Europejskie organy ścigania zrobiły to, co każdy dobry bramkarz: włamały się do usługi VPN używanej przez gangi ransomware i innych cyfrowych łobuzów, zidentyfikowały tysiące użytkowników, a następnie zamknęły całość i aresztowały osobę, która to prowadziła.
Europol ogłosił wczoraj, że operacja wymierzona była w First VPN, usługę, której strona internetowa wyświetla teraz zawiadomienie o przejęciu, a nie zwykłe obietnice całkowitej niewidzialności. "Przez lata usługa, znana jako 'First VPN', była promowana na rosyjskojęzycznych forach cyberprzestępczych jako zaufane narzędzie do pozostawania poza zasięgiem organów ścigania" - powiedziała agencja. Okazuje się, że to zaufanie było nieco chybione.
Śledztwo rozpoczęło się w grudniu 2021 roku, a w pewnym momencie śledczym udało się dostać do wnętrza usługi, przejąć jej bazę użytkowników i zidentyfikować połączenia VPN używane przez przestępców próbujących się ukryć. Bitdefender, dostawca zabezpieczeń, przyłożył do tego rękę. "Zebrane dane wywiadowcze ujawniły tysiące użytkowników powiązanych z ekosystemem cyberprzestępczości" - powiedział Europol.
Holenderski Korpus Policji Narodowej zauważył, że przed przejęciem domen "policja miała dostęp do przestępczej komunikacji użytkowników usługi, którzy błędnie wierzyli, że są bezpieczni". To cyfrowy odpowiednik odkrycia, że twoja tajna kryjówka przez cały czas miała ukrytą kamerę.
Strona First VPN, zachowana przez Internet Archive, obiecywała ukrywanie adresów IP, szyfrowanie komunikacji i ukrywanie działań "przed dostawcą i innymi zainteresowanymi osobami". Składała też klasyczną obietnicę "braku logów", zapewniając klientów, że żadne rejestry nie będą przechowywane dla organów ścigania ani innych stron trzecich. "Wielki Brat cię obserwuje, my nie!" - głosiła strona. Cóż, Wielki Brat obserwował, tylko nie ten, którego się spodziewali.
VPN reklamował się głównie na forach cyberprzestępczych, celując w przestępców jako potencjalnych klientów i deklarując, że nigdy nie będzie współpracować z żadnym organem sądowym. Eurojust, agencja UE ds. współpracy wymiarów sprawiedliwości, poinformował, że First VPN obiecywał, iż "nie będzie współpracować z żadnym organem sądowym, nie będzie przechowywać danych, a usługa nie będzie podlegać żadnej jurysdykcji".
First VPN działał od 2014 roku i zapewniał 32 serwery wyjściowe w 27 krajach, podało FBI w ostrzeżeniu wywiadowczym. Reklamował się na rosyjskojęzycznych forach, które "zapewniają rynki dla cyberprzestępców do kupowania i sprzedawania nieautoryzowanego dostępu do systemów komputerowych, skradzionych danych osobowych, narzędzi hakerskich i towarów objętych zakazem". Co najmniej 25 grup ransomware, w tym Avaddon Ransomware, używało infrastruktury First VPN do rozpoznania sieci i włamań. FBI zauważyło, że jego adresy IP były używane do skanowania, botnetów, ataków typu DoS, oszustw i hakerstwa.
Operacja przyniosła 83 "pakiety wywiadowcze", udostępniła informacje o 506 użytkownikach na arenie międzynarodowej i do tej pory zaawansowała 21 śledztw wspieranych przez Europol. Władze przejęły VPN 19 i 20 maja, "przeprowadziły rozmowę z administratorem i przeszukały dom na Ukrainie" oraz zdemontowały 33 serwery. Przejęcia domen objęły 1vpns.com, 1vpns.net, 1vpns.org i powiązane domeny onion. "Użytkownicy przestępczej usługi zostali powiadomieni o zamknięciu i poinformowani, że zostali zidentyfikowani" - dodał Europol, co prawdopodobnie nie jest powiadomieniem, na które liczyli.