Le forze dell'ordine europee hanno fatto ciò che qualsiasi buon buttafuori farebbe: hanno hackerato un servizio VPN usato da gang ransomware e altri malfattori digitali, identificato migliaia di utenti, poi hanno chiuso tutto e arrestato il gestore.
Europol ha annunciato ieri che l'operazione ha preso di mira First VPN, un servizio il cui sito web ora mostra un avviso di sequestro invece delle solite promesse di invisibilità totale. "Per anni, il servizio, noto come 'First VPN', è stato promosso sui forum della criminalità informatica in lingua russa come uno strumento affidabile per rimanere fuori dalla portata delle forze dell'ordine", ha dichiarato l'agenzia. Si scopre che quella fiducia era un po' malriposta.
L'indagine è iniziata nel dicembre 2021 e a un certo punto gli investigatori sono riusciti a entrare nel servizio, impossessarsi del database utenti e identificare le connessioni VPN usate dai criminali che cercavano di nascondersi. Bitdefender, il fornitore di sicurezza, ha dato una mano. "Le informazioni raccolte hanno esposto migliaia di utenti legati all'ecosistema della criminalità informatica", ha detto Europol.
Il Corpo di Polizia Nazionale olandese ha notato che prima di sequestrare i domini, "la polizia aveva accesso al traffico criminale degli utenti del servizio, che erroneamente si credevano al sicuro". È l'equivalente digitale di scoprire che il tuo rifugio segreto aveva una telecamera nascosta per tutto il tempo.
Il sito web di First VPN, conservato dall'Internet Archive, prometteva di nascondere gli indirizzi IP, crittografare le comunicazioni e nascondere le azioni "dal provider e da altre persone interessate". Faceva anche la classica promessa di "nessun registro", assicurando ai clienti che non sarebbero stati conservati record per le forze dell'ordine o altre terze parti. "Il Grande Fratello ti guarda, noi no!" proclamava il sito. Beh, il Grande Fratello stava guardando, ma non quello che si aspettavano.
La VPN pubblicizzava principalmente sui forum della criminalità informatica, prendendo di mira i criminali come potenziali clienti e dichiarando che non avrebbe mai collaborato con alcuna autorità giudiziaria. Eurojust, l'agenzia di cooperazione giudiziaria dell'UE, ha detto che First VPN prometteva "che non avrebbe collaborato con alcuna autorità giudiziaria, che non avrebbe conservato dati e che il servizio non sarebbe stato soggetto a nessuna giurisdizione".
First VPN era attiva dal 2014 e forniva 32 server di uscita in 27 paesi, ha detto l'FBI in un avviso di intelligence. Pubblicizzava su forum in lingua russa che "forniscono mercati per i criminali informatici per comprare e vendere accesso non autorizzato a sistemi informatici, informazioni personali identificative rubate, strumenti di hacking e contrabbando". Almeno 25 gruppi ransomware, incluso Avaddon Ransomware, hanno usato l'infrastruttura di First VPN per ricognizione di rete e intrusioni. L'FBI ha notato che i suoi indirizzi IP sono stati usati per attività di scansione, botnet, attacchi denial of service, truffe e hacking.
L'operazione ha prodotto 83 "pacchetti di intelligence", condiviso informazioni su 506 utenti a livello internazionale e fatto avanzare 21 indagini supportate da Europol finora. Le autorità hanno abbattuto la VPN il 19 e 20 maggio, "intervistato l'amministratore e condotto una perquisizione domiciliare in Ucraina", e smantellato 33 server. I sequestri di domini hanno preso di mira 1vpns.com, 1vpns.net, 1vpns.org e i relativi domini onion. "Gli utenti del servizio criminale sono stati informati della chiusura e informati di essere stati identificati", ha aggiunto Europol, che probabilmente non è la notifica che speravano.