First VPN的明网及暗网网站被欧洲执法部门查封，其运营者在乌克兰被捕

欧洲执法部门称，他们入侵了一个用于勒索软件攻击和其他犯罪活动的VPN（虚拟专用网络）服务，并在关闭该VPN并逮捕其管理员之前，识别出了数千名用户。执法部门截获了VPN流量，查封了其基础设施，包括33台服务器以及互联网域名与洋葱镜像域名。

欧洲刑警组织5月21日公布了针对First VPN服务的行动结果，现在访问First VPN网站，显示一条扣押消息，称其域名已被国际联合执法行动查封。

“在法国和荷兰牵头领导、欧洲刑警组织和欧洲司法组织的支持下，一项国际执法行动捣毁了一个被网络犯罪分子用于掩盖勒索软件攻击、数据窃取和其他严重犯罪活动的VPN服务，”该机构表示。“多年来，这项名为‘First VPN’的服务在俄语网络犯罪论坛上被大力宣传为一种能够帮助逃避执法部门追捕的可靠工具。它为用户提供匿名支付、隐藏的基础设施以及专为犯罪用途设计的服务。”

欧洲刑警组织称，“First VPN”已深深融入网络犯罪生态系统，近年来在欧洲刑警组织支持的几乎所有重大网络犯罪调查中都有它的身影。犯罪分子利用它来隐藏身份和基础设施，同时实施勒索软件攻击、大规模欺诈、数据窃取和其他严重犯罪活动。

欧洲刑警组织表示，此次查封行动源于2021年12月启动的一项调查，调查人员与欧洲刑警组织的欧洲网络犯罪中心合作，在某个阶段“获得了该服务的访问权限，获取了其用户数据库，并识别出网络犯罪分子用于掩盖其活动的VPN连接”。欧洲刑警组织还表示，安全厂商Bitdefender协助执法部门开展了此次行动。收集到的情报揭露了数千名与网络犯罪生态系统有关的用户，并产生了与勒索软件攻击、欺诈计划和全球其他严重犯罪有关的行动线索。

First VPN的用户“错误地认为自己是安全的”

欧洲刑警组织欧洲网络犯罪中心负责人埃德瓦尔达斯·希莱里斯称：

多年来，网络犯罪分子一直将这项VPN服务视为匿名的途径。他们认为这项服务能让他们逃脱执法部门的追捕。但这次行动证明他们错了。关闭这项服务移除了犯罪分子赖以运作、沟通和逃避执法的关键保护层。

荷兰国家警察部队发表声明称，在查封域名之前，“警方可以访问该服务用户的犯罪活动，而这些用户错误地认为自己是安全的。”

这家现已被查封的VPN服务商网站在互联网档案馆（Internet Archive）的网页存档显示，该网站宣称能够隐藏用户的IP地址、加密所有通信，并“对服务提供商和其他相关人员”隐藏用户的活动。First VPN还做出了VPN提供商常见的“零日志”承诺，以确保客户不会存储任何可能被移交给执法部门或其他第三方的记录。

First VPN的网站上写道：“我们所有的服务器都符合高安全标准，不保留日志，并且由在该领域拥有丰富经验的专家搭建。老大哥在监视你，但我们没有！”

Knowing your IP address, you can find out where you are from and who you are. Our service, will help to hide your IP-address, encrypt all correspondence and hide from the provider and other interested persons all your actions. All of our servers, meet high security requirements and do not keep logs, are set up by specialists with vast experience in this field. Big Brother is watching you, we are not!

与许多在线平台一样，VPN既可用于合法用途，也可用于犯罪用途。用户很难甚至不可能判断VPN服务商所宣称的隐私和安全保障是否可信。

执法部门渗透VPN提供商内部系统的风险加剧了用户的这种不确定性，尽管荷兰警方强调，这种特定的VPN服务“被认为是犯罪行为，因为它专门针对网络犯罪分子，并让他们有机会保护自己的身份”。

美国联邦调查局表示有25个勒索软件组织使用First VPN

荷兰警方表示，First VPN“主要在警方已知的网络犯罪论坛上做广告，显然是将网络犯罪分子视为潜在客户”。“该服务的网站还声称拒绝与司法部门合作，不受任何司法管辖，并且不会存储任何用户数据。因此，该服务伪装成可靠且用户安全的，但事实并非如此。”

欧洲司法组织（欧盟刑事司法合作机构）表示，“First VPN的网站通过强调匿名性进行宣传，向用户承诺不会与任何司法机关合作，不会存储数据，并且该服务不受任何司法管辖。”

美国联邦调查局（FBI）5月21日发布情报警报称，First VPN自2014年起便开始运营，并在27个国家设有32个出口节点服务器。该机构表示，First VPN在俄语暗网论坛上投放广告，这些论坛“为网络犯罪分子提供买卖未经授权的计算机系统访问权限、被盗个人身份信息、黑客工具和违禁品的市场”。

美国联邦调查局表示：“至少有25个勒索软件组织，例如Avaddon勒索软件，利用First VPN服务的基础设施进行网络侦察和入侵。First VPN服务的IP地址已被用于扫描活动、僵尸网络、拒绝服务攻击、诈骗和黑客攻击。”

美国联邦调查局表示，从First VPN提供的IP地址观察到的扫描活动“与敌对势力识别开放端口、服务和网络配置的行为相符”。该机构称，“VPN基础设施可能被用于在初始访问后枚举目标网络中的系统”，并且“VPN出口节点可以协助对暴露的服务（例如SSH、RDP或Web应用程序）发起密码喷洒或暴力破解攻击”。

First VPN的用户“被告知他们的身份已被识别”

欧洲刑警组织表示，针对First VPN的行动共获取了83份“情报包”，506名用户的信息已在国际范围内共享，并推动了迄今为止由欧洲刑警组织支持的21项调查。“随着基础设施被摧毁、管理员被捕，多个司法管辖区的调查人员目前正在利用收集到的情报，支持全球范围内正在进行的网络犯罪调查，”欧洲刑警组织表示。

经过数年的调查，当局于5月19日和20日采取一系列行动，关闭了该VPN服务器。欧洲刑警组织表示，当局“讯问了管理员，并在乌克兰进行了搜查”，并“拆除了与该犯罪服务相关的33台服务器”。

欧洲刑警组织表示，此次域名查封行动已获得司法授权，目标是1vpns.com、1vpns.net、1vpns.org及其关联的暗网洋葱域名（onevpnszyiwfsiehge2zjwvd3ulfotcu35wvl4v2iuqupot2oahk6yyd.onion）。“该犯罪服务的用户已被告知服务关闭，并被告知他们的身份已被识别，”欧洲刑警组织补充道。

调查始于2021年12月，法国和荷兰于2023年11月成立了联合调查组，欧洲司法组织的支持帮助法国和荷兰当局“密切合作，交换证据和信息，并制定起诉策略“。”欧洲司法组织为筹备本周的联合行动日，组织了相关当局之间的16次协调会议，这凸显了开展复杂司法合作的必要性，”欧洲刑警组织表示。

欧洲刑警组织也成立了一个行动工作组（OTF），与此类似，该工作组汇集了来自16个国家的调查人员，分析缴获的数据，并与国际伙伴协调情报共享。

5月19日和20日的直接行动由法国、荷兰、卢森堡、罗马尼亚、瑞士、乌克兰和英国当局执行。加拿大、德国、美国、西班牙、瑞典、丹麦、爱沙尼亚、拉脱维亚、立陶宛、波兰和葡萄牙也提供了不同程度的支持。欧洲刑警组织表示，已成立一个由不同国家调查人员组成的特别工作组，“以分析缴获的数据，并协调与国际伙伴的情报共享”。