O Departamento de Justiça dos EUA (DoJ) informou na quarta-feira que desmantelou o que descreveu como “provavelmente o maior botnet do mundo”, que consistia em um exército de 19 milhões de dispositivos infectados que eram alugados para outros atores de ameaças cometerem uma ampla gama de delitos.
O botnet, que possui alcance global abrangendo mais de 190 países, funcionava como um serviço de proxy residencial conhecido como 911 S5. Um chinês de 35 anos, YunHe Wang, foi preso em Cingapura em 24 de maio de 2024, por criar e atuar como o principal administrador da plataforma ilegal de 2014 a julho de 2022.
Wang foi acusado de conspiração para cometer fraude por computador, fraude por computador, conspiração para cometer fraude eletrônico e conspiração para cometer lavagem de dinheiro. Se condenado em todas as acusações, Wang enfrenta uma pena máxima de 65 anos de prisão.
O Departamento de Justiça disse que o botnet era usado para realizar ataques cibernéticos, fraudes financeiras, roubo de identidade, exploração infantil, assédio, ameaças de bomba e violações de exportações.
Vale ressaltar que Wang foi identificado como o proprietário do 911 S5 pelo jornalista de segurança Brian Krebs em julho de 2022, após o qual foi encerrado abruptamente em 28 de julho de 2022, citando uma violação de dados em seus principais componentes.
Embora tenha ressurgido sob um nome de marca diferente chamado CloudRouter alguns meses depois, de acordo com a Spur, o serviço encerrou suas operações neste último fim de semana, disse o co-fundador da empresa de cibersegurança Riley Kilmer a Krebs.
“Estima-se que Wang e outros tenham criado e disseminado malware para comprometer e reunir uma rede de milhões de computadores Windows residenciais em todo o mundo”, de acordo com uma denúncia tornada pública.
“Esses dispositivos estavam associados a mais de 19 milhões de endereços IP únicos, incluindo 613.841 endereços IP localizados nos Estados Unidos. Wang então gerava milhões de dólares oferecendo a cibercriminosos acesso a esses endereços IP infectados mediante pagamento.”
Proxies residenciais (RESIPs) são redes de dispositivos de usuário legítimos que roteiam o tráfego em nome de assinantes pagantes. Normalmente, isso envolve os provedores alugando acesso para rotear o tráfego de rede por meio de computadores, smartphones ou roteadores pertencentes a usuários reais.
O principal objetivo de usar tais serviços de proxy é direcionar o tráfego pelos endereços IP desses dispositivos, a fim de anonimizar a fonte das solicitações maliciosas.
Documentos judiciais acusam Wang de supostamente propagar o malware por meio de programas gratuitos de Rede Virtual Privada (VPN), como MaskVPN e DewVPN, bem como outros serviços de instalação paga que o ofereciam com software pirateado.
Estima-se que o réu gerenciava uma infraestrutura composta por 150 servidores em todo o mundo, dos quais 76 foram retirados de provedores de serviços online baseados nos EUA.
“Usando os servidores dedicados, Wang implantava e gerenciava aplicativos, comandava e controlava os dispositivos infectados, operava seu serviço 911 S5 e fornecia aos clientes pagantes acesso aos endereços IP com proxy associados aos dispositivos infectados”, disse o DoJ.
Também é alegado que o 911 S5 permitia a atores criminosos contornar sistemas de detecção de fraudes financeiras e roubar bilhões de dólares de instituições financeiras, emissoras de cartões de crédito e programas federais de empréstimos, incluindo ajuda pandêmica e o programa de Empréstimo por Desastre de Danos Econômicos (EIDL), apresentando reivindicações fraudulentas originárias de endereços IP comprometidos.
Além disso, o serviço possibilitava que atacantes residentes fora dos EUA comprassem bens com cartões de crédito roubados ou provenientes de receitas ilegais e os exportassem ilegalmente para fora do país, em desacordo com as leis de exportação dos EUA.
Wang, por sua vez, estima-se que tenha recebido aproximadamente US$ 99 milhões vendendo acesso aos endereços IP com proxy sequestrados, usando o dinheiro ilícito para comprar quatro carros de luxo, vários relógios caros e 21 propriedades residenciais ou de investimento nos EUA, China, Cingapura, Tailândia e Emirados Árabes Unidos.
Outros ativos digitais de propriedade de Wang incluem mais de uma dúzia de contas bancárias domésticas e internacionais e mais de 24 carteiras de criptomoedas, que foram usadas para concretizar o esquema. A empresa de análise blockchain Chainalysis revelou que os endereços associados a Wang detêm US$ 136,4 milhões em criptomoedas.
A operação conjunta, resultado de um esforço coordenado entre EUA, Cingapura, Tailândia e Alemanha, resultou na interrupção de 23 domínios e mais de 70 servidores que constituem a base do 911 S5. O esforço também viu a apreensão de ativos no valor de aproximadamente US$ 30 milhões.
Concomitantemente à acusação de Wang, o Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA impôs sanções contra o réu, juntamente com seu co-conspirador Jingping Liu e procuração Yanni Zheng, por suas atividades associadas ao botnet 911 S5 e ao serviço de proxy residencial.
A agência sancionou também três entidades com sede na Tailândia, a saber, Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited e Lily Suites Company Limited, que se diz serem de propriedade ou controladas por Wang, observando que a Spicy Code Company Limited foi usada para comprar imóveis no país.
“O conduta alegada aqui parece um roteiro de cinema: um esquema para vender acesso a milhões de computadores infectados por malware em todo o mundo, permitindo que criminosos de todo mundo roubassem bilhões de dólares, transmitissem ameaças de bomba e trocassem materiais de exploração infantil”, disse Matthew S. Axelrod, do BIS do Departamento de Comércio dos EUA.
“O que não é mostrado nos filmes, no entanto, é o trabalho meticuloso que é necessário pelas autoridades policiais domésticas e internacionais, trabalhando em estreita colaboração com parceiros da indústria, para derrubar um esquema tão descarado e efetuar uma prisão como essa.”