Avrupa'daki kolluk kuvvetleri, fidye yazılımı saldırıları ve diğer suçlarda kullanılan bir VPN (Sanal Özel Ağ) hizmetini hackleyerek binlerce kullanıcıyı tespit ettiklerini ve ardından bu hizmeti kapatıp yöneticisini tutukladıklarını duyurdu.
Bu operasyon, siber suçluların kendilerini güvende sandığı bir ortamda büyük bir çöküşe neden oldu. İlk olarak Fransa ve Hollanda'nın öncülük ettiği, Europol ve Eurojust'ın da destek verdiği uluslararası bir operasyonla, 'First VPN' olarak bilinen hizmetin faaliyetlerine son verildi. Operasyonun ardından 'First VPN' web sitesinde, alan adının uluslararası kolluk kuvvetlerinin ortak operasyonuyla ele geçirildiğine dair bir bildirim görüntülendi.
Avrupa Birliği Polis Teşkilatı (Europol), yaptığı açıklamada, "Siber suçluların fidye yazılımı saldırılarını, veri hırsızlığını ve diğer ciddi suçları gizlemek için kullandığı bir VPN hizmeti, uluslararası bir operasyonla çökertildi" dedi. Açıklamada, "Yıllardır Rusça konuşulan siber suç forumlarında, emniyet güçlerinin ulaşamayacağı bir araç olarak tanıtılan 'First VPN' hizmeti, anonim ödeme seçenekleri, gizli altyapı ve özellikle suçluların kullanımı için tasarlanmış hizmetler sunuyordu" ifadeleri kullanıldı.
Soruşturma, 2021 yılının Aralık ayında başladı. Europol'un belirttiğine göre, "Bir noktada, araştırmacılar hizmete erişim sağladı, kullanıcı veritabanını elde etti ve faaliyetlerini gizlemeye çalışan siber suçluların kullandığı VPN bağlantılarını tespit etti." Güvenlik şirketi Bitdefender'ın da operasyonda kolluk kuvvetlerine destek verdiği bildirildi.
Europol, "Elde edilen istihbarat, siber suç ekosistemiyle bağlantılı binlerce kullanıcıyı ortaya çıkardı ve dünya genelindeki fidye yazılımı saldırıları, dolandırıcılık şemaları ve diğer ciddi suçlarla ilgili operasyonel ipuçları üretti" şeklinde konuştu.
Kullanıcılar Yanlışlıkla Kendilerini Güvende Sandı
Hollanda Ulusal Polis Teşkilatı tarafından yapılan açıklamada, alan adlarının ele geçirilmesinden önce, "polisin, hizmeti kullanan ve yanlışlıkla kendilerini güvende sanan suçluların trafiğine erişim sağladığı" belirtildi. Bu durum, VPN hizmetlerinin bile her zaman tam bir güvenlik sunmadığını bir kez daha gözler önüne serdi.
Artık faaliyette olmayan VPN hizmetinin web sitesinin internet arşivindeki bir kaydı, IP adresini gizleme, tüm iletişimi şifreleme ve eylemleri "sağlayıcıdan ve diğer ilgili kişilerden gizleme" gibi yetenekleri tanıttığını gösteriyor. 'First VPN' ayrıca, müşterilere kolluk kuvvetlerine veya üçüncü taraflara teslim edilebilecek kayıt tutmadıklarını garanti etmek için birçok VPN sağlayıcısında yaygın olan "kayıt tutmama" sözünü de veriyordu.
Web sitesinde yer alan "Tüm sunucularımız, yüksek güvenlik gereksinimlerini karşılar ve kayıt tutmaz. Uzmanlar tarafından vast tecrübeyle kurulmuştur. Büyük Birader sizi izliyor, biz değiliz!" gibi ifadeler, kullanıcıları yanıltmak için kullanılmıştı.
Birçok çevrimiçi platformda olduğu gibi, VPN'ler de hem meşru hem de yasa dışı amaçlar için kullanılabilir. Kullanıcıların bir VPN hizmetinin gizlilik ve güvenlik iddialarının ne kadar güvenilir olduğunu bilmesi zor veya imkansızdır. Kolluk kuvvetlerinin bir VPN sağlayıcısının iç sistemlerine sızma riski, kullanıcılar için bu belirsizliğe ekleniyor. Ancak, Hollanda polisinin özellikle vurguladığı gibi, bu VPN hizmeti "suçlu olarak kabul edildi, çünkü özellikle siber suçluları hedef alıyor ve kimliklerini korumalarına olanak tanıyordu".
FBI: 25 Fidye Yazılımı Grubu 'First VPN' Kullandı
Hollanda polisi, 'First VPN'in "başta polis tarafından bilinen siber suç forumlarında reklam vererek, açıkça siber suçluları potansiyel müşteriler olarak hedeflediğini" belirtti. Polis, "Hizmetin web sitesinde ayrıca herhangi bir adli işbirliği reddedileceği, hizmetin hiçbir yargı alanına tabi olmadığı ve kullanıcılar hakkında hiçbir veri saklanmadığı belirtiliyordu. Sonuç olarak, hizmet güvenilir ve kullanıcıları güvende olduğunu iddia ediyordu, ancak gerçekte durum böyle değildi" dedi.
Avrupa Birliği Adli İşbirliği Kurumu Eurojust, "First VPN'in web sitesinin, kullanıcılarına herhangi bir yargı makamıyla işbirliği yapmayacağına, veri saklamayacağına ve hizmetin hiçbir yargı alanına tabi olmayacağına dair sözler vererek anonimliği vurgulayarak kendini tanıttığını" söyledi.
FBI'ın dün yayınladığı bir istihbarat uyarısına göre, 'First VPN' 2014'ten beri aktifti ve 27 ülkede 32 çıkış düğümü sunucusu sağlıyordu. FBI, hizmetin "siber suçluların bilgisayar sistemlerine yetkisiz erişim, çalınan kişisel kimlik bilgileri, hackleme araçları ve yasa dışı ürünleri alıp satabileceği pazar yerleri sağladığı" Rusça dilindeki forumlarda reklam verdiğini belirtti.
FBI, "Avaddon Ransomware gibi en az 25 fidye yazılımı grubunun, ağ keşfi ve saldırıları gerçekleştirmek için 'First VPN' hizmet altyapısını kullandığını" açıkladı. FBI'a göre, 'First VPN' hizmet IP adresleri tarama faaliyetleri, botnetler, hizmet reddi saldırıları, dolandırıcılıklar ve hackleme için kullanıldı.
FBI, 'First VPN' IP adreslerinden gözlemlenen tarama faaliyetlerinin, "saldırganların açık portları, hizmetleri ve ağ yapılandırmalarını belirleme çabalarıyla tutarlı" olduğunu belirtti. Kurum, "VPN altyapısının, ilk erişimden sonra hedef ağ içindeki sistemleri saymak için kullanılabileceğini" ve "VPN çıkış düğümlerinin, SSH, RDP veya web uygulamaları gibi açık hizmetlere karşı parola püskürtme veya kaba kuvvet denemelerini kolaylaştırabileceğini" de ekledi.
Kullanıcılara Kimliklerinin Belirlendiği Bildirildi
Europol, 'First VPN'e yönelik operasyonun 83 "istihbarat paketi" ürettiğini, 506 kullanıcı hakkında uluslararası bilgi paylaşımını sağladığını ve şimdiye kadar 21 Europol destekli soruşturmanın ilerlemesine yardımcı olduğunu bildirdi. Europol, "Altyapı çökertildi ve yönetici tutuklandı, şimdi birden fazla yargı alanındaki araştırmacılar, devam eden siber suç soruşturmalarını desteklemek için elde edilen istihbaratı kullanıyor" dedi.
Yıllar süren soruşturmanın ardından yetkililer, 19 ve 20 Mayıs tarihlerinde bir dizi operasyonla VPN'i çökertti. Europol, yetkililerin "yöneticiyle görüştüğünü, Ukrayna'da ev araması gerçekleştirdiğini" ve "suç hizmetiyle bağlantılı 33 sunucuyu ortadan kaldırdığını" bildirdi.
Europol, alan adı el koymalarının mahkeme kararıyla yetkilendirildiğini ve 1vpns.com, 1vpns.net, 1vpns.org ve ilgili onion alan adlarını hedef aldığını belirtti. Europol, "Suç hizmeti kullanıcılarına kapatma hakkında bilgi verildi ve kimliklerinin belirlendiği bildirildi" diye ekledi.
Soruşturma Aralık 2021'de başlamış olsa da, Kasım 2023'te yeni bir aşamaya geçti. Eurojust'ın desteği, Fransız ve Hollandalı yetkililerin "yakın bir şekilde çalışmasını, kanıt ve bilgiyi alışveriş etmesini ve bir savcılık stratejisi üzerinde karar vermesini" sağladı. Europol, Eurojust'ın, "karmaşık adli işbirliğinin ihtiyacını vurgulayarak, bu hafta gerçekleşecek ortak eylem günü hazırlığı için ilgili yetkililer arasında 16 koordinasyon toplantısı düzenlediğini" belirtti.
19 ve 20 Mayıs tarihlerindeki doğrudan operasyonlar, Fransa, Hollanda, Lüksemburg, Romanya, İsviçre, Ukrayna ve Birleşik Krallık'tan yetkililer tarafından gerçekleştirildi. Kanada, Almanya, ABD, İspanya, İsveç, Danimarka, Estonya, Letonya, Litvanya, Polonya ve Portekiz'den çeşitli düzeylerde destek alındı. Europol, farklı ülkelerden araştırmacıları bir araya getiren bir görev gücü kurduğunu ve "ele geçirilen verileri analiz etmek ve uluslararası ortaklarla istihbarat paylaşımını koordine etmek" için çalıştığını açıkladı.
