### Internationale Operation zielt auf kriminelles VPN ab Behörden in ganz Europa und Nordamerika haben die Zerschlagung von **First VPN Service** angekündigt, einem kriminellen VPN, das zur Verschleierung der Quelle von Ransomware-Angriffen, Datenlecks, Scan-Aktivitäten und Denial-of-Service-Angriffen verwendet wurde. Die Operation, die den Codenamen Operation Saffron trug, wurde von Frankreich und den Niederlanden angeführt, mit Unterstützung zahlreicher anderer Länder seit Dezember 2021. Zu den teilnehmenden Nationen gehörten Luxemburg, Rumänien, die Schweiz, die Ukraine, das Vereinigte Königreich, Kanada, Deutschland, die USA, Spanien, Schweden, Dänemark, Estland, Lettland, Litauen, Polen und Portugal. ### First VPN: Anonymität für Cyberkriminalität Laut **Europol** bot First VPN Dienstleistungen an, die speziell für kriminelle Zwecke zugeschnitten waren. Dazu gehörten anonyme Zahlungen und eine versteckte Infrastruktur, die darauf ausgelegt war, Kunden bei der Durchführung von Ransomware-Angriffen, groß angelegten Betrügereien und Datendiebstahl zu helfen, ihre Identitäten zu verbergen. Der Dienst wurde aktiv auf russischsprachigen Cybercrime-Foren wie Exploit[.]in und XSS[.]is als Werkzeug zur Umgehung der Strafverfolgung beworben. ### Details zur Zerschlagung Die internationale Operation fand zwischen dem 19. und 20. Mai statt. Die Behörden befragten den Administrator des Dienstes, führten eine Hausdurchsuchung in der Ukraine durch, schalteten 33 Server ab und beschlagnahmten weltweit Infrastruktur. Die beschlagnahmten Domains umfassen: * 1vpns[.]com * 1vpns[.]net * 1vpns[.]org * Verwandte Onion-Domains, die im Tor-Netzwerk betrieben werden "Die Website von First VPN warb mit Betonung der Anonymität und versprach ihren Nutzern, dass sie nicht mit einer Justizbehörde zusammenarbeiten würde, dass sie keine Daten speichern würde und dass der Dienst keiner Gerichtsbarkeit unterliegen würde", erklärte **Eurojust**. ### Nutzerdaten kompromittiert Europol hat die Nutzer von First VPN darüber informiert, dass ihre Identitäten nun den Behörden bekannt sind. **Bitdefender**, das die Ermittlungen durch die Weitergabe von Informationen über 506 Nutzer unterstützte, betonte, dass die Zerschlagung von Anonymisierungsdiensten die Betriebskosten für Cyberkriminelle erhöht. Bitdefender erklärte: "Neue Anonymisierungsdienste werden auftauchen. Die wirtschaftliche Nachfrage hat sich nicht geändert. Aber jede Zerschlagung verkürzt das operative Fenster des nächsten Dienstes und erhöht die Hürde für Akteure, die auf schlüsselfertige Lösungen angewiesen waren. First VPN warb sich selbst als Dienst, dem Kriminelle vertrauen konnten, um sie außerhalb der Reichweite der Strafverfolgung zu halten. Die Operation bewies, dass diese Behauptung falsch war, und jeder Akteur, der den nächsten Anonymisierungsdienst evaluiert, weiß nun, dass das gleiche Risiko besteht." ### FBI Flash Alert Das **U.S. Federal Bureau of Investigation (FBI)** gab eine koordinierte Flash-Warnung heraus und wies darauf hin, dass der Dienst seit etwa 2014 aktiv war und 32 Exit-Node-Server in 27 Ländern betrieb. Drei dieser Exit-Nodes befanden sich in den USA: * 2.223.66[.]103 * 5.181.234[.]59 * 92.38.148[.]58 Andere Exit-Nodes befanden sich in verschiedenen Ländern, darunter Australien, Österreich, Belgien, Kanada, Zypern, Finnland, Frankreich, Deutschland, Hongkong, Italien, Lettland, Luxemburg, Moldawien, die Niederlande, Panama, Polen, Rumänien, Russland, Serbien, Singapur, Spanien, Schweden, die Schweiz, die Türkei, die Ukraine und das Vereinigte Königreich. ### Ransomware-Verbindung Mindestens 25 Ransomware-Gruppen, darunter **Avaddon Ransomware**, nutzten Berichten zufolge die Infrastruktur von First VPN für Netzwerkaufklärung und -eindringung. Die Abonnementdauern reichten von einem Tag bis zu einem Jahr, mit Preisen von 2 US-Dollar für einen einzelnen Tag bis zu 483 US-Dollar für ein ganzes Jahr. Zahlungen wurden über Bitcoin, Perfect Money, Webmoney, EgoPay und InterKass akzeptiert. ### Technische Details "First VPN Service bot mehrere Verbindungsprotokolle an, darunter OpenConnect, WireGuard, Outline und VLess TCP Reality, sowie mehrere Verschlüsselungsoptionen, darunter OpenVPN ECC, L2TP/IPSec und PPtP", erklärte das FBI. "Technischer Support wurde den Nutzern auch über einen selbst gehosteten Jabber-Server und den verschlüsselten Messaging-Dienst Telegram angeboten. Unter den VPN-Protokolloptionen bot First VPN Service 'VLESS' und 'Reality' an, die die Möglichkeit bieten, VPN-Internetverkehr als HTTPS-Verkehr über Ports zu tarnen, die üblicherweise für die Verbindung zu Websites verwendet werden." ### Falsche Versprechungen der Anonymität Laut Schnappschüssen, die im Internet Archive aufgenommen wurden, warb First VPN mit "Anonymität, Stabilität, Sicherheit" und behauptete: "Wir speichern keine Protokolle, die es uns oder Dritten ermöglichen würden, eine IP-Adresse in einem bestimmten Zeitraum mit dem Nutzer unseres Dienstes zu verknüpfen." Der Dienst erklärte auch: "Die einzigen Daten, die wir speichern, sind E-Mail und Benutzername, aber es ist unmöglich, die Aktivität des Nutzers im Internet mit einem bestimmten Nutzer unseres Dienstes zu verbinden." Um die Haftung zu mindern, verbot First VPN in seinen FAQs "strikt" die Nutzung seiner Server für illegale Aktivitäten. "Dies erleichtert den Erhalt von Beschwerden über unsere Server, und infolgedessen werden sie deaktiviert", hieß es in den FAQs.