Europol kaatoi rikollisten suosiman VPN-palvelun — Operation Saffron iski ransomware-rikollisuuden infrastruktuuriin
First VPN ei ole tavallinen kuluttajapalvelu, vaan venäjänkielisillä rikollisfoorumeilla mainostettu työkalu, jota Europol kuvaa esiintyneen miltei jokaisessa viime vuosien suuressa kyberrikostutkinnassaan. Nyt palvelu on offline.
Tiivistelma
Europolin koordinoima Operation Saffron sulki 19.–20. toukokuuta rikollisten käyttämän First VPN -palvelun. Ranskan ja Alankomaiden johdolla takavarikoitiin 33 palvelinta 27 maassa. Palvelun väitettyä ylläpitäjää kuulusteltiin Ukrainassa. Kyseessä on yritys lyödä lainvalvonnan kanssa kissa-hiiri-leikkiä pelaaville ransomware-ryhmille sieltä, mistä ne ovat olleet pisimpään suojassa.
Lainvalvonta ei tällä kertaa lähtenyt yksittäisten ransomware-tekijöiden perään. Kohteeksi otettiin palvelu, jonka taakse he piiloutuivat.
Ranskan ja Alankomaiden johtama Operation Saffron sulki 19.–20. toukokuuta First VPN -nimisen palvelun, jota oli noin vuodesta 2014 mainostettu venäjänkielisillä rikollisfoorumeilla "no-logs"-anonymisointityökaluna. Operaatiossa takavarikoitiin 33 palvelinta 27 maassa ja kolme keskeistä verkkotunnusta – 1vpns.com, 1vpns.net ja 1vpns.org – samoin kuin palvelun .onion-peilit Tor-verkossa.
Europolin tiistaina 21. toukokuuta julkaisemassa tiedotteessa kuvataan, että First VPN esiintyi miltei jokaisessa viime vuosien suuressa kyberrikostutkinnassa. Käyttäjäkunta oli rajattu. Foorumin ulkopuolelta tilausta ei käytännössä saanut.
– Palvelun sulkeminen poistaa kriittisen suojakerroksen, jonka varaan rikolliset olivat toimintansa, viestintänsä ja lainvalvonnan välttelyn rakentaneet, Europolin EC3-kyberrikoskeskuksen johtaja Edvardas Šileris sanoo tiedotteessa.
Viisi vuotta tutkintaa, 16 maan tutkijat
Tutkinta käynnistyi joulukuussa 2021. Yhteinen tutkintaryhmä JIT perustettiin Eurojustin tuella marraskuussa 2023, ja operatiivinen taskforce koordinoi lopulta 16 maan tutkijoita.
Yksityiseltä puolelta mukana oli kyberturvayhtiö Bitdefender.
Saaliin koko paljastuu vasta analyysissa. Europol kertoo löytäneensä järjestelmästä yli 5 000 rikollista käyttäjätiliä, joista 506 käyttäjää on tähän mennessä tunnistettu. Kumppaniviranomaisille on jaettu 83 tiedustelupakettia, ja 21 erillistä Europolin tukemaa tutkintaa on edistynyt takavarikon ansiosta.
Palvelun väitettyä ylläpitäjää kuulusteltiin kotietsinnän yhteydessä Ukrainassa. Muodollista pidätystä viranomaiset eivät ole toistaiseksi julkistaneet. First VPN oli markkinoinnissaan korostanut juuri sitä, ettei yhteistyötä länsimaiden lainvalvonnan kanssa tehdä. Palvelimien takavarikko 27 hosting-maassa koettelee nyt tuota väitettä.
Phobos ja vähintään 25 muuta ransomware-ryhmää
FBI:n arvion mukaan First VPN:n asiakaskunnassa oli vähintään 25 eri ransomware-ryhmää. Erityisesti nimettiin Phobos-ransomware, joka on viime vuosina iskenyt kymmeniin organisaatioihin Yhdysvalloissa ja Euroopassa.
First VPN:n markkinointiteksti lupasi käyttäjille suoraan, ettei lokeja pidetä.
– Emme säilytä lokeja, joiden avulla me tai kolmannet osapuolet voisivat yhdistää IP-osoitteen tiettyyn ajankohtaan ja käyttäjään, palvelun englanninkielisessä mainoksessa luvattiin.
Lupaus kävi takavarikon yhteydessä tyhjäksi. Tutkijoiden käsiin päätyi tarpeeksi dataa 506 käyttäjän tunnistamiseen.
No-logs-VPN rikollisfoorumilla – markkinointiväite vs. todellisuus
Lailliset kuluttaja-VPN:t voivat olla aidosti lokittomia, koska niiden liiketoiminta nojaa luottamukseen ja ulkopuolisiin auditointeihin. Rikollisfoorumilla myydyllä palvelulla samaa pakotetta ei ole. Ylläpitäjä voi luvata mitä haluaa, mutta palvelimen takavarikko paljastaa, mitä koneelle on kirjoitettu. First VPN:n tapauksessa lokeja löytyi tarpeeksi sadoille tunnistuksille.
Mikä Suomen rooli oli?
Suomi ei ollut Europolin listaamissa osallistujamaissa. Keskusrikospoliisia ei mainita tiedotteessa, eikä Kyberturvallisuuskeskus ole tätä artikkelia kirjoitettaessa kommentoinut operaatiota.
Suomalaista yksittäistapausta ei ole julkisesti kytketty First VPN:ään. Laajemmin ransomware-ryhmät kuten Akira ja LockBit ovat kuitenkin iskeneet suomalaisiin yrityksiin ja kuntaorganisaatioihin viime vuosina, eikä Phobos ole tuntematon nimi suomalaisissakaan tutkinnoissa. Europolin 506 tunnistetun käyttäjän listalta voi periaatteessa löytyä tekijöitä, joiden uhrit ovat olleet Suomessa. Sitä viranomaiset eivät tässä vaiheessa avaa julkisesti.
Miksi tämä operaatio on silti kiinnostava Suomessa? Siksi, että lainvalvonta osoittaa nyt selvästi siirtävänsä painopistettä infrastruktuurikerrokseen. Yksittäisen ransomware-jengin sijaan kaadetaan työkalu, jota kymmenet ryhmät käyttävät.
Mitä tästä kannattaa ottaa irti
Tavalliselle nettikäyttäjälle uutinen ei oikeastaan tarkoita mitään. Lailliset kuluttaja-VPN-palvelut eivät olleet operaation kohteena, eikä niiden käyttö ole muuttunut tämän takia yhtään riskialttiimmaksi.
Yrityksen tietoturvasta vastaavalle juttu on hyvä muistutus kahdesta asiasta. Ransomware-rikollisuus on edelleen palveluekosysteemi, jossa työkalut ja anonymisointi ostetaan ulkopuolelta. Ja jos hyökkääjien suojakerros ohenee, lokitietojen säilyvyys omilla palvelimilla voi yhtäkkiä olla tutkijoille kullanarvoinen.
Jää nähtäväksi, miten nopeasti rikollisfoorumeilla ehdotetaan First VPN:n seuraajaa. Kissa-hiiri-leikki ei pääty yhteen takedowniin, mutta jokainen niistä nostaa rikollisten kustannuksia.