史上最大僵尸網(wǎng)絡(luò)覆滅！35歲超級(jí)黑客善于利用人性弱點(diǎn)

過(guò)去十年間，一個(gè)龐大而隱秘的僵尸網(wǎng)絡(luò)悄然蔓延，它控制著超過(guò)1900萬(wàn)個(gè)IP地址，影響遍布全球近200個(gè)國(guó)家。如今，隨著這個(gè) “史上最大僵尸網(wǎng)絡(luò)”被挖出，其規(guī)模之大、影響之廣，令人震驚，徹底顛覆了人們此前的認(rèn)知。

撰文 | Ren

在數(shù)字時(shí)代，技術(shù)的進(jìn)步總是伴隨著新的風(fēng)險(xiǎn)。

過(guò)去的十年里，在互聯(lián)網(wǎng)的陰暗角落，一個(gè)龐大而隱蔽的僵尸網(wǎng)絡(luò)悄然蔓延，如同海底冰山，只在水面上顯露出微不足道的一角，卻在暗流涌動(dòng)的深處，構(gòu)筑起一個(gè)規(guī)模空前的犯罪帝國(guó)。

2024年5月31日，美國(guó)司法部發(fā)布了一則令人矚目的公告：在新加坡、泰國(guó)和德國(guó)執(zhí)法機(jī)構(gòu)的配合下，他們成功搗毀了被稱為“史上最大僵尸網(wǎng)絡(luò)”的911 S5，并在新加坡逮捕了幕后主使Yunhe Wang（下稱Wang）。

這個(gè)名為911 S5的僵尸網(wǎng)絡(luò)，掌控了超過(guò)1900萬(wàn)個(gè)IP地址，其魔爪幾乎伸向了所有接入了互聯(lián)網(wǎng)的國(guó)家，規(guī)模震驚了網(wǎng)絡(luò)安全界。

它不僅揭示了現(xiàn)代網(wǎng)絡(luò)犯罪的隱蔽性和破壞力，更以其精心設(shè)計(jì)的隱蔽手段和所造成的巨大破壞力，展示了國(guó)際執(zhí)法合作在對(duì)抗跨國(guó)網(wǎng)絡(luò)犯罪時(shí)的重要性。

史上最大的僵尸網(wǎng)絡(luò)

當(dāng)我們提及“僵尸網(wǎng)絡(luò)”這一術(shù)語(yǔ)時(shí)，大多數(shù)人可能會(huì)聯(lián)想到一些規(guī)模較小、影響有限的黑客行為。例如控制成百上千臺(tái)電腦，對(duì)某個(gè)公司或機(jī)構(gòu)發(fā)動(dòng)拒絕服務(wù)（DoS）攻擊。

然而，911 S5的案例徹底顛覆了這一認(rèn)知。這個(gè)由Wang運(yùn)營(yíng)的僵尸網(wǎng)絡(luò)，其規(guī)模之大、影響之廣，令人震驚。

美國(guó)司法部的起訴書顯示，911 S5已經(jīng)滲透到全球近200個(gè)國(guó)家的計(jì)算機(jī)系統(tǒng)中。換句話說(shuō)，幾乎沒(méi)有任何一個(gè)國(guó)家能夠幸免于這個(gè)龐大僵尸網(wǎng)絡(luò)的侵蝕。

更為驚人的是，該網(wǎng)絡(luò)已經(jīng)掌控了超過(guò)1900萬(wàn)個(gè)唯一IP地址，其中僅在美國(guó)就有超過(guò)61萬(wàn)個(gè)。這意味著，在全球范圍內(nèi)，有數(shù)以百萬(wàn)計(jì)的個(gè)人和家庭，他們的電腦和網(wǎng)絡(luò)身份在不知不覺(jué)中已經(jīng)被裹挾為這個(gè)巨大犯罪機(jī)器的一部分。

911 S5的技術(shù)手段同樣令人警醒。不同于那些依賴于用戶無(wú)意中點(diǎn)擊惡意鏈接的傳統(tǒng)僵尸網(wǎng)絡(luò)，911 S5采用了更為隱蔽和欺騙性的手段。

Wang及其團(tuán)隊(duì)開發(fā)了一系列看似正常的VPN軟件，表面上提供免費(fèi)的VPN服務(wù)，吸引了大量尋求網(wǎng)絡(luò)隱私和安全的用戶。然而，用戶一旦安裝這些軟件，其電腦就會(huì)被植入惡意代碼，開啟一個(gè)隱蔽的后門，允許911 S5遠(yuǎn)程控制該設(shè)備。

更為狡猾的是，Wang還利用了點(diǎn)對(duì)點(diǎn)（P2P）網(wǎng)絡(luò)的特性，將惡意軟件嵌入到那些在網(wǎng)上廣泛傳播的破解軟件和游戲中。

這種多層次的傳播策略使得911 S5能夠迅速擴(kuò)張。據(jù)美國(guó)司法部透露，Wang在全球范圍內(nèi)租用了約150臺(tái)服務(wù)器，其中76臺(tái)位于美國(guó)，用于部署惡意軟件、管理受感染的設(shè)備，并為付費(fèi)客戶提供對(duì)被盜IP地址的訪問(wèn)。

隱形的數(shù)字寄生蟲

在這個(gè)數(shù)字化的犯罪帝國(guó)背后，站著今年僅35歲的Yunhe Wang。他不僅是911 S5的創(chuàng)始人和管理者，更是一個(gè)精于心計(jì)的網(wǎng)絡(luò)罪犯。

為了逃避追捕，Wang使用了多個(gè)化名，如Tom Long、Jack Wan等等。更有意思的是，他通過(guò)投資獲得了圣基茨和尼維斯聯(lián)邦（一個(gè)中美洲島國(guó)）的公民身份，這顯示出他早已做好了逃亡的準(zhǔn)備。

Wang的犯罪歷程可以追溯到2011年，那時(shí)他就開始開發(fā)各種惡意軟件。但真正讓他在網(wǎng)絡(luò)犯罪界聲名鵲起的，是在2014年5月推出的911 S5服務(wù)。

這個(gè)服務(wù)的核心想法非常簡(jiǎn)單：利用惡意軟件感染世界各地的電腦，然后將這些被劫持的IP地址出售給其他犯罪分子，讓他們能夠隱藏自己的真實(shí)身份和位置。

Wang的策略高明之處在于他深諳人性弱點(diǎn)，這讓911 S5成為了一條隱形的數(shù)字寄生蟲。他知道，在這個(gè)信息爆炸的時(shí)代，許多人渴望免費(fèi)獲取各種資源，無(wú)論是VPN服務(wù)還是付費(fèi)軟件。

于是，他將惡意代碼嵌入到這些看似無(wú)害的免費(fèi)服務(wù)中。ProxyGate、MaskVPN、DewVPN、Shine VPN等軟件就是他的“特洛伊木馬”，看似在提供免費(fèi)VPN，實(shí)則在后臺(tái)悄悄安裝后門程序。

Wang還將惡意軟件嵌入了那些通過(guò)種子傳播的盜版游戲和軟件中。用戶以為自己只是在下載一個(gè)破解版軟件或游戲，殊不知同時(shí)也在安裝一個(gè)隱形的遠(yuǎn)程控制器。

Wang的手段之所以如此有效，還因?yàn)樗浞掷昧思夹g(shù)手段來(lái)規(guī)避檢測(cè)。比如，在2019年，他專門雇傭了一名被稱為“crypter”的同謀，為他的惡意軟件開發(fā)加密技術(shù)，以繞過(guò)殺毒軟件的檢測(cè)。

當(dāng)他的ProxyGate程序在2020年左右開始被頻繁識(shí)別時(shí)，他迅速轉(zhuǎn)向了更隱蔽的MaskVPN和DewVPN，展示出他對(duì)形勢(shì)的敏銳判斷和快速適應(yīng)能力。

到2022年7月，Wang已經(jīng)建立了一個(gè)擁有超過(guò)1900萬(wàn)個(gè)獨(dú)特IP地址的龐大僵尸網(wǎng)絡(luò)。在任何時(shí)候，他都可以向客戶提供約20萬(wàn)個(gè)活躍的IP地址。

這些IP地址可以按地理位置、城市、州、郵政編碼，甚至特定的網(wǎng)絡(luò)服務(wù)提供商進(jìn)行篩選，讓犯罪分子能夠精確地選擇他們想要顯示的位置。

正是這種靈活性和隱蔽性，讓911 S5成為了各類網(wǎng)絡(luò)犯罪分子的首選工具。而Wang憑借這一“創(chuàng)新”，從2018年到2022年7月，累計(jì)獲利超過(guò)9900萬(wàn)美元。

Wang 利用這些收入在美國(guó)、圣基茨和尼維斯、中國(guó)、新加坡、泰國(guó)和阿聯(lián)酋等地購(gòu)買了至少21 處房產(chǎn)，此外還有2022年法拉利 F8 Spider、寶馬 i8和 X7 M50d、勞斯萊斯等豪車，百達(dá)翡麗等豪華腕表，以及20 個(gè)具有高價(jià)值的域名。

隱匿身份，助紂為虐

911 S5的危害遠(yuǎn)遠(yuǎn)超出了一般的僵尸網(wǎng)絡(luò)。它不僅規(guī)模龐大，更因其提供的服務(wù)性質(zhì)，成為了全球犯罪分子的“瑞士軍刀”，適用于各種需要隱匿身份的違法活動(dòng)。

金融欺詐是911 S5客戶最常從事的活動(dòng)之一，其中尤以針對(duì)美國(guó)疫情救助計(jì)劃的欺詐最為嚴(yán)重。

當(dāng)新冠疫情席卷美國(guó)，政府推出大規(guī)模救助計(jì)劃時(shí)，一些不法分子看到了可乘之機(jī)。他們利用911 S5提供的IP地址，偽裝成美國(guó)居民申請(qǐng)失業(yè)救濟(jì)金和經(jīng)濟(jì)損失災(zāi)難貸款。

據(jù)美國(guó)政府估計(jì)，約有56萬(wàn)起欺詐性失業(yè)保險(xiǎn)索賠來(lái)自被911 S5盜用的IP地址，導(dǎo)致確認(rèn)的欺詐損失超過(guò)59億美元。另有4.7萬(wàn)份經(jīng)濟(jì)損失災(zāi)難貸款申請(qǐng)也疑似來(lái)自盜用的地址。

911 S5還被廣泛用于信用卡欺詐和銀行欺詐。犯罪分子使用被盜的信用卡信息在網(wǎng)上購(gòu)物時(shí)，會(huì)通過(guò)911 S5的服務(wù)隱藏自己的真實(shí)位置，使交易看起來(lái)是由信用卡所有者發(fā)起的。美國(guó)金融機(jī)構(gòu)報(bào)告稱，數(shù)以百萬(wàn)美元的損失可追溯到被911 S5劫持的IP地址。

然而，911 S5帶來(lái)的危害不僅限于金融領(lǐng)域。令人不安的是，它還被用于一些更為邪惡的行為。例如，有人利用911 S5網(wǎng)絡(luò)發(fā)送炸彈威脅，這不僅造成了公共恐慌，還浪費(fèi)了大量執(zhí)法資源。

更令人發(fā)指的是，一些犯罪分子還使用911 S5進(jìn)行兒童剝削，傳播和交換兒童性虐待材料?？紤]到這些內(nèi)容對(duì)受害兒童造成的終身心理創(chuàng)傷，助紂為虐的911 S5尤其可惡。

此外，911 S5還成為了非法出口活動(dòng)的幫兇。一些國(guó)際犯罪分子利用從911 S5購(gòu)買的IP地址，通過(guò)美國(guó)陸軍和空軍交易服務(wù)（AAFES）的在線電子商務(wù)平臺(tái)ShopMyExchange下達(dá)虛假訂單，購(gòu)買并非法出口軍用商品。

在一項(xiàng)犯罪活動(dòng)中，來(lái)自加納和美國(guó)的犯罪分子提交了約2,525份價(jià)值550萬(wàn)美元的欺詐訂單。幸運(yùn)的是，美國(guó)聯(lián)邦調(diào)查人員成功阻止了大部分訂單，將實(shí)際損失控制在約254,000美元。

這些案例只是911 S5所造成危害的冰山一角。由于其龐大的規(guī)模和隱蔽的特性，我們可能永遠(yuǎn)無(wú)法完全量化其影響。但是，即便從這些已知案例中，我們也清楚地看到了它對(duì)個(gè)人、企業(yè)和國(guó)家安全的巨大威脅。

跨國(guó)合作，一舉搗毀

如果說(shuō)911 S5展示了現(xiàn)代網(wǎng)絡(luò)犯罪的跨國(guó)性、隱蔽性和危害性，那么對(duì)其的打擊行動(dòng)則展示了國(guó)際執(zhí)法合作的力量和價(jià)值。這次行動(dòng)不僅跨越了多個(gè)國(guó)家的邊界，還匯集了各國(guó)不同部門的專業(yè)力量，共同編織了一張密不透風(fēng)的執(zhí)法網(wǎng)。

行動(dòng)由美國(guó)司法部牽頭，但其成功很大程度上歸功于新加坡、泰國(guó)和德國(guó)執(zhí)法機(jī)構(gòu)的密切配合。正是這種跨國(guó)合作，讓追捕網(wǎng)絡(luò)犯罪分子的過(guò)程不再受制于地理限制。即便Wang等人試圖利用其多國(guó)公民身份來(lái)逃避追捕，最終還是難逃法網(wǎng)。

在美國(guó)國(guó)內(nèi)，這次行動(dòng)展現(xiàn)了多部門協(xié)作的威力。例如，F(xiàn)BI的網(wǎng)絡(luò)專家負(fù)責(zé)追蹤911 S5的數(shù)字足跡，定位其基礎(chǔ)設(shè)施；商務(wù)部工業(yè)和安全局則專注于舉證Wang和911 S5如何違反了相關(guān)法律；而國(guó)防部的參與則說(shuō)明了911 S5對(duì)國(guó)家安全的潛在威脅。

更重要的是，執(zhí)法部門還查獲了70多臺(tái)服務(wù)器和23個(gè)域名，這些資源構(gòu)成了911 S5的核心網(wǎng)絡(luò)。通過(guò)同時(shí)收繳歷史域名和近期新注冊(cè)的域名，他們不僅成功關(guān)閉了現(xiàn)有的惡意后門，還阻止了Wang通過(guò)其新創(chuàng)辦的服務(wù)Clourouter.io繼續(xù)為非作歹。

結(jié)語(yǔ)

911 S5案件揭示了技術(shù)與法律之間的持續(xù)博弈。一方面，犯罪分子利用先進(jìn)技術(shù)隱藏身份，創(chuàng)造了前所未有的龐大僵尸網(wǎng)絡(luò)。另一方面，執(zhí)法部門也在不斷提升技術(shù)能力，在網(wǎng)絡(luò)上收集蛛絲馬跡，通過(guò)國(guó)際合作成功應(yīng)對(duì)這一挑戰(zhàn)。

這一案件還為互聯(lián)網(wǎng)生態(tài)系統(tǒng)敲響了警鐘。很多用戶在網(wǎng)上尋求免費(fèi)服務(wù)，如VPN或盜版軟件，但這些看似無(wú)害的選擇可能暗藏巨大風(fēng)險(xiǎn)。911 S5的惡意軟件就是通過(guò)這些渠道傳播的，提醒我們必須對(duì)網(wǎng)絡(luò)上的“免費(fèi)午餐”保持警惕。

出品：科普中國(guó)

特 別 提 示

1. 進(jìn)入『返樸』微信公眾號(hào)底部菜單“精品專欄“，可查閱不同主題系列科普文章。

2. 『返樸』提供按月檢索文章功能。關(guān)注公眾號(hào)，回復(fù)四位數(shù)組成的年份+月份，如“1903”，可獲取2019年3月的文章索引，以此類推。

版權(quán)說(shuō)明：歡迎個(gè)人轉(zhuǎn)發(fā)，任何形式的媒體或機(jī)構(gòu)未經(jīng)授權(quán)，不得轉(zhuǎn)載和摘編。轉(zhuǎn)載授權(quán)請(qǐng)?jiān)凇阜禈恪刮⑿殴娞?hào)內(nèi)聯(lián)系后臺(tái)。