Europeisk polis har gjort vad vilken bra dörrvakt som helst skulle göra: de hackade sig in i en VPN-tjänst som används av ransomware-gäng och andra digitala busar, identifierade tusentals användare, stängde sedan ner hela tjänsten och grep personen som drev den.
Europol meddelade igår att operationen riktade sig mot First VPN, en tjänst vars webbplats nu visar ett beslagmeddelande istället för sina vanliga löften om total osynlighet. "Under flera år marknadsfördes tjänsten, känd som 'First VPN', på ryskspråkiga cyberbrottsforum som ett pålitligt verktyg för att hålla sig utom räckhåll för polisen," sade myndigheten. Det visar sig att förtroendet var något missriktat.
Utredningen började i december 2021, och vid någon tidpunkt lyckades utredarna ta sig in i tjänsten, hämta dess användardatabas och identifiera VPN-anslutningar som användes av brottslingar som försökte gömma sig. Bitdefender, säkerhetsföretaget, hjälpte till. "Den insamlade underrättelsen avslöjade tusentals användare kopplade till cyberbrottslighetens ekosystem," sade Europol.
Nederländska nationella poliskåren noterade att innan domänerna beslagtogs, "hade polisen tillgång till den kriminella trafiken från tjänstens användare, som felaktigt trodde sig vara säkra." Det är den digitala motsvarigheten till att upptäcka att ditt hemliga gömställe hade en dold kamera hela tiden.
First VPN:s webbplats, bevarad av Internet Archive, lovade att dölja IP-adresser, kryptera kommunikation och dölja handlingar "från leverantören och andra intresserade personer." Den gjorde också det klassiska "inga loggar"-löftet och försäkrade kunderna att inga register skulle sparas för polis eller andra tredje parter. "Big Brother ser dig, det gör inte vi!" proklamerade sidan. Tja, Big Brother såg, bara inte den de förväntade sig.
VPN:n marknadsförde sig främst på cyberbrottsforum, riktade sig mot brottslingar som potentiella kunder och förklarade att den aldrig skulle samarbeta med någon rättslig myndighet. Eurojust, EU:s samarbetsorgan för rättsliga frågor, sade att First VPN lovade att den "inte skulle samarbeta med någon rättslig myndighet, att den inte skulle lagra data, och att tjänsten inte skulle vara underkastad någon jurisdiktion."
First VPN hade varit aktiv sedan 2014 och tillhandahöll 32 utgångsnodservrar i 27 länder, sade FBI i en underrättelsevarning. Den marknadsfördes på ryskspråkiga forum som "tillhandahåller marknadsplatser för cyberbrottslingar att köpa och sälja obehörig åtkomst till datorsystem, stulen personlig identifieringsinformation, hackningsverktyg och smuggelgods." Minst 25 ransomware-grupper, inklusive Avaddon Ransomware, använde First VPN:s infrastruktur för nätverksrekognosering och intrång. FBI noterade att dess IP-adresser användes för skanningsaktivitet, botnät, överbelastningsattacker, bedrägerier och hackning.
Operationen producerade 83 "underrättelsepaket", delade information om 506 användare internationellt och har hittills främjat 21 Europol-stödda utredningar. Myndigheterna tog ner VPN:n den 19 och 20 maj, "intervjuade administratören och genomförde en husrannsakan i Ukraina," och monterade ner 33 servrar. Domänbeslag riktade sig mot 1vpns.com, 1vpns.net, 1vpns.org och associerade onion-domäner. "Användare av den kriminella tjänsten har underrättats om nedstängningen och informerats om att de har identifierats," tillade Europol, vilket förmodligen inte är det meddelande de hoppades på.