💡 Theo đánh giá của RetroLab, đây là một chiến dịch phối hợp quốc tế ấn tượng, cho thấy sức mạnh của hợp tác xuyên biên giới trong chống tội phạm mạng. Đội ngũ RetroLab nhận thấy việc triệt phá các dịch vụ ẩn danh như First VPN không chỉ ngăn chặn các cuộc tấn công hiện tại mà còn tạo ra hiệu ứng răn đe lâu dài đối với hệ sinh thái tội phạm.
Các cơ quan thực thi pháp luật châu Âu và Bắc Mỹ vừa công bố việc triệt phá một dịch vụ VPN tội phạm mang tên First VPN Service, vốn được các nhóm ransomware sử dụng để che giấu nguồn gốc các cuộc tấn công. Chiến dịch mang mật danh Operation Saffron do Pháp và Hà Lan dẫn đầu, với sự tham gia của hơn 15 quốc gia khác, bao gồm Mỹ, Canada, Anh, Đức, Ukraine, và nhiều nước châu Âu khác, kéo dài từ tháng 12/2021 đến nay.

Theo Europol, First VPN được thiết kế đặc biệt cho các hoạt động phạm tội, cho phép thanh toán ẩn danh và cung cấp hạ tầng che giấu danh tính người dùng khi thực hiện tấn công ransomware, lừa đảo quy mô lớn và đánh cắp dữ liệu. Dịch vụ này được quảng bá trên các diễn đàn tội phạm mạng nói tiếng Nga như Exploit[.]in và XSS[.]is như một công cụ để trốn tránh cơ quan chức năng.
Diễn biến chiến dịch
Trong hai ngày 19 và 20/5 vừa qua, lực lượng chức năng đã đồng loạt thực hiện nhiều hành động: thẩm vấn quản trị viên dịch vụ, khám xét nhà riêng tại Ukraine, tịch thu 33 máy chủ và thu giữ toàn bộ hạ tầng hỗ trợ tội phạm mạng trên toàn cầu. Các tên miền bị tịch thu bao gồm 1vpns[.]com, 1vpns[.]net, 1vpns[.]org và các onion domain trên mạng Tor.
“Trang web của First VPN tự quảng cáo bằng cách nhấn mạnh tính ẩn danh, hứa hẹn với người dùng rằng họ sẽ không hợp tác với bất kỳ cơ quan tư pháp nào, không lưu trữ dữ liệu và dịch vụ sẽ không chịu sự điều chỉnh của bất kỳ khu vực pháp lý nào,” Eurojust cho biết.
Thông tin chi tiết về First VPN
Theo FBI, dịch vụ này đã hoạt động từ khoảng năm 2014, cung cấp 32 máy chủ exit node tại 27 quốc gia, trong đó có 3 máy chủ tại Mỹ với các địa chỉ IP: 2.223.66[.]103, 5.181.234[.]59, 92.38.148[.]58. Các exit node khác nằm ở Úc, Áo, Bỉ, Canada, Síp, Phần Lan, Pháp, Đức, Hong Kong, Ý, Latvia, Luxembourg, Moldova, Hà Lan, Panama, Ba Lan, Romania, Nga, Serbia, Singapore, Tây Ban Nha, Thụy Điển, Thụy Sĩ, Thổ Nhĩ Kỳ, Ukraine và Anh.
Ít nhất 25 nhóm ransomware, bao gồm Avaddon Ransomware, được cho là đã sử dụng hạ tầng của First VPN để thực hiện trinh sát mạng và xâm nhập. Thời gian thuê bao dao động từ một ngày đến một năm, với giá từ 2 đô la cho một ngày đến 483 đô la cho cả năm. Dịch vụ chấp nhận thanh toán qua Bitcoin, Perfect Money, Webmoney, EgoPay và InterKass.

FBI cho biết First VPN cung cấp nhiều giao thức kết nối như OpenConnect, WireGuard, Outline, VLess TCP Reality và nhiều tùy chọn mã hóa bao gồm OpenVPN ECC, L2TP/IPSec, PPtP. Đặc biệt, giao thức VLESS và Reality cho phép ngụy trang lưu lượng VPN thành lưu lượng HTTPS qua các cổng thường dùng để kết nối web, khiến việc phát hiện trở nên khó khăn hơn. Hỗ trợ kỹ thuật được cung cấp qua máy chủ Jabber tự vận hành và dịch vụ nhắn tin Telegram mã hóa.
Trang web của First VPN từng tuyên bố: “Chúng tôi không lưu trữ bất kỳ nhật ký nào cho phép chúng tôi hoặc bên thứ ba liên kết một địa chỉ IP trong một khoảng thời gian cụ thể với người dùng dịch vụ của chúng tôi. Dữ liệu duy nhất chúng tôi lưu trữ là email và tên người dùng, nhưng không thể kết nối hoạt động của người dùng trên Internet với một người dùng cụ thể.” Để trốn tránh trách nhiệm, họ cũng ghi rõ trong FAQ rằng “nghiêm cấm” sử dụng máy chủ cho các hoạt động bất hợp pháp.
Phản ứng từ các cơ quan
Europol thông báo rằng người dùng của First VPN đã được thông báo về việc đóng cửa và cảnh báo rằng danh tính của họ hiện đã bị cơ quan chức năng biết đến. Bitdefender, công ty bảo mật Romania hỗ trợ cuộc điều tra qua Europol và chia sẻ thông tin liên quan đến 506 người dùng, nhận định: “Việc phá vỡ các dịch vụ ẩn danh làm tăng chi phí hoạt động trong toàn bộ hệ sinh thái tội phạm mạng. Các dịch vụ ẩn danh mới sẽ xuất hiện, nhu cầu kinh tế không thay đổi. Nhưng mỗi lần triệt phá sẽ rút ngắn thời gian hoạt động của dịch vụ tiếp theo và nâng cao rào cản cho những kẻ phạm tội vốn dựa vào các giải pháp trọn gói.”
“First VPN quảng cáo mình là dịch vụ mà tội phạm có thể tin tưởng để tránh xa tầm với của cơ quan thực thi pháp luật. Chiến dịch đã chứng minh tuyên bố đó là sai, và mọi kẻ phạm tội đang đánh giá dịch vụ ẩn danh tiếp theo giờ đây đều biết rủi ro tương tự tồn tại,” Bitdefender nhấn mạnh.
Kết luận
Việc triệt phá First VPN là một bước tiến quan trọng trong cuộc chiến chống tội phạm mạng, cho thấy sự phối hợp hiệu quả giữa các cơ quan quốc tế. Mặc dù các dịch vụ tương tự có thể sẽ xuất hiện trở lại, nhưng thông điệp đã được gửi đi rõ ràng: không có nơi ẩn náu nào là an toàn cho tội phạm mạng.
Nguồn: The Hacker News - https://thehackernews.com/2026/05/first-vpn-dismantled-in-global-takedown.html






