看看这些所谓的免费VPN,哪有什么免费的午餐,不是蜜罐就是后门。
由美国司法部牵头、经法院授权的国际执法行动,捣毁了一个用于实施网络攻击、大规模欺诈、剥削儿童、骚扰、炸弹威胁和出口违规行为的僵尸网络。
作为此次行动的一部分,35 岁的王云鹤(音译)是中国公民,也是圣基茨和尼维斯投资公民,于 5 月 24 日因部署恶意软件以及创建和运营名为“911 S5”的住宅代理服务而遭到刑事指控。
根据 5 月 24 日公布的起诉书,从 2014 年到 2022 年 7 月,王某等人被指控创建并传播恶意软件,以入侵和聚集全球数百万台家用 Windows 计算机网络。这些设备与超过 1900 万个唯一 IP 地址相关联,其中包括位于美国的 613,841 个 IP 地址。王某随后通过向网络犯罪分子提供访问这些受感染 IP 地址的权限(收费)赚取了数百万美元。
“司法部牵头的这次行动汇集了来自世界各地的执法合作伙伴,以破坏 911 S5,这是一个促进网络攻击、大规模欺诈、儿童剥削、骚扰、炸弹威胁和出口违规的僵尸网络,”司法部长梅里克·B·加兰 (Merrick B. Garland) 表示。“此次行动的结果是,王云鹤因创建和运营僵尸网络以及部署恶意软件而被捕。这起案件清楚地表明,法律的长臂可以跨越国界,深入暗网的最深处,司法部永远不会停止追究网络犯罪分子的责任。”
“FBI 与国际合作伙伴共同开展了一项联合、有序的网络行动,以摧毁 911 S5 僵尸网络——这可能是有史以来最大的僵尸网络,”FBI 局长 Christopher Wray 表示。“我们逮捕了其管理员王云鹤,没收了基础设施和资产,并对王云鹤及其同谋实施了制裁。911 S5 僵尸网络感染了近 200 个国家的计算机,并助长了一系列计算机犯罪,包括金融欺诈、身份盗窃和儿童剥削。这次行动表明了 FBI 致力于与我们的合作伙伴并肩合作,保护美国企业和美国人民,我们将不懈努力,揭露和逮捕从这种非法活动中获利的网络犯罪分子。”
根据法庭文件,王某涉嫌通过虚拟专用网络 (VPN) 程序(例如 MaskVPN 和 DewVPN,他运营的种子分发模型)和按安装付费服务传播恶意软件,这些服务将他的恶意软件与其他程序文件捆绑在一起,包括盗版的授权软件或受版权保护的材料。王某随后管理和控制了全球大约 150 台专用服务器,其中大约 76 台是从美国的在线服务提供商那里租用的。王某利用这些专用服务器部署和管理应用程序,指挥和控制受感染的设备,运营他的 911 S5 服务,并向付费客户提供与受感染设备关联的代理 IP 地址的访问权限。
美国司法部刑事司司长、首席副助理检察长 Nicole M. Argentieri 表示:“正如起诉书所指控的,王先生制造了恶意软件,感染了全球数百万台家用电脑,然后将受感染电脑的访问权限出售给网络犯罪分子。这些犯罪分子利用被劫持的电脑隐藏身份,实施从欺诈到网络跟踪等一系列犯罪行为。网络犯罪分子应该注意。今天的声明明确表明,刑事司及其执法合作伙伴决心摧毁技术最先进的犯罪工具,并追究犯罪者的责任。”
“王云鹤创建并管理了住宅代理服务(即 911 S5 僵尸网络),该服务影响了全球数百万台计算机,”美国德克萨斯州东区检察官 Damien M. Diggs 表示。“他现在将被追究责任。像 911 S5 这样的代理服务是一种普遍存在的威胁,它为犯罪分子提供掩护,让他们利用全球住宅计算机的受感染 IP 地址。只有通过我们国内外执法合作伙伴之间的密切合作和出色的调查工作,才能成功解决如此规模的问题,我们随时准备追究任何利用我们的电信基础设施为自己犯罪目的的人的责任,无论他们身在何处。”
然后,网络犯罪分子使用从 911 S5 购买的代理 IP 地址来隐藏其真实的原始 IP 地址和位置,并匿名实施各种犯罪。这些犯罪包括金融犯罪、跟踪、发送炸弹威胁和伤害威胁、非法出口货物以及接收和发送儿童剥削材料。自 2014 年以来,911 S5 据称使网络犯罪分子能够绕过金融欺诈检测系统,并从金融机构、信用卡发行商和联邦贷款计划中窃取数十亿美元。
据称,911 S5 客户针对的是某些疫情救助计划。例如,美国估计有 56 万起欺诈性失业保险索赔来自被盗用的 IP 地址,导致确认的欺诈损失超过 59 亿美元。此外,在评估经济损失灾难贷款 (EIDL) 计划的疑似欺诈损失时,美国估计有超过 47,000 份 EIDL 申请来自被 911 S5 盗用的 IP 地址。美国金融机构同样认定,还有数百万美元的损失源自被 911 S5 盗用的 IP 地址。
911 S5 客户端界面软件托管在美国服务器上,使美国境外的网络犯罪分子能够使用偷来的信用卡或犯罪所得购买商品,并违反美国出口法(如《出口管理条例》(EAR))将其非法出口到美国境外。911 S5 客户端界面还可能包含加密或其他功能,这些功能使其受到《出口管理条例》中详述的出口管制。因此,某些外国人未经许可下载 911 S5 客户端界面软件可能构成违反《出口管理条例》。
“对 911 S5 网络犯罪活动的肇事者进行打击、查获和逮捕,表明国防部监察长办公室国防刑事调查局 (DCIS) 网络实地办公室的前瞻性姿态,”DCIS 局长 Kelly P. Mayo 表示。“这项调查表明,识别和追踪针对我们的作战人员及其支持他们的工业基础的新兴威胁和技术至关重要。今天的公告表明,联邦执法部门和我们的外国合作伙伴在迅速发展的网络犯罪领域追捕罪犯方面进行了广泛的合作。”
起诉书进一步指控,从 2018 年到 2022 年 7 月,王某通过其 911 S5 行动出售被劫持的代理 IP 地址,以加密货币或法定货币的形式获得了约 9900 万美元。王某利用非法所得在美国、圣基茨和尼维斯、中国、新加坡、泰国和阿拉伯联合酋长国购买不动产。起诉书确定了数十项将被没收的资产和财产,包括一辆 2022 年法拉利 F8 Spider SA、一辆宝马 i8、一辆宝马 X7 M50d、一辆劳斯莱斯、十多个国内外银行账户、二十多个加密货币钱包、几块豪华手表、21 处住宅或投资物业(遍布泰国、新加坡、阿联酋、圣基茨和尼维斯和美国)和 20 个域名。
执法部门最初在调查洗钱和走私计划时将重点放在了 911 S5 上,该计划中,加纳和美国的犯罪分子使用从 911 S5 购买的被劫持 IP 地址,使用被盗信用卡在陆军和空军交易服务 (AAFES) 在线电子商务平台 ShopMyExchange 上下达欺诈订单。尽管提交了大约 2,525 份价值 550 万美元的欺诈订单,但信用卡欺诈检测系统和联邦调查人员能够阻止大部分企图购买的订单,将实际损失减少到约 254,000 美元。
“这里指控的行为就像是从剧本中摘录的:一项计划,出售全球数百万台受恶意软件感染的计算机的访问权限,使世界各地的犯罪分子能够窃取数十亿美元,发送炸弹威胁,并交换儿童剥削材料——然后利用该计划的近 1 亿美元利润购买豪华汽车、手表和房地产,”美国商务部工业和安全局 (BIS) 出口执法助理部长马修·S·阿克塞尔罗德 (Matthew S. Axelrod) 说。“然而,电影中没有展示的是国内和国际执法部门与行业合作伙伴密切合作,为破获如此无耻的计划并逮捕此类罪犯所付出的艰苦工作。”
王被指控犯有共谋实施计算机欺诈、实质性计算机欺诈、共谋实施电信欺诈和共谋实施洗钱罪。如果所有罪名成立,王将面临最高 65 年监禁。
此次行动是由美国、新加坡、泰国和德国执法部门牵头的多机构协调行动。特工和警官搜查了住宅,没收了价值约 3000 万美元的资产,并发现了价值约 3000 万美元的其他可没收财产。此次行动还查获了 23 个域名和 70 多台服务器,这些服务器构成了王先生之前的住宅代理服务和最近该服务的骨干。通过查获与历史 911 S5 相关的多个域名以及与重建该服务的努力直接相关的几个新域名和服务,政府成功阻止了王先生通过其新成立的服务 Clourouter.io 进一步伤害个人的行为,并关闭了现有的恶意后门。
5 月 28 日,美国财政部外国资产控制办公室 (OFAC)以与 911 S5 相关的活动为由,对王某、刘静平、郑燕妮以及王某所拥有或控制的三家实体实施了金融制裁。
美国联邦调查局达拉斯和丹佛办事处、国防部犯罪调查处网络办事处以及美国商务部工业和安全局出口执法办公室达拉斯办事处正在调查此案。
刑事司计算机犯罪和知识产权科的审判律师 Candy Heath 和 Lydia Lichlyter 以及德克萨斯州东区的美国助理检察官 Camelia Lopez 和 William Tatum 正在起诉此案。
美国司法部感谢新加坡总检察长办公室、新加坡警察部队 (SPF)、泰国皇家警察以及泰王国总检察长办公室和反洗钱办公室提供的大力协助。美国司法部国际事务办公室和洗钱与资产追回科为此次行动提供了关键支持。美国财政部 OFAC 也为此次行动提供了支持。此外,美国司法部还感谢 Chainalysis、Shadowserver 基金会和微软在调查和行动期间提供的协助。
如需了解更多信息或确定您是否是 911 S5 恶意软件的受害者,请访问www.fbi.gov/911S5 。
起诉书只是一项指控。所有被告在法庭排除合理怀疑证明有罪之前均被推定为无罪。
1 条评论
免费的才是最贵的(/ω\)