过去十年间，一个庞大而隐秘的僵尸网络悄然蔓延，它控制着超过1900万个IP地址，影响遍布全球近200个国家。如今，随着这个 “史上最大僵尸网络”被挖出，其规模之大、影响之广，令人震惊，彻底颠覆了人们此前的认知。

撰文 | Ren

在数字时代，技术的进步总是伴随着新的风险。

过去的十年里，在互联网的阴暗角落，一个庞大而隐蔽的僵尸网络悄然蔓延，如同海底冰山，只在水面上显露出微不足道的一角，却在暗流涌动的深处，构筑起一个规模空前的犯罪帝国。

2024年5月31日，美国司法部发布了一则令人瞩目的公告：在新加坡、泰国和德国执法机构的配合下，他们成功捣毁了被称为“史上最大僵尸网络”的911 S5，并在新加坡逮捕了幕后主使Yunhe Wang（下称Wang）。

这个名为911 S5的僵尸网络，掌控了超过1900万个IP地址，其魔爪几乎伸向了所有接入了互联网的国家，规模震惊了网络安全界。

它不仅揭示了现代网络犯罪的隐蔽性和破坏力，更以其精心设计的隐蔽手段和所造成的巨大破坏力，展示了国际执法合作在对抗跨国网络犯罪时的重要性。

史上最大的僵尸网络

当我们提及“僵尸网络”这一术语时，大多数人可能会联想到一些规模较小、影响有限的黑客行为。例如控制成百上千台电脑，对某个公司或机构发动拒绝服务（DoS）攻击。

然而，911 S5的案例彻底颠覆了这一认知。这个由Wang运营的僵尸网络，其规模之大、影响之广，令人震惊。

美国司法部的起诉书显示，911 S5已经渗透到全球近200个国家的计算机系统中。换句话说，几乎没有任何一个国家能够幸免于这个庞大僵尸网络的侵蚀。

图 ：针对Yunhe Wang的起诉书丨来源：美国司法部

更为惊人的是，该网络已经掌控了超过1900万个唯一IP地址，其中仅在美国就有超过61万个。这意味着，在全球范围内，有数以百万计的个人和家庭，他们的电脑和网络身份在不知不觉中已经被裹挟为这个巨大犯罪机器的一部分。

911 S5的技术手段同样令人警醒。不同于那些依赖于用户无意中点击恶意链接的传统僵尸网络，911 S5采用了更为隐蔽和欺骗性的手段。

Wang及其团队开发了一系列看似正常的VPN软件，表面上提供免费的VPN服务，吸引了大量寻求网络隐私和安全的用户。然而，用户一旦安装这些软件，其电脑就会被植入恶意代码，开启一个隐蔽的后门，允许911 S5远程控制该设备。

更为狡猾的是，Wang还利用了点对点（P2P）网络的特性，将恶意软件嵌入到那些在网上广泛传播的破解软件和游戏中。

这种多层次的传播策略使得911 S5能够迅速扩张。据美国司法部透露，Wang在全球范围内租用了约150台服务器，其中76台位于美国，用于部署恶意软件、管理受感染的设备，并为付费客户提供对被盗IP地址的访问。

隐形的数字寄生虫

在这个数字化的犯罪帝国背后，站着今年仅35岁的Yunhe Wang。他不仅是911 S5的创始人和管理者，更是一个精于心计的网络罪犯。

为了逃避追捕，Wang使用了多个化名，如Tom Long、Jack Wan等等。更有意思的是，他通过投资获得了圣基茨和尼维斯联邦（一个中美洲岛国）的公民身份，这显示出他早已做好了逃亡的准备。

Wang的犯罪历程可以追溯到2011年，那时他就开始开发各种恶意软件。但真正让他在网络犯罪界声名鹊起的，是在2014年5月推出的911 S5服务。

这个服务的核心想法非常简单：利用恶意软件感染世界各地的电脑，然后将这些被劫持的IP地址出售给其他犯罪分子，让他们能够隐藏自己的真实身份和位置。

Wang的策略高明之处在于他深谙人性弱点，这让911 S5成为了一条隐形的数字寄生虫。他知道，在这个信息爆炸的时代，许多人渴望免费获取各种资源，无论是VPN服务还是付费软件。

于是，他将恶意代码嵌入到这些看似无害的免费服务中。ProxyGate、MaskVPN、DewVPN、Shine VPN等软件就是他的“特洛伊木马”，看似在提供免费VPN，实则在后台悄悄安装后门程序。

Wang还将恶意软件嵌入了那些通过种子传播的盗版游戏和软件中。用户以为自己只是在下载一个破解版软件或游戏，殊不知同时也在安装一个隐形的远程控制器。

图：911 S5的运作过程十分复杂，其基础设施的构建使得逆向工程变得很困难。丨来源：usherbrooke

Wang的手段之所以如此有效，还因为他充分利用了技术手段来规避检测。比如，在2019年，他专门雇佣了一名被称为“crypter”的同谋，为他的恶意软件开发加密技术，以绕过杀毒软件的检测。

当他的ProxyGate程序在2020年左右开始被频繁识别时，他迅速转向了更隐蔽的MaskVPN和DewVPN，展示出他对形势的敏锐判断和快速适应能力。

到2022年7月，Wang已经建立了一个拥有超过1900万个独特IP地址的庞大僵尸网络。在任何时候，他都可以向客户提供约20万个活跃的IP地址。

这些IP地址可以按地理位置、城市、州、邮政编码，甚至特定的网络服务提供商进行筛选，让犯罪分子能够精确地选择他们想要显示的位置。

正是这种灵活性和隐蔽性，让911 S5成为了各类网络犯罪分子的首选工具。而Wang凭借这一“创新”，从2018年到2022年7月，累计获利超过9900万美元。

Wang 利用这些收入在美国、圣基茨和尼维斯、中国、新加坡、泰国和阿联酋等地购买了至少21 处房产，此外还有2022年法拉利 F8 Spider、宝马 i8和 X7 M50d、劳斯莱斯等豪车，百达翡丽等豪华腕表，以及20 个具有高价值的域名。

隐匿身份，助纣为虐

911 S5的危害远远超出了一般的僵尸网络。它不仅规模庞大，更因其提供的服务性质，成为了全球犯罪分子的“瑞士军刀”，适用于各种需要隐匿身份的违法活动。

金融欺诈是911 S5客户最常从事的活动之一，其中尤以针对美国疫情救助计划的欺诈最为严重。

当新冠疫情席卷美国，政府推出大规模救助计划时，一些不法分子看到了可乘之机。他们利用911 S5提供的IP地址，伪装成美国居民申请失业救济金和经济损失灾难贷款。

据美国政府估计，约有56万起欺诈性失业保险索赔来自被911 S5盗用的IP地址，导致确认的欺诈损失超过59亿美元。另有4.7万份经济损失灾难贷款申请也疑似来自盗用的地址。

911 S5还被广泛用于信用卡欺诈和银行欺诈。犯罪分子使用被盗的信用卡信息在网上购物时，会通过911 S5的服务隐藏自己的真实位置，使交易看起来是由信用卡所有者发起的。美国金融机构报告称，数以百万美元的损失可追溯到被911 S5劫持的IP地址。

然而，911 S5带来的危害不仅限于金融领域。令人不安的是，它还被用于一些更为邪恶的行为。例如，有人利用911 S5网络发送炸弹威胁，这不仅造成了公共恐慌，还浪费了大量执法资源。

更令人发指的是，一些犯罪分子还使用911 S5进行儿童剥削，传播和交换儿童性虐待材料。考虑到这些内容对受害儿童造成的终身心理创伤，助纣为虐的911 S5尤其可恶。

此外，911 S5还成为了非法出口活动的帮凶。一些国际犯罪分子利用从911 S5购买的IP地址，通过美国陆军和空军交易服务（AAFES）的在线电子商务平台ShopMyExchange下达虚假订单，购买并非法出口军用商品。

在一项犯罪活动中，来自加纳和美国的犯罪分子提交了约2,525份价值550万美元的欺诈订单。幸运的是，美国联邦调查人员成功阻止了大部分订单，将实际损失控制在约254,000美元。

这些案例只是911 S5所造成危害的冰山一角。由于其庞大的规模和隐蔽的特性，我们可能永远无法完全量化其影响。但是，即便从这些已知案例中，我们也清楚地看到了它对个人、企业和国家安全的巨大威胁。

跨国合作，一举捣毁

如果说911 S5展示了现代网络犯罪的跨国性、隐蔽性和危害性，那么对其的打击行动则展示了国际执法合作的力量和价值。这次行动不仅跨越了多个国家的边界，还汇集了各国不同部门的专业力量，共同编织了一张密不透风的执法网。

行动由美国司法部牵头，但其成功很大程度上归功于新加坡、泰国和德国执法机构的密切配合。正是这种跨国合作，让追捕网络犯罪分子的过程不再受制于地理限制。即便Wang等人试图利用其多国公民身份来逃避追捕，最终还是难逃法网。

在美国国内，这次行动展现了多部门协作的威力。例如，FBI的网络专家负责追踪911 S5的数字足迹，定位其基础设施；商务部工业和安全局则专注于举证Wang和911 S5如何违反了相关法律；而国防部的参与则说明了911 S5对国家安全的潜在威胁。

更重要的是，执法部门还查获了70多台服务器和23个域名，这些资源构成了911 S5的核心网络。通过同时收缴历史域名和近期新注册的域名，他们不仅成功关闭了现有的恶意后门，还阻止了Wang通过其新创办的服务Clourouter.io继续为非作歹。

结语

911 S5案件揭示了技术与法律之间的持续博弈。一方面，犯罪分子利用先进技术隐藏身份，创造了前所未有的庞大僵尸网络。另一方面，执法部门也在不断提升技术能力，在网络上收集蛛丝马迹，通过国际合作成功应对这一挑战。

这一案件还为互联网生态系统敲响了警钟。很多用户在网上寻求免费服务，如VPN或盗版软件，但这些看似无害的选择可能暗藏巨大风险。911 S5的恶意软件就是通过这些渠道传播的，提醒我们必须对网络上的“免费午餐”保持警惕。

参考资料

[1] https://interestingengineering.com/culture/worlds-largest-botnet-takedown

[2] https://gric.recherche.usherbrooke.ca/rpaas/

[3] https://www.justice.gov/opa/pr/911-s5-botnet-dismantled-and-its-administrator-arrested-coordinated-international-operation

[4] https://www.justice.gov/opa/media/1353516/dl?inline

出品：科普中国