وزارت خزانه داری ایالات متحده یک شبکه جرایم سایبری متشکل از سه شهروند چینی و سه شرکت مستقر در تایلند را که از یک بات نت سرویس پروکسی معروف به “۹۱۱ S5” را کنترل می کند، تحریم کرد.
محققان دانشگاه کانادایی Sherbrooke تقریباً دو سال پیش، در ژوئن ۲۰۲۲، فاش کردند که این سرویس پروکسی غیرقانونی قربانیان احتمالی را با ارائه خدمات VPN رایگان برای نصب بدافزار طراحی شده برای افزودن آدرس IP آنها به بات نت ۹۱۱ S5، فریب می دهد.
در آن زمان، این باتنت تقریباً ۱۲۰ هزار نود پراکسی را از سراسر جهان کنترل میکرد که همگی با چندین سرور فرمان و کنترل ( C&C ) خارجی یا میزبانی در یک سرور ابری قرارداشت، ارتباط برقرار میکردند.
یک ماه بعد، روزنامهنگار تحقیقی برایان کربس گزارش داد که ۹۱۱ S5 اجزای کلیدی عملیات تجاری آن در یک رخنه امنیتی از بین رفت . طبق گزارشی که در ماه فوریه از شرکت امنیت سایبری Spur Intelligence منتشر شد، باتنت پراکسی ماهها بعد بهعنوان «CloudRouter» احیا شد.
دفتر کنترل دارایی های خارجی (OFAC) روز سه شنبه اعلام کرد: بات نت ۹۱۱ S5 یک سرویس مخرب می باشد که رایانه های قربانی را به خطر می اندازد و به مجرمان سایبری اجازه می دهد تا اتصالات اینترنتی خود را از طریق این رایانه های در معرض خطر پروکسی کنند.
زمانی که یک مجرم سایبری ردیابی های دیجیتالی خود را از طریق بات نت ۹۱۱ S5 پنهان می کند، به نظر می رسد که جرایم سایبری آنها به جای رایانه قربانی، به رایانه قربانی بازمی گردد.
OFAC اضافه کرد که بات نت پروکسی تقریباً ۱۹ میلیون آدرس IP را در معرض خطر قرار داده است. این دستگاههای آلوده به مجرمان سایبری اجازه میدادند دهها هزار درخواست جعلی را برای برنامههای مربوط به قانون کمک، امداد و امنیت اقتصادی کرونا ارسال کنند که در نتیجه میلیاردها دلار خسارت به بار می آورد.
کاربران ۹۱۱ S5 همچنین از آن برای ارتکاب کلاهبرداری گسترده سایبری با استفاده از آدرسهای IP پراکسی مرتبط با رایانههای در معرض خطر استفاده کردند. این آدرسهای IP همچنین در یک سری از تهدیدات DDOS در سراسر ایالات متحده در جولای ۲۰۲۲ مورد استفاده قرار گرفتند.
OFAC افراد اصلی این گروه شامل : Yunhe Wang (مدیر سرویس ۹۱۱ S5)، Jingping Liu (پولشوی عملیات)، و Yanni Zheng (وکیل گروه) و همچنین سه نهاد (شرکت محدود Spicy Code، Tulip) را تحریم کرد.
برایان ای. نلسون، معاون وزیر، گفت: «این افراد از فناوری باتنت مخرب خود برای به خطر انداختن دستگاههای شخصی استفاده کردند و به مجرمان سایبری این امکان را میدادند تا بهطور متقلبانه از کمکهای اقتصادی در نظر گرفته شده برای افراد نیازمند محافظت کنند و شهروندان ما را با تهدید بمبگذاری وحشتزده کنند».
خزانه داری تاکید کرد با هماهنگی نزدیک با همکاران مجری قانون و شرکای بین المللی ، به اقدامات خود برای مختل کردن مجرمان سایبری و سایر بازیگران غیرقانونی که به دنبال سرقت از مالیات دهندگان آمریکایی هستند، ادامه خواهد داد.
در نتیجه تحریمهای امروز، کلیه معاملات مربوط به منافع و داراییهای ایالات متحده افراد و نهادهای تعیینشده ممنوع است و معامله با افراد و شرکتهای تحریمشده نیز آنها را در معرض تحریم یا اقدامات اجرایی قرار میدهد.
شرکت امنیت سایبری Mandiant هفته گذشته نیز هشدار داد که هکرهای دولتی چین به طور قابل توجهی به شبکههای سرور پراکسی گسترده (که به عنوان شبکههای relay box عملیاتی نیز شناخته میشوند) تکیه میکنند که از دستگاههای آنلاین آسیبدیده و سرورهای خصوصی مجازی ساخته شدهاند تا از شناسایی در طول کمپینهای جاسوسی سایبری خود فرار کنند.
