Mercoledì il dipartimento di Giustizia degli Stati Uniti ha annunciato di aver arrestato un cittadino cinese di 35 anni, Yunhe Wang, accusandolo di essere l’uomo dietro un’enorme botnet legata a frodi per miliardi di dollari, sfruttamento di minori e allarmi bomba, tra gli altri reati.
Wang, conosciuto attraverso diversi pseudonimi – tra cui Tom Long e Jack Wan – è stato fermato il 24 maggio ed è accusato di aver diffuso malware sfruttando vari servizi vpn pop-up, come “ProxyGate” e “MaskVpn”, e incorporando virus in file internet distribuiti tramite reti peer-to-peer note come torrent.
I malware avrebbero compromesso computer in quasi tutti i paesi del mondo, trasformandoli in proxy che permettevano ai criminali di nascondere la loro identità durante i loro reati. Secondo i procuratori statunitensi, tra i crimini commessi c’è anche il furto di miliardi di dollari destinati agli aiuti erogati dagli Stati Uniti durante la pandemia di Covid-19, presumibilmente sottratti da attori stranieri che si spacciavano per cittadini americani disoccupati.
Come funzionava la botnet 911 S5
Stando all’accusa, i computer infetti avrebbero offerto ai clienti di Wang una backdoor continua, che consentiva loro di farsi passare come una qualsiasi delle vittime del malware di Wang. Secondo il governo statunitense questo servizio proxy illecito, noto come “911 S5“, è attivo dal 2014.
“La botnet 911 S5 ha infettato computer in quasi 200 paesi e ha facilitato tutta una serie di crimini informatici, tra cui frodi finanziarie, furti di identità e sfruttamento di minori“, ha dichiarato il direttore dell’Fbi Christopher Wray, che ha definito il sistema “probabilmente la più grande botnet mai esistita“. Wang è stato sanzionato anche dal dipartimento del Tesoro americano, insieme ad altri due individui che sarebbero sempre legati a 911 S5.
Il cittadino cinese avrebbe ottenuto l’accesso a quasi 614mila indirizzi ip negli Stati Uniti e a più di 18 milioni nel resto del mondo, formando così la sua botnet. I clienti di 911 S5 erano in grado di filtrare gli ip in base alla posizione geografica in modo da scegliere in che zona del mondo apparire, sostiene il dipartimento di Giustizia statunitense.
I crimini commessi da Wang e 911 S5
Dei 150 server utilizzati per gestire la botnet, ben 76 erano affittati da provider di servizi con sede negli Stati Uniti, compreso quello che ospitava l’interfaccia client di 911 S5, che consentiva ai criminali d’oltreoceano di acquistare prodotti utilizzando carte di credito rubate, in molti casi allo scopo di aggirare le leggi statunitensi sulle esportazioni.