Il Dipartimento di Giustizia degli Stati Uniti (DOJ) ha annunciato il 24 maggio 2024 l’arresto dell’operatore di 911 S5, un servizio di anonimato online che, secondo il direttore dell’FBI, era alimentato da “probabilmente la più grande botnet del mondo”. L’arresto ha coinciso con la sequestro del sito web di 911 S5 e dell’infrastruttura di supporto, che il governo afferma abbia trasformato i computer che eseguono vari prodotti “VPN gratuiti” in relè Internet che hanno facilitato miliardi di dollari in frodi online e cybercrime.
Il DOJ ha accusato YunHe Wang, un cittadino cinese di 35 anni, di essere il creatore e l’operatore di 911 S5. Secondo il DOJ, 911 S5 ha consentito ai cybercriminali di eludere i sistemi di rilevamento delle frodi finanziarie e di rubare miliardi di dollari dalle istituzioni finanziarie, dalle società emittenti di carte di credito e dai programmi di prestito federali.
Ad esempio, il governo stima che 560.000 richieste di sussidi di disoccupazione fraudolenti abbiano avuto origine da indirizzi Internet compromessi, con una perdita confermata di oltre 5,9 miliardi di dollari. Inoltre, il governo stima che oltre 47.000 richieste di prestito per il disastro economico (EIDL) abbiano avuto origine da indirizzi IP compromessi da 911 S5, con milioni di dollari di ulteriori perdite identificate dalle istituzioni finanziarie negli Stati Uniti come originate da indirizzi IP compromessi da 911 S5.
Tra il 2015 e luglio 2022, 911 S5 ha venduto l’accesso a centinaia di migliaia di computer Windows quotidianamente come “proxy” che hanno consentito ai clienti di indirizzare il proprio traffico Internet attraverso PC in praticamente qualsiasi paese o città del globo, ma predominantemente negli Stati Uniti. 911 S5 ha costruito la propria rete proxy principalmente offrendo servizi VPN “gratuiti”. Il VPN di 911 ha funzionato in gran parte come promesso per l’utente, consentendo loro di navigare in Internet in modo anonimo, ma ha anche trasformato silenziosamente il computer dell’utente in un relè di traffico per i clienti paganti di 911 S5.
La popolarità e l’affidabilità di 911 S5, insieme ai suoi prezzi estremamente bassi, lo hanno rapidamente reso uno dei servizi più popolari tra i frequentatori del mondo sommerso del cybercrime, e il servizio è diventato quasi un sinonimo di connessione a quella “ultima miglio” di cybercrime. Ossia, la capacità di indirizzare il proprio traffico malevolo attraverso un computer che è geograficamente vicino al consumatore il cui numero di carta di credito rubato sta per essere utilizzato o al cui conto bancario sta per essere prosciugato.
KrebsOnSecurity ha identificato per la prima volta Wang come proprietario del popolare servizio in un’indagine approfondita su 911 S5 pubblicata a luglio 2022. Questo articolo ha mostrato che 911 S5 aveva una storia di pagamento di persone per installare il suo software nascondendolo in altri software, tra cui aggiornamenti di sicurezza falsi per programmi comuni come Flash Player e software commerciale “craccato” o piratato distribuito su reti di condivisione file.
Dieci giorni dopo, 911 S5 ha chiuso i battenti, affermando di essere stato violato. Tuttavia, gli esperti hanno presto individuato la rete proxy riemergere con un altro nome: Cloud Router. L’annuncio dell’arresto di Wang è arrivato meno di 24 ore dopo che il Dipartimento del Tesoro degli Stati Uniti ha sanzionato Wang e due associati, nonché diverse società che gli uomini avrebbero utilizzato per riciclare i quasi 100 milioni di dollari di entrate provenienti dai clienti di 911 S5 e Cloud Router.
Il sito web di Cloud Router ora mostra un avviso che afferma che il dominio è stato sequestrato dal governo degli Stati Uniti. Inoltre, il DOJ afferma di aver lavorato con le autorità di Singapore, Thailandia e Germania per perquisire le residenze legate al sospetto e di aver sequestrato circa 30 milioni di dollari in asset. Questi asset includevano una Ferrari F8 Spider S-A del 2022, una BMW i8, una BMW X7 M50d, una Rolls Royce, oltre due dozzine di conti bancari nazionali e internazionali, oltre due dozzine di portafogli crittografici, diversi orologi di lusso e 21 proprietà residenziali o di investimento.
Il governo afferma che Wang è accusato di cospirazione per commettere frode informatica, frode informatica sostanziale, cospirazione per commettere frode telematica e cospirazione per riciclare denaro. Se condannato per tutte le accuse, rischia una pena massima di 65 anni di carcere.
Brett Leatherman, vice assistente direttore della Cyber Division dell’FBI, ha dichiarato che il DOJ sta lavorando con il governo di Singapore per estradare Wang per affrontare le accuse negli Stati Uniti.
Leatherman ha incoraggiato gli utenti di Internet a visitare una nuova pagina web dell’FBI che può aiutare le persone a determinare se i loro computer potrebbero far parte della botnet 911 S5, che il governo afferma abbia spaziato su oltre 19 milioni di computer individuali in almeno 190 paesi.
Leatherman ha affermato che 911 S5 e Cloud Router hanno utilizzato diversi marchi VPN “gratuiti” per attirare i consumatori nell’installare il servizio proxy, tra cui MaskVPN, DewVPN, PaladinVPN, Proxygate, Shield VPN e ShineVPN.
“Gli americani che non sapevano che il loro spazio IP era stato utilizzato per attaccare le imprese statunitensi o frodare il governo degli Stati Uniti, non erano a conoscenza”, ha detto Leatherman. “Ma queste operazioni generano quella consapevolezza.”
Come proteggersi dalle botnet e dai servizi VPN dannosi
Mentre il caso di 911 S5 è un esempio estremo di come i servizi VPN possono essere utilizzati per scopi dannosi, ci sono diversi passaggi che gli utenti di Internet possono adottare per proteggersi dalle botnet e dai servizi VPN dannosi.
- Utilizzare solo servizi VPN affidabili: Scegliere solo servizi VPN affidabili e ben noti, che hanno una reputazione di integrità e trasparenza. Leggere le recensioni e le politiche sulla privacy prima di utilizzare un servizio VPN.
- Evitare i servizi VPN gratuiti: I servizi VPN gratuiti possono essere allettanti, ma spesso hanno politiche sulla privacy meno rigorose e possono vendere i dati degli utenti a terzi. Inoltre, come abbiamo visto nel caso di 911 S5, i servizi VPN gratuiti possono essere utilizzati per nascondere attività dannose.
- Tenere aggiornato il software: Assicurarsi che il software del computer e del dispositivo mobile sia aggiornato con le ultime patch di sicurezza. Ciò può aiutare a prevenire l’infiltrazione di malware che potrebbe essere utilizzato per incorporare il dispositivo in una botnet.
- Utilizzare un software antivirus affidabile: Utilizzare un software antivirus affidabile e mantenerlo aggiornato con le ultime definizioni di virus. Ciò può aiutare a rilevare e rimuovere il malware che potrebbe essere utilizzato per incorporare il dispositivo in una botnet.
- Essere consapevoli delle minacce online: Essere consapevoli delle minacce online e adottare misure di sicurezza appropriate. Ciò include l’utilizzo di password complesse, l’evitare di cliccare su link sospetti e l’essere cauti quando si condividono informazioni personali online.
Seguendo questi passaggi, gli utenti di Internet possono aiutare a proteggersi dalle botnet e dai servizi VPN dannosi e mantenere i propri dispositivi e informazioni personali al sicuro.
Fonte: https://krebsonsecurity.com/2024/05/is-your-computer-part-of-the-largest-botnet-ever/
