Правоохранительные органы Европы и Северной Америки объявили о ликвидации First VPN. По данным следствия, сервис активно использовали операторы вымогательского ПО и другие злоумышленники. Эта международная операция получила название Operation Saffron и проходила под руководством Франции и Нидерландов при поддержке ряда других стран (включая США, Канаду, Германию, Украину и Великобританию).
Как сообщили в Европоле, расследование началось еще в декабре 2021 года, и за прошедшие годы следователи сумели проникнуть во внутреннюю инфраструктуру сервиса, получить доступ к базе пользователей и отследить VPN-подключения, применявшиеся в реальных атаках.
Правоохранители пишут, что First VPN позиционировался как «анонимный» сервис для тех, кто хочет скрыть свою активность от правоохранительных органов. На хак-форумах Exploit и XSS его рекламировали как VPN, который не ведет логов, принимает анонимные платежи и не сотрудничает с властями. Сервис обещал пользователям «анонимность, стабильность и безопасность», а на сайте утверждалось, что связь между IP-адресом и конкретным клиентом установить невозможно.
В ходе операции правоохранители изъяли 33 сервера, отключили инфраструктуру сервиса, конфисковали домены 1vpns[.]com, 1vpns[.]net и 1vpns[.]org, а также связанные onion-домены. Кроме того, украинские правоохранители провели обыск у предполагаемого администратора платформы.
По данным ФБР, сервис работал как минимум с 2014 года и предоставлял пользователям 32 выходные ноды в 27 странах мира, включая США, Россию, Нидерланды, Германию, Швейцарию и Сингапур. Клиентам были доступны OpenConnect, WireGuard, Outline и VLess TCP Reality, а также поддерживались OpenVPN ECC, L2TP/IPSec и PPTP.
Для общения с пользователями операторы сервиса использовали Telegram и собственный Jabber-сервер. Стоимость подписки составляла от двух долларов США за сутки до 483 долларов США за год. Оплату сервис принимал через Bitcoin, Perfect Money, WebMoney и другие платежные системы.
В ФБР считают, что инфраструктура First VPN применялась не менее чем 25 вымогательскими группировками, включая Avaddon. К примеру, сервис использовался для проведения разведки, первоначального проникновения, кражи данных и других атак.
Представители Европола подчеркивают, что пользователи сервиса уже уведомлены о ликвидации платформы, а также о том, что их личности теперь известны следствию.
Правоохранители сообщают, что передали партнерам из различных стран данные о 506 пользователях First VPN и подготовили 83 отдельных «пакета оперативной информации» для проведения дальнейших расследований.
