O Departamento de Justiça dos EUA anunciou na quarta-feira que desmantelou o que descreveu como “provavelmente o maior botnet do mundo”, formado por um exército de 19 milhões de dispositivos infectados que eram alugados a outros atores ameaçadores para cometer uma ampla gama de delitos.
O botnet, que tem alcance global abrangendo mais de 190 países, funcionava como um serviço de proxy residencial conhecido como 911 S5. Um cidadão chinês de 35 anos, YunHe Wang, foi preso em Cingapura em 24 de maio de 2024, por criar e atuar como administrador principal da plataforma ilegal de 2014 a julho de 2022.
Wang foi acusado de conspiração para cometer fraude informática, fraude informática substantiva, conspiração para cometer fraude por fio e conspiração para cometer lavagem de dinheiro. Se condenado em todos os crimes, Wang enfrenta uma pena máxima de 65 anos de prisão.
O Departamento de Justiça afirmou que o botnet foi usado para realizar ataques cibernéticos, fraudes financeiras, roubo de identidade, exploração infantil, assédio, ameaças de bombas e violações de exportação.
Vale ressaltar que Wang foi identificado como o proprietário do 911 S5 pelo jornalista de segurança Brian Krebs em julho de 2022, após o que o serviço encerrou abruptamente em 28 de julho de 2022, citando uma violação de dados de seus principais componentes.
Embora tenha sido ressuscitado sob um nome de marca diferente chamado CloudRouter alguns meses depois, de acordo com a Spur, o serviço cessou operações neste final de semana, conforme informou o co-fundador da empresa de cibersegurança Riley Kilmer a Krebs.
“Segundo a acusação não selada, Wang e outros são acusados de criar e disseminar malware para comprometer e reunir uma rede de milhões de computadores Windows residenciais no mundo inteiro”, de acordo com a acusação.
“Esses dispositivos estavam associados a mais de 19 milhões de endereços IP únicos, incluindo 613.841 endereços IP localizados nos Estados Unidos. Wang então conseguiu milhões de dólares oferecendo aos criminosos cibernéticos acesso a esses endereços IP infectados por uma taxa.”
As procurações residenciais (RESIPs) são redes de dispositivos de usuários legítimos que roteiam o tráfego em nome de assinantes pagos. Geralmente, os provedores alugam acesso para redirecionar o tráfego de rede por meio de computadores, smartphones ou roteadores pertencentes a usuários reais.
O objetivo principal de usar esses serviços de proxyware é direcionar o tráfego pelos endereços IP desses dispositivos para anonimizar a origem das solicitações maliciosas.
Documentos judiciais acusam Wang de supostamente propagar o malware por meio de programas gratuitos de Rede Privada Virtual (VPN), como MaskVPN e DewVPN, bem como outros serviços de pagamento por instalação que o distribuíram com software pirateado.
Estima-se que o réu tenha gerenciado uma infraestrutura de 150 servidores em todo o mundo, sendo 76 deles retirados de provedores de serviços online dos EUA.
“Usando os servidores dedicados, Wang implantou e gerenciou aplicativos, comandou e controlou os dispositivos infectados, operou seu serviço 911 S5 e forneceu aos clientes pagantes acesso aos endereços IP em forma de proxy associados aos dispositivos infectados”, disse o Departamento de Justiça.
Também é alegado que o 911 S5 permitia que os criminosos burlassem os sistemas de detecção de fraudes financeiras e roubassem bilhões de dólares de instituições financeiras, emissores de cartões de crédito e programas federais de empréstimos, incluindo ajuda pandêmica e o Programa de Empréstimo por Desastre de Danos Econômicos (EIDL), enviando reivindicações fraudulentas originadas de endereços IP comprometidos.
Além disso, o serviço possibilitava que os atacantes que residem fora dos EUA comprassem produtos com cartões de crédito roubados ou lucros derivados de atividades criminosas e os exportassem ilegalmente, violando leis de exportação dos EUA.
Wang, por sua vez, estima-se que tenha recebido cerca de US$ 99 milhões vendendo acesso aos endereços IP com proxies sequestrados, usando o dinheiro obtido ilegalmente para comprar quatro carros de luxo, vários relógios caros e 21 propriedades residenciais ou de investimento nos EUA, China, Singapura, Tailândia e nos Emirados Árabes Unidos.
Outros ativos digitais de propriedade de Wang incluem mais de uma dúzia de contas bancárias domésticas e internacionais e mais de 24 carteiras de criptomoedas, que foram usadas para realizar o esquema. A empresa de análise blockchain Chainalysis revelou que os endereços associados a Wang possuem US$ 136,4 milhões em criptomoeda.
A operação, resultado de um esforço coordenado entre EUA, Singapura, Tailândia e Alemanha, resultou na interrupção de 23 domínios e mais de 70 servidores que constituíam a essência do 911 S5. O esforço também resultou na apreensão de ativos avaliados em aproximadamente US$ 30 milhões.
Concomitantemente à acusação de Wang, o Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos EUA impôs sanções ao réu, juntamente com seu co-conspirador Jingping Liu e procurador Yanni Zheng por suas atividades relacionadas ao botnet 911 S5 e ao serviço de proxy residencial.
A agência também sancionou três entidades com base na Tailândia, a saber, Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited e Lily Suites Company Limited, que se diz serem propriedade ou controladas por Wang, observando que a Spicy Code Company Limited foi usada para comprar imóveis no país.
“O comportamento alegado aqui parece ter sido extraído de um roteiro: um esquema para vender acesso a milhões de computadores infectados mundialmente por malware, permitindo que criminosos em todo o mundo roubem bilhões de dólares, transmitam ameaças de bomba e troquem materiais de exploração infantil”, disse Matthew S. Axelrod do Departamento do Comércio dos EUA, Bureau de Segurança Industrial (BIS).
“No entanto, o que não é mostrado nos filmes é o trabalho minucioso realizado por aplicação da lei doméstica e internacional, trabalhando em estreita colaboração com parceiros do setor, para derrubar um esquema tão descarado e efetuar uma prisão como essa acontecer.”
