Правоохранительные органы Европы и Северной Америки 19–20 мая провели скоординированную операцию по ликвидации First VPN Service — VPN-сервиса, который, по данным Europol, был целенаправленно создан для обслуживания киберпреступников. Как сообщает ФБР, инфраструктурой сервиса пользовались не менее 25 группировок-вымогателей, включая Avaddon Ransomware, для проведения сетевой разведки, вторжений, крупномасштабного мошенничества и кражи данных. В ходе операции были изъяты 33 сервера, конфискованы домены и проведён обыск в Украине с опросом администратора сервиса.

Хронология и масштаб операции

Расследование началось ещё в декабре 2021 года. Операцию возглавили Франция и Нидерланды при поддержке 16 государств: Люксембурга, Румынии, Швейцарии, Украины, Великобритании, Канады, Германии, США, Испании, Швеции, Дании, Эстонии, Латвии, Литвы, Польши и Португалии. Активная фаза прошла 19–20 мая и включала одновременные действия в нескольких юрисдикциях: обыск в Украине, опрос администратора, отключение 33 серверов и изъятие инфраструктуры.

Согласно заявлению Eurojust, были конфискованы домены 1vpns[.]com, 1vpns[.]net, 1vpns[.]org, а также связанные с ними onion-домены в сети Tor.

Техническая инфраструктура First VPN

По данным предупреждения ФБР, сервис функционировал приблизительно с 2014 года и располагал 32 выходными узлами в 27 странах. Три узла находились на территории США.

Сервис предлагал широкий набор протоколов подключения: OpenConnect, WireGuard, Outline и VLess TCP Reality. Среди вариантов шифрования — OpenVPN ECC, L2TP/IPSec и PPTP. Особого внимания заслуживает поддержка протоколов VLESS и Reality, которые позволяют маскировать VPN-трафик под обычный HTTPS-трафик на стандартных веб-портах, что существенно затрудняет обнаружение средствами сетевого мониторинга.

Техническая поддержка клиентов осуществлялась через самостоятельно размещённый Jabber-сервер и мессенджер Telegram.

Индикаторы компрометации

IP-адреса выходных узлов на территории США, указанные в предупреждении ФБР:

• 2.223.66[.]103
• 5.181.234[.]59
• 92.38.148[.]58

Конфискованные домены:

• 1vpns[.]com
• 1vpns[.]net
• 1vpns[.]org

Сервис рекламировался на русскоязычных киберпреступных форумах Exploit[.]in и XSS[.]is как инструмент для уклонения от правоохранительных органов.

Бизнес-модель криминального сервиса

First VPN работал по подписочной модели с гибкими тарифами: от 2 долларов за один день до 483 долларов за год. Оплата принималась через Bitcoin, Perfect Money, Webmoney, EgoPay и InterKass — набор платёжных систем, характерный для теневого сегмента интернета, где приоритетом является анонимность транзакций.

Сервис позиционировал себя лозунгом «Анонимность, Стабильность, Безопасность» и заявлял об отсутствии логирования, невозможности связать IP-адрес с конкретным пользователем и отказе от сотрудничества с любыми судебными органами. При этом в FAQ содержалась оговорка о «строгом запрете» использования серверов для незаконной деятельности — очевидный юридический буфер, не подкреплённый реальным контролем.

Контекст угроз и значение операции

Ликвидация First VPN продолжает серию международных операций по уничтожению инфраструктуры, обслуживающей экосистему программ-вымогателей. Заявление ФБР о том, что сервисом пользовались минимум 25 группировок-вымогателей, указывает на роль First VPN как одного из ключевых элементов инфраструктурного слоя, обеспечивающего анонимность атакующих. Среди названных пользователей — группировка Avaddon Ransomware, хотя полный перечень групп и подтверждающие доказательства в открытых материалах не раскрыты.

Десятилетний период работы сервиса (с 2014 года) и его присутствие в 27 странах демонстрируют, насколько глубоко подобные криминальные сервисы интегрируются в глобальную сетевую инфраструктуру. Использование передовых протоколов маскировки трафика, таких как VLESS и Reality, показывает, что операторы криминальных сервисов активно адаптируют легитимные технологии обхода цензуры для нужд киберпреступности.

Практические рекомендации

• Проверка сетевых логов: организациям следует проверить исторические записи сетевого трафика на наличие соединений с указанными IP-адресами (2.223.66[.]103, 5.181.234[.]59, 92.38.148[.]58) и доменами 1vpns[.]com/net/org. Обнаружение таких соединений может указывать на компрометацию.
• Мониторинг маскированного трафика: обратите внимание на аномальный HTTPS-трафик, который может быть замаскированным VPN-соединением через протоколы VLESS/Reality. Глубокая инспекция пакетов и анализ паттернов соединений помогут выявить подобную активность.
• Обновление правил блокировки: добавьте указанные индикаторы компрометации в системы SIEM, IDS/IPS и межсетевые экраны.
• Анализ подписок: если в организации обнаружены следы использования First VPN, это повод для полноценного расследования инцидента, поскольку сервис был напрямую связан с деятельностью группировок-вымогателей.

Ликвидация First VPN лишает десятки преступных группировок привычного инструмента анонимизации, но не устраняет спрос на подобные сервисы. Организациям стоит использовать опубликованные индикаторы компрометации для ретроспективного анализа сетевого трафика и уделить приоритетное внимание обнаружению маскированных VPN-соединений — именно эта техника, реализованная через VLESS и Reality, будет всё чаще применяться в атаках вне зависимости от судьбы конкретного сервиса.