Бостонское отделение ФБР, Европол и правоохранительные органы из восьми стран ликвидировали First VPN, пуленепробиваемый VPN-сервис, который работал исключительно как инфраструктура для группировок программ-вымогателей и киберпреступников. Операция, проведенная 19-20 мая 2026 года, привела к изъятию 33 серверов в нескольких юрисдикциях и передаче 83 разведывательных пакетов в 16 стран, охватывающих более 500 выявленных киберпреступников. Для обычных пользователей VPN возникает закономерный вопрос: стоит ли беспокоиться? Короткий ответ - нет, и причины этого раскрывают кое-что важное о том, как правоохранительные органы на самом деле относятся к инструментам обеспечения конфиденциальности.
Чем был First VPN и кому он служил
Сервис First VPN был запущен в 2014 году на доменах 1vpns.com, 1vpns.net, 1vpns.org и скрытом адресе в сети Tor. Он никогда не размещал рекламу на популярных платформах. Не было обзоров в блогах, списков на сайтах сравнения или промокодов. Вся его маркетинговая деятельность состояла из постов на закрытых криминальных форумах - включая русскоязычные площадки вроде Exploit, где регулярно продаются украденные учетные данные баз данных и доступы к корпоративным сетям.
Служба предлагала технические возможности, разработанные специально для проведения атак. Пользователи могли выстраивать цепочки до четырех отдельных серверов, чтобы скрыть свой цифровой след. Поддерживались OpenConnect, WireGuard и протокол VLESS TCP Reality - последний из которых позволял маскировать вредоносный VPN-трафик под стандартные HTTPS-запросы, давая злоумышленникам возможность обходить корпоративные брандмауэры без срабатывания систем безопасности. Оплата принималась только в криптовалюте. Техническая поддержка осуществлялась через анонимный Jabber-сервер и Telegram.
По данным Европола, этот сервис фигурировал «почти в каждом крупном расследовании киберпреступлений» последних лет. Документация ФБР называет группировку программ-вымогателей Avaddon в качестве основного пользователя. В общей сложности следователи приписали использование инфраструктуры First VPN как минимум 25 различным группировкам - они применяли ее для разведки сетей, координации ботнетов, DDoS-атак и доставки вредоносного ПО.
Как развивалось расследование
Расследование началось в декабре 2021 года - более чем за четыре года до публичного закрытия. Эти сроки отражают, сколько времени требуется для картографирования криминальной инфраструктуры, чтобы не спугнуть ее операторов. Активная фаза отключения 19-20 мая 2026 года представляла собой скоординированный одновременный удар в нескольких странах, чтобы предотвратить миграцию серверов до того, как власти смогут изъять физическое оборудование.
Операцию возглавили французская BL2C (Бригада по борьбе с киберпреступностью) и нидерландская NHTC (Национальное подразделение по борьбе с преступлениями в сфере высоких технологий). Поддержку оказывали киберотдел Бостонского ФБР, Европол, Евроюст и правоохранительные органы Украины, Великобритании, Швейцарии и Люксембурга. Компания по кибербезопасности Bitdefender предоставила техническую помощь.
Результат: в нескольких странах изъято 33 сервера, все домены в обычном интернете и Tor взяты под контроль и заменены уведомлениями правоохранительных органов о конфискации, а гражданин Украины идентифицирован как администратор сервиса - у него проведены обыски и допросы. Что еще важнее, следователи получили базу данных пользователей сервиса. Европол разослал предупреждения выявленным пользователям, а полученные данные позволили сформировать 83 пакета аналитической информации, которые сейчас используются в активных расследованиях в 16 странах.
Что делает VPN «пуленепробиваемым»
Термин «пуленепробиваемый» в киберпреступности относится к хостингу или сетевой инфраструктуре, специально разработанной для игнорирования жалоб на нарушения (abuse). Когда легальный бизнес получает сообщение о том, что один из его IP-адресов используется для атаки на больницы или распространения вирусов-вымогателей, он проводит расследование и закрывает учетную запись. Пуленепробиваемые провайдеры получают те же жалобы и ничего не делают - именно это отсутствие реакции и является их главным продуктом.
First VPN не был инструментом конфиденциальности, который просто случайно использовали во вред. Он изначально проектировался для криминального использования. Цепочка из четырех узлов, протокол VLESS Reality для обхода брандмауэров, оплата только криптовалютой, маркетинг только на форумах, поддержка через Jabber - ни одна из этих функций не встречается в потребительских сервисах конфиденциальности. Это функции операционной безопасности для злоумышленников, которым нужно оставаться незаметными при взломе корпоративных сетей.
Легальные VPN-провайдеры работают иначе на всех уровнях. Они публикуют условия предоставления услуг, запрещающие незаконную деятельность. Они отвечают на законные запросы правоохранительных органов. Они имеют открытые юридические лица и платят налоги. Они открыто рекламируются. Когда учетная запись используется для атак, системы обнаружения мошенничества помечают ее, и аккаунт блокируется. Технические возможности для маршрутизации трафика могут быть одинаковыми, но бизнес-модель, управление и клиентская база совершенно разные.
Масштабы раскрытого
Изъятие базы данных пользователей - это тот аспект операции, который будет иметь самые долгие последствия. Теперь у следователей есть записи, связывающие конкретные IP-адреса и данные сессий с конкретными кампаниями атак. Для более чем 500 человек, находящихся сейчас под следствием в 16 странах, потеря First VPN не является главной проблемой - их операционная безопасность за годы преступной деятельности была скомпрометирована задним числом. Эти данные не имеют срока годности.
Это последовательная закономерность при ликвидации пуленепробиваемой инфраструктуры. Преступники выбирают такие сервисы, веря, что провайдер никогда не будет сотрудничать с властями. Чего они не учитывают, так это того, что изъятие серверов провайдера дает властям все то, что провайдер отказался бы выдать добровольно - логи, записи о платежах, идентификаторы пользователей и метаданные трафика за многие годы.
Что это значит для пользователей, заботящихся о конфиденциальности
ФБР высказалось прямо о масштабах этой операции. В официальной документации четко указано, что это действие «относится исключительно к сервису First VPN и не распространяется на других VPN-провайдеров с похожими названиями». Расследование было направлено против конкретного преступного предприятия, а не против категории технологий.
Использование надежного VPN для конфиденциальности - чтобы защитить данные в общедоступном Wi-Fi, получить доступ к контенту в странах со строгими ограничениями или уменьшить слежку со стороны рекламодателей - остается абсолютно легальным в большинстве юрисдикций и совершенно не затронуто этой операцией. Инфраструктура, которая была изъята, обслуживала группировки программ-вымогателей. Инфраструктура, которую вы используете для защиты соединения с вашим банком, этого не делает.
Главный урок для пользователей, ориентированных на конфиденциальность, касается выбора провайдера, а не использования VPN в целом. Сервисы, которые рекламируются на криминальных форумах, принимают только криптовалюту, не имеют условий предоставления услуг и предлагают многоуровневые цепочки, предназначенные для обхода брандмауэров, не являются инструментами конфиденциальности. Это операционная инфраструктура для хакерских атак. Разница видна еще до регистрации - если знать, на что смотреть.
