June 14, 2024

僵尸网络911 S5

911 S5

就在上个月,美国司法部联合新加坡以及泰国等捣毁了一个称为是 “有史以来最大的僵尸网络911 S5” ,其创始人是中国籍35岁的男子 Yunhe Wang(王云鹤音译) ,Wang(以下简称Wang)在新加坡落网,据悉会引渡至美国,包括各项指控以及计算机欺诈等,Wang有可能面临美国最高65年监禁。

当时我看到这个新闻大意不是最震撼的,最震撼的还在后头,就是这个:

“The indictment further alleges that from 2018 until July 2022, Wang received approximately $99 million from his sales of the hijacked proxied IP addresses through his 911 S5 operation, either in cryptocurrency or fiat currency. Wang used the illicitly gained proceeds to purchase real property in the United States, St. Kitts and Nevis, China, Singapore, Thailand, and the United Arab Emirates. The indictment identifies dozens of assets and properties subject to forfeiture, including a 2022 Ferrari F8 Spider S-A, a BMW i8, a BMW X7 M50d, a Rolls Royce, more than a dozen domestic and international bank accounts, over two dozen cryptocurrency wallets, several luxury wristwatches, 21 residential or investment properties (across Thailand, Singapore, the U.A.E., St. Kitts and Nevis, and the United States), and 20 domains.”

“起诉书进一步指控,从 2018 年到 2022 年 7 月,王某通过其 911 S5 行动出售被劫持的代理 IP 地址,以加密货币或法定货币的形式获得了约 9900 万美元。王某利用非法所得在美国、圣基茨和尼维斯、中国、新加坡、泰国和阿拉伯联合酋长国购买不动产。起诉书确定了数十项将被没收的资产和财产,包括一辆 2022 年法拉利 F8 Spider SA、一辆宝马 i8、一辆宝马 X7 M50d、一辆劳斯莱斯、十多个国内外银行账户、二十多个加密货币钱包、几块豪华手表、21 处住宅或投资物业(遍布泰国、新加坡、阿联酋、圣基茨和尼维斯和美国)以及20 个域名。”

也就是说Wang靠出卖这些911 S5劫持来的网络僵尸代理ip,不到几年时间,其资产已经接近亿元美金。这不得不感叹此人的大胆。其实,美国司法部以及FBI等单位在几年前就注意到了Wang及其团队通过出售劫持来的网络僵尸代理ip来牟取利益。而这些ip打着国外住宅静态原生ip的旗号出售给了 金融犯罪、跟踪、发送炸弹威胁和伤害威胁、非法出口货物以及接收和发送儿童剥削材料的潜在购买者。自 2014 年以来,911 S5 据称使网络犯罪分子能够绕过金融欺诈检测系统,并从金融机构、信用卡发行商和联邦贷款计划中窃取数十亿美元。

而且,此网络僵尸代理ip遍布全球,基本上没有任何国家能够幸免,这种行为在大多数国家来讲。算得上是网络诈骗行为,特别是在东南亚这类诈骗横向的地区,无疑为Wang的诈骗提供了更好的庇护,如果不暴露,基本上Wang用这些钱吃香喝辣一辈子都用不完。

那么,问题来了?Wang是怎么搞到这么多住宅静态原生ip的?要知道,静态原生ip要比动态ip要贵上几倍甚至几十倍,这么多而且是全球各国的住宅静态原生ip在911 S5几乎都有,这些静态ip全部至少也要几百万美元吧。那他是怎么弄到手的?这里就不得不提到电脑端和手机端免费的vpn了,一般vpn都有特定的加密协议通道。但是Wang的几款免费以及付费vpn是怎么感染劫持ip的,这里美国司法部通报写道:

“According to court documents, Wang allegedly propagated his malware through Virtual Private Network (VPN) programs, such as MaskVPN and DewVPN (torrent distribution models that he operated) and pay-per-install services that bundled his malware with other program files, including pirated versions of licensed software or copyrighted materials. Wang then managed and controlled approximately 150 dedicated servers worldwide, approximately 76 of which he leased from U.S. based online service providers. Using the dedicated servers, Wang deployed and managed applications, commanded and controlled the infected devices, operated his 911 S5 service, and provided paying customers with access to proxied IP addresses associated with the infected devices.”

根据法庭文件,王某涉嫌通过虚拟专用网络 (VPN) 程序(例如 MaskVPN 和 DewVPN,他运营的种子分发模型)和按安装付费服务传播恶意软件,这些服务将他的恶意软件与其他程序文件捆绑在一起,包括盗版的授权软件或受版权保护的材料。王某随后管理和控制了全球大约 150 台专用服务器,其中大约 76 台是从美国的在线服务提供商那里租用的。王某利用这些专用服务器部署和管理应用程序,指挥和控制受感染的设备,运营他的 911 S5 服务,并向付费客户提供与受感染设备关联的代理 IP 地址的访问权限。

也就是说,Wang及其团队通过租用国外主要国家的vps大型虚拟主机,搭建的免费vpn,再通过这种免费的vpn捆绑恶意僵尸软件感染使用人所在ip来进行计算机诈骗,当这类免费的vpn使用人数遍布全球时,这类捆绑僵尸软件的免费vpn便开始发功了,将静态ip感染劫持,从而让其变为 “肉鸡” ,而这些被感染劫持的静态ip摇身一变就成为了911 S5一类的 国外住宅静态原生ip ,被一些以隐藏真实ip高价购买911 S5的静态ip进行不法活动的人士购买来实施不法活动。而且,这些感染的ip还会继续感染,导致超过 1900 万个唯一 IP 地址相关联,其中包括位于美国的 613,841 个 IP 地址。而且Wang也向网络非法分子提供访问这些受感染 IP 地址的权限(收费)赚取了数百万美元。

这些捆绑了恶意的免费vpn(其中也有部分免费vpn但有收费vpn套餐其实也被僵尸软件感染了,赚双倍钱了属于是)有:

  1. MaskVPN
  2. DewVPN
  3. PaladinVPN
  4. ProxyGate
  5. ShieldVPN
  6. ShineVPN

基本上,如果你安装了这些vpn还是建议卸载,都不想自己的服务器所在地ip被感染劫持变为 “911 S5的一部分” 吧…


参考消息来源:1.美国司法部关于911 S5的通报

新加坡

本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。

©阿波尔的博客2019-2024