VPN aplikacija i proxy backdoor su tiho instalirani na uređaje žrtava bez njihovog pristanka, tako da bi ljudi nesvjesno postali žrtve 911 S5 botneta“, saopštava FBI
Sajber kriminalci su inficirali uređaje žrtava koristeći više VPN aplikacija koje su dodavale kompromitovane uređaje u 911 S5 rezidencijalni proksi servis.
Neke od aplikacija koje su koristili su MaskVPN, DevVPN, PaladinVPN, ProxyGate, ShieldVPN i ShineVPN.
Od 2014. do jula 2022. godine, oni su stvorili mrežu sastavljenu od miliona rezidencijalnih Windows računara širom svijeta povezanih sa više od 19 miliona jedinstvenih IP adresa.
Operateri 911 S5 namamljivali su potencijalne žrtve nudeći besplatne VPN aplikacije.
Ministarstvo pravde SAD je objavilo da je FBI, uz pomoć međunarodnih partnera, demontirao proksi botnet 911 S5, i da je u vezi sa tim u Singapuru uhapšen 35-godišnji kineski državljanin Junhe Vang, administrator 911 S5.
„Vang je upravljao i kontrolisao oko 150 servera širom svijeta, od kojih je otprilike 76 iznajmio od američkih provajdera“, saopštilo je Ministarstvo pravde SAD. Vang je upravljao aplikacijama i kontrolisao zaražene uređaje, upravljao platformom 911 S5 i omogućavao korisnicima koji su tu uslugu platili pristup proksi IP adresama povezanim sa zaraženim uređajima.
Govoreći o 911 S5 botnetu, direktor FBI Kristofer Rej je rekao da je riječ o „vjerovatno najvećem svjetskom botnetu ikada“.
„Uhapsili smo administratora, Junhe Vanga, zaplenili infrastrukturu i imovinu i uveli sankcije protiv Vanga i njegovih saučesnika.“
Zarada oko 99 miliona dolara
U julu prošle godine, botnet je ugašen nakon što su kritične komponente operacije navodno kompromitovane, ali je samo nekoliko mjeseci kasnije oživeo kao „CloudRouter“.
Vang je zaradio oko 99 miliona dolara prodajom pristupa proksi IP adresama sajber kriminalcima uz naknadu. Kriminalci su koristili internet veze kompromitovanih uređaja za sajber napade, pretnje bombama, eksploataciju dece, prevare velikih razmjera, uznemiravanje itd.
Ministarstvo finansija SAD je objavilo sankcije protiv Vanga, i još dvojice kineskih državljana, kao i tri firme (Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited i Lily Suites Company Limited) koje su bile u vlasništvu ili pod kontrolom Vanga.
Prema optužnici, Vangova imovina uključuje nekoliko luksuznih automobila, više od 20 novčanika sa kriptovalutama, više od 10 računa u bankama, nekoliko luksuznih ručnih satova, 21 stambenu ili investicionu nekretninu širom svijeta i 20 domena.
Ako bude proglašen krivim po svim tačkama optužnice, Vang bi mogao da bude osuđen na maksimalnu kaznu od 65 godina zatvora.
Iako je bot mreža demontirana, mnogi uređaji ostali su zaraženi malverom koji se pojavljuje kao „besplatni VPN“.
„Besplatni, nelegitimni VPN-ovi bili su upakovani u piratske video igre i softver koji su žrtve preuzimale na uređaje. Kada bi preuzimanje bilo završeno, VPN aplikacija i proxy backdoor su tiho instalirani na uređaje žrtava bez njihovog pristanka, tako da bi ljudi nesvjesno postali žrtve 911 S5 botneta“, navodi se u saopštenju FBI.
Kako ukloniti ove VPN-ove?
Korisnici Windows-a prvo bi trebalo da provjere Task Manager (Control+Alt+Delete ili iz menija Start) i da potraže MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe) ili malicious-vpn.
Takođe, u Start meniju trebalo bi potražiti bilo kakve tragove softvera sa istim imenima.
Druga mogućnost je da provjerite „Add or remove programs“. Potražite navedene aplikacije i ako pronađete neku od aplikacija na listi, kliknite na ime aplikacije i izaberite opciju „Deinstaliraj“. Nakon deinstalacije, provjerite da li je aplikacija uklonjena iz foldera „Program Files(X86)“. Da biste provjerili da li postoji aplikacija ProxyGate, idite na „C:users[Userprofile]AppDataRoamingProxyGate“.
Ako aplikacija i dalje radi u Task Manageru, ali se ne može pronaći u meniju Start ili „Add or remove programs“, pokušate da je zaustavite tako što ćete izabrati opciju „End task“, a zatim izbrisati foldere pod nazivom „MaskVPN“, „ DewVPN“, „ShineVPN“, „ShieldVPN“, „PaladinVPN“ ili „ProxyGate“.
„Takođe možete da izaberete sve fajlove koje se nalaze u folderu, a zatim da izaberete opciju „Izbriši““, navodi se u uputstvu koje je izdao FBI.
Ako dobijete poruku o grešci kada pokušavate da izbrišete aplikacije, provjerite da li je neki od njihovih procesa pokrenut u Task Manageru.
FBI savjeti
FBI preporučuje izbjegavanje nepouzdanih web sajtova i sumnjivih oglasa, preuzimanje besplatnog softvera, kao što su navedene VPN aplikacije, i iskačuće oglase sa nepouzdanih web sajtova. Interakcija sa ovim stranicama često pokreće instalaciju malvera na uređaju.
„Ignorišite sumnjive mejlove. Fišin email je jedna od najboljih tehnika koje se koriste za infiltriranje uređaja. Budite oprezni prema emailovima u kojima se od vas traži da otvorite prilog ili link“, rekao je FBI.
Antivirusni softver često može da otkrije i ukloni malver prije nego što učini bilo kakvu štetu. Ažurirajte svoj softver kako biste bili sigurni da može otkriti najnovije pretnje.
FBI takođe upozorava kompanije da su botnet napadi dizajnirani da iskoriste ranjivosti u softveru. Zbog toga je ključno instalirati ažuriranja i zakrpe i koristiti jake lozinke.
