Autoriteiten in Europa en Noord-Amerika hebben de ontmanteling aangekondigd van een criminele VPN-dienst (virtueel particulier netwerk) die door criminele actoren wordt gebruikt om de oorsprong van ransomware-aanvallen, gegevensdiefstal, scanning en denial-of-service-aanvallen te verdoezelen.
De verstoring van First VPN Service werd geleid door Frankrijk en Nederland, terwijl verschillende andere landen het onderzoek sinds december 2021 ondersteunden, waaronder Luxemburg, Roemenië, Zwitserland, Oekraïne, het VK, Canada, Duitsland, de VS, Spanje, Zweden, Denemarken, Estland, Letland, Litouwen, Polen en Portugal.
De eerste VPN bood volgens Europol diensten aan die specifiek waren ontworpen voor crimineel gebruik, waardoor anonieme betalingen mogelijk waren en een verborgen infrastructuur waarmee betalende klanten hun identiteit konden verbergen bij het uitvoeren van ransomware-aanvallen, grootschalige fraude en gegevensdiefstal. Het werd gepromoot op Russischtalige cybercriminaliteitsforums zoals Exploit(.)in en XSS(.)is als een hulpmiddel om wetshandhaving te omzeilen.
De internationale operatie vond plaats tussen 19 en 20 mei, waarbij de autoriteiten een reeks gelijktijdige acties ondernamen, waaronder het interviewen van de beheerder van de dienst, het uitvoeren van een huiszoeking in Oekraïne, het uitschakelen van 33 servers en het in beslag nemen van de infrastructuur die werd gebruikt om cybercriminele activiteiten wereldwijd te ondersteunen.
De namen van in beslag genomen domeinen staan hieronder vermeld:
- 1vpns(.)com
- 1vpns(.)netto
- 1vpns(.)org
- Gerelateerde uiendomeinen die actief zijn op het Tor-netwerk
“De website van First VPN promootte zichzelf door de nadruk te leggen op anonimiteit en beloofde zijn gebruikers dat het niet zou samenwerken met enige rechterlijke autoriteit, dat het geen gegevens zou opslaan en dat de dienst niet onder enige jurisdictie zou vallen”, aldus Eurojust.
In een gecoördineerde flashwaarschuwing zei het Amerikaanse Federal Bureau of Investigation (FBI) dat de dienst sinds ongeveer 2014 actief is en 32 exit-node-servers levert in 27 landen. Drie van de uitgangsknooppunten bevonden zich in de VS –
- 2.223.66(.)103
- 5.181.234(.)59
- 92.38.148(.)58
Andere exitknooppunten bevonden zich in Australië, Oostenrijk, België, Canada, Cyprus, Finland, Frankrijk, Duitsland, Hong Kong, Italië, Letland, Luxemburg, Moldavië, Nederland, Panama, Polen, Roemenië, Rusland, Servië, Singapore, Spanje, Zweden, Zwitserland, Turkije, Oekraïne en het VK
Niet minder dan 25 ransomwaregroepen, zoals Avaddon Ransomware, zouden de First VPN-infrastructuur hebben gebruikt om netwerkverkenningen en inbraken uit te voeren. De abonnementsduur varieerde van één dag tot één jaar. Op basis van het abonnement kosten ze tussen $ 2 voor een enkele dag en $ 483 voor een heel jaar. Het accepteerde betalingen via Bitcoin, Perfect Money, Webmoney, EgoPay en InterKass.
“De First VPN Service bood verschillende verbindingsprotocollen, waaronder OpenConnect, WireGuard, Outline en VLess TCP Reality, en meerdere coderingsopties, waaronder OpenVPN ECC, L2TP/IPSec en PPtP”, aldus de FBI.
“Technische ondersteuning werd ook aangeboden aan gebruikers via een zelf-gehoste Jabber-server en door Telegram gecodeerde berichtenservice. Onder de VPN-protocolopties bood First VPN Service ‘VLESS’ en ‘Reality’, die de mogelijkheid bieden om VPN-internetverkeer te vermommen als HTTPS-verkeer via poorten die vaak worden gebruikt om verbinding te maken met websites.
Volgens momentopnamen die zijn vastgelegd op het internetarchief, bood First VPN ‘Anonimiteit, Stabiliteit, Veiligheid’ aan, met de vermelding ‘We slaan geen logbestanden op waarmee wij of derde partijen een IP-adres in een specifieke periode kunnen associëren met de gebruiker van onze service.’
“De enige gegevens die we opslaan zijn e-mailadres en gebruikersnaam, maar het is onmogelijk om de activiteit van de gebruiker op internet te koppelen aan een specifieke gebruiker van onze dienst”, voegde het eraan toe.
Als een manier om aan aansprakelijkheid te ontsnappen, merkte First VPN in de FAQ ook op dat het het gebruik van zijn servers voor illegale activiteiten “ten strengste” verbood. “Dit vergemakkelijkt de ontvangst van klachten over onze servers, met als gevolg dat ze worden uitgeschakeld”, lees de FAQ.
