ABD Hazine Bakanlığı Bugün, faaliyette bulundukları iddiasıyla üç Çin vatandaşına yönelik yaptırımlar açıklandı. 911 S5, uzun yıllar boyunca kişinin Web trafiğini dünyanın her yerindeki kötü amaçlı yazılım bulaşmış bilgisayarlar üzerinden yönlendirmenin en kolay ve en ucuz yolu olan çevrimiçi bir anonimlik hizmetidir. KrebsOnSecurity, büyük ölçüde saldırıya uğrayan ve on gün sonra kapatılan 911 S5 ile ilgili Temmuz 2022’de yapılan soruşturmada üç kişiden birinin kimliğini tespit etti.
911 S5 botnet destekli proxy hizmeti, Temmuz 2022 civarı.
2015’ten Temmuz 2022’ye kadar 911 S5 yüz binlerce kullanıcıya erişim sattı Microsoft Windows Müşterilerin İnternet trafiğini dünya çapında hemen hemen her ülke veya şehirdeki (ancak ağırlıklı olarak Amerika Birleşik Devletleri’ndeki) PC’ler üzerinden yönlendirmelerine olanak tanıyan “proxy’ler” olarak bilgisayarlar günlük olarak kullanılıyordu.
911, proxy ağını esas olarak “ücretsiz” sanal özel ağ (VPN) hizmetleri sunarak oluşturdu. 911’in VPN’si büyük ölçüde kullanıcıya tanıtıldığı gibi performans gösterdi – kullanıcıların internette anonim olarak gezinmesine olanak sağladı – ancak aynı zamanda kullanıcının bilgisayarını sessizce 911 S5 müşterilerine ödeme yapmak için bir trafik aktarıcısına dönüştürdü.
911 S5’in güvenilirliği ve son derece düşük fiyatları, kısa sürede onu yeraltı siber suç sakinleri arasında en popüler hizmetlerden biri haline getirdi ve hizmet, siber suçun “son aşamasına” bağlanmanın neredeyse kısaltması haline geldi. Yani, çalınan kredi kartı kullanılmak üzere olan veya banka hesabı boşaltılmak üzere olan tüketiciye coğrafi olarak yakın olan bir bilgisayar üzerinden kişinin kötü niyetli trafiğini yönlendirme yeteneği.
Temmuz 2022’de KrebsOnSecurity, 911 S5’e ilişkin ayrıntılı bir inceleme yayınladı; bu incelemede, bu işi yürüten kişilerin, proxy kötü amaçlı yazılımlarının kurulumunu mümkün olan her yola başvurarak teşvik etme geçmişine sahip olduğu ortaya çıktı. Bu, bağlı kuruluşlara proxy yazılımlarını gizlice başka yazılımlarla paketleyerek dağıtmaları için ödeme yapmayı da içeriyordu.
911’in proxy yazılımının sessiz kurulumunu teşvik eden bir yükleme başına ödeme ortaklık programı olan flashupdate dot net’in önbelleğe alınmış bir kopyası.
O hikayenin adı Yun He Wang 911 S5 proxy hizmetinin görünen sahibi veya yöneticisi olarak Pekin’den. Bugünkü Hazine eyleminde, Bay Wang, 911 S5’e güç sağlayan botnet’in birincil yöneticisi olarak seçildi.
“911 S5 ve botnet operasyonuna özel iki Sanal Özel Ağ (VPN) (MaskVPN ve DewVPN) tarafından kullanıldığı bilinen ağ altyapısı hizmet sağlayıcılarının kayıtlarının incelenmesi, Yunhe Wang’ın bu sağlayıcıların hizmetlerine kayıtlı abone olduğunu gösterdi” diyor Hazine duyurusu.
Yaptırımlar diyor ki Jingping Liu 911 S5’ten elde edilen, çoğunlukla sanal para biriminden elde edilen suçtan elde edilen gelirlerin aklanmasında Yunhe Wang’ın suç ortağıydı. Hükümet, 911 S5 kullanıcısı tarafından ödenen sanal para birimlerinin, Liu’ya ait banka hesaplarına havale yapan ve para yatıran tezgah üstü satıcılar kullanılarak ABD dolarına dönüştürüldüğünü iddia ediyor.
Belge şöyle devam ediyor: “Jingping Liu, daha sonra Yunhe Wang için lüks gayrimenkul satın almak için kullanılan, kendi adına tutulan banka hesapları aracılığıyla suçtan elde edilen gelirleri aklayarak Yunhe Wang’a yardım etti.” “Bu kişiler, kişisel cihazları tehlikeye atmak için kötü niyetli botnet teknolojilerinden yararlanarak, siber suçluların ihtiyacı olanlara yönelik ekonomik yardımı hileli bir şekilde güvence altına almasına ve vatandaşlarımızı bomba tehditleriyle terörize etmesine olanak sağladı.”
Onay verilen üçüncü kişi ise Yanni ZhengABD Hazinesi, Wang ve firmasının avukatı olarak hareket ettiğini söyleyen bir Çin vatandaşının — Baharatlı Kod Şirketi Limited – ve işten elde edilen gelirlerin gayrimenkul varlıklarına aklanmasına yardımcı oldu. Wang’ın kontrolündeki mülklerin yanı sıra Spicy Code Company’ye de yaptırım uygulandı Lale Biz Pattaya Group Company LimitedVe Lily Suites Company Limited.
Temmuz 2022’de 911 S5’teki hikayeden on gün sonra, proxy ağı, iş operasyonlarının temel bileşenlerini yok eden bir veri ihlali nedeniyle mağazayı aniden kapattı.
Ancak takip eden aylarda 911 S5 farklı bir isimle yeniden dirilecekti: Bulut Yönlendirici. Buna göre Spur.us, proxy ve VPN hizmetlerini izleyen ABD merkezli bir girişim. Şubat 2024’te Spur, Bulut Yönlendirici operatörlerinin 911 S5’teki aynı bileşenlerin çoğunu yeniden kullandığını ve bu ikisi arasında bağlantı kurmayı nispeten basit hale getirdiğini gösteren bir araştırma yayınladı.
Spur’a göre Cloud Router ana sayfasına geçtiğimiz hafta sonundan bu yana erişilemiyor.
Spur, Cloud Router’ın yeni bir VPN hizmeti tarafından çalıştırıldığını buldu. PaladinVPNBu, kullanıcılara İnternet bağlantılarının trafiği başkalarına aktarmak için kullanılacağını çok daha açık hale getirdi. O sırada Spur, Cloud Router’ın kiralık 140.000’den fazla İnternet adresine sahip olduğunu buldu.
Spur’un kurucu ortağı Riley Kilmer söz konusu Cloud Router’ın geçtiğimiz hafta sonu operasyonlarını askıya aldığı veya durdurduğu görülüyor. Kilmer, hizmetin reklamını yaptığı proxy sayısının, web sitesi aniden çevrimdışı olmadan önce son zamanlarda düşüş eğiliminde olduğunu söyledi.
Cloud Router’ın ana sayfası şu anda Cloudflare’den gelen, sitenin alan adı sunucularının “yasaklanmış bir IP’ye” işaret ettiğini belirten bir mesajla doludur.