Các nhà chức trách tại Châu Âu và Bắc Mỹ đã công bố việc triệt phá một dịch vụ mạng riêng ảo (VPN) tội phạm được các tác nhân xấu sử dụng để che giấu nguồn gốc của các cuộc tấn công Ransomware, đánh cắp dữ liệu, quét lỗ hổng và các cuộc tấn công từ chối dịch vụ (DoS).
Với mật danh Chiến dịch Saffron, nỗ lực đánh sập First VPN Service được dẫn dắt bởi Pháp và Hà Lan, cùng sự hỗ trợ của nhiều quốc gia khác kể từ tháng 12 năm 2021, bao gồm Luxembourg, Romania, Thụy Sĩ, Ukraine, Anh, Canada, Đức, Hoa Kỳ, Tây Ban Nha, Thụy Điển, Đan Mạch, Estonia, Latvia, Lithuania, Ba Lan và Bồ Đào Nha.
Hạ tầng phục vụ tội phạm mạng
Theo Europol, First VPN cung cấp các dịch vụ được thiết kế riêng cho mục đích tội phạm, cho phép thanh toán ẩn danh và sở hữu một hạ tầng ẩn giúp khách hàng che giấu danh tính khi thực hiện các cuộc tấn công Ransomware, gian lận quy mô lớn và đánh cắp dữ liệu. Dịch vụ này được quảng bá trên các diễn đàn tội phạm mạng nói tiếng Nga như Exploit[.]in và XSS[.]is như một công cụ để né tránh các cơ quan thực thi pháp luật.
Chiến dịch quốc tế diễn ra từ ngày 19 đến 20 tháng 5, trong đó các nhà chức trách đã thực hiện một loạt hành động đồng thời bao gồm thẩm vấn quản trị viên dịch vụ, khám xét nhà tại Ukraine, đánh sập 33 máy chủ và thu giữ hạ tầng hỗ trợ hoạt động tội phạm mạng trên toàn cầu.
Các tên miền bị tịch thu:
- 1vpns[.]com
- 1vpns[.]net
- 1vpns[.]org
- Các tên miền onion liên quan hoạt động trên mạng Tor
"Trang web của First VPN tự quảng bá bằng cách nhấn mạnh tính ẩn danh, hứa với người dùng rằng họ sẽ không hợp tác với bất kỳ cơ quan tư pháp nào, không lưu trữ dữ liệu và dịch vụ này sẽ không chịu sự quản lý của bất kỳ khu vực pháp lý nào," Eurojust cho biết.
Hệ lụy đối với người dùng dịch vụ
Europol cũng cho biết người dùng của First VPN đã được thông báo về việc dịch vụ bị đóng cửa và cảnh báo rằng danh tính của họ hiện đã bị các cơ quan chức năng nắm giữ. Bitdefender, đơn vị hỗ trợ cuộc điều tra thông qua Europol và chia sẻ thông tin liên quan đến 506 người dùng, cho biết việc triệt phá các dịch vụ ẩn danh sẽ làm tăng chi phí vận hành cho toàn bộ hệ sinh thái tội phạm mạng.
"Các dịch vụ ẩn danh mới sẽ xuất hiện vì nhu cầu kinh tế không thay đổi. Nhưng mỗi lần bị triệt phá sẽ thu hẹp cửa sổ hoạt động của dịch vụ tiếp theo và nâng cao rào cản đối với những kẻ dựa vào các giải pháp có sẵn," công ty an ninh mạng Romania chia sẻ. "First VPN tự quảng cáo là dịch vụ mà tội phạm có thể tin tưởng để nằm ngoài tầm với của pháp luật. Chiến dịch này đã chứng minh tuyên bố đó là sai lầm."
Quy mô và phương thức hoạt động
Trong một cảnh báo khẩn cấp, Cục Điều tra Liên bang Hoa Kỳ (FBI) cho biết dịch vụ này đã hoạt động từ khoảng năm 2014, cung cấp 32 máy chủ Exit Node tại 27 quốc gia. Các Exit Node khác được đặt tại Úc, Áo, Bỉ, Canada, Đảo Síp, Phần Lan, Pháp, Đức, Hồng Kông, Ý, Latvia, Luxembourg, Moldova, Hà Lan, Panama, Ba Lan, Romania, Nga, Serbia, Singapore, Tây Ban Nha, Thụy Điển, Thụy Sĩ, Thổ Nhĩ Kỳ, Ukraine và Anh.
Ít nhất 25 nhóm Ransomware, chẳng hạn như Avaddon Ransomware, được cho là đã sử dụng hạ tầng của First VPN để thực hiện thăm dò mạng và xâm nhập. Thời gian đăng ký gói dịch vụ dao động từ một ngày đến một năm với mức giá từ 2 USD đến 483 USD, chấp nhận thanh toán qua Bitcoin, Perfect Money, Webmoney, EgoPay và InterKass.
FBI cho biết: "First VPN Service cung cấp nhiều giao thức kết nối, bao gồm OpenConnect, WireGuard, Outline và VLess TCP Reality, cùng nhiều tùy chọn mã hóa bao gồm OpenVPN ECC, L2TP/IPSec và PPtP."
"Người dùng cũng được hỗ trợ kỹ thuật qua máy chủ Jabber tự lưu trữ và dịch vụ nhắn tin mã hóa Telegram. Trong số các giao thức VPN, First VPN cung cấp 'VLESS' và 'Reality', có khả năng ngụy trang lưu lượng truy cập Internet VPN thành lưu lượng HTTPS thông qua các cổng thường được dùng để kết nối với các trang web."
Theo các ảnh chụp lưu trữ trên Internet Archive, First VPN cam kết "Ẩn danh, Ổn định, Bảo mật", khẳng định: "Chúng tôi không lưu trữ bất kỳ bản ghi (logs) nào cho phép chúng tôi hoặc bên thứ ba liên kết một địa chỉ IP trong một khoảng thời gian cụ thể với người dùng dịch vụ." Tuy nhiên, những nỗ lực thực thi pháp luật vừa qua đã chứng minh điều ngược lại, phơi bày dữ liệu của hàng trăm người dùng cho các cơ quan chức năng.