美国司法部周三宣布,与新加坡、泰国、德国的执法机构合作,捣破了一个名为“911 S5”的大型“僵尸网络”(botnet,常用以部署勒索软件),上周五于新加坡拘捕幕后运作近10年的中国藉首脑王云河(王云鹤,音译)。声明指出,这可能是“世界规模最大的僵尸网路”,绑架全球近200国多达1900多万部电脑。

王云鹤涉嫌在2014年起,与其他人合作操控名为“911 S5”的僵尸网络,利用虚拟私人网络(VPN)散播恶意程式,感染全球逾1900万部电脑,使其成为“可能是世上最大僵尸网络”的成员﹐之后再出售这些电脑的登入权限给网络犯罪分子,用来进行各式各样的犯罪,包括金融欺诈、身份盗窃、儿童剥削、走私等。
相关新闻:
大部分的滥发电子邮件、身份盗用、仿冒诈骗和分布式拒绝服务(DDoS)攻击均由僵尸网络引致。今次案件受害电脑涉及近200个国家,其中逾60万个装置IP位于美国。相关罪行在全球连带造成59亿美元(约461亿港元)的损失。

其中一个出售IP位址的网站的存档版本显示,28美元(约218港元)可以买到150个IP位址,付款方式有很多种,包括比特币、支付宝(Alipay)和微信支付(WeChat Pay)。最昂贵的选项要价674美元(5270港元),可以买到9000个IP位址。

据悉在2018年至2022年7月期间,王云鹤经僵尸网络获得了9900万美元(约7.73亿港元)。王云鹤利用非法所得,在美国、新加坡、泰国、中国、阿联酋等地购买了21处房产,他本人透过钜额投资取得圣克里斯多福及尼维斯的公民身分。这些非法所得资产面临被没收﹐王云鹤若被定罪最重可能要坐牢65年。
美国联邦调查局局长 Christopher Wray 说:“联邦调查局与我们的国际伙伴合作,开展了一次有条不紊的联合网络行动,成功捣毁了 911 S5 僵尸网络,这可能是全球有史以来最大的僵尸网络。”
“我们逮捕了管理员王云河,没收了基础设施及资产,并对王云河及其同谋实施了制裁。”
早在 2011 年,王云河及其同谋就使用捆绑代理后门的多个恶意 VPN 应用程序将恶意软件植入到了受害者的设备上。
将受感染的设备添加到 911 S5 住宅代理服务的 VPN 应用程序包括:MaskVPN、DewVPN、PaladinVPN、ProxyGate、ShieldVPN 和 ShineVPN。
联邦调查局提供了关于如何确定你是否是 911 S5 恶意软件受害者的详细信息,详见https://www.fbi.gov/investigate/cyber/how-to-identify-and-remove-vpn-applications-that-contain-911-s5-backdoors
在 2014 年至 2022 年 7 月期间,这个团伙创建了一个由全球数百 万台住宅 Windows 计算机组成的 庞大 网络,这些计算机与 1900 余 万个 独特的 IP 地址相连,其中包括美国 境内 的 613841 个 IP 地址。
美国司法部声称:“王云河在全球范围内管理和控制着大约 150 台专用服务器,其中大约 76 台是他从美国的几家在线服务提供商那里租用的。”
“王云河使用这些专用服务器部署和管理应用程序,指挥和控制受感染的设备,运行其 911 S5 服务,并向付费客户提供访问与受感染设备相关的代理 IP 地址的权限。”
舍布鲁克大学的研究人员早在 2022 年 6 月透露,911 S5 团伙通过提供免费的 VPN 服务来引诱潜在的受害者安装代理恶意软件。
一个月后,该僵尸网络被关闭,起因是据称该团伙的关键组件在一次安全事件中遭破坏,但仅仅几个月后,它就以“CloudRouter”的名义死灰复燃了。
司法部目前正在向域名注册商和注册机构发出查封令,以查封这个犯罪网络使用的以下域名。

王云河通过向网络犯罪分子出售代理 IP 地址的访问权获得了大约 9900 万美元(7.16 亿元人民币)的收入。
犯罪分子利用受感染设备的互联网连接从事各种犯罪活动,包括网络攻击、炸弹威胁、剥削儿童、大规模欺诈、骚扰和违反出口规定。
911 S5 客户还使用非法的住宅代理服务提交了成千上万份与《新冠病毒援助、救济和经济保障法案》(CARES)相关的欺诈性申请。
他们还利用该服务提交了 56 万份欺诈性失业保险索赔和 47000 多份经济损失灾难贷款(EIDL)申请,导致金融机构、信用卡发卡机构和联邦贷款项目被盗数十亿美元。
周二,美国财政部也制裁了王云河(管理员)、刘景平(该团伙的洗钱者)和郑燕妮(充当王云河的代理人),以及由王云河拥有或控制的三家实体(Spicy Code Company Limited、 Tulip Biz Pattaya Group Company Limited和Lily Suites Company Limited)。
911 S5代理服务价格:

该图显示了911用户的流量如何通过住宅IP地址路由传输:

据 5 月 24 日公布的起诉书显示,王云河的众多资产和财产现在被没收,“包括一辆 2022 年法拉利 F8 Spider S-A、一辆宝马 i8、一辆宝马 X7 M50d 和一辆劳斯莱斯,十多个国内和国际银行账户,二十多个加密货币钱包,数块豪华手表,21 处住宅或投资房产(遍布泰国、新加坡、阿联酋、圣基茨和尼维斯以及美国)以及 20 个域名。”
如果上述所有罪名成立,王云河将面临最高 65 年的监禁,罪名包括共谋实施计算机欺诈和重大计算机欺诈、共谋实施电信欺诈以及共谋洗钱。
涉嫌经营和操控全球最大僵尸网络,35岁中国籍男子的案件星期四(6月6日)再度过堂,他表明拒绝引渡美国。
王云禾被指从2014年至2022年7月与他人共谋,创造并传播名为“911 S5”的僵尸网络(botnet)到全球多个国家的微软电脑。
案件在5月31日提堂时,王云禾的代表律师黄远翔说,他的当事人拒绝引渡美国。