Tietoturva Nyt!
Toukokuussa 2024 suljettu 911 S5 -bottiverkko tarjosi rikollisille pääsyn vaarantuneisiin IP-osoitteisiin ja niihin liittyviin yksityishenkilöiden ja yritysten omistamiin laitteisiin. Joukossa on ollut myös tuhansia kaapattuja laitteita, joiden IP-osoite sijaitsee Suomessa. Kaappaukset ovat tapahtuneet haitallisten VPN-palveluiden avulla. Ohjeen avulla tunnistat ja poistat haitallisen palvelun laitteeltasi.
Bottiverkko on verkosto saastuneita tietokoneita tai laitteita, jotka toimivat yhdessä automaattisesti omistajiensa tietämättä. Toukokuussa 2014 toimintansa aloittaneeseen 911 S5-nimiseen bottiverkkoon kuului yli 19 miljoonaa vaarantunutta IP-osoitetta yli 190 maassa, tehden siitä yhden suurimmista yhdysvaltalaisista välityspalvelinpalveluista ja bottiverkoista. Yhdysvaltain oikeusministeriö ja kansainväliset kumppanit purkivat 911 S5 -bottiverkon toukokuun lopussa 2024 ja pidättivät bottiverkon ylläpitäjänä toimineen 35-vuotiaan Kiinan kansalaisen, YunHe Wangin. Bottiverkko suljettiin hetkeksi myös vuonna 2022, mutta se ilmestyi takaisin lokakuussa 2023, uudella nimellä CloudRouter.
Laitteita kaapattiin osaksi 911 S5-bottiverkkoa jakamalla VPN-sovelluksiin sisäänrakennettuja, haitallisia välityspalvelinten takaovia. Välityspalvelimen takaoven avulla 911 S5-bottiverkon käyttäjät pystyivät ohjaamaan laitteensa uudelleen uhrien laitteiden kautta, saaden rikollisen toiminnan näyttämään siltä, kuin se olisi peräisin uhrien laitteista.
Ilmaiset, laittomat VPN-palvelut oli pakattu piraattivideopeleihin ja ohjelmistoihin, joita uhrit latasivat laitteilleen. Kun lataus oli valmis, VPN-sovellus ja välityspalvelimen takaovi asentuivat uhrien tietämättä heidän laitteisiinsa, ja heistä tuli tietämättään osa 911 S5 -bottiverkkoa.
Näin tunnistat ja poistat 911 S5- bottiverkkoon yhteydessä olevat haitalliset VPN-sovellukset
Haitalliset VPN-sovellukset, jotka luovat yhteyden 911 S5 -bottiverkkoon:
- MaskVPN
- DewVPN
- PaladinVPN
- ProxyGate
- ShieldVPN
- ShineVPN
Tarkista, onko laitteellasi tapaukseen liittyvä haitallinen ohjelmisto:
1. Mene Tehtävienhallintaan painamalla näppäimistöltä Ctrl + Alt + Delete ja valitsemalla "Tehtävienhallinta" tai napsauttamalla hiiren oikealla painikkeella Windowsin tehtäväpalkkia ja valitsemalla "Tehtävienhallinta".
2. Tarkista Tehtävienhallinta -ikkunassa Prosessit -välilehdeltä, löydätkö jonkin alla olevista prosesseista:
- MaskVPN (mask_svc.exe)
- DewVPN (dew_svc.exe)
- PaladinVPN (pldsvc.exe)
- ProxyGate (proxygate.exe, cloud.exe)
- ShieldVPN (shieldsvc.exe)
- ShineVPN (shsvc.exe)
3. Klikkaa hiirellä "Käynnistä" (Windows-kuvake) -painiketta, joka löytyy tavallisesti näytön vasemmasta alakulmasta. Hae sitten tapaukseen liitettyjä, haitallisia sovelluksia vielä nimeltä:
- MaskVPN
- DewVPN
- ShieldVPN
- PaladinVPN
- ShineVPN
- ProxyGate
Poista ohjelmisto
4. Jos jokin mainituista VPN-sovelluksista löytyy, VPN-sovelluksen Käynnistä-valikon alta löytyy joskus asennuksen poisto. Jos asennuksen poistovaihtoehto ei ole käytettävissä, se voi näyttää esimerkiksi tältä:
5. Jos sovelluksella ei ole asennuksen poistovaihtoehtoa, yritä poistaa sovellus noudattamalla alla olevia ohjeita:
- Klikkaa Käynnistä-valikkoa (Windows-painike) ja kirjoita "Lisää tai poista sovellus", jolloin "Lisää ja poista sovellus" -valikko avautuu.
- Etsi tapaukseen liitettyjen sovellusten nimiä.
Alla olevassa esimerkkikuvassa näkyy ShieldVPN-sovellus, joka löytyy "Lisää tai poista ohjelmia" -sovellusluettelosta. Kun löydät sovelluksen luettelosta, napsauta sovelluksen nimeä tai klikkaa "kolmen pisteen" valikkoa ja valitse "Poista asennus".
- Kun sovellus on poistettu, voit yrittää varmistaa, että sovellus on poistettu napsauttamalla "Käynnistä" (Windows-kuvake) ja kirjoittamalla "Tiedostonhallinta".
- Napsauta asemakirjainta "C:" - jota joskus kutsutaan nimellä "Windows (C:)" - ja siirry kohtaan Ohjelmatiedostot (x86). Etsi sitten haittaohjelmien sovellusten nimiä tiedostojen ja kansioiden luettelosta.
- Jos kyseessä on ProxyGate, siirry kohtaan C:\Käyttäjät\[käyttäjäprofiilinimi]\_AppData\Roaming\ProxyGate. Englanniksi sama polku: C:\users\[Userprofile]\AppData\Roaming\ProxyGate.
- Jos et näe yhtään kansiota, jonka otsikko on "MaskVPN", "DewVPN", "ShineVPN", "ShieldVPN", "PaladinVPN" tai "Proxygate", tätä tiettyä haittaohjelmistosovellusta ei ehkä ole asennettu.
- Jos palvelu oli käynnissä, mutta sitä ei löydy Käynnistä-valikosta tai "Lisää ja poista sovellus", toimi seuraavasti:
- Valitse "C:" levy ja siirry kohtaan Ohjelmatiedostot (x86). Etsi sitten haittaohjelmien sovellusten nimiä tiedostojen ja kansioiden luettelosta.
- Avaa kansio polusta C:\Käyttäjät\[käyttäjäprofiilinimi]\_AppData\Roaming\ProxyGate. Englanniksi sama tiedosto polku: C:\users\[Userprofile]\AppData\Roaming\ProxyGate
- Avaa "Tehtävienhallinta".
- Valitse palvelu, joka liittyy yhteen tunnistetuista haittaohjelmista, jotka ovat käynnissä prosessivälilehdellä.
- Valitse vaihtoehto "Lopeta tehtävä" pysäyttääksesi prosessin.
- Klikkaa hiiren kakkospainikkeella kansiota nimeltä "MaskVPN", "DewVPN", "ShineVPN", "ShieldVPN", "PaladinVPN" tai "ProxyGate".
- Valitse "Poista" vaihtoehto.
- Voit myös valita kaikki kansiosta löytyvät tiedostot ja valita sitten "Poista" -vaihtoehdon.
- Jos yrität poistaa kansion tai poistaa kaikki kansion sisällä olevat tiedostot ja saat virheilmoituksen, varmista, että olet lopettanut kaikki haittaohjelmistoon liittyvät prosessit Windowsin Tehtävienhallinnassa
Lähteet:
- https://www.justice.gov/opa/pr/911-s5-botnet-dismantled-and-its-administrator-arrested-coordinated-international-operation (Ulkoinen linkki)
- https://www.fbi.gov/investigate/cyber/how-to-identify-and-remove-vpn-applications-that-contain-911-s5-backdoors (Ulkoinen linkki)
- https://www.bleepingcomputer.com/news/security/us-dismantles-911-s5-residential-proxy-botnet-used-for-cyberattacks-arrests-admin/ (Ulkoinen linkki)