Le département du Trésor américain a sanctionné trois ressortissants chinois pour leur implication dans un botnet alimenté par VPN avec plus de 19 millions d’adresses IP résidentielles qu’ils ont louées à des cybercriminels pour dissimuler leurs activités illégales, notamment des escroqueries à l’aide humanitaire et des alertes à la bombe liées au COVID-19.
L’entreprise criminelle, a déclaré mardi le département du Trésor, était un service proxy résidentiel connu sous le nom de 911 S5. Ces services fournissent une banque d’adresses IP appartenant aux utilisateurs domestiques quotidiens grâce auxquelles les clients peuvent acheminer leurs connexions Internet. Lors de l’accès à un site Web ou à un autre service Internet, la connexion semble provenir de l’utilisateur domestique.
En 2022, des chercheurs de l’Université de Sherbrooke ont dressé le profil du 911[.]re, un service qui semble être une version antérieure du 911 S5. A l’époque, son infrastructure comptait 120 000 adresses IP résidentielles. Ce pool a été créé à l’aide de l’un des deux VPN gratuits (MaskVPN et DewVPN) commercialisés auprès des utilisateurs finaux. En plus d’agir comme un VPN légitime, le logiciel fonctionnait également comme un botnet qui transformait secrètement les appareils des utilisateurs en serveur proxy. La structure complexe a été conçue dans le but de rendre le botnet difficile à rétro-ingénierie.
Les appareils MaskVPN et DewVPN connectés au type de serveur que les VPN légitimes utilisent pour masquer l’adresse IP d’origine et acheminer le trafic via un tunnel crypté. Dans le même temps, une fonctionnalité cachée établissait un socket TCP permanent vers un serveur de commande et de contrôle de botnet. Des chercheurs de l’Université de Sherbrooke ont écrit :
Cette connexion TCP est établie avec les serveurs C2 de l’infrastructure backend 911.re et rend le nœud disponible pour les connexions via l’interface 911.re. Un processus de pulsation est en place pour garantir que le nœud est répertorié comme disponible. À aucun moment, il n’y a de connexion directe entre le nœud infecté et l’abonné payant 911.re même lorsque le nœud est sélectionné et que le trafic passe par là. Tout le trafic réseau est toujours acheminé entre les serveurs C2 basés aux États-Unis, réduisant ainsi le risque de détection d’anomalies par les systèmes IDS ou IPS. Mask VPN et Dew VPN utilisent une implémentation personnalisée d’OpenVPN open source.
La recherche a conduit à une enquête menée par KrebsOnSecurity qui a révélé que Yunhe Wang, de Pékin, était l’une des personnes ayant enregistré les domaines utilisés par le 911.[.]concernant les infrastructures.
Wang était l’une des trois personnes sanctionnées mardi. Les responsables du Trésor ont déclaré que Wang était l’abonné enregistré aux services utilisés à la fois par le 911 S5 et par les opérations MaskVPN et DewVPN, une indication qu’ils s’appuyaient sur certaines des mêmes ressources que le journaliste Brian Krebs. Ils ont également désigné Jingping Liu comme co-conspirateur pour avoir prétendument aidé Wang à blanchir de la monnaie virtuelle et d’autres produits générés par l’entreprise 911 S5. Les responsables ont en outre nommé Yanni Zheng pour avoir prétendument agi sous la procuration de Wang et participé à des transactions commerciales et effectué des achats et des paiements au nom de Wang, notamment pour une copropriété de luxe en bord de mer en Thaïlande.
« Ces individus ont exploité leur technologie de botnet malveillant pour compromettre les appareils personnels, permettant ainsi aux cybercriminels d’obtenir frauduleusement une aide économique destinée à ceux qui en ont besoin et de terroriser nos citoyens avec des menaces à la bombe », a déclaré le sous-secrétaire Brian E. Nelson. « Le Trésor, en étroite coordination avec nos collègues chargés de l’application des lois et nos partenaires internationaux, continuera de prendre des mesures pour perturber les cybercriminels et autres acteurs illicites qui cherchent à voler les contribuables américains. »
Les responsables du Trésor ont également sanctionné trois entreprises basées en Thaïlande : Spicy Code Company Limited, qui a acheté des propriétés immobilières supplémentaires pour Wang, et Tulip Biz Pattaya Group Company Limited et Lily Suites Company Limited, toutes deux achetées par Wang.
Les responsables ont déclaré que le botnet 911 S5 comprenait environ 19 millions d’adresses IP. Les criminels l’ont utilisé dans « des dizaines de milliers d’applications frauduleuses » liées aux escroqueries de secours contre les coronavirus qui ont entraîné une perte de milliards de dollars pour le gouvernement américain. Les adresses IP compromises par le service étaient également liées à une série d’alertes à la bombe lancées partout aux États-Unis en juillet 2022.
Selon ces désignations, tous les biens des particuliers et des entreprises situés aux États-Unis ou en possession ou sous le contrôle de personnes américaines doivent être bloqués et signalés au Bureau de contrôle des avoirs étrangers du Département du Trésor. Les sanctions interdisent également à quiconque aux États-Unis toute transaction impliquant l’un des biens bloqués. Les personnes qui ne respectent pas les sanctions peuvent elles-mêmes être exposées à une désignation.
L’action de mardi intervient six jours après que des chercheurs de la société de sécurité Mandiant, propriété de Google, ont déclaré que l’utilisation par les acteurs de la menace liée à la Chine de réseaux proxy résidentiels connus sous le nom de réseaux de boîtes de relais opérationnels entravait les moyens traditionnels de suivi et de défense contre les cyberattaques. Les chercheurs de Mandiant ont exhorté les défenseurs à adopter de nouvelles approches.
« Mandiant affirme que la meilleure façon de relever le défi posé par les réseaux ORB est d’arrêter de suivre l’infrastructure d’espionnage C2 en tant qu’indicateur inerte de compromission et de commencer à la suivre en tant qu’entité avec des TTP distincts », ont écrit les chercheurs. « Nous n’opérons plus dans un monde de type « bloquer et passer à autre chose » où les adresses IP font partie de la phase d’armement d’APT et de la chaîne de destruction C2. »