Plus grande botnet jamais créé liée à des milliards de fonds de secours Covid-19 volés

Le Département de la Justice des États-Unis a annoncé mercredi des accusations contre un ressortissant chinois de 35 ans, Yunhe Wang, accusé d’avoir exploité un vaste botnet lié à des milliards de dollars de fraude, d’exploitation d’enfants et de menaces de bombes, entre autres crimes.

Wang, identifié par de nombreux pseudonymes – Tom Long et Jack Wan, entre autres – a été arrêté le 24 mai et est accusé de distribuer des logiciels malveillants à travers différents services VPN pop-up, tels que « ProxyGate » et « MaskVPN », et en intégrant des virus dans des fichiers internet distribués via des réseaux pair à pair connus sous le nom de torrents.

Les logiciels malveillants auraient compromis des ordinateurs situés dans presque tous les pays du monde, les transformant en proxies grâce auxquels les criminels pouvaient dissimuler leur identité tout en commettant d’innombrables crimes. Selon les procureurs aux États-Unis, cela inclut le vol de milliards de dollars destinés à l’aide liée à la pandémie de Covid-19 – des fonds prétendument volés par des acteurs étrangers se faisant passer pour des citoyens américains au chômage.

Selon une inculpation, les ordinateurs infectés auraient fourni aux clients de Wang une porte dérobée persistante, leur permettant de se déguiser en l’une des victimes du logiciel malveillant de Wang. Ce service proxy illicite, connu sous le nom de « 911 S5 », aurait été lancé dès 2014, affirme le gouvernement américain.

« Le botnet 911 S5 a infecté des ordinateurs dans près de 200 pays et a facilité toute une série de crimes informatiques, y compris des fraudes financières, des vols d’identité et de l’exploitation d’enfants », déclare le directeur du FBI, Christopher Wray, qui a décrit le service illicite comme « probablement le plus grand botnet au monde ».

Le département du Trésor américain a également sanctionné Wang et deux autres individus présumés liés au 911 S5.

Wang aurait accumulé l’accès à près de 614 000 adresses IP aux États-Unis et à plus de 18 millions d’autres dans le monde entier, formant collectivement le botnet. Les clients de 911 S5 pouvaient filtrer géographiquement les adresses IP pour choisir où ils souhaitaient être localisés, jusqu’à un code postal spécifique aux États-Unis, affirme le département de la Justice.

L’acte d’accusation indique que sur les 150 serveurs dédiés utilisés pour gérer le botnet, jusqu’à 76 étaient loués par des fournisseurs de services basés aux États-Unis, y compris celui hébergeant l’interface client de 911 S5, qui permettait à des criminels à l’étranger d’acheter des biens avec des cartes de crédit volées, dans de nombreux cas dans le but présumé de contourner les lois américaines sur l’exportation.

Plus de 500 000 demandes frauduleuses déposées auprès des programmes d’aide liés à la pandémie aux États-Unis seraient liées à 911 S5. Selon l’acte d’accusation, près de 6 milliards de dollars de pertes ont été liées aux adresses IP capturées par 911 S5. Beaucoup de ces adresses IP ont été apparemment liées à des crimes plus insidieux, y compris des menaces de bombes et le trafic de matériel d’abus sexuel sur des enfants, ou CSAM.

« Des services de proxy comme 911 S5 sont des menaces omniprésentes qui protègent les criminels derrière les adresses IP compromises des ordinateurs résidentiels dans le monde entier », déclare Damien Diggs, le procureur américain pour le district Est du Texas, où les accusations contre Wang ont été portées par un grand jury plus tôt ce mois-ci.

Nicole Argentieri, chef de la Division criminelle du département de la Justice, ajoute : « Ces criminels ont utilisé les ordinateurs piratés pour dissimuler leurs identités et commettre toute une série de crimes, de la fraude au cyberharcèlement ».

Au moment de la rédaction de cet article, il n’est pas clair si ces impersonnations virtuelles ont donné lieu à des enquêtes criminelles ou à des accusations contre des victimes basées aux États-Unis dont les adresses IP ont été piratées dans le cadre du botnet 911 S5. WIRED attend une réponse du Département de la Justice concernant cette préoccupation.

Selon le Département de la Justice, les agences de l’application des lois à Singapour, en Thaïlande et en Allemagne ont collaboré avec les autorités américaines pour arrêter Wang.

Wang est accusé de complot, de fraude informatique, de complot en vue de commettre une fraude par voie électronique et de complot en vue de blanchiment d’argent, avec une peine maximale de 65 ans de prison. Les États-Unis cherchent également à saisir une montagne de voitures de luxe et de biens prétendument détenus par Wang, y compris une Ferrari Spider 2022 d’une valeur d’environ un demi-million de dollars ainsi qu’une montre Patek Philippe valant potentiellement plusieurs fois cette somme.