美国财政部制裁了一个由三名中国公民和三家泰国公司组成的网络犯罪网络,该网络与一个控制住宅代理服务"911 S5"的大型僵尸网络有关。加拿大谢布鲁克大学(University of Sherbrooke)的研究人员在近两年前(2022 年 6 月)揭露,这种非法住宅代理服务通过提供免费 VPN 服务来引诱潜在受害者安装恶意软件,目的是将他们的 IP 地址添加到 911 S5 僵尸网络中。
当时,该僵尸网络控制着来自世界各地的约 12 万个住宅代理节点,所有这些节点都与位于境外或托管在云服务器中的多个指挥控制服务器进行通信。
一个月后,调查记者布莱恩-克雷布斯(Brian Krebs)报道称,911 S5 在其业务运营的关键部分因安全漏洞被毁后"内爆"。根据网络安全公司 Spur Intelligence 2 月份的一份报告,代理僵尸网络几个月后以"CloudRouter"的名义复活。
外国资产控制办公室(OFAC)周二表示:"911 S5 僵尸网络是一种恶意服务,它入侵了受害者的计算机,并允许网络犯罪分子通过这些被入侵的计算机代理他们的互联网连接。一旦网络犯罪分子通过 911 S5 僵尸网络伪装了他们的数字踪迹,他们的网络犯罪似乎就会追溯到受害者的计算机,而不是他们自己的计算机"。
外国资产管制处补充说,住宅代理僵尸网络入侵了大约 1900 万个 IP 地址。这些受感染的设备允许网络犯罪分子提交数万份与《冠状病毒援助、救济和经济安全法》相关的欺诈性项目申请,造成了数十亿美元的损失。
911 S5 用户还利用它来实施广泛的网络欺诈,使用的是与被入侵计算机相连的住宅 IP 地址。这些 IP 地址还被用于 2022 年 7 月在全美范围内发出的一系列炸弹威胁。
911 S5 代理服务价格 (图/BleepingComputer)
外国资产管制处今天制裁了王云鹤(911 S5 服务管理人)、刘京平(该行动的洗钱者)和郑燕妮(作为王云鹤的委托人),以及三个实体(Spicy Code Company Limited、Tulip Biz Pattaya Group Company Limited 和 Lily Suites Company Limited),这些实体均由王云鹤拥有或控制。
布赖恩-尼尔森副部长说:"这些人利用他们的恶意僵尸网络技术入侵个人设备,使网络犯罪分子能够以欺诈手段获得原本用于需要帮助的人的经济援助,并用炸弹威胁恐吓我们的公民。财政部将与我们的执法同事和国际合作伙伴密切协调,继续采取行动,瓦解那些试图窃取美国纳税人钱财的网络犯罪分子和其他非法行为者"。
由于今天的制裁,所有涉及美国利益和被指认个人和实体财产的交易都被禁止,与被制裁个人和公司的交易也会使他们面临制裁或执法行动。
网络安全公司 Mandiant上周也警告说,中国国家黑客在网络间谍活动中越来越多地依赖由被入侵的在线设备和虚拟专用服务器构建的庞大代理服务器网络(也称为操作中继盒网络)来逃避侦查。