Europos policija įsilaužė į VPN, kuriuo naudojosi tūkstančiai kibernetinių nusikaltėlių

Prieš šešerius metus vienas iš Prancūzijos nacionalinės policijos kibernetinio skyriaus tyrėjų atidarė bylą, kuri atrodė kaip dar vienas beviltiškas bandymas – susekti nusikaltėlius, besislepiančius už VPN paslaugos, kuri žadėjo absoliučią apsaugą. Ta byla tapo viena didžiausių Europos policijos pergalių prieš šifruotą nusikalstamą infrastruktūrą. Vakar Europolas paskelbė, kad tarptautinė operacija įsilaužė į First VPN – paslaugą, kurią kibernetiniai nusikaltėliai laikė neperšaunama tvirtove.

Istorijos centre – Prancūzijos ir Nyderlandų teisėsaugos koordinuotas veiksmas, prie kurio prisidėjo Europolas, Eurojustas ir privati kibernetinio saugumo bendrovė Bitdefender. Tyrėjai ne tik uždarė patį VPN serverį, bet ir gavo prieigą prie visos vartotojų duomenų bazės – tūkstančių žmonių, kurie naudojosi šia paslauga išpirkos reikalaujančių programų (ransomware) atakoms, sukčiavimo schemoms ir kitiems sunkiems nusikaltimams vykdyti.

Kaip veikė First VPN – ir kodėl ji buvo kitokia

First VPN nebuvo eilinė privatumo paslauga. Ji buvo specialiai sukurta nusikaltėliams ir reklamuojama rusakalbiuose kibernetinių nusikaltėlių forumuose. Svetainė, kurią dabar puošia konfiskavimo pranešimas, anksčiau žadėjo "anoniminius mokėjimus, paslėptą infrastruktūrą ir paslaugas, sukurtas specialiai nusikalstamam naudojimui".

Klasikinis VPN rinkodaros triukas – "no logs" politika, reiškianti, kad paslaugos tiekėjas nerenka ir nesaugo jokių įrašų apie vartotojų veiklą. First VPN svetainėje buvo rašoma: "Visi mūsų serveriai atitinka aukštus saugumo reikalavimus ir neveda žurnalų. Didysis Brolis jus stebi, mes – ne!"

Tačiau Nyderlandų nacionalinės policijos atstovų teigimu, prieš uždarant domeną "policija turėjo prieigą prie nusikalstamo vartotojų srauto, o šie klaidingai tikėjo esą saugūs". Tūkstančiai nusikaltėlių, maniusių, kad jų ryšiai yra nematomi, iš tikrųjų siuntė duomenis tiesiai į tyrėjų rankas.

Tyrimas prasidėjo dar 2021 metų gruodį ir truko beveik ketverius su puse metų. Per tą laiką tyrėjai ne tik stebėjo srautą, bet ir identifikavo konkrečius vartotojus, susietus su išpirkos programų atakomis, duomenų vagystėmis ir tarptautinėmis sukčiavimo schemomis. Galiausiai buvo areštuotas ir VPN administratorius.

Pats faktas, kad teisėsaugai prireikė daugiau nei ketverių metų vienai VPN paslaugai neutralizuoti, atskleidžia šio žaidimo sudėtingumą. Serveriai buvo registruoti anonimiškai, mokėjimai vyko kriptovaliutomis, o pati infrastruktūra – išsklaidyta per kelias jurisdikcijas, kurių kiekviena reikalavo atskirų teisinių leidimų. Tai nebuvo greitas reidas – tai buvo metodinis tyrimas, kuriame kiekvienas žingsnis turėjo būti teisiškai pagrįstas, kad įrodymai vėliau atlaikytų bet kokio teismo patikrinimą.

Ką tai reiškia eiliniam VPN vartotojui

Kasdienis VPN naudotojas, besirūpinantis savo privatumu, turėtų iš šios istorijos pasimokyti vieną dalyką: VPN yra tik tiek patikimas, kiek patikimas jį valdantis žmogus. "No logs" pažadas yra rinkodaros teiginys, o ne techninė garantija. Kol nematote serverių savo akimis ir netikrinate programinio kodo, jūs pasitikite nežinomais žmonėmis, kurių tikroji veikla gali būti bet kas – nuo sąžiningo privatumo gynėjo iki policijos informatoriaus arba sukčiaus, perparduodančio jūsų duomenis.

Tiesa, Nyderlandų policija pabrėžė, kad ši konkreti VPN paslauga buvo laikoma "nusikalstama, nes ji specialiai taikėsi į kibernetinius nusikaltėlius ir suteikė jiems galimybę apsaugoti savo tapatybę". Vis dėlto techninis faktas išlieka: jei teisėsauga gavo prieigą prie First VPN infrastruktūros, tai reiškia, kad nė viena VPN paslauga nėra apsaugota nuo įsilaužimo – ar tai būtų policija, ar konkuruojantys nusikaltėliai.

Ši operacija yra dalis platesnės tendencijos. Pastaraisiais metais Europos teisėsauga sistemingai taikosi į šifruotas nusikaltėlių komunikacijos platformas. 2020 metais buvo sugriautas EncroChat – šifruotų telefonų tinklas, kuriuo naudojosi organizuotos nusikalstamos grupuotės. 2021-aisiais sekė Sky ECC – dar viena platforma, laikyta neįveikiama. First VPN atvejis rodo, kad dabar taikiniais tapo ne tik telefonai ir žinučių programos, bet ir visa tinklo infrastruktūra – nuo serverių iki prisijungimo taškų.

Bitdefender vaidmuo šioje operacijoje taip pat iškalbingas. Privati kibernetinio saugumo įmonė ne tik konsultavo tyrėjus – ji tikriausiai padėjo identifikuoti pažeidžiamumus, per kuriuos buvo gauta prieiga. Tai modelis, kurį Europolas naudoja vis dažniau: valstybinė teisėsauga neturi pakankamai techninių resursų, todėl samdo privačias įmones, kurios padeda apeiti šifravimą. Klausimas tik vienas: kai ta pati įmonė rytoj parduos saugumo programinę įrangą jūsų bankui, kiek galėsite ja pasitikėti?

Lietuvos kontekste ši istorija turi papildomą svorį. Lietuvoje veikia viena didžiausių pasaulyje VPN kompanijų NordVPN, kurios patikimumas buvo išbandytas jau ne kartą – įskaitant 2018 metų incidentą, kai buvo įsilaužta į vieną iš Suomijoje esančių serverių. Nors NordVPN tąkart atskleidė pažeidimą ir sustiprino saugumą, First VPN atvejis primena, kad absoliutaus saugumo nėra – kiekviena sistema turi silpnų vietų, o klausimas tik tas, kas pirmas jas ras.