- حدد مكتب التحقيقات الفيدرالي (FBI) 25 مجموعة قرصنة مرتبطة بالأنشطة غير القانونية لشركة First VPN
- كان Avaddon Ransomware على القائمة
- يوصي مكتب التحقيقات الفيدرالي بإجراء فحوصات خلفية أكثر صرامة
أكد مكتب التحقيقات الفيدرالي (FBI) أن ما لا يقل عن 25 مجموعة من برامج الفدية كانت تستخدم بنشاط عنوان IP الخاص بخدمة First VPN لأغراض إجرامية عندما تم حلها كجزء من عملية دولية منسقة بقيادة وكالات إنفاذ القانون الأوروبية.
في الأسبوع الماضي، تم قطع اتصال 33 خادمًا تابعًا لخدمة VPN المجانية وتم الاستيلاء على نطاقها الأوروبي كجزء من “عملية Saffron”، التي أجريت بشكل مشترك من قبل وكالات إنفاذ القانون الأوروبية Europol و Eurojust.
في تقريرقامت وكالة المخابرات الأمريكية بتفصيل كيف قامت شركة First VPN بتسهيل الجرائم الإلكترونية، حيث يستخدم المتسللون خدماتها للقيام بأنشطة إجرامية على الإنترنت، بما في ذلك الاحتيال وشبكات الروبوت والمسح الضوئي. ومن بين الأسماء الـ 25 المذكورة Avaddon Ransomware، وهي مجموعة برمجيات خبيثة تستهدف قطاعات الأعمال المختلفة، أبرزها استهداف عملاق التأمين AXA في عام 2021.
تم إطلاق عملية Saffron في ديسمبر 2021 واكتملت في مايو، وأثبتت أنه بفضل الجهود الهائلة التي تبذلها أجهزة إنفاذ القانون لمكافحة النشاط غير القانوني، يمكننا الاستمرار في الاستمتاع بمزايا الخصوصية الحقيقية التي تقدمها أفضل شبكات VPN.
تمكن المحققون من الحصول على قاعدة بيانات مستخدمي المنصة وحددوا بالفعل 506 مستخدمين محددين، وقد أثبتت البيانات المجمعة بالفعل فائدتها في 21 تحقيقًا لليوروبول في الجرائم الإلكترونية، ومن المتوقع المزيد قريبًا.
كيف استخدم مجرمو الإنترنت First VPN
وفق تقرير مكتب التحقيقات الفيدراليمن الواضح أن شبكة VPN استهدفت مجرمي الإنترنت من خلال عرض الإعلانات مباشرة على دوائر الويب المظلمة الخاصة بهم، بما في ذلك المنتديات عبر الإنترنت باللغة الروسية – Exploit(.)in وXSS(.)is – حيث يتاجر مجرمو الإنترنت بالبيانات المسروقة وأدوات القرصنة.
هناك، من الواضح أن First VPN قدمت بيئة آمنة للأنشطة غير القانونية، حيث قدمت سياسة عدم الاحتفاظ بالسجلات، وتجاوزت الولاية القضائية العالمية، ورفضت التعاون مع السلطات.
على وجه التحديد، يمكن للمستخدمين استخدام العملات المشفرة لشراء خدمات الاشتراك التي تقدم درجات متفاوتة من إخفاء الهوية الرقمية لفترات تتراوح من يوم واحد إلى سنة واحدة. لتحقيق أقصى قدر من عدم الكشف عن هوية المستخدم، قدمت First VPN 32 خدمة في 27 دولة يمكن للمستخدمين من خلالها اختيار ما يصل إلى أربع “عقد”.
حتى أن الخدمة كانت تتمتع بدعم فني خاص بها للمجرمين عبر Telegram وخادم Jabber الخاص بها.
نظرًا لأن البنية التحتية الضارة تمت استضافتها في السحابة أو افتراضية، فقد تم تعيين عناوين IP التي تستخدمها برامج الفدية بشكل عشوائي للخدمات المشروعة، مما يجعل من الصعب على سلطات التحقيق تتبع مصدر النشاط الإجرامي.
باستخدام تقنيات مثل رش كلمة المرور وهجمات القوة الغاشمة، خمن المتسللون كلمات المرور للوصول إلى بيئات ضحاياهم، مثل أجهزة الكمبيوتر المكتبية والتطبيقات الخاصة بالشركة، حيث يمكنهم فحص الشبكات لتحديد الأجهزة والخوادم والمستخدمين المتصلين بها.
ومن خلال توجيه هجماتهم عبر نقاط الخروج المتاحة لدى First VPN، بدا أن هجماتهم كانت تأتي من مصدر شرعي وجدير بالثقة.
كما استغل مجرمو الإنترنت البنية التحتية لشن هجمات حجب الخدمة (DDoS)، مما أدى إلى إغراق شبكات الضحايا بحركة المرور لإرباك الضحية وجعل أنظمتهم غير قابلة للتشغيل – وهي تقنية تستخدم غالبًا لمنع اكتشاف هجوم أكثر خطورة قيد التقدم.
كيف تكون آمنا
أصدر مكتب التحقيقات الفيدرالي (FBI) توصيات مفصلة للمؤسسات التي تدعو إلى تنفيذ ضوابط أمنية متعددة الطبقات، وقيود على الشبكات المترابطة، والأمن القائم على الهوية، ومراقبة السلوك لمنع هجمات برامج الفدية، وانتهاكات البيانات، والوصول غير المصرح به إلى الشبكة.
وتوصي بحظر ومراقبة البنية التحتية لـ First VPN والمراقبة المستمرة لاتصالات VPN غير المصرح بها أو عناوين IP المرتبطة بخدمات إخفاء الهوية.
والأهم من ذلك، يجب تنفيذ المصادقة متعددة العوامل (MFA) لجميع خدمات الوصول عن بعد والتطبيقات المستندة إلى السحابة للحد من محاولات المصادقة من مناطق غير معروفة أو عناوين IP.
