Een internationale wetshandhavingsoperatie onder leiding van het Amerikaanse ministerie van Justitie heeft een enorm botnet ontwricht. Dat meldt de Amerikaanse overheid in een persbericht (1). Het botnet werd onder meer gebruikt voor grootschalige fraude, cyberaanvallen en bommeldingen.
Een Chinees staatsburger is gearresteerd op verdenking van het opzetten van het proxy-botnet, genaamd ‘911 S5’. Hij zou de malware hebben verspreid via gratis Virtual Private Networks (VPN’s).
De verdachte, genaamd Wang, zou samen met anderen van 2014 tot en met medio 2022 malware hebben gemaakt en verspreid via miljoenen Windows-computers wereldwijd. Deze apparaten waren gekoppeld aan meer dan 19 miljoen unieke IP-adressen. De verdachte verdiende miljoenen dollars door cybercriminelen toegang tot de IP-adressen te bieden.
Wang zou zijn malware hebben verspreid via gratis VPN’s. Het zou gaan om de VPN-apps MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN en ShineVPN. Deze gratis, illegale VPN’s zaten verstopt in illegale videogames en andere software die slachtoffers op hun apparaten downloadden. Na het downloaden werd de VPN-app samen met een proxy-achterdeur zonder toestemming op de apparaten geïnstalleerd, waardoor deze onderdeel werden van het 911 S5-botnet.
Computers uit meer dan 200 landen zouden door het botnet zijn geïnfecteerd. Het ontmantelen van het botnet was een samenwerking van verschillende instanties onder leiding van wethandhavingsinstanties in de Verenigde Staten, Singapore, Thailand en Duitsland. Hierbij werden woningen doorzocht en bezittingen ter waarde van ongeveer 30 miljoen dollar in beslag genomen.
FBI-directeur Christopher Wray noemt 911 S5 “waarschijnlijk het grootste botnet ter wereld ooit”.
Cybercriminelen die gebruikmaakten van het botnet zouden miljarden dollars hebben gestolen van financiële instellingen, creditcarduitgevers en federale leningprogramma’s. Zo zijn er naar schatting 560.000 frauduleuze claims voor werkloosheidsverzekeringen in de Verenigde Staten zijn ingediend, afkomstig van de geïnfecteerde computers. Dit zou tot een verlies van meer dan 6 miljard dollar hebben geleid.
Ook maakten de cybercriminelen zich schuldig aan stalking, identiteitsfraude, het doorgeven van bommeldingen, illegale export van goederen, en het ontvangen en verzenden van materiaal over kinderuitbuiting.
De bijna 100 miljoen dollar aan winst die dit opbracht, werd besteed aan luxe auto’s, horloges en onroerend goed. Als Wang, de verdachte, op alle punten schuldig wordt bevonden, riskeert hij een maximumstraf van 65 jaar gevangenisstraf.
Hoewel het botnet offline is gehaald, blijft de malware nog steeds aanwezig op de computers van slachtoffers. De FBI heeft daarom een uitgebreid stappenplan (2) gedeeld over hoe deze software geïdentificeerd kan worden en hoe de VPN-apps verwijderd kunnen worden.
(1) https://www.justice.gov/opa/pr/911-s5-botnet-dismantled-and-its-administrator-arrested-coordinated-international-operation
(2) https://www.fbi.gov/investigate/cyber/how-to-identify-and-remove-vpn-applications-that-contain-911-s5-backdoors