欧州の法執行機関は、どんな優秀な用心棒でもやることをやった。ランサムウェアギャングやその他のデジタル犯罪者が使うVPNサービスをハッキングし、何千人ものユーザーを特定し、サービス全体を停止させ、運営者を逮捕したのだ。
ユーロポールは昨日、この作戦が「First VPN」というサービスを標的にしたと発表した。そのウェブサイトは現在、かつての「完全な不可視性」の約束ではなく、差し押さえ通知を表示している。「このサービスは長年にわたり、ロシア語圏のサイバー犯罪フォーラムで、法執行機関の手の届かない信頼できるツールとして宣伝されていた」と同機関は述べている。どうやらその信頼は少し間違っていたようだ。
捜査は2021年12月に始まり、ある時点で捜査官はサービス内部に侵入し、ユーザーデータベースを入手し、犯罪者が身を隠すために使っていたVPN接続を特定することに成功した。セキュリティベンダーのBitdefenderが協力した。「収集された情報は、サイバー犯罪エコシステムに関連する何千人ものユーザーを暴露した」とユーロポールは述べている。
オランダ国家警察隊は、ドメインを差し押さえる前に、「警察は、自分たちは安全だと誤って信じていたサービスのユーザーの犯罪トラフィックにアクセスしていた」と指摘した。これは、秘密の隠れ家にずっと隠しカメラがあったことに気づくようなデジタル版だ。
インターネットアーカイブに保存されたFirst VPNのウェブサイトは、IPアドレスの隠蔽、通信の暗号化、そして「プロバイダーやその他の利害関係者から」行動を隠すことを約束していた。また、古典的な「ログを取らない」約束もしており、法執行機関や他の第三者に記録を残さないと保証していた。「ビッグブラザーはあなたを見ている、私たちは見ていない!」とサイトは宣言していた。まあ、ビッグブラザーは見ていたが、彼らが予想した相手ではなかった。
このVPNは主にサイバー犯罪フォーラムで宣伝され、犯罪者を潜在的な顧客としてターゲットにし、いかなる司法当局とも協力しないと述べていた。EUの司法協力機関であるユーロジャストは、First VPNが「いかなる司法当局とも協力せず、データを保存せず、サービスはいかなる管轄権にも服さない」と約束したと述べている。
First VPNは2014年から活動しており、27か国に32の出口ノードサーバーを提供していたとFBIは情報警報で述べている。同サービスは、「サイバー犯罪者がコンピュータシステムへの不正アクセス、盗まれた個人識別情報、ハッキングツール、禁制品を売買するための市場を提供する」ロシア語フォーラムで宣伝されていた。少なくとも25のランサムウェアグループ(Avaddon Ransomwareを含む)が、ネットワーク偵察や侵入にFirst VPNのインフラを使用していた。FBIは、そのIPアドレスがスキャン活動、ボットネット、サービス拒否攻撃、詐欺、ハッキングに使用されていたと指摘している。
この作戦により、83の「インテリジェンスパッケージ」が作成され、506人のユーザーに関する情報が国際的に共有され、これまでに21のユーロポール支援捜査が進展した。当局は5月19日と20日にVPNを停止し、「管理者に事情聴取を行い、ウクライナで家宅捜索を実施」し、33台のサーバーを解体した。ドメイン差し押さえは、1vpns.com、1vpns.net、1vpns.org、および関連するオニオンドメインを対象とした。「犯罪サービスのユーザーには、閉鎖が通知され、特定されたことが伝えられた」とユーロポールは付け加えた。これはおそらく彼らが期待していた通知ではなかっただろう。