Полиция хвастается взломом VPN-сервисов, где преступники «считали себя в безопасности».

Правоохранительные органы перехватили VPN-трафик, изъяли домены и арестовали его оператора.

Скриншот веб-сайта First VPN после захвата его домена. Скриншот веб-сайта First VPN после захвата его домена.

Европейские правоохранительные органы заявляют, что взломали VPN-сервис (виртуальную частную сеть), используемый для атак программ-вымогателей и других преступлений, идентифицировали тысячи пользователей, после чего отключили VPN и арестовали его администратора.

Вчера Европол объявил о результатах операции против сервиса First VPN. На сайте First VPN теперь отображается сообщение о том, что домен был изъят в результате совместной международной операции правоохранительных органов.

«В ходе международной операции, проведенной Францией и Нидерландами при поддержке Европола и Евроюста, был ликвидирован VPN-сервис, используемый киберпреступниками для сокрытия атак программ-вымогателей, кражи данных и других серьезных преступлений», — сообщило агентство. «В течение многих лет этот сервис, известный как «First VPN», рекламировался на русскоязычных форумах киберпреступников как надежный инструмент для того, чтобы оставаться вне досягаемости правоохранительных органов. Он предлагал пользователям анонимные платежи, скрытую инфраструктуру и услуги, разработанные специально для преступных целей».

Расследование началось в декабре 2021 года. В какой-то момент «следователи получили доступ к сервису, извлекли доступ к базе данных пользователей и выявили VPN-соединения, используемые киберпреступниками для сокрытия своей деятельности», — сообщила Европол. По данным Европола, в проведении операции правоохранительным органам помогала компания Bitdefender, специализирующаяся на решениях в области безопасности.

«Собранная информация выявила тысячи пользователей, связанных с экосистемой киберпреступности, и позволила получить оперативные зацепки, касающиеся атак программ-вымогателей, мошеннических схем и других серьезных преступлений по всему миру», — говорится в заявлении Европола.

Пользователи «ошибочно полагали, что находятся в безопасности».

В заявлении Национального полицейского корпуса Нидерландов говорится, что до изъятия доменов «полиция имела доступ к преступной деятельности пользователей сервиса, которые ошибочно полагали себя в безопасности».

Архивные копии веб-сайта ныне не существующего VPN-сервиса показывают, что он рекламировал возможность скрыть свой IP-адрес, зашифровать все сообщения и скрыть свои действия «от провайдера и других заинтересованных лиц». First VPN также обещал «отсутствие журналов», что является распространенной практикой среди VPN-провайдеров, чтобы заверить клиентов в том, что они не хранят записи, которые могут быть переданы правоохранительным органам или другим третьим сторонам.

«Все наши серверы соответствуют высоким требованиям безопасности и не хранят журналы событий, они настроены специалистами с огромным опытом в этой области. За вами следит Большой Брат, а за нами — нет!» — говорится на сайте.

Как и многие онлайн-платформы, VPN могут использоваться как в законных, так и в преступных целях. Пользователям сложно или невозможно определить, насколько достоверны заявления VPN-сервиса о конфиденциальности и безопасности.

Риск проникновения правоохранительных органов во внутренние системы VPN-провайдера усиливает эту неопределенность для пользователей, хотя голландская полиция подчеркнула, что данный конкретный VPN-сервис «считается преступным, поскольку он целенаправленно нацелен на киберпреступников и предоставляет им возможность защитить свою личность».

ФБР: 25 групп, использующих программы-вымогатели, применяли First VPN.

По данным голландской полиции, компания First VPN «в основном рекламировалась на известных полиции форумах киберпреступников и, таким образом, целенаправленно обращалась к киберпреступникам как к потенциальным клиентам. На сайте сервиса также указывалось, что любое сотрудничество с судебными органами будет запрещено, что сервис не подпадает под юрисдикцию какой-либо юрисдикции и что никакие данные о пользователях не хранятся. В результате сервис создавал впечатление надежности и безопасности своих пользователей, что на самом деле не соответствовало действительности».

Евроюст, Европейское агентство по сотрудничеству в сфере уголовного правосудия, заявило, что «веб-сайт First VPN рекламировал себя, делая акцент на анонимности, обещая своим пользователям, что он не будет сотрудничать ни с какими судебными органами, не будет хранить данные и что сервис не будет подпадать под юрисдикцию какой-либо юрисдикции».

Как сообщило вчера ФБР в своем разведывательном сообщении, компания First VPN работала с 2014 года и имела 32 сервера-выхода в 27 странах. По данным агентства, она размещала рекламу на русскоязычных форумах, которые «предоставляли площадки для киберпреступников, где они могли покупать и продавать несанкционированный доступ к компьютерным системам, украденную личную информацию, инструменты для взлома и контрабанду».

«По меньшей мере 25 групп, занимающихся распространением программ-вымогателей, таких как Avaddon Ransomware, использовали инфраструктуру First VPN Service для проведения сетевой разведки и вторжений», — заявило ФБР. «IP-адреса First VPN Service использовались для сканирования, создания ботнетов, атак типа «отказ в обслуживании», мошенничества и взлома».

ФБР заявило, что активность сканирования, наблюдаемая с IP-адресов First VPN, «соответствует попыткам злоумышленников выявить открытые порты, службы и сетевые конфигурации». Агентство отметило, что «инфраструктура VPN может использоваться для перечисления систем в целевой сети после первоначального доступа», и что «выходные узлы VPN могут способствовать перебору паролей или попыткам подбора паролей методом перебора против открытых служб, таких как SSH, RDP или веб-приложения».

Пользователям сообщили, что их личности установлены.

Европол заявил, что в результате операции против First VPN было получено 83 «пакета разведывательной информации», данные о 506 пользователях были распространены по всему миру, и это помогло продвинуть 21 расследование, проводимое при поддержке Европола. «После демонтажа инфраструктуры и ареста администратора следователи в различных юрисдикциях теперь используют собранную информацию для поддержки текущих расследований киберпреступлений по всему миру», — заявили в Европоле.

После многолетнего расследования власти в ходе серии операций 19 и 20 мая заблокировали VPN-сервис. По данным Европола, власти «допросили администратора и провели обыск в доме на Украине», а также «демонтажировали 33 сервера, связанных с преступным сервисом».

Европол заявил, что изъятие доменов было санкционировано судебными постановлениями и касалось доменов 1vpns.com, 1vpns.net, 1vpns.org и связанных с ними доменов в сети Onion. «Пользователи преступной службы были уведомлены о блокировке и проинформированы о том, что их личности установлены», — добавил Европол.

Расследование началось в декабре 2021 года, а в ноябре 2023 года перешло в новую фазу. Поддержка со стороны Евроюста помогла французским и голландским властям «тесно сотрудничать, обмениваться доказательствами и информацией, а также определять стратегию судебного преследования. Евроюст организовал 16 координационных встреч между заинтересованными органами власти для подготовки к совместному дню действий, который состоится на этой неделе, что подчеркивает необходимость комплексного судебного сотрудничества», — заявили в Европоле.

Прямые операции 19 и 20 мая были проведены властями Франции, Нидерландов, Люксембурга, Румынии, Швейцарии, Украины и Великобритании. Различные уровни поддержки оказывали Канада, Германия, США, Испания, Швеция, Дания, Эстония, Латвия, Литва, Польша и Португалия. Европол заявил о создании целевой группы, объединившей следователей из разных стран, «для анализа изъятых данных и координации обмена разведывательной информацией с международными партнерами».

Источник: arstechnica.com