Европейские правоохранители сделали то, что сделал бы любой хороший вышибала: они взломали VPN-сервис, используемый бандами вымогателей и прочими цифровыми негодяями, идентифицировали тысячи пользователей, затем закрыли всю эту лавочку и арестовали того, кто ею управлял.
Европол вчера объявил, что операция была нацелена на First VPN — сервис, на сайте которого теперь красуется уведомление об изъятии, а не обычные обещания полной невидимости. «Годами сервис, известный как First VPN, рекламировался на русскоязычных киберпреступных форумах как надежный инструмент для того, чтобы оставаться вне досягаемости правоохранительных органов», — заявило агентство. Как оказалось, это доверие было несколько неуместным.
Расследование началось в декабре 2021 года, и в какой-то момент следователям удалось проникнуть в сервис, заполучить его базу пользователей и идентифицировать VPN-соединения, используемые преступниками, пытавшимися спрятаться. Bitdefender, поставщик средств безопасности, протянул руку помощи. «Собранные разведданные раскрыли тысячи пользователей, связанных с экосистемой киберпреступности», — сказал Европол.
Нидерландский национальный полицейский корпус отметил, что до захвата доменов «полиция имела доступ к криминальному трафику пользователей сервиса, которые ошибочно полагали себя в безопасности». Это цифровой эквивалент обнаружения того, что в вашем секретном убежище всё это время была скрытая камера.
Сайт First VPN, сохраненный в Интернет-архиве, обещал скрывать IP-адреса, шифровать коммуникации и прятать действия «от провайдера и других заинтересованных лиц». Он также давал классическое обещание «никаких логов», уверяя клиентов, что никакие записи не будут храниться для правоохранительных органов или других третьих сторон. «Большой Брат следит за тобой, мы — нет!» — провозглашал сайт. Что ж, Большой Брат следил, но не тот, которого они ожидали.
VPN рекламировался в основном на киберпреступных форумах, нацеливаясь на преступников как на потенциальных клиентов и заявляя, что никогда не будет сотрудничать с какими-либо судебными органами. Евроюст, агентство ЕС по судебному сотрудничеству, сообщил, что First VPN обещал, что «не будет сотрудничать с какими-либо судебными органами, не будет хранить данные и что сервис не будет подпадать под какую-либо юрисдикцию».
First VPN действовал с 2014 года и предоставлял 32 сервера выхода в 27 странах, сообщило ФБР в разведывательном предупреждении. Он рекламировался на русскоязычных форумах, которые «предоставляют торговые площадки для киберпреступников, чтобы покупать и продавать несанкционированный доступ к компьютерным системам, украденные личные идентификационные данные, хакерские инструменты и контрабанду». По меньшей мере 25 групп вымогателей, включая Avaddon Ransomware, использовали инфраструктуру First VPN для сетевой разведки и вторжений. ФБР отметило, что его IP-адреса использовались для сканирования, ботнетов, DDoS-атак, мошенничества и взломов.
Операция привела к созданию 83 «разведывательных пакетов», обмену информацией о 506 пользователях на международном уровне и продвижению 21 расследования при поддержке Европола на данный момент. Власти отключили VPN 19 и 20 мая, «опросили администратора и провели обыск в доме в Украине» и демонтировали 33 сервера. Изъятие доменов затронуло 1vpns.com, 1vpns.net, 1vpns.org и связанные с ними луковые домены. «Пользователи криминального сервиса были уведомлены о закрытии и проинформированы о том, что они идентифицированы», — добавил Европол, что, вероятно, не то уведомление, на которое они надеялись.