Правоохоронні органи Європи та Північної Америки 19–20 травня провели скоординовану операцію з ліквідації First VPN Service — VPN-сервісу, який, за даними Europol, був цілеспрямовано створений для обслуговування кіберзлочинців. Як повідомляє ФБР, інфраструктурою сервісу користувалися щонайменше 25 угруповань, що розповсюджують програми-вимагачі, зокрема Avaddon Ransomware, для проведення мережевої розвідки, вторгнень, масштабного шахрайства та викрадення даних. У ході операції було вилучено 33 сервери, конфісковано домени та проведено обшук в Україні з опитуванням адміністратора сервісу.
Хронологія та масштаб операції
Розслідування розпочалося ще у грудні 2021 року. Операцію очолили Франція та Нідерланди за підтримки 16 держав: Люксембургу, Румунії, Швейцарії, України, Великої Британії, Канади, Німеччини, США, Іспанії, Швеції, Данії, Естонії, Латвії, Литви, Польщі та Португалії. Активна фаза відбулася 19–20 травня й включала одночасні дії в кількох юрисдикціях: обшук в Україні, опитування адміністратора, відключення 33 серверів і вилучення інфраструктури.
Згідно із заявою Eurojust, були конфісковані домени 1vpns[.]com, 1vpns[.]net, 1vpns[.]org, а також пов’язані з ними onion-домени в мережі Tor.
Технічна інфраструктура First VPN
За даними попередження ФБР, сервіс функціонував приблизно з 2014 року та мав у своєму розпорядженні 32 вихідні вузли в 27 країнах. Три вузли розташовувалися на території США.
Сервіс пропонував широкий набір протоколів підключення: OpenConnect, WireGuard, Outline та VLess TCP Reality. Серед варіантів шифрування — OpenVPN ECC, L2TP/IPSec і PPTP. Особливої уваги заслуговує підтримка протоколів VLESS та Reality, які дають змогу маскувати VPN-трафік під звичайний HTTPS-трафік на стандартних веб-портах, що суттєво ускладнює виявлення засобами мережевого моніторингу.
Технічна підтримка клієнтів здійснювалася через власноруч розміщений Jabber-сервер і месенджер Telegram.
Індикатори компрометації
IP-адреси вихідних вузлів на території США, зазначені в попередженні ФБР:
2.223.66[.]1035.181.234[.]5992.38.148[.]58
Конфісковані домени:
1vpns[.]com1vpns[.]net1vpns[.]org
Сервіс рекламувався на російськомовних кіберзлочинних форумах Exploit[.]in і XSS[.]is як інструмент для ухилення від правоохоронних органів.
Бізнес-модель кримінального сервісу
First VPN працював за підписковою моделлю з гнучкими тарифами: від 2 доларів за один день до 483 доларів за рік. Оплата приймалася через Bitcoin, Perfect Money, Webmoney, EgoPay та InterKass — набір платіжних систем, характерний для тіньового сегмента інтернету, де пріоритетом є анонімність транзакцій.
Сервіс позиціонував себе гаслом «Анонімність, Стабільність, Безпека» та заявляв про відсутність логування, неможливість пов’язати IP-адресу з конкретним користувачем і відмову від співпраці з будь-якими судовими органами. Водночас у FAQ містилося застереження про «сувору заборону» використання серверів для незаконної діяльності — очевидний юридичний буфер, не підкріплений реальним контролем.
Контекст загроз і значення операції
Ліквідація First VPN продовжує серію міжнародних операцій зі знищення інфраструктури, що обслуговує екосистему програм-вимагачів. Заява ФБР про те, що сервісом користувалися щонайменше 25 угруповань, пов’язаних із програмами-вимагачами, вказує на роль First VPN як одного з ключових елементів інфраструктурного шару, що забезпечує анонімність атакувальних дій. Серед названих користувачів — угруповання Avaddon Ransomware, хоча повний перелік груп та підтверджувальні докази у відкритих матеріалах не розкриваються.
Десятирічний період роботи сервісу (з 2014 року) та його присутність у 27 країнах демонструють, наскільки глибоко подібні кримінальні сервіси інтегруються в глобальну мережеву інфраструктуру. Використання передових протоколів маскування трафіку, таких як VLESS і Reality, показує, що оператори кримінальних сервісів активно адаптують легітимні технології обходу цензури для потреб кіберзлочинності.
Практичні рекомендації
- Перевірка мережевих логів: організаціям варто перевірити історичні записи мережевого трафіку на наявність з’єднань із зазначеними IP-адресами (2.223.66[.]103, 5.181.234[.]59, 92.38.148[.]58) та доменами 1vpns[.]com/net/org. Виявлення таких з’єднань може вказувати на компрометацію.
- Моніторинг маскованого трафіку: зверніть увагу на аномальний HTTPS-трафік, який може бути замаскованим VPN-з’єднанням через протоколи VLESS/Reality. Глибока інспекція пакетів і аналіз патернів з’єднань допоможуть виявити подібну активність.
- Оновлення правил блокування: додайте зазначені індикатори компрометації до систем SIEM, IDS/IPS та міжмережевих екранів.
- Аналіз підписок: якщо в організації виявлені сліди використання First VPN, це привід для повноцінного розслідування інциденту, оскільки сервіс був безпосередньо пов’язаний із діяльністю угруповань, що розповсюджують програми-вимагачі.
Ліквідація First VPN позбавляє десятки злочинних угруповань звичного інструмента анонімізації, але не усуває попит на подібні сервіси. Організаціям варто використати оприлюднені індикатори компрометації для ретроспективного аналізу мережевого трафіку та приділити першочергову увагу виявленню маскованих VPN-з’єднань — саме ця техніка, реалізована через VLESS і Reality, дедалі частіше застосовуватиметься в атаках незалежно від долі конкретного сервісу.
