"Größtes Botnet der Geschichte" 911 S5: Verdächtiger verhaftet

Das laut FBI "wahrscheinlich größte Botnetz der Geschichte" soll Windows-Computer hinter 19 Millionen IP-Adressen infiziert und für VPN-Dienste unter verschiedenen Markennamen missbraucht haben. US-Behörden nennen das Botnetz "911 S5". Es lief von 2014 bis 2022. Jetzt ist der als Betreiber verdächtigte YunHe W. in Haft. Das meldet das US-Justizministerium, das den Mann vor Gericht stellt. Für den Angeklagten gilt die Unschuldsvermutung.

Der IT-Sicherheitsforscher Brian Krebs hat 911 S5 bereits 2022 analysiert und damals W. als Hauptverdächtigen ausgemacht. Kurz nach Krebs’ Veröffentlichung ging 911 S5 offline und begründete dies mit laufenden Angriffen, gestohlene Konten und zerstörten Daten. Laut US-Behörden infizierte W. Windows-Computer in fast 200 Staaten und kontrollierte sie mit rund 150 über die Welt verteilten Kontrollservern. Internetzugriff über diese fremden Computer vermietete er dann, zahlbar mit Bitcoin sowie chinesischen und russischen Zahlungsdiensten.

Wer zugriff und die VPN-Software installierte, machte seinen Computer ebenfalls zum Teil des Netzes. Das soll der Verdächtige aber nicht offengelegt haben. Zusätzlich bezahlte er Dritte, um seine Botnetz-Software über andere Programme sowie Flash-Dateien zu verbreiten. W. soll über 99 Millionen US-Dollar verdient und in Immobilien, Luxusautos und teure Uhren gesteckt haben.

Wiederauferstehung erstickt

Diesen Februar berichtete SPUR, dass jemand einen kleinen Teil von 911 S5 reaktiviert habe; unter dem Namen Cloud Router waren rund 140.000 IP-Adressen des alten Botnet buchbar. Dieses Mal wurde den Kunden nicht verheimlicht, dass auch ihr Gerät Teil des Netzes wird, wenn sie die VPN-Software installieren. Das FBI hat Empfehlungen zum Aufspüren und Entfernen der Software veröffentlicht.

Nun haben Behörden in Deutschland, Singapur, Thailand und den USA in einer gemeinsamen Aktion Cloud-Router-Kontrollserver, Internetdomains sowie W. zugeschriebenes Vermögen im Wert von rund 30 Millionen US-Dollar beschlagnahmt. Zusätzlich haben sie Vermögenswerte im Wert von weiteren 30 Millionen Dollar identifiziert, die sie noch beschlagnahmen möchten. Wo der Verdächtige verhaftet wurde, geht aus der Mitteilung des US-Justizministeriums nicht hervor. Der Angeklagte ist Staatsbürger St. Kitt und Nevis’ sowie der Volksrepublik China.

Zusätzlich hat das US-Finanzministerium Wirtschaftssanktionen gegen den Angeklagten, drei ihm zugeschriebene Firmen, sowie zwei als Komplizen verdächtigte verhängt. Die beiden weiteren Personen sollen insbesondere dabei geholfen haben, die Einnahmen zu waschen und in Immobilien in mehreren Ländern anzulegen.

Litanei an Übeltaten

US-Justizminister Gerrick Marland wirft dem Betreiber vor, durch seinen Dienst kriminelle Machenschaften Dritter ermöglicht zu haben, darunter Betrug, Bombendrohungen, IT-Angriffe, Verstöße gegen Exportbeschränkungen sowie Übertragungen von Darstellungen des Missbrauchs Minderjähriger. Alleine betrügerische Anträge auf Arbeitslosenversicherungsleistungen in den USA, die über Internetzugänge nichts ahnender Amerikaner gestellt wurden, sollen einen Schaden in Höhe von 5,9 Milliarden US-Dollar verursacht haben. Die Täter nutzten dafür personenbezogene Daten aus unzulänglich gesicherten Datenbanken, wie sie laufend veröffentlicht oder verkauft werden.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

YouTube-Video immer laden YouTube-Video jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Auch an fremden Bankkonten sowie Kreditkarten sollen sich Täter unter Zuhilfenahme 911 S5s bereichert haben. Speziell beim Einsatz fremder Kreditkartendaten ist der Zugriff über Haushalten zugeordnete IP-Adressen ein Mittel der Wahl, um Abwehrsysteme von Zahlungsdienstleistern zu unterlaufen. Alleine in den USA zählen die Ermittler rund 614,000 IP-Adressen, über die 911 S5 gelaufen sei.

Das Strafverfahren heißt United States of America v YunHe W. und ist am US-Bundesbezirksgericht für das östliche Texas unter dem Az. 4:23-cr-101 anhängig. Die Anklagepunkte lauten auf Computerbetrug sowie Verschwörung zu Computerbetrug, zu Geldwäsche sowie zu Betrug unter Verwendung von Telekommunikation. Sollte W. schuldig sein, drohen ihm bis zu 65 Jahre Haft.

• Anklageschrift USA v. YunHe Wang

(ds)