911.re | .tekrar | 1API GmbH | AFNIC |
911.gg | .İyi oyun | 1API GmbH | Ada Ağları |
911s5.net | .açık | GoDaddy | VeriSign |
911s5.org | .org | GoDaddy | PIR |
911s5.com | .com | GoDaddy | VeriSign |
maskypn.ce | .cc | Dinadot | VeriSign |
maskypn.org | .org | GoDaddy | PIR |
dewvpn.com | .com | GoDaddy | VeriSign |
dewvpn.net | .açık | GoDaddy | VeriSign |
dewvpn.org | .org | GoDaddy | PIR |
dewvpn.ce | .cc | GoDaddy | VeriSign |
proxygate.net | .açık | GoDaddy | VeriSign |
Shinevpn.com | .com | GoDaddy | VeriSign |
Shinevpn.org | .org | GoDaddy | PIR |
paladinypn.com | .com | Namecheap | VeriSign |
paladinypn.org | .org | Namecheap | PIR |
shieldvpn.org | .org | iletişim | PIR |
cloudrouter.io | .io | Namecheap | Kimlik Dijital A.Ş. |
cloudrouter.pro | .pro | Dinadot | Kimlik Dijital A.Ş. |
cloudrouting.net | .açık | Namecheap | VeriSign |
Reachfresh.com | .açık | GoDaddy | VeriSign |
updatepanel.ce | .cc | Namecheap | VeriSign |
yükseltmeportal.org | .org | Namecheap | PIR |
Wang, proxy IP adreslerine erişimi siber suçlulara bir ücret karşılığında satarak yaklaşık 99 milyon dolar topladı. Suçlular, ele geçirilen cihazların İnternet bağlantılarını siber saldırılar, bomba tehditleri, çocuk istismarı, büyük ölçekli dolandırıcılık, taciz ve ihracat ihlalleri de dahil olmak üzere çok çeşitli suçlar için kullandı.
911 S5 müşterileri ayrıca, Coronavirüs Yardım, Yardım ve Ekonomik Güvenlik (CARES) Yasası, 560.000 sahte işsizlik sigortası talebi ve 47.000’den fazla Ekonomik Yaralanma Afet Kredisi ile ilgili programlar için on binlerce sahte başvuru göndermek için gayri meşru konut vekilliği hizmetini kullandı ( EIDL) başvuruları, finansal kurumlardan, kredi kartı veren kuruluşlardan ve federal kredi programlarından milyarlarca doların çalınmasına neden oldu.
Salı günü, ABD Hazine Bakanlığı ayrıca Wang (yönetici), Jingping Liu (operasyonun kara para aklayıcısı) ve Yanni Zheng (Yunhe Wang için vekaletname görevi gören) ve üç kuruluşa (Spicy Code Company Limited, Tulip) yaptırım uyguladı. Biz Pattaya Group Company Limited ve Lily Suites Company Limited) Wang’ın sahibi olduğu veya kontrol ettiği şirketlerdir.
FBI Direktörü Christopher Wray, “Uluslararası ortaklarımızla birlikte çalışan FBI, 911 S5 Botnet’i (muhtemelen dünyanın şimdiye kadarki en büyük botnet’i) ortadan kaldırmak için ortak, sıralı bir siber operasyon gerçekleştirdi” dedi.
“Yönetici Yunhe Wang’ı tutukladık, altyapıya ve varlıklara el koyduk ve Wang ile işbirlikçilerine karşı yaptırımlar uyguladık.”
24 Mayıs’ta açıklanan iddianameye göre, “2022 Ferrari F8 Spider SA, BMW i8, BMW X7 M50d, Rolls Royce ve bir düzineden fazla yerli ve uluslararası dahil olmak üzere Wang’ın düzinelerce varlığı ve mülkü artık müsadere konusu” banka hesapları, iki düzineden fazla kripto para cüzdanı, birkaç lüks kol saati, 21 konut veya yatırım mülkü (Tayland, Singapur, BAE, St. Kitts ve Nevis ve Amerika Birleşik Devletleri’nde) ve 20 alan adı.”
Wang, bilgisayar sahtekarlığı yapmak için komplo kurmak, esaslı bilgisayar dolandırıcılığı yapmak, elektronik dolandırıcılık yapmak için komplo kurmak ve kara para aklamak için komplo kurmak da dahil olmak üzere tüm suçlardan suçlu bulunması halinde en fazla 65 yıl hapis cezasıyla karşı karşıya kalacak.