Roma, 30 mag. (askanews) – A Singapore è stato arrestato quello che è sospettato essere uno dei principali cybercriminali del mondo: un uomo di 35 anni identificato col nome di Wang Yunhe, cinese, avrebbe gestito – secondo l’accusa – per quasi un decennio un enorme “botnet” di computer-zombie grazie al quale avrebbe accumulato una fortuna.
Un “botnet” è una rete di dispositivi infettati da malware che, all’insaputa dei legittimi proprietari, finiscono per essere utilizzati per attività di cybercrimine. Wang – a dire dell’accusa – era il botmaster, cioè il gestore, di questa rete. Su di lui si era appuntata l’attenzione del FBI statunitense e di diversi altri paesi. Ma è stato in particolare il Dipartimento alla Giustizia a coordinare un’operazione, che ha visto coinvolti anche investigatori di Singapore e della polizia reale della Thailandia.
Wang – che oltre alla cittadinanza cinese è anche possessore di un passaporto di St.Kitts e Nevis – è finito in manette il 24 maggio con l’accusa di essere colui che ha creato e gestito un servizio di proxy residenziale noto come “911 S5”, sigla che nasconde appunto un botnet. Dal 2014 al 2022 l’uomo, con altri complici, avrebbe creato e diffuso malware per infettare milioni di computer con sistema operativo Windows in tutto il mondo, di fatto asservendoli alla sua rete.
Questi dispositivi erano associati a oltre 19 milioni di indirizzi IP unici – di cui 613.841 situati negli Usa – il cui accesso veniva appaltato a cybercriminali dietro pagamento. Secondo la stima del Dipartimento alla Giustizia americano, lo schema avrebbe consentito a Wang di accumulare una fortuna stimata in quasi 100 milioni di dollari.
“Questa operazione guidata dal Dipartimento di Giustizia ha riunito partner delle forze dell’ordine di tutto il mondo per smantellare 911 S5, un botnet che ha consentito attacchi informatici, frodi su larga scala, sfruttamento minorile, molestie, minacce di attentati e violazioni delle regole sulle esportazioni,” ha dichiarato il procuratore generale Usa Merrick Garland.
“Il botnet 911 S5 ha infettato computer in quasi 200 paesi e ha facilitato una serie di crimini informatici, tra cui frodi finanziarie, furti di identità e sfruttamento minorile”, ha aggiunto il direttore dell’FBI Christpher Wray.
Secondo l’ipotesi di accusa, Wang avrebbe propagato il suo malware attraverso programmi di rete privata virtuale (VPN), come MaskVPN e DewVPN (modelli di distribuzione torrent che lui gestiva) e servizi pay-per-install, che incorporavano il suo malware con altri file di programmi, comprese versioni piratate di software con licenza o materiali protetti da copyright.
Wang gestiva e controllava circa 150 server dedicati in tutto il mondo, circa 76 dei quali affittati da fornitori di servizi online con sede negli Stati Uniti. Utilizzando i server dedicati, Wang distribuiva e gestiva applicazioni, comandava e controllava i dispositivi infetti, gestiva il suo servizio 911 S5 e forniva ai clienti paganti l’accesso agli indirizzi IP proxy associati ai dispositivi infetti.
I cybercriminali avrebbero poi utilizzato gli indirizzi IP proxy acquistati da 911 S5 per nascondere i loro veri indirizzi IP e posizioni, e commettere anonimamente una vasta gamma di reati. Dal 2014, grazie a questo sistema, cybercriminali sarebbero riusciti a bypassare i sistemi di rilevamento delle frodi finanziarie e a rubare miliardi di dollari da istituzioni finanziarie, emittenti di carte di credito e programmi di prestito federali.
Per esempio, alcuni “clienti” di 911 S5 avrebbero preso di mira i programmi di sussidi Usa attivati durante la pandemia Covid-19. Si stima che 560.000 richieste di indennità di disoccupazione fraudolente siano state originate da indirizzi IP compromessi, con una perdita confermata superiore a 5,9 miliardi di dollari per i fondi pubblici.
Il software di interfaccia cliente 911 S5, ospitato su server con sede negli Stati Uniti, consentiva ai cybercriminali situati al di fuori degli Stati uniti di acquistare beni con carte di credito rubate o proventi derivanti da attività criminali, ed esportarli illegalmente al di fuori degli Stati uniti in violazione delle leggi sulle esportazioni.
Wang avrebbe utilizzato i proventi illeciti per acquistare beni immobili negli Stati uniti, a St. Kitts e Nevis, in Cina, a Singapore, in Thailandia e negli Emirati Arabi Uniti. L’incriminazione identifica dozzine di beni e proprietà soggetti a confisca, tra cui una Ferrari F8 Spider S-A del 2022, una BMW i8, una BMW X7 M50d, una Rolls Royce, più di una dozzina di conti bancari nazionali e internazionali, oltre due dozzine di portafogli di criptovalute, diversi orologi di lusso, 21 proprietà residenziali o di investimento (tra Thailandia, Singapore, Emirati arabi uniti, St. Kitts e Nevis e Stati uniti) e 20 domini.
L’FBI è arrivato a braccare Wang e il suo network in seguito a un’indagine su un sistema di riciclaggio di denaro e contrabbando, in cui i cybercriminali in Ghana e negli Stati uniti utilizzavano indirizzi IP compromessi acquistati da 911 S5 per effettuare ordini fraudolenti utilizzando carte di credito rubate sulla piattaforma di e-commerce del servizio Exchange dell’Esercito e dell’Aeronautica (AAFES), nota anche come ShopMyExchange.
Wang è accusato di cospirazione per commettere frode informatica, frode informatica , cospirazione per commettere frode telematica e cospirazione per commettere riciclaggio di denaro. Se condannato per tutti i capi d’accusa, rischia una pena massima di 65 anni di prigione.
Gli agenti hanno perquisito residenze, sequestrato beni per un valore di circa 30 milioni di dollari e identificato ulteriori proprietà confiscabili per un valore di ulteriori 30 milioni di dollari. L’operazione ha anche sequestrato 23 domini e oltre 70 server costituenti la backbone del servizio proxy residenziale di Wang e l’incarnazione recente del servizio. Sequestrando più domini legati allo storico 911 S5, oltre a diversi nuovi domini e servizi direttamente collegati a un tentativo di ricostituire il servizio sotto il nome di Clourouter.io, il governo ha posto termine alla carriera di Wang e ha chiuso le attuali backdoor malevole.
Inoltre, l’Ufficio per il Controllo dei Beni Stranieri (OFAC) del Dipartimento del Tesoro ha emesso sanzioni finanziarie anche contro altri due cinesi – Liu Jingping Liu e Zheng Yanni, per le loro attività associate a 911 S5, e tre entità possedute o controllate da Wang.
