Europese wetshandhavers hebben gedaan wat elke goede uitsmijter zou doen: ze hackten een VPN-dienst die door ransomwarebendes en andere digitale schurken werd gebruikt, identificeerden duizenden gebruikers, legden het hele zaakje plat en arresteerden de beheerder.
Europol maakte gisteren bekend dat de operatie gericht was op First VPN, een dienst waarvan de website nu een inbeslagnamebericht toont in plaats van de gebruikelijke beloftes van totale onzichtbaarheid. "Jarenlang werd de dienst, bekend als 'First VPN', gepromoot op Russischtalige cybercrimefora als een vertrouwd hulpmiddel om buiten het bereik van wetshandhaving te blijven," aldus het agentschap. Het blijkt dat dat vertrouwen enigszins misplaatst was.
Het onderzoek begon in december 2021, en op een gegeven moment wisten onderzoekers binnen te dringen in de dienst, de gebruikersdatabase te bemachtigen en VPN-verbindingen te identificeren die door criminelen werden gebruikt om zich te verbergen. Bitdefender, de beveiligingsleverancier, hielp een handje. "De verzamelde inlichtingen legden duizenden gebruikers bloot die gelinkt waren aan het cybercrime-ecosysteem," zei Europol.
Het Nederlandse Korps Nationale Politie merkte op dat voordat de domeinen in beslag werden genomen, "de politie toegang had tot het criminele verkeer van de gebruikers van de dienst, die ten onrechte dachten veilig te zijn." Dat is het digitale equivalent van ontdekken dat je geheime schuilplaats al die tijd een verborgen camera had.
De website van First VPN, bewaard door het Internet Archive, beloofde IP-adressen te verbergen, communicatie te versleutelen en acties te verbergen "voor de provider en andere geïnteresseerden." Het deed ook de klassieke 'geen logs'-belofte, waarbij klanten werden verzekerd dat er geen gegevens zouden worden bijgehouden voor wetshandhaving of andere derden. "Big Brother kijkt naar je, wij niet!" verkondigde de site. Nou, Big Brother keek wel, maar niet degene die ze verwachtten.
De VPN adverteerde voornamelijk op cybercriminele fora, gericht op criminelen als potentiële klanten, en verklaarde nooit met enige gerechtelijke autoriteit samen te werken. Eurojust, het justitiesamenwerkingsagentschap van de EU, zei dat First VPN beloofde "niet samen te werken met enige gerechtelijke autoriteit, geen gegevens op te slaan, en dat de dienst niet onderworpen zou zijn aan enige jurisdictie."
First VPN was actief sinds 2014 en bood 32 exit-node-servers in 27 landen, aldus de FBI in een inlichtingenwaarschuwing. Het adverteerde op Russischtalige fora die "markten bieden voor cybercriminelen om ongeautoriseerde toegang tot computersystemen, gestolen persoonlijke identificatiegegevens, hackingtools en smokkelwaar te kopen en verkopen." Minstens 25 ransomwaregroepen, waaronder Avaddon Ransomware, gebruikten First VPN-infrastructuur voor netwerkverkenning en inbraken. De FBI merkte op dat de IP-adressen werden gebruikt voor scanactiviteiten, botnets, denial-of-service-aanvallen, oplichting en hacking.
De operatie leverde 83 'inlichtingenpakketten' op, deelde informatie over 506 gebruikers internationaal en bevorderde tot nu toe 21 door Europol ondersteunde onderzoeken. De autoriteiten haalden de VPN op 19 en 20 mei neer, "interviewden de beheerder en voerden een huiszoeking uit in Oekraïne," en ontmantelden 33 servers. Domeininbeslagnames waren gericht op 1vpns.com, 1vpns.net, 1vpns.org en bijbehorende onion-domeinen. "Gebruikers van de criminele dienst zijn op de hoogte gesteld van de sluiting en geïnformeerd dat ze zijn geïdentificeerd," voegde Europol toe, wat waarschijnlijk niet de melding is waarop ze hoopten.