22 июля 2025 года европейское полицейское агентство
Европол сообщило, что длительное расследование, проводимое французской полицией, привело к аресту 38-летнего администратора
XSS — русскоязычного форума о киберпреступности с более чем 50 000 участников. Это событие вызвало непрекращающуюся волну домыслов и панику среди участников XSS по поводу личности неназванного подозреваемого, но все сходятся во мнении, что он, известный под ником «
Toha, является ключевой фигурой на криминальном форуме. Вот подробный разбор того, что известно о Тохе, и краткая информация о том, кого поймали.
В прошлом месяце в Киеве был арестован неназванный 38-летний мужчина по подозрению в администрировании форума по киберпреступности XSS. Изображение: ssu.gov.ua.
Европол не назвал имя обвиняемого, но опубликовал частично засвеченные фотографии с обыска его дома в Киеве. Полиция заявила, что подозреваемый выступал в качестве доверенной третьей стороны, выступая арбитром в спорах между преступниками и гарантируя безопасность транзакций на XSS. В
заявлении службы безопасности Украины [Б]СБУ[/B] говорится, что XSS Среди ее членов было много киберпреступников из различных группировок-вымогателей, в том числе
REvil,
LockBit,
Conti и
Qiliin.
После объявления Европола форум XSS вновь появился по новому адресу в глубокой сети (доступен только через анонимную сеть
Tor). Однако, судя по последним сообщениям, среди давних участников форума нет единого мнения о личности ныне задержанного администратора XSS.
Наиболее частым комментарием к аресту было выражение солидарности и поддержки Toha, никнейма, выбранного давним администратором XSS и нескольких других крупных русскоязычных форумов. Аккаунты Toha на других форумах после обыска замолчали.
Европол заявил, что подозреваемый имеет почти 20-летний опыт киберпреступности, что примерно соответствует истории Toha. В 2005 году Toha был одним из основателей русскоязычного форума
Hack-All. То есть, до тех пор, пока он не подвергся масштабному взлому через несколько месяцев после своего основания. В 2006 году Тоха переименовал форум в
exploit[.]in, что впоследствии привлекло десятки тысяч участников, включая, в конечном итоге, авторитетных киберпреступников.
В 2018 году Тоха объявил о продаже форума Exploit, что вызвало бурные спекуляции на форумах о том, что покупатель — тайное российское или украинское государственное учреждение или подставное лицо. Однако эти подозрения не были подтверждены доказательствами, и Тоха категорически отрицал передачу форума властям.
Одним из старейших русскоязычных форумов, посвящённых киберпреступности, был
DaMaGeLaB, действовавший с 2004 по 2017 год, когда был арестован его администратор «Ar3s». В 2018 году частичная резервная копия форума DaMaGeLaB была
реинкарнирована как xss[.]is, а Тоха был заявлен в качестве ее администратора.
МЕЖСАЙТОВАЯ СВЯЗЬ
Подсказки о раннем присутствии Тохи в интернете — примерно с 2004 по 2010 год — можно найти в архивах
Intel 471, компании, занимающейся киберразведкой и отслеживающей активность на форумах. Согласно данным Intel 471, Тоха использовал один и тот же адрес электронной почты для нескольких учётных записей на форумах, включая Exploit,
Antichat,
Carder[.]su и
inattack[.]ru
DomainTools.com обнаружил, что адрес электронной почты Тохи —
toschka2003@yandex.ru — использовался для регистрации как минимум дюжины доменных имён, большинство из которых относятся к середине-концу 2000-х годов. Помимо exploit[.]in и домена
ixyq[.]com, другие домены, зарегистрированные на этот адрес электронной почты, заканчиваются на .ua, домен верхнего уровня для Украины (например, removed.org[.]ua, lj.com[.]ua и blogspot.org[.]ua).
Снимок домена, зарегистрированного на
toschka2003@yandex.ru и Антона Медведовского в Киеве, 2008 года. Обратите внимание на сообщение в левом нижнем углу: «Protected by Exploit.in». Изображение: archive.org.
Почти все домены, зарегистрированные на
toschka2003@yandex.ru, содержат имя
Антон Медведовский в регистрационных записях, за исключением вышеупомянутого ixyq[.]com, зарегистрированного на имя
Юрий Авдеев в Москве.
Фамилия Авдеева всплыла в продолжительном разговоре с
Lockbitsupp, лидером хищной и разрушительной группы, связанной с программой-вымогателем
Lockbit. Разговор состоялся в феврале 2024 года, когда Lockbitsupp попросил помочь установить настоящую личность Тохи.
В начале 2024 года лидер группы шифровальщиков Lockbit — Lockbitsupp — обратился за помощью в расследовании личности XSS-администратора Тохи, который, по его словам, был россиянином по имени Антон Авдеев.
Lockbitsupp не объяснил, зачем ему нужны данные Тохи, но утверждал, что настоящее имя Тохи —
Антон Авдеев. Я отказался помогать Lockbitsupp в его замысле мести Тохе, но его вопрос пробудил во мне любопытство и желание разобраться в этом поглубже. Судя по всему, запрос Lockbitsupp был основан на ныне удалённом сообщении в Твиттере от 2022 года, где пользователь под ником «
3xp0rt» утверждал, что Тоха — россиянин по имени
Антон Викторович Авдеев, родившийся 27 октября 1983 года.
Поиск в интернете по адресу электронной почты Тохи
toschka2003@yandex.ru обнаруживает
тему продажи 2010 года на форуме
bmwclub.ru, где пользователь по имени Honeypo продавал BMW X5 2007 года выпуска. В объявлении контактным лицом был указан Антон Авдеев, а также указан номер телефона
9588693.
Поиск по номеру телефона 9588693 в сервисе отслеживания утечек
Constella Intelligence обнаруживает множество официальных записей российского правительства с этим номером, датой рождения и именем Антон Викторович Авдеев. Например, взломанные данные российского правительства показывают, что у этого человека есть российский налоговый идентификационный номер (ИНН) и номер социального страхования (SIN), а также что он неоднократно нарушал правила дорожного движения московской полицией; в 2004, 2006, 2009 и 2014 годах.
Внимательные читатели, возможно, уже заметили, что возраст г-на Авдеева (41) и арестованного в этом месяце администратора XSS (38) немного отличается. Это, по-видимому, наводит на мысль, что арестованным был кто-то другой, а не г-н Авдеев, который не ответил на просьбы о комментарии.
МУХА НА СТЕНЕ
Для более подробного изучения этого вопроса KrebsOnSecurity обратился за комментариями к
Сергею Вовненко, бывшему киберпреступнику из Украины, ныне работающему в стартапе, специализирующемся на безопасности
paranoidlab.com. Я обратился к Вовненко, поскольку в течение нескольких лет, начиная примерно с 2010 года, он был владельцем и оператором
thesecure[.]biz, зашифрованного сервера обмена мгновенными сообщениями «Jabber», которым, по данным Европола, управлял арестованный в Киеве подозреваемый. Thesecure[.]biz стал довольно популярным среди многих ведущих русскоязычных киберпреступников, поскольку скрупулезно хранил лишь ограниченное количество записей об активности своих пользователей, а его администратор всегда был доверенным членом сообщества.
Я знаю эту историческую деталь потому, что в 2013 году Вовненко, используя хакерские прозвища «
Fly» и «
Flycracker»,
придумал план купить грамм героина на даркнет-рынке Silk Road и доставить его нам домой в Северную Вирджинию. Схема заключалась в том, чтобы подделать звонок от одного из наших соседей в местную полицию, сообщив, что этот парень, Кребс, живущий по соседству, наркоман и ему доставляют наркотики домой.
Я случайно заглянул на закрытый форум Флайкрекера, посвящённый киберпреступлениям, когда его план по подделке героина был реализован, и сам позвонил в полицию, прежде чем груз наконец-то прибыл в почтовое отделение США. Позднее Вовненко был
арестован за не связанную с этим киберпреступную деятельность, экстрадирован в США, осужден и депортирован после 16-месячного пребывания в американской тюрьме [он неоднократно приносил искренние извинения за инцидент, и с тех пор мы зарыли топор войны].
Вовненко заявил, что приобрел устройство для клонирования кредитных карт у Toha в 2009 году, и что Toha отправила его из России. Вовненко пояснил, что он (Flycracker) был владельцем и оператором thesecure[.]biz с 2010 года до своего ареста в 2014 году.
Вовненко считает, что thesecure[.]biz был украден, пока он находился в тюрьме, либо Тохой, либо администратором XSS, известным под псевдонимами
N0klos и
Sonic.
«Когда я был в тюрьме, администратор xss.is украл этот домен, или, вероятно, N0klos купил XSS у Toha, или наоборот», — сказал Вовненко о домене Jabber. «Никто из [форумов] не общался со мной после моего заключения, поэтому я могу только догадываться, что произошло на самом деле».
N0klos был владельцем и администратором одного из первых русскоязычных форумов по киберпреступности, известного как
Darklife[.]ws. Однако N0kl0s, похоже, всю жизнь прожил в России и, в любом случае, исчез с российских форумов, посвящённых киберпреступности, несколько лет назад.
На вопрос, считает ли он Тоху администратором XSS, арестованным в этом месяце на Украине, Вовненко ответил, что Тоха — россиянин, и что «французские копы забрали не того парня».
КТО ТАКОЙ ТОХА?
Так кого же арестовала украинская полиция в ответ на расследование французских властей? Похоже, что реклама BMW, в которой упоминался адрес электронной почты Тохи, а также имя и номер телефона гражданина России, была просто дезинформацией со стороны Тохи, призванной запутать и сбить с толку следователей. Возможно, это даже объясняет появление фамилии Авдеев в регистрационных записях одного из доменов Тохи.
Но иногда самый простой ответ оказывается правильным. «Тоха» — распространённое славянское прозвище для человека с именем «Антон», и оно совпадает с именем в регистрационных записях более десятка доменов, связанных с адресом электронной почты Тохи
toschka2003@yandex.ru: Антон Медведовский.
По данным Constella Intelligence, в Киеве проживает
Антон Ганнадиевич Медведовский, которому в декабре исполнится 38 лет. Этому человеку принадлежит адрес электронной почты
itsmail@i.ua, а также
аккаунт Airbnb с фотографией профиля мужчины с примерно такой же линией роста волос, как у подозреваемого на размытых фотографиях, опубликованных украинской полицией. Г-н Медведовский не ответил на запрос о комментарии.
Моя версия удаления заключается в том, что украинские власти, вероятно, арестовали Медведовского. В 2005 году Тоха написал на DaMaGeLab, что недавно окончил 11-й класс и учится в университете — тогда Медведовскому было около 18 лет. 11 декабря 2006 года участники Exploit поздравили Тоху с днём рождения. Данные, обнародованные в результате взлома украинского портала государственных услуг diia.gov.ua в 2022 году, показывают, что день рождения г-на Медведовского — 11 декабря 1987 года.
Действия правоохранительных органов и возникшая в результате неразбериха с личностью задержанного в последние недели вызвали хаос на российском форуме киберпреступности. На форумах разгорелись продолжительные и жаркие споры о будущем XSS.
XSS был возобновлен на новом адресе Tor вскоре после того, как власти разместили уведомление о конфискации на главной странице форума, но все доверенные модераторы старого форума были забанены без объяснения причин. Балансы аккаунтов действующих участников форума упали до нуля, и им было предложено внести депозит для регистрации на новом форуме. Новый «администратор» XSS заявил, что они связались с предыдущими владельцами и что эти изменения направлены на восстановление безопасности и доверия в сообществе. Однако заверения нового администратора, похоже, мало помогли развеять худшие опасения бывших участников форума, большинство из которых, похоже, пока держатся подальше от возрождённого сайта.
Действительно, если и есть что-то общее среди всех этих обсуждений об изъятии XSS, так это то, что украинские и французские власти теперь располагают личными сообщениями между пользователями форума XSS за несколько лет, а также списками контактов и другими пользовательскими данными, связанными с изъятым сервером Jabber.
«Миф о „доверенном лице“ развеян», — предупредил пользователь «GordonBellford» 3 августа в теме на форуме Exploit, посвящённой аресту администратора за XSS. «Форумом управляют незнакомцы. У них есть всё. Журналы Jabber-сервера за два года. Полное резервное копирование и база данных форума».
GordonBellford продолжил:
И самое страшное: этот массив данных — не просто архив. Это материал для анализа, который УЖЕ ПРОВЕДЕН. С помощью современных инструментов они видят всё:
Графики ваших контактов и активности.
Связи между никнеймами, адресами электронной почты, хешами паролей и идентификатором Jabber.
Временные метки, IP-адреса и цифровые отпечатки.
Ваш уникальный стиль письма, фразеологию, пунктуацию, постоянство грамматических ошибок и даже типичные опечатки, которые будут связывать ваши аккаунты на разных платформах.
Они не ищут иголку в стоге сена. Они просто просеивают стог сена через сито ИИ и получают готовые досье.
(c)
Источник
