Europol rozbija VPN używany przez hakerów z całego świata. Administrator zatrzymany na Ukrainie

Europejskie służby przeprowadziły jedną z najgłośniejszych operacji przeciwko cyberprzestępczości w ostatnich latach. Na celowniku znalazł się First VPN, znany również jako 1VPNS,  usługa VPN reklamowana na rosyjskojęzycznych forach hakerskich jako bezpieczna przystań dla cyberprzestępców. Europol potwierdził przejęcie infrastruktury, zamknięcie serwerów oraz identyfikację setek użytkowników powiązanych z działalnością przestępczą.

Operacja została przeprowadzona między 19 a 20 maja i objęła działania w aż 27 krajach. Śledczy zatrzymali podejrzanego administratora usługi na Ukrainie po przeszukaniu jego domu. Równocześnie przejęto 33 serwery obsługujące First VPN oraz zamknięto główne domeny serwisu, w tym 1vpns.com, 1vpns.net i 1vpns.org. Wyłączono także powiązane adresy onion działające w sieci Tor.

Według Europolu First VPN przez lata był jednym z najpopularniejszych narzędzi wykorzystywanych przez cyberprzestępców do ukrywania swojej aktywności. Usługa miała pojawiać się niemal w każdym dużym śledztwie dotyczącym ransomware, oszustw internetowych i kradzieży danych prowadzonym przez europejskie służby.

Hakerzy wierzyli, że są niewidzialni

Najbardziej niepokojący dla użytkowników First VPN może być jednak fakt, że śledczy uzyskali dostęp do infrastruktury usługi jeszcze przed jej wyłączeniem. Europol i Eurojust potwierdziły, że służby przez pewien czas monitorowały działanie VPN-u, zbierając dane o ruchu oraz aktywności użytkowników. To właśnie dzięki temu udało się wygenerować tropy operacyjne dotyczące ataków ransomware, oszustw finansowych i innych cyberprzestępstw prowadzonych na całym świecie.

Europol poinformował również, że dane dotyczące ponad 500 użytkowników zostały przekazane partnerom międzynarodowym. Śledczy twierdzą, że operacja może doprowadzić do kolejnych zatrzymań i nowych postępowań.

VPN reklamowany jako tarcza przed policją

First VPN był promowany na forach cyberprzestępczych jako usługa zaprojektowana specjalnie z myślą o anonimowości. Reklamy sugerowały, że użytkownicy mogą bezpiecznie ukrywać swoją tożsamość oraz infrastrukturę wykorzystywaną do cyberataków.

To właśnie ten wizerunek przyciągał grupy ransomware oraz osoby zajmujące się phishingiem, kradzieżą danych i wyłudzaniem pieniędzy. Według śledczych usługa stała się jednym z filarów podziemnego rynku cyberprzestępczości.

Szef Europejskiego Centrum ds. Cyberprzestępczości Europolu, Edvardas Šileris, otwarcie stwierdził, że przestępcy przez lata wierzyli w swoją bezkarność i anonimowość. Operacja miała pokazać, że nawet usługi stworzone z myślą o ukrywaniu aktywności nie gwarantują pełnej ochrony przed organami ścigania.

Wieloletnia operacja służb

Śledztwo przeciwko First VPN trwało od 2021 roku. Operację prowadziły Francja i Holandia przy wsparciu Europolu, Eurojustu oraz firmy Bitdefender specjalizującej się w cyberbezpieczeństwie. Służby wykorzystywały europejskie nakazy dochodzeniowe oraz międzynarodową pomoc prawną, aby uzyskać dostęp do infrastruktury VPN-u i śledzić przepływ danych pomiędzy użytkownikami.

Eksperci zwracają uwagę, że to jedna z najbardziej zaawansowanych operacji wymierzonych w usługę VPN wykorzystywaną przez środowiska cyberprzestępcze. Dotąd podobne platformy często funkcjonowały latami bez większych problemów.

VPN-y znów znalazły się pod lupą

Cała sprawa może zostać wykorzystana przeciw tego typu usługom. VPN-y od lat są promowane jako narzędzia zwiększające bezpieczeństwo użytkowników, chroniące dane oraz utrudniające śledzenie aktywności online. Jednocześnie część takich usług bywa wykorzystywana przez grupy przestępcze.

Eksperci podkreślają jednak, że zdecydowana większość legalnych dostawców VPN działa zgodnie z prawem i nie ma związku z cyberprzestępczością. First VPN miał wyróżniać się agresywnym marketingiem skierowanym bezpośrednio do środowisk hakerskich oraz reklamowaniem anonimowości jako sposobu na unikanie organów ścigania.

Po przejęciu infrastruktury przez Europol użytkownicy usługi zobaczyli komunikaty informujące o zamknięciu serwisu i identyfikacji części klientów. Dla wielu osób mogło to być pierwsze ostrzeżenie, że cyfrowa anonimowość nie jest już tak szczelna, jak jeszcze kilka lat temu.