Управление по контролю за иностранными активами при Министерстве финансов США (OFAC) ввело санкции против VPN-сервиса First VPN Service (1VPNS) и его администратора, гражданина Украины Дмитрия Рашевского. По версии американских властей, сервис предоставлял вымогателям и другим преступникам необходимую инфраструктуру. Интересно, что именно с этими санкциями был связан недавний сбой в работе домена t.me.
Напомним, что инфраструктуру First VPN ликвидировали в мае 2026 года во время международной операции Saffron, которой руководили французские и нидерландские правоохранители при поддержке ФБР.
Расследование началось еще в декабре 2021 года, и за прошедшие годы следователи сумели проникнуть во внутреннюю инфраструктуру сервиса, получить доступ к базе пользователей и отследить VPN-подключения, применявшиеся в атаках.
First VPN работал с 2014 года и активно рекламировался на хакерских форумах как сервис, который не ведет логов, принимает анонимные платежи и не сотрудничает с властями. Сервис обещал пользователям «анонимность, стабильность и безопасность», а на сайте утверждалось, что связь между IP-адресом и конкретным клиентом установить невозможно.
По данным властей, вымогатели использовали First VPN, чтобы скрывать источники своих атак, распространять малварь и управлять похищенными данными. К примеру, в ФБР сообщали, что инфраструктура First VPN применялась не менее чем 25 вымогательскими группировками, включая Avaddon: сервис использовался для проведения разведки, первоначального проникновения, кражи данных и других атак.
В ходе операции правоохранители изъяли 33 сервера в 27 странах, задержали администратора сервиса и собрали информацию о тысячах пользователей, связанных с вымогательством, мошенничеством и так далее. Тогда представители Европола отмечали, что название 1VPNS фигурировало почти во всех крупных расследованиях киберпреступлений, в которых участвовало ведомство.
Как теперь сообщали в OFAC, среди пострадавших от атак, в которых применялась инфраструктура 1VPNS, были американские компании, больницы, финансовые организации и муниципальные органы власти. В Минфине США заявляют, что связанные с First VPN вымогательские атаки нанесли бизнесу и операторам критической инфраструктуры ущерб на миллиарды долларов США.
По данным ведомства, Дмитрий Рашевский использовал несколько фальшивых личностей, включая Максима Сорина и Романа Чабаненко. Следователи считают, что с их помощью он закупал серверы у компаний, которые могли отказать ему самому из-за многочисленных жалоб на вредоносную активность, исходящую с адресов 1VPNS.
Теперь все активы активы Рашевского и 1VPNS под юрисдикцией США заблокированы, а американским гражданам и организациям запрещено проводить с ними операции.
Примечательно, что именно с этими санкциями против First VPN оказалась связана кратковременная блокировка домена t.me, принадлежащего Telegram. Дело в том, что в карточке First VPN сотрудники OFAC указали Telegram-канал сервиса как отдельный веб-сайт.
После этого сотрудники черногорской компании doMEn d.o.o., которая управляет доменной зоной .me под брендом Domain.ME, перевели домен t.me в статус serverHold. В результате он исчез из DNS, и короткие ссылки Telegram перестали открываться у пользователей по всему миру. В результате Павел Дуров (Pavel Durov) обратился к представителям Domain.ME в соцсети X, спросив, почему ссылки t.me перестали работать.
Через несколько часов после этого домен вернулся в строй, а представители Domain.ME ответили Дурову, что t.me заблокировали «из-за соблюдения требований OFAC», фактически подтвердив связь инцидента с американскими санкциями.
На время сбоя ссылки в Telegram заменили на telegram.me, а после восстановления работы домена Павел Дуров сообщил в X, что теперь приобрел домен t.you. Видимо, на всякий случай.



