美国司法部周三(5/29)宣布,已与新加坡、泰国及德国的执法机构合作,拆除了史上最大住家僵尸网路之一的911 S5。911 S5透过于盗版软体或盗版游戏中嵌入的恶意VPN程式来感染一般使用者的个人电脑,估计有超过1,900万个装置受骇,继之骇客再出售这些装置存取权,以用来进行各式各样的犯罪行动。同一天美国财政部也制裁了3名与该僵尸网路有关的个人。负责经营与管理911 S5的中国人YunHe Wang则已于上周遭到逮捕。
根据调查,现年35岁的Wang从2014年5月至2022年7月间负责经营911 S5,除了提供免费且恶意的VPN之外,也于各种盗版软体与盗版游戏中嵌入恶意VPN,主要感染的对象为住家中的Windows电脑,一旦使用者下载了这些盗版内容,即可于装置上悄悄地安装VPN程式及代理后门,令装置成为911 S5僵尸网路的成员,估计全球190个国家有超过1,900万个装置受骇,当中有逾60万个装置的IP位于美国。
连结至911 S5的免费VPN程式包括MaskVPN、DewVPN、PaladinVPN、ProxyGate、ShieldVPN和ShineVPN,至于代理后门则是让911 S5用户得以透过受害者的装置进行犯罪行动,包括网路攻击、炸弹威胁、金融欺诈、儿童剥削或是绕过出口管制等。
Wang管理了用来控制911 S5僵尸网路、分散在全球各地的150台伺服器,其中约有一半是向美国供应商租赁,利用这些伺服器来部署恶意程式,控制这些受感染的装置,以及提供911 S5僵尸网路的存取服务,估计几年来获利超过数千万美元,并利用这些不法所得在美国、中国、新加坡、泰国,以及阿拉伯等地置产。另一方面,因911 S5而衍生的受害者损失则超过数十亿美元。
FBI指出,911 S5始于2014年5月,在2022年7月下线,但在2023年10月更名为Cloudrouter并重新上线。不过,美国与其它国家的执法机构在上周采取行动,扣押了Wang价值逾3,000万美元的资产、23个网域名称及逾70台伺服器,成功击溃了Cloudrouter,并关闭其现有的恶意后门。
至于美国财政部制裁的对象除了Wang以外,也包括负责洗钱的Jingping Liu,以及帮Wang置产的Yanni Zheng。
FBI亦提供了详细的指南,以协助使用者辨识装置上的恶意VPN并将其移除。