First VPN 被收網:VPN 私隱承諾點解唔等於真正匿名
Tech News

First VPN 被收網:VPN 私隱承諾點解唔等於真正匿名

圖片:via TechCrunch — https://techcrunch.com/2026/05/21/law-enforcement-shuts-down-vpn-service-used-by-two-dozen-ransomware-gangs/
TechLab 編輯部(譯)·

由 no-log 宣稱講到公司 VPN 點樣守住遙距入口

First VPN 被收網:VPN 私隱承諾點解唔等於真正匿名

圖:TechCrunch.原文連結

多國執法機關今次關停 First VPN,最值得留意嘅唔係「VPN 會唔會被拉閘」咁簡單,而係一個更貼地嘅問題:VPN 只係改變你信任邊一方,唔係令你喺網上消失。對一般人嚟講,VPN 可以保護公共 Wi-Fi、減少 ISP 直接睇到你連去邊度;對公司 IT team 嚟講,VPN 係遙距工作入口。但如果一個服務明知自己服務犯罪圈子,仲用「完全匿名」做招牌,佢就唔再係普通私隱工具,而係犯罪基建一部分。

TechCrunch 引述 FBI、Europol 同 Eurojust 資料指,First VPN 被至少 25 個勒索軟件團伙用嚟隱藏活動。FBI FLASH 形容,呢個服務大約自 2014 年起活躍,2026 年 4 月時有約 32 個出口節點,分布 27 個國家;除咗勒索軟件,相關 IP 亦被用作掃描公開服務、botnet、拒絕服務攻擊、詐騙同入侵。FBI 亦特別寫明,呢份通報只針對 First VPN Service,唔應該套落其他名字相似嘅 VPN 服務。

匿名承諾撞正執法資料

First VPN 嘅定位同一般 VPN 好唔同。Europol 指,佢多年來喺俄語網上犯罪論壇宣傳,賣點包括匿名付款、隱藏基建,以及為犯罪用途設計嘅服務。Eurojust 亦指,First VPN 網站以匿名作招徠,向用家承諾唔同司法機關合作、唔保存資料、唔受任何司法管轄。呢啲字眼同正常私隱 VPN 嘅「少收集資料」有本質分別:前者係對犯罪市場講「你可以放心犯事」,後者先係對普通用家講「我會盡量減少你需要信任我嘅範圍」。

按 Europol 同 Eurojust 公布,行動日喺 2026 年 5 月 19 至 20 日進行,由法國同荷蘭主導,Europol、Eurojust 以及多個國家支援。官方指,執法機關拆除 33 部相關伺服器,關停 1vpns.com、1vpns.net、1vpns.org 同相關 onion domains,並喺烏克蘭搜查及問話一名疑似管理員。Operation Saffron 接管頁亦列出 27 個國家、33 部伺服器,以及一批已識別為相關基建嘅 IP 位址,顯示今次唔係單一網站下架,而係整套營運層被打穿。

更關鍵係,Europol 指調查人員取得用家資料庫,並識別出用於隱藏犯罪活動嘅 VPN 連線;Eurojust 亦指,執法機關喺服務下線前已取得有用 insight 同 traffic data。按 Europol 說法,今次資料暴露數以千計同網上犯罪生態有關嘅用家,並已派發 83 份情報包、分享涉及 506 名用家嘅資料,推進 21 宗 Europol 支援嘅調查。呢度要講清楚:公開資料冇話所有用家都係罪犯,但官方明確指被通知嘅服務用家已被識別。

no-log 唔係魔法

First VPN 曾以唔保存可連結 IP 同特定用家活動嘅資料作賣點,但今次行動提醒一件事:no-log 係一個營運承諾,唔係物理定律。即使一間 VPN 公司真係少寫連線日誌,仍然可能有帳戶資料、付款紀錄、客服紀錄、伺服器管理紀錄、即時連線狀態,甚至由外部基建供應商留下嘅資料。當調查去到伺服器、資料庫、管理後台或者人手營運層,單靠網站一句 no-log,未必足以抵消所有可追蹤線索。

所以,普通私隱 VPN 同犯罪 VPN 要分開睇。前者通常服務一般上網、公共 Wi-Fi、跨區連線或商務私隱需求;後者就係喺犯罪論壇宣傳、用匿名付款同多重跳點包裝,甚至明示自己唔會配合執法。對一般用家同公司採購嚟講,問題唔係「有冇 VPN」三個字,而係服務點樣營運、收集咩資料、有冇可信審計、點處理濫用、同公司自己係咪仲有身份驗證、裝置管理同日誌監察。VPN 只係一條隧道,唔係免死金牌。

勒索軟件基建其實點運作

勒索軟件攻擊通常唔係一個黑客打一條指令咁單薄。實際上,團伙可能先掃描公開服務,搵 VPN、防火牆、RDP、SSH、網頁 app 或雲端帳戶嘅弱點;再用偷返嚟嘅密碼、釣魚憑證或者未修補漏洞入去;之後橫向移動、偷資料、停備份、加密檔案,最後勒索。VPN 或 proxy 服務喺呢條鏈入面,主要作用係遮住來源、轉換出口 IP、混入正常流量,令防守方難以單靠一個 IP 判斷攻擊者身份。

FBI 將 First VPN 相關行為對應到多個 MITRE ATT&CK 技術,包括 proxy、外部遙距服務、有效帳戶、掃描服務、暴力破解同拒絕服務攻擊。呢個分類有實際意思:如果公司只封鎖某幾個 IP,攻擊者可以換另一個出口;如果只靠密碼,偷到密碼就等於入門口;如果冇保存登入同端點紀錄,事後連攻擊路徑都難重組。FBI 都提醒,VPN IP 可能係雲端或虛擬平台分配,日後可以轉手畀正常服務用,所以 IOC 要配合現有流量、身份同端點脈絡分析。

呢類行動亦唔係第一次。Eurojust 2021 年已公布過針對 DoubleVPN 嘅行動,指該服務被勒索軟件操作者同釣魚詐騙者用嚟遮掩位置同身份。今次 First VPN 比較突出嘅地方,在於官方稱佢幾乎出現喺近年 Europol 支援嘅主要網上犯罪調查之中,而且執法機關唔止拉閘,仲拎到資料再交畀多國調查隊伍。對犯罪基建嚟講,最大打擊唔一定係網站消失,而係本來用嚟保護身份嘅服務,反過來變成調查線索。

香港公司要守住遙距入口

暫時未有官方資料顯示今次 First VPN 行動直接影響香港用家,唔應該硬講成本地事故。不過,香港公司面對嘅風險同呢單新聞有清楚交集。HKCERT 早喺遙距工作普及時已提醒,VPN 同 RDP 等遙距存取服務暴露喺網上,會帶來 DDoS、VPN 漏洞被利用、惡意程式落入用戶端、入侵公司內部系統再散播勒索軟件等風險。HKCERT 2021 年亦指,遙距存取工具同 NAS 漏洞係當時勒索軟件攻擊常見入口,尤其混合工作工具被本地企業大量採用後,未修補設備會變成高風險位。

對香港中小企同 IT team 嚟講,重點唔係即刻棄用 VPN,而係將 VPN 當成高價值入口去管理。最少要做到幾件事:

  • 身份:所有 VPN、SSH、RDP 同雲端管理帳戶都要開 MFA,並監察陌生地區、異常 ASN、同一帳戶同時多地登入等情況。
  • 裝置:VPN gateway、防火牆、NAS、遙距控制 app 同用戶端要定期修補,停用過期硬件、預設帳戶、無用協定同不必要公開端口。
  • 紀錄:保留 VPN、身份系統、防火牆、EDR 同雲端 app 日誌,設定異常告警,唔好等出事先發現冇資料可查。
  • 復原:離線備份同定期還原測試要落地,因為勒索軟件嘅目標往往包括備份同管理權限。

VPN 係工具,防線先係系統

First VPN 被收網,最實際嘅啟示係:匿名工具本身唔等於絕對匿名,no-log 宣稱亦唔應該被當成技術保證。正常 VPN 仍然可以係有用私隱工具,企業 VPN 亦仍然係遙距工作常見方案;但當 VPN 入口冇 MFA、冇日誌、冇端點防護、冇最小權限,佢就會由保護公司嘅通道,變成攻擊者最想搶嘅正門。買 VPN 或部署 VPN 都唔應該只睇一句「匿名」,而要問:一旦帳戶被偷、設備有漏洞、或者出口 IP 被濫用,公司有冇足夠證據同控制去收窄損害。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook