유럽 법집행 기관이 멋진 경비원처럼 행동했다: 랜섬웨어 갱과 다른 디지털 나쁜 놈들이 사용하는 VPN 서비스를 해킹해 수천 명의 사용자를 식별한 후, 서비스를 완전히 종료하고 운영자를 체포했다.
유로폴은 어제 이 작전이 First VPN이라는 서비스를 대상으로 했다고 발표했다. 이 서비스의 웹사이트는 이제 평소의 '완전한 투명성' 약속 대신 압수 통지문을 표시하고 있다. "수년간 'First VPN'으로 알려진 이 서비스는 러시아어 사용 사이버 범죄 포럼에서 법의 손길이 닿지 않는 신뢰할 수 있는 도구로 홍보되었습니다"라고 기관은 밝혔다. 그 신뢰가 다소 잘못된 것으로 드러났다.
수사는 2021년 12월에 시작되었으며, 어느 시점에서 수사관들은 서비스 내부에 침투해 사용자 데이터베이스를 확보하고 범죄자들이 숨기 위해 사용한 VPN 연결을 식별할 수 있었다. 보안 업체 비트디펜더가 도움을 주었다. "수집된 정보는 사이버 범죄 생태계와 연결된 수천 명의 사용자를 드러냈습니다"라고 유로폴은 말했다.
네덜란드 국가 경찰청은 도메인을 압수하기 전에 "경찰이 서비스 사용자의 범죄 트래픽에 접근할 수 있었으며, 그들은 자신이 안전하다고 잘못 믿고 있었습니다"라고 언급했다. 이는 비밀 아지트에 숨겨진 카메라가 있었다는 사실을 알게 된 디지털 버전이다.
인터넷 아카이브에 보존된 First VPN의 웹사이트는 IP 주소를 숨기고, 통신을 암호화하며, "공급자 및 기타 관심 있는 사람들로부터" 행동을 숨기겠다고 약속했다. 또한 고전적인 '로그 없음' 약속을 하여, 법 집행 기관이나 다른 제3자를 위해 기록을 보관하지 않겠다고 고객을 안심시켰다. "빅 브라더가 당신을 지켜보고 있습니다, 우리는 아닙니다!"라고 사이트는 선언했다. 글쎄, 빅 브라더가 지켜보고 있었지만, 그들이 예상한 그 빅 브라더는 아니었다.
이 VPN은 주로 사이버 범죄 포럼에서 광고되었으며, 범죄자를 잠재 고객으로 삼아 사법 당국과 절대 협력하지 않겠다고 명시했다. EU의 사법 협력 기관인 유로저스트는 First VPN이 "어떤 사법 당국과도 협력하지 않으며, 데이터를 저장하지 않으며, 서비스가 어떤 관할권에도 적용되지 않을 것"이라고 약속했다고 밝혔다.
FBI는 정보 경보에서 First VPN이 2014년부터 활동했으며 27개국에 32개의 종료 노드 서버를 제공했다고 말했다. 이 서비스는 "사이버 범죄자들이 컴퓨터 시스템에 대한 무단 접근, 도난당한 개인 식별 정보, 해킹 도구 및 금지 품목을 사고 팔 수 있는 시장을 제공하는" 러시아어 포럼에서 광고되었다. Avaddon 랜섬웨어를 포함한 최소 25개의 랜섬웨어 그룹이 네트워크 정찰 및 침입을 위해 First VPN 인프라를 사용했다. FBI는 해당 IP 주소가 스캔 활동, 봇넷, 서비스 거부 공격, 사기 및 해킹에 사용되었다고 밝혔다.
이 작전으로 83개의 '정보 패키지'가 생성되었고, 506명의 사용자에 대한 정보가 국제적으로 공유되었으며, 현재까지 21건의 유로폴 지원 수사가 진행되었다. 당국은 5월 19일과 20일에 VPN을 폐쇄하고, "우크라이나에서 관리자를 심문하고 주택 수색을 실시"했으며, 33개의 서버를 해체했다. 도메인 압수는 1vpns.com, 1vpns.net, 1vpns.org 및 관련 양파 도메인을 대상으로 했다. 유로폴은 "범죄 서비스 사용자에게 폐쇄 사실을 통보하고 신원이 확인되었음을 알렸습니다"라고 덧붙였는데, 이는 아마도 그들이 기대했던 통보는 아닐 것이다.