Bộ Tư pháp Hoa Kỳ đã công bố việc triệt phá mạng botnet 911 S5 vào thứ Tư, đánh dấu sự kết thúc của mạng lưới được xem là “hệ thống botnet lớn nhất thế giới” với hơn 19 triệu địa chỉ IP duy nhất, theo Giám đốc FBI Christopher Wray.
Sau một cuộc điều tra do DOJ dẫn đầu với sự hỗ trợ của các đối tác quốc tế bao gồm Lực lượng Cảnh sát Singapore và Cảnh sát Hoàng gia Thái Lan, YunHe Wang, người bị cáo buộc điều hành mạng botnet, đã bị bắt vào thứ Sáu tuần trước và bị buộc tội với bốn tội danh liên bang: âm mưu, gian lận máy tính, âm mưu thực hiện lừa đảo qua mạng và âm mưu rửa tiền.
Wang, một công dân 35 tuổi gốc Trung Quốc và là công dân có quốc tịch thông qua đầu tư của Saint Kitts và Nevis ở Tây Ấn, đối mặt với án tù lên đến 65 năm nếu bị kết tội. Giới chức cho biết Wang và các đồng phạm đã vận hành botnet 911 S5 từ tháng 5/2014 và bị đánh sập vào tháng 7/2022 trước khi “tái sinh” dưới tên Cloudrouter vào tháng 10/2023, lây nhiễm hàng triệu thiết bị bằng phần mềm độc hại backdoor và bán quyền truy cập vào các IP bị xâm nhập để khách hàng thực hiện các tội phạm từ tấn công mạng đến bóc lột trẻ em.
“Các tội phạm mạng nên lưu ý. Thông báo hôm nay gửi đi một thông điệp rõ ràng rằng Bộ Pháp lý và các đối tác thực thi pháp luật của mình quyết tâm phá vỡ các công cụ tội phạm công nghệ tiên tiến nhất và buộc những kẻ vi phạm phải chịu trách nhiệm,” Phó Trợ lý Bộ trưởng Tư pháp Nicole M. Argentieri, người đứng đầu Bộ Pháp lý Hình sự của DOJ, cho biết trong một tuyên bố.
911 S5 là gì?
911 S5 là mạng lưới botnet khổng lồ được tạo ra bằng cách phát tán phần mềm độc hại thông qua các chương trình VPN miễn phí như ProxyGate, Mask VPN và Dew VPN, cũng như bằng cách đóng gói phần mềm backdoor với các phần mềm khác, chẳng hạn như các phiên bản lậu của các chương trình hợp pháp, theo một bản cáo trạng đã được công khai.
Máy tính sử dụng hệ điều hành Windows với mục đích dân dụng là mục tiêu chính, mặc dù các thiết bị kết nối với mạng doanh nghiệp và trường học cũng bị ảnh hưởng. Các chủ sở hữu của các thiết bị bị xâm nhập không hề hay biết rằng địa chỉ IP của họ sẽ được cho thuê cho người khác với một khoản phí, cho phép khách hàng của 911 S5 che giấu IP và vị trí thực của họ khi tham gia vào hoạt động tội phạm trực tuyến.
Ít nhất 200,000 trong số 19 triệu địa chỉ IP duy nhất trong 911 S5 có thể truy cập được vào cùng một lúc để sử dụng bởi khách hàng của 911 S5, và khách hàng có thể chọn địa chỉ IP cụ thể để làm cho hoạt động internet của họ trông như đến từ một địa điểm cụ thể hoặc qua một nhà cung cấp dịch vụ internet cụ thể.
Các thiết bị bị nhiễm nằm rải rác ở gần 200 quốc gia, với hơn 613,000 địa chỉ IP bị chiếm đoạt ở Hoa Kỳ. Ngoài ra, khoảng 76 trong số khoảng 150 máy chủ chuyên dụng được cho là do Wang quản lý để vận hành mạng botnet này được thuê từ các nhà cung cấp có trụ sở tại Hoa Kỳ.
Các tội phạm thực hiện qua việc sử dụng 911 S5 bao gồm tấn công mạng, lừa đảo tài chính, quấy rối trực tuyến và đe dọa đánh bom, vi phạm xuất khẩu và khai thác trẻ em, theo DOJ. Ví dụ, các nhà điều tra ước tính rằng 5,9 tỷ USD đã bị mất qua 560,000 yêu cầu bảo hiểm thất nghiệp gian lận đến từ các địa chỉ IP bị xâm nhập bởi 911 S5, và hơn 47,000 đơn xin Vay Thảm Họa Kinh Tế (EIDL) gian lận cũng được nghi ngờ đến từ mạng botnet này.
Giới chức cáo buộc Wang đã kiếm được gần 100 triệu USD bằng cách bán quyền truy cập vào các IP bị xâm nhập, và bản cáo trạng công khai liệt kê một danh sách dài các món đồ xa xỉ và phương tiện, ví tiền điện tử, tài khoản ngân hàng, tên miền web và tài sản ở nhiều quốc gia sẽ bị tịch thu trong vụ án hình sự chống lại Wang.
Hệ quả tương lai đối với an ninh mạng sau khi triệt phá mạng botnet 911 S5
Việc triệt phá mạng botnet 911 S5 đại diện cho một chiến thắng lớn trong cuộc chiến chống tội phạm mạng, nhưng cũng nhấn mạnh bản chất luôn thay đổi của các mối đe dọa mạng. Khi công nghệ tiến bộ, các chiến thuật và công cụ được sử dụng bởi tội phạm mạng cũng vậy. Do đó, sự cảnh giác liên tục, đổi mới và hợp tác là cần thiết để đi trước các mối đe dọa này.
Các tổ chức và cá nhân đều được khuyến khích áp dụng các biện pháp an ninh mạng mạnh mẽ để bảo vệ chống lại các mối đe dọa tiềm ẩn. Điều này bao gồm cập nhật phần mềm thường xuyên, sử dụng mật khẩu mạnh và cẩn thận với các liên kết và tệp đính kèm. Ngoài ra, các chính phủ và các đơn vị tư nhân cần tiếp tục đầu tư vào hạ tầng an ninh mạng và thúc đẩy quan hệ đối tác quốc tế để chống lại tội phạm mạng một cách hiệu quả.