美国财政部今天宣布对人实施制裁,指控他们涉嫌运营911 S5,这是一项在线匿名服务,多年来一直是全球范围内通过受恶意软件感染的计算机路由网络流量最简单、最廉价的方式。2022年7月,KrebsOnSecurity对911 S5进行了深入调查,确定了三人中的一人,随后该项目遭到大规模黑客攻击,并于10天后关闭。911 S5僵尸网络驱动的代理服务,大约2022年7月。从2015年到2022年7月,911 S5每天出售数十万台Microsoft Windows计算机的访问权限,作为“代理”,允许客户在全球几乎任何国家或城市(但主要在美国)的个人电脑上路由其互联网流量。911 S5主要通过提供“免费”虚拟专用网络 (VPN) 服务来构建其代理网络。911 的VPN在很大程度上实现了其广告宣传的功能——允许他们匿名浏览网页,但它也悄悄地将用户的计算机变成了付费911 S5客户的流量中继。911 S5的可靠性和极低的价格使其迅速成为地下网络犯罪分子中最受欢迎的服务之一,该服务几乎成为连接网络犯罪“最后一英里”的代名词。具体来说,它提供了将恶意流量通过一台地理位置接近目标消费者的电脑进行路由的能力。这里的消费者可能是指那些即将被使用盗取的信用卡,或者银行账户即将被清空的人。2022年7月,KrebsOnSecurity发布了一份关于911 S5的深度报告,发现运营这项业务的人士有着鼓励通过一切可用手段安装其代理恶意软件的历史。这包括支付联盟营销者秘密捆绑其代理软件与其他软件进行分发。flashupdate dot net 的缓存副本,这是一个按安装付费的联属计划,旨在激励人们静默安装 911 的代理软件。这篇报道称,来自北京的王云鹤是911 S5代理服务的所有者或管理者。在今天的财政部行动中,王先生被指认为911 S5僵尸网络的主要管理员。财政部公告中写到:“对已知被 911 S5 使用的网络基础设施服务提供商以及两个专门用于僵尸网络运营的虚拟专用网络(VPN)(MaskVPN 和 DewVPN)的记录进行审查后发现,王云鹤是这些提供商服务的注册用户。 ”更新,5 月 29 日,美国东部时间下午12:26:美国司法部(DOJ) 刚刚宣布他们已逮捕与 911 S5 僵尸网络有关的王某。司法部称911 S5客户已从金融机构、信用卡发行商和联邦贷款计划窃取了数十亿美元。美国司法部在逮捕声明中写道: “据称,911 S5 客户针对某些疫情救济计划发起攻击。例如,美国估计有 56 万起欺诈性失业保险索赔来自被盗 IP 地址,导致确认的欺诈损失超过 59 亿美元。此外,在评估经济损失灾难贷款 (EIDL) 计划的疑似欺诈损失时,美国估计有超过 47,000 份 EIDL 申请来自被 911 S5 盗用的 IP 地址。美国的金融机构同样认定有数百万美元的损失源自被911 S5盗用的 IP 地址。”制裁措施指出,刘静萍是王云鹤在清洗911 S5产生的犯罪所得中的共谋者,主要涉及虚拟货币。政府声称,911 S5用户支付的虚拟货币使用场外交易商转换成美元,这些交易商将资金汇入并存入由刘静萍持有的银行账户。“刘静平协助王云鹤通过其名下的银行账户洗白犯罪所得,然后用这些钱为王云鹤购买豪华房地产,”文件继续写道。“这些人利用恶意僵尸网络技术入侵个人设备,使网络犯罪分子能够以欺诈手段获取本应为有需要的人提供的经济援助,并用炸弹威胁恐吓我们的公民。”第三名被制裁的人是中国公民郑燕妮,美国财政部称,郑燕妮担任王先生及其公司Spicy Code Company Limited的律师,并帮助将公司业务收益洗白为房地产。受到制裁的还有Spicy Code Company,以及王先生控制的房地产Tulip Biz Pattaya Group Company Limited和Lily Suites Company Limited。在2022年7月关于911 S5的报道后的十天,代理网络突然关闭,提到了一起数据泄露事件摧毁了其关键业务组件。然而,在接下来的几个月里,911 S5将以另一个名字复活:Cloud Router。这是根据spur.us的说法,这是一家总部位于美国的初创公司,专门追踪代理和VPN服务。2024年2月,Spur发布了研究,表明Cloud Router的运营商重用了911 S5的许多相同组件,使得两者之间的联系相对容易建立。据 Spur 称,Cloud Router 主页自上周末起就无法访问。Spur发现Cloud Router是由一个名为PaladinVPN的新VPN服务提供支持的,该服务向用户更明确地说明他们的互联网连接将被用于转发他人的流量。当时,Spur发现Cloud Router拥有超过14万个可供出租的互联网地址。Spur 联合创始人Riley Kilmer表示,Cloud Router 似乎已于上周末暂停或停止运营。Kilmer 说,在网站突然下线之前,该服务宣传的代理数量最近一直呈下降趋势。Cloud Router 的主页目前显示一条来自 Cloudflare 的消息,称该网站的域名服务器指向“禁止的 IP”。
