Man
Professional
- Messages
- 2,965
- Reaction score
- 488
- Points
- 83
Секретная служба США в сотрудничестве с Государственным департаментом США предлагает значительное вознаграждение в размере до 10 миллионов долларов за информацию, которая приведет к аресту и/или осуждению Тимура Камилевича Шахмаметова.
26 сентября 2024 года прокуратура США по Восточному округу Вирджинии публично объявила о раскрытом обвинительном заключении против гражданина России Шахмаметова, которому были предъявлены обвинения в совершении тяжких преступлений, связанных с созданием и управлением Joker's Stash. Этот скандально известный веб-сайт был известен своей ориентацией на незаконную продажу данных украденных платежных карт. По данным Секретной службы США, Joker's Stash действовал в огромных масштабах, предоставляя информацию примерно с 40 миллионов украденных платежных карт каждый год. За период своей работы эта торговая площадка превратилась в одну из крупнейших кардинговых платформ в истории, способствуя торговле миллионами данных платежных карт. Аналитики подсчитали, что прибыль, полученная от этого преступного предприятия, может варьироваться от поразительных 280 миллионов долларов до более чем 1 миллиарда долларов.
Шахмаметову предъявлено несколько обвинений, включая одно обвинение в сговоре с целью совершения и содействия банковскому мошенничеству, одно обвинение в сговоре с целью совершения мошенничества с использованием устройств доступа и одно обвинение в сговоре с целью совершения отмывания денег. Тяжесть этих обвинений подчеркивает обширное влияние его действий на финансовую безопасность как отдельных лиц, так и учреждений.
НАГРАЖДЕНИЕ ЗА ИНФОРМАЦИЮ: НАЦИОНАЛ РОССИИ ТИМУР КАМИЛЕВИЧ ШАХМАМЕТОВ
Предыстория: Joker's Stash открылся в 2014 году и является одним из старейших магазинов скомпрометированных кредитных карт в Интернете. Он стал заметным участником различных незаконных кибер-схем, получив признание за свои существенные утечки информации о кредитных картах. В прошлом году Joker's Stash был связан с продажей скомпрометированной информации о кредитных картах из транзакций в точках продаж в Dickey's Barbecue Pit, Champagne French Bakery and Cafe и Wawa Inc.
Joker's Stash отличается от конкурентов свежестью предлагаемых карт, которая оценивает действительность данных карты. Они также утверждают, что получают информацию о своих картах из «эксклюзивных самостоятельно взломанных баз данных». Кроме того, они уникальны в своем выборе разместить свой магазин на блокчейн DNS, а в апреле 2020 года они расширили свою деятельность, добавив в магазин домены Tor.
Скомпрометированную информацию о платежных картах, доступную в подпольных магазинах карт, можно разделить на две категории:
1. Дампы: это скопированные данные о треке с физической карты, полученные с помощью скиммера или вредоносного ПО для точек продаж (POS).
2. Карты: это данные, собранные из перехваченного сетевого трафика, которые можно использовать для онлайн-покупок.
Хотя причины закрытия не были четко обозначены, есть подозрение, что администраторы решили закрыть сайт из-за опасений относительно потенциальных вторжений со стороны федеральных властей. Скоординированная полицейская операция ФБР и Интерпола привела к изъятию нескольких серверов, принадлежащих Joker's Stash, что временно нарушило работу сайта. Кроме того, агентства изъяли четыре домена Joker's Stash, что еще больше повлияло на его способность функционировать.
Шахмаметов объявляет о завершении карьеры Joker Stash
Платформа для кардинга Joker's Stash, действующая с 2014 года, была замешана в многочисленных утечках данных, торговле и раскрытии финансовой информации миллионов пользователей в даркнете. Операторы этой платформы незаконно получили прибыль в сотни миллионов долларов, используя украденную информацию.
Было несколько инцидентов безопасности, связанных с торговлей киберпреступниками украденными данными кредитных карт на Joker's Stash. Компания Gemini Advisory, занимающаяся разведкой угроз, сообщила, что хакеры хранили данные платежных карт клиентов Wawa на платформе. Wawa подтвердила, что хакеры пытались продать данные карт клиентов, пострадавших от нарушения безопасности, произошедшего 10 декабря 2019 года. Это нарушение затронуло данные 30 миллионов американцев и более миллиона человек из более чем 100 других стран.
Источник: Эллиптический
Тема на форуме XSS Russian, где обсуждается Joker Stash
Тимур Шахмаметов обвиняется в управлении печально известным киберкриминальным рынком, известным как Joker's Stash, который, по утверждениям властей США, приносил сотни миллионов долларов прибыли от продажи украденной информации о платежных картах. Ни Шахмаметов, ни его сообщник в настоящее время не находятся под стражей в США, и Государственный департамент предлагает вознаграждение в размере 10 миллионов долларов за информацию, которая приведет к их аресту или осуждению.
Шахмаметов, как утверждается, помогал управлять сайтами «кардинга», такими как Joker's Stash, которые продают украденную информацию о кредитных и дебетовых картах. По данным правоохранительных органов США, эти сайты были связаны с финансовыми данными, украденными у десятков миллионов американцев. Кроме того, миллионы долларов в виде платежей за вымогательство и продажи наркотиков в даркнете, как сообщается, проходили через криптовалютные счета, связанные с услугами, предоставляемыми Ивановым, еще одним лицом, участвовавшим в этой операции.
В течение многих лет правительство США пыталось убедить Россию принять меры против киберпреступников, действующих с ее территории, однако зачастую безуспешно.
Joker's Stash был доминирующей силой в русскоязычном криминальном подполье в течение многих лет. Криминальный форум рекламировал данные, украденные из крупных нарушений корпораций США. Министерство юстиции утверждает, что Шахмаметов использовал различные онлайн-форумы по криминалу для продвижения Joker's Stash и его обширной коллекции украденных данных.
После того, как правоохранительные органы США и Европы изъяли некоторые компьютерные серверы, связанные с Joker's Stash, форум объявил о своем закрытии в 2021 году. Однако правоохранительные органы США продолжают преследовать двух россиян.
Полное имя: Тимур Камильевич Шахмаметов / Тимур Камильевич Шахмаметов
Псевдонимы: «JokerStash», «Vega», «vip», «v1pee», «ViperSV»
Национальность и гражданство: Россия
Рост, вес, цвет волос, цвет глаз: 5'9”, 180 фунтов, Коричневый
Это один из сайтов, которым управляет Шахмаметов.
Нашим первым шагом было отвлечение внимания от изображений Шахмаметова, которые были опубликованы Секретной службой США. В поисках более свежих и актуальных изображений мы наткнулись на его захватывающую фотографию, сделанную во время празднования годовщины в Новосибирске. Этот яркий город, известный как третий по величине в России, расположен к северу от Казахстана, богат культурой и историей и является важным центром в Сибири.
Мы инициировали обширный поиск Шахмаметова с использованием передовых методов разведки с открытым исходным кодом. Наши усилия привели к раскрытию известного псевдонима Шахмаметова «JokerStash», который всплыл в печально известной базе данных «CardMafia», которая была скомпрометирована в 2021 году. Carding Mafia — это подпольный форум, печально известный кражей и торговлей украденной информацией о кредитных картах, и он пострадал от значительных утечек данных как в марте, так и в декабре того года. Эти утечки привели к раскрытию конфиденциальной информации пользователей, включая адреса электронной почты, имена пользователей, IP-адреса и пароли, которые хранились в виде соленых хэшей MD5.
Эти данные дали нам два ключевых вывода. Во-первых, они позволили нам сопоставить Шахмаметова с известным веб-сайтом, вовлеченным в незаконную деятельность. Во-вторых, мы обнаружили новый адрес электронной почты, связанный с ним: jstashhhh@yandex.ru. Кроме того, мы идентифицировали его последнюю зафиксированную активность на платформе с использованием этой учетной записи, которая произошла 1 февраля 2021 года. В другом взломе мы успешно связали псевдоним «JokerStash» и недавно обнаруженный адрес электронной почты с несколькими IP-адресами: 185.61.137.100 в Лилистаде, Нидерланды; 185.162.10.129 и 185.162.10.198, оба из которых восходят к Софии, Болгария. Наше расследование также выявило важную личную информацию, идентифицирующую водительские права Шахмаметова, национальный идентификационный номер, налоговый идентификационный номер и паспорт, выданный Отделом внутренних дел Ленинского района Новосибирска. Это подтвердило, что он действительно является гражданином России, проживающим в Новосибирске.
Кроме того, мы обнаружили несколько других адресов электронной почты: shahmametov@list.ru, gsgs.2021@list.ru, shaxmametov.timur@bk.ru и 79139511590@monetnaya-lavka.ru. Мы смогли отследить эти письма до разных платформ, включая Skype, Microsoft и Vivino. Наш поиск также привел нас к двум номерам телефонов: 9139511590 и 79133709629, оба из которых связаны с аккаунтами на платформах обмена сообщениями и социальных сетях, таких как WhatsApp, CallApp и VK.
Аккаунт VK выделялся в частности, поскольку он использовался в качестве марионетки под псевдонимом Спиридон Красноконев. Примечательно, что последняя зафиксированная активность на этом аккаунте была 10 марта 2024 года, что дает дополнительный контекст онлайн-присутствия и деятельности Шахмаметова.
При изучении обширного списка телефонных номеров и адресов электронной почты, которые нам удалось раскрыть, весьма интригующе отметить, что они не использовались для создания значительного количества учетных записей. Обычно можно было бы ожидать богатый клад данных при расследовании такого большого объема персонально идентифицируемой информации (PII). Это наблюдение становится еще более захватывающим, поскольку оно предполагает, что Шахмаметов обладает глубоким пониманием своих мер оперативной безопасности (OPSEC), демонстрируя его усилия по поддержанию определенной степени анонимности и защите своей личной информации от потенциального раскрытия.
Где находится «Шахмаметов»?
Шахмаметов получил свой паспорт и водительские права в Новосибирске, известном городе в сибирском регионе России. На момент получения водительских прав его официальным зарегистрированным адресом была улица 9 Гвардейской Дивизии, квартира X, корпус XXX, в оживленном районе Новосибирска. Эта информация дает представление о его личности и месте жительства.
Разумно предположить, что большинство людей получают водительские права в относительно молодом возрасте. Эта деталь предполагает, что рассматриваемый адрес, вероятно, относится к ранним этапам жизни человека. Более того, само здание не обладает характеристиками, которые можно было бы ожидать от убежища для многомиллионного преступника — его внешний вид решительно непримечательный.
В ходе расследования мы успешно идентифицировали банковские услуги, которыми пользовался этот человек. Мы обнаружили три счета, зарегистрированных под названием «Альфа-Банк». Примечательно, что в октябре 2024 года известные украинские хакерские группы KibOrg и NLB, работающие совместно со Службой безопасности Украины (СБУ), осуществили существенный взлом крупнейшего частного финансового учреждения России «Альфа-Банк». Они утверждали, что получили доступ к личной информации более 30 миллионов клиентов, включая конфиденциальные данные, такие как имена, даты рождения, номера счетов и номера телефонов ( https://novayagazeta.eu/articles/20...ata-of-20-million-alfa-bank-customers-en-news ).
При построении временной шкалы на основе утечек данных важно проявлять осторожность. Например, утечка, связанная с Facebook в 2024 году, не обязательно означает, что учетная запись была создана в этом году; она могла быть создана в любой момент до этого. Однако, что касается банковских счетов, кажется крайне маловероятным, что у человека может быть учетная запись, но он ею активно не пользуется. Этот контекст заставляет нас полагать, что информация, полученная в результате утечки Альфа-Банка, скорее всего, довольно недавняя и точно отражает текущий статус человека.
Сопоставив данные, мы определили следующие адреса: Новосибирск, Кедровая улица, 41 и Новосибирск, улица Галущака, оба расположены в центре Новосибирска.
Недавние расследования, проведенные экспертом по кибербезопасности Брайаном Кребсом, выявили тревожную информацию о Шахмаметове, главе компании по разработке мобильных игровых приложений, известной как Arpaplus. Только в 2023 году Arpaplus получила ошеломляющий доход в размере 1 143 570,87 долларов США и продолжает работать, что свидетельствует о ее значительном присутствии на рынке мобильных приложений. В качестве доказательства своей популярности Arpaplus может похвастаться впечатляющими 8 миллионами загрузок на различных платформах.
Более детальное изучение отзывов пользователей выявляет тревожную тенденцию: многие загрузки поступают от лиц из стран Северной Европы. Это особенно тревожно, учитывая печально известное прошлое Шахмаметова, связанное с кражей кредитных карт и распространением инфостилеров. Мы настоятельно рекомендуем проявлять крайнюю осторожность при работе с приложениями, разработанными Arpaplus, поскольку существует значительный риск того, что конфиденциальная информация, включая данные кредитной карты, может быть скомпрометирована.
Для тех, кто заинтересован, мобильные приложения, разработанные Arpaplus, могут быть найдены по адресу https://play.google.com/store/apps/developer?id=ARPAPLUS&hl=da, но крайне важно подходить к этим загрузкам со скептицизмом и осторожностью.
Более того, примечательно, что сайт Arpaplus размещен на сервере, идентифицируемом по IP-адресу 185.193.90.36. На этом сервере также находится www.fashion.girls.co.com, сайт, который достиг десятков миллионов загрузок. Наши расследования указывают на закономерность, поскольку несколько обзоров указывают, что пользователи из Дании и других скандинавских регионов часто взаимодействуют с игровыми приложениями, связанными с Arpaplus. Это вызывает дополнительные подозрения, что Fashion Girls, еще одно приложение в каталоге, также может управляться Шахмаметовым.
«Арпаплюс» расположен в центре Новосибирска.
Благодаря комплексному анализу данных социальных сетей нам удалось выйти на членов семьи Шахмаметова, что привело нас к их аккаунтам в ВК и множеству ранее не публиковавшихся фотографий.
Распознавание новых изображений Шахмаметова было непростой задачей. Нам требовался доступ к его социальным сетям и близкому кругу друзей. Хотя объект может применять строгие оперативные меры безопасности, наш опыт показывает, что друзья и члены семьи часто более спокойно относятся к тому, чем они делятся в сети.
Мы определили один из бывших адресов Шахмаметова, который был связан с его номером телефона. Как показано в Predicta Graph ниже, его номер телефона был связан с заказом из интернет-магазина обуви. Этот заказ был связан с адресом электронной почты, принадлежащим жене Шахмаметова. С помощью углубленной разведки социальных сетей (SOCMINT) мы успешно обнаружили аккаунты жены Шахмаметова в VK, OK и Instagram. В этих аккаунтах были размещены недавние изображения Шахмаметова, что давало ценную информацию о его местонахождении. Мы создали график в Predicta Graph для отслеживания:
https://www.predictagraph.com/graph/snapshot/6f6fb8ea-4aa5-4cec-bd73-1cead6863d00
На картинке ниже мы можем ясно видеть нашего Человека Интереса (POI) с его женой, сидящей справа. Однако мы не раскрываем ее лицо, поскольку не вовлекаем членов семьи в наши расследования.
На изображении выше Шахмаметов наслаждается рестораном «Leto/Лето», расположенным в самом сердце леса в Новосибирске. Заведение, известное своим роскошным декором и изысканной атмосферой, излучает ощущение роскоши и экстравагантности, как показано на фотографиях с его страницы в Instagram. Действие происходит в апреле 2024 года. Мы проанализировали аккаунты в социальных сетях и нашли фотографию одного из членов его семьи, празднующего в ресторане. Ниже приведено сравнение объектов.
Мы обнаружили ресторан и нашли обновленные спутниковые снимки его местонахождения.
Шахмаметов ведет роскошную и излишнюю жизнь, наслаждаясь самой изысканной роскошью, которую может предложить богатство. Его экстравагантный образ жизни отмечен роскошными вечеринками, дизайнерской одеждой и дорогими автомобилями, все это резко контрастирует со страданиями, которые он причинил. Будучи печально известным авторитетом в мире киберпреступности, он накопил огромное состояние, леденящее душу свидетельство темной стороны его операций. Миллионы невинных людей стали жертвами его схем, борясь с финансовым крахом и эмоциональным расстройством как прямым результатом его злонамеренных действий. Влияние его действий глубокое, оставляющее след трудностей, который подчеркивает высокую цену его жадности. На этой фотографии мы видим Шахмаметова, сидящего рядом со своей предполагаемой женой справа в красной рубашке, которую мы нашли с помощью анализа социальных сетей.
Мы создали коллаж из фотографий за последние несколько лет, найденных с помощью OSINT в аккаунтах членов его семьи в социальных сетях.
Ссылки:
- https://www.state.gov/reward-for-information-timur-kamilevich-shakhmametov/
- https://www.secretservice.gov/sites...024-09/SHAKHMAMETOV-Timur-Reward-Combined.pdf
- https://krebsonsecurity.com/2024/09/us-indicts-2-top-russian-hackers-sanctions-cryptex/
- https://home.treasury.gov/news/press-releases/jy2616
- https://www.justice.gov/opa/pr/two-...n-operating-billion-dollar-money-laundering-1
- https://edition.cnn.com/2024/09/26/politics/us-russians-accused-money-laundering-schemes/index.html
- https://cyberscoop.com/jokers-stash-card-forum-shut-down-dark-web/
- https://www.predictagraph.com/graph/snapshot/6f6fb8ea-4aa5-4cec-bd73-1cead6863d00
- https://flashpoint.io/wp-content/up...-Ivanov-and-Timur-Kamilevich-Shakhmametov.pdf
Источник
26 сентября 2024 года прокуратура США по Восточному округу Вирджинии публично объявила о раскрытом обвинительном заключении против гражданина России Шахмаметова, которому были предъявлены обвинения в совершении тяжких преступлений, связанных с созданием и управлением Joker's Stash. Этот скандально известный веб-сайт был известен своей ориентацией на незаконную продажу данных украденных платежных карт. По данным Секретной службы США, Joker's Stash действовал в огромных масштабах, предоставляя информацию примерно с 40 миллионов украденных платежных карт каждый год. За период своей работы эта торговая площадка превратилась в одну из крупнейших кардинговых платформ в истории, способствуя торговле миллионами данных платежных карт. Аналитики подсчитали, что прибыль, полученная от этого преступного предприятия, может варьироваться от поразительных 280 миллионов долларов до более чем 1 миллиарда долларов.
Шахмаметову предъявлено несколько обвинений, включая одно обвинение в сговоре с целью совершения и содействия банковскому мошенничеству, одно обвинение в сговоре с целью совершения мошенничества с использованием устройств доступа и одно обвинение в сговоре с целью совершения отмывания денег. Тяжесть этих обвинений подчеркивает обширное влияние его действий на финансовую безопасность как отдельных лиц, так и учреждений.
НАГРАЖДЕНИЕ ЗА ИНФОРМАЦИЮ: НАЦИОНАЛ РОССИИ ТИМУР КАМИЛЕВИЧ ШАХМАМЕТОВ
Предыстория: Joker's Stash открылся в 2014 году и является одним из старейших магазинов скомпрометированных кредитных карт в Интернете. Он стал заметным участником различных незаконных кибер-схем, получив признание за свои существенные утечки информации о кредитных картах. В прошлом году Joker's Stash был связан с продажей скомпрометированной информации о кредитных картах из транзакций в точках продаж в Dickey's Barbecue Pit, Champagne French Bakery and Cafe и Wawa Inc.
Joker's Stash отличается от конкурентов свежестью предлагаемых карт, которая оценивает действительность данных карты. Они также утверждают, что получают информацию о своих картах из «эксклюзивных самостоятельно взломанных баз данных». Кроме того, они уникальны в своем выборе разместить свой магазин на блокчейн DNS, а в апреле 2020 года они расширили свою деятельность, добавив в магазин домены Tor.
Скомпрометированную информацию о платежных картах, доступную в подпольных магазинах карт, можно разделить на две категории:
1. Дампы: это скопированные данные о треке с физической карты, полученные с помощью скиммера или вредоносного ПО для точек продаж (POS).
2. Карты: это данные, собранные из перехваченного сетевого трафика, которые можно использовать для онлайн-покупок.
Хотя причины закрытия не были четко обозначены, есть подозрение, что администраторы решили закрыть сайт из-за опасений относительно потенциальных вторжений со стороны федеральных властей. Скоординированная полицейская операция ФБР и Интерпола привела к изъятию нескольких серверов, принадлежащих Joker's Stash, что временно нарушило работу сайта. Кроме того, агентства изъяли четыре домена Joker's Stash, что еще больше повлияло на его способность функционировать.
- jstash.bazar
- jstash.lib
- jstash.emc
- jstash.coin
Шахмаметов объявляет о завершении карьеры Joker Stash
Платформа для кардинга Joker's Stash, действующая с 2014 года, была замешана в многочисленных утечках данных, торговле и раскрытии финансовой информации миллионов пользователей в даркнете. Операторы этой платформы незаконно получили прибыль в сотни миллионов долларов, используя украденную информацию.
Было несколько инцидентов безопасности, связанных с торговлей киберпреступниками украденными данными кредитных карт на Joker's Stash. Компания Gemini Advisory, занимающаяся разведкой угроз, сообщила, что хакеры хранили данные платежных карт клиентов Wawa на платформе. Wawa подтвердила, что хакеры пытались продать данные карт клиентов, пострадавших от нарушения безопасности, произошедшего 10 декабря 2019 года. Это нарушение затронуло данные 30 миллионов американцев и более миллиона человек из более чем 100 других стран.
Источник: Эллиптический
Тема на форуме XSS Russian, где обсуждается Joker Stash
Тимур Шахмаметов обвиняется в управлении печально известным киберкриминальным рынком, известным как Joker's Stash, который, по утверждениям властей США, приносил сотни миллионов долларов прибыли от продажи украденной информации о платежных картах. Ни Шахмаметов, ни его сообщник в настоящее время не находятся под стражей в США, и Государственный департамент предлагает вознаграждение в размере 10 миллионов долларов за информацию, которая приведет к их аресту или осуждению.
Шахмаметов, как утверждается, помогал управлять сайтами «кардинга», такими как Joker's Stash, которые продают украденную информацию о кредитных и дебетовых картах. По данным правоохранительных органов США, эти сайты были связаны с финансовыми данными, украденными у десятков миллионов американцев. Кроме того, миллионы долларов в виде платежей за вымогательство и продажи наркотиков в даркнете, как сообщается, проходили через криптовалютные счета, связанные с услугами, предоставляемыми Ивановым, еще одним лицом, участвовавшим в этой операции.
В течение многих лет правительство США пыталось убедить Россию принять меры против киберпреступников, действующих с ее территории, однако зачастую безуспешно.
Joker's Stash был доминирующей силой в русскоязычном криминальном подполье в течение многих лет. Криминальный форум рекламировал данные, украденные из крупных нарушений корпораций США. Министерство юстиции утверждает, что Шахмаметов использовал различные онлайн-форумы по криминалу для продвижения Joker's Stash и его обширной коллекции украденных данных.
После того, как правоохранительные органы США и Европы изъяли некоторые компьютерные серверы, связанные с Joker's Stash, форум объявил о своем закрытии в 2021 году. Однако правоохранительные органы США продолжают преследовать двух россиян.
Что уже известно
Полное имя: Тимур Камильевич Шахмаметов / Тимур Камильевич Шахмаметов
Псевдонимы: «JokerStash», «Vega», «vip», «v1pee», «ViperSV»
Национальность и гражданство: Россия
Рост, вес, цвет волос, цвет глаз: 5'9”, 180 фунтов, Коричневый
Это один из сайтов, которым управляет Шахмаметов.
Затем мы начали OSINT-расследование
Нашим первым шагом было отвлечение внимания от изображений Шахмаметова, которые были опубликованы Секретной службой США. В поисках более свежих и актуальных изображений мы наткнулись на его захватывающую фотографию, сделанную во время празднования годовщины в Новосибирске. Этот яркий город, известный как третий по величине в России, расположен к северу от Казахстана, богат культурой и историей и является важным центром в Сибири.
Отталкиваясь от известной информации
Мы инициировали обширный поиск Шахмаметова с использованием передовых методов разведки с открытым исходным кодом. Наши усилия привели к раскрытию известного псевдонима Шахмаметова «JokerStash», который всплыл в печально известной базе данных «CardMafia», которая была скомпрометирована в 2021 году. Carding Mafia — это подпольный форум, печально известный кражей и торговлей украденной информацией о кредитных картах, и он пострадал от значительных утечек данных как в марте, так и в декабре того года. Эти утечки привели к раскрытию конфиденциальной информации пользователей, включая адреса электронной почты, имена пользователей, IP-адреса и пароли, которые хранились в виде соленых хэшей MD5.
Эти данные дали нам два ключевых вывода. Во-первых, они позволили нам сопоставить Шахмаметова с известным веб-сайтом, вовлеченным в незаконную деятельность. Во-вторых, мы обнаружили новый адрес электронной почты, связанный с ним: jstashhhh@yandex.ru. Кроме того, мы идентифицировали его последнюю зафиксированную активность на платформе с использованием этой учетной записи, которая произошла 1 февраля 2021 года. В другом взломе мы успешно связали псевдоним «JokerStash» и недавно обнаруженный адрес электронной почты с несколькими IP-адресами: 185.61.137.100 в Лилистаде, Нидерланды; 185.162.10.129 и 185.162.10.198, оба из которых восходят к Софии, Болгария. Наше расследование также выявило важную личную информацию, идентифицирующую водительские права Шахмаметова, национальный идентификационный номер, налоговый идентификационный номер и паспорт, выданный Отделом внутренних дел Ленинского района Новосибирска. Это подтвердило, что он действительно является гражданином России, проживающим в Новосибирске.
Кроме того, мы обнаружили несколько других адресов электронной почты: shahmametov@list.ru, gsgs.2021@list.ru, shaxmametov.timur@bk.ru и 79139511590@monetnaya-lavka.ru. Мы смогли отследить эти письма до разных платформ, включая Skype, Microsoft и Vivino. Наш поиск также привел нас к двум номерам телефонов: 9139511590 и 79133709629, оба из которых связаны с аккаунтами на платформах обмена сообщениями и социальных сетях, таких как WhatsApp, CallApp и VK.
Аккаунт VK выделялся в частности, поскольку он использовался в качестве марионетки под псевдонимом Спиридон Красноконев. Примечательно, что последняя зафиксированная активность на этом аккаунте была 10 марта 2024 года, что дает дополнительный контекст онлайн-присутствия и деятельности Шахмаметова.
При изучении обширного списка телефонных номеров и адресов электронной почты, которые нам удалось раскрыть, весьма интригующе отметить, что они не использовались для создания значительного количества учетных записей. Обычно можно было бы ожидать богатый клад данных при расследовании такого большого объема персонально идентифицируемой информации (PII). Это наблюдение становится еще более захватывающим, поскольку оно предполагает, что Шахмаметов обладает глубоким пониманием своих мер оперативной безопасности (OPSEC), демонстрируя его усилия по поддержанию определенной степени анонимности и защите своей личной информации от потенциального раскрытия.
Где находится «Шахмаметов»?
Шахмаметов получил свой паспорт и водительские права в Новосибирске, известном городе в сибирском регионе России. На момент получения водительских прав его официальным зарегистрированным адресом была улица 9 Гвардейской Дивизии, квартира X, корпус XXX, в оживленном районе Новосибирска. Эта информация дает представление о его личности и месте жительства.
Разумно предположить, что большинство людей получают водительские права в относительно молодом возрасте. Эта деталь предполагает, что рассматриваемый адрес, вероятно, относится к ранним этапам жизни человека. Более того, само здание не обладает характеристиками, которые можно было бы ожидать от убежища для многомиллионного преступника — его внешний вид решительно непримечательный.
В ходе расследования мы успешно идентифицировали банковские услуги, которыми пользовался этот человек. Мы обнаружили три счета, зарегистрированных под названием «Альфа-Банк». Примечательно, что в октябре 2024 года известные украинские хакерские группы KibOrg и NLB, работающие совместно со Службой безопасности Украины (СБУ), осуществили существенный взлом крупнейшего частного финансового учреждения России «Альфа-Банк». Они утверждали, что получили доступ к личной информации более 30 миллионов клиентов, включая конфиденциальные данные, такие как имена, даты рождения, номера счетов и номера телефонов ( https://novayagazeta.eu/articles/20...ata-of-20-million-alfa-bank-customers-en-news ).
При построении временной шкалы на основе утечек данных важно проявлять осторожность. Например, утечка, связанная с Facebook в 2024 году, не обязательно означает, что учетная запись была создана в этом году; она могла быть создана в любой момент до этого. Однако, что касается банковских счетов, кажется крайне маловероятным, что у человека может быть учетная запись, но он ею активно не пользуется. Этот контекст заставляет нас полагать, что информация, полученная в результате утечки Альфа-Банка, скорее всего, довольно недавняя и точно отражает текущий статус человека.
Сопоставив данные, мы определили следующие адреса: Новосибирск, Кедровая улица, 41 и Новосибирск, улица Галущака, оба расположены в центре Новосибирска.
Шахмаметов управляет многомиллионной схемой создания мобильных игровых приложений
Недавние расследования, проведенные экспертом по кибербезопасности Брайаном Кребсом, выявили тревожную информацию о Шахмаметове, главе компании по разработке мобильных игровых приложений, известной как Arpaplus. Только в 2023 году Arpaplus получила ошеломляющий доход в размере 1 143 570,87 долларов США и продолжает работать, что свидетельствует о ее значительном присутствии на рынке мобильных приложений. В качестве доказательства своей популярности Arpaplus может похвастаться впечатляющими 8 миллионами загрузок на различных платформах.
Более детальное изучение отзывов пользователей выявляет тревожную тенденцию: многие загрузки поступают от лиц из стран Северной Европы. Это особенно тревожно, учитывая печально известное прошлое Шахмаметова, связанное с кражей кредитных карт и распространением инфостилеров. Мы настоятельно рекомендуем проявлять крайнюю осторожность при работе с приложениями, разработанными Arpaplus, поскольку существует значительный риск того, что конфиденциальная информация, включая данные кредитной карты, может быть скомпрометирована.
Для тех, кто заинтересован, мобильные приложения, разработанные Arpaplus, могут быть найдены по адресу https://play.google.com/store/apps/developer?id=ARPAPLUS&hl=da, но крайне важно подходить к этим загрузкам со скептицизмом и осторожностью.
Более того, примечательно, что сайт Arpaplus размещен на сервере, идентифицируемом по IP-адресу 185.193.90.36. На этом сервере также находится www.fashion.girls.co.com, сайт, который достиг десятков миллионов загрузок. Наши расследования указывают на закономерность, поскольку несколько обзоров указывают, что пользователи из Дании и других скандинавских регионов часто взаимодействуют с игровыми приложениями, связанными с Arpaplus. Это вызывает дополнительные подозрения, что Fashion Girls, еще одно приложение в каталоге, также может управляться Шахмаметовым.
«Арпаплюс» расположен в центре Новосибирска.
Представляем новейшую фотографию Тимура Камилевича Шахмаметова
Благодаря комплексному анализу данных социальных сетей нам удалось выйти на членов семьи Шахмаметова, что привело нас к их аккаунтам в ВК и множеству ранее не публиковавшихся фотографий.
Распознавание новых изображений Шахмаметова было непростой задачей. Нам требовался доступ к его социальным сетям и близкому кругу друзей. Хотя объект может применять строгие оперативные меры безопасности, наш опыт показывает, что друзья и члены семьи часто более спокойно относятся к тому, чем они делятся в сети.
Мы определили один из бывших адресов Шахмаметова, который был связан с его номером телефона. Как показано в Predicta Graph ниже, его номер телефона был связан с заказом из интернет-магазина обуви. Этот заказ был связан с адресом электронной почты, принадлежащим жене Шахмаметова. С помощью углубленной разведки социальных сетей (SOCMINT) мы успешно обнаружили аккаунты жены Шахмаметова в VK, OK и Instagram. В этих аккаунтах были размещены недавние изображения Шахмаметова, что давало ценную информацию о его местонахождении. Мы создали график в Predicta Graph для отслеживания:
https://www.predictagraph.com/graph/snapshot/6f6fb8ea-4aa5-4cec-bd73-1cead6863d00
На картинке ниже мы можем ясно видеть нашего Человека Интереса (POI) с его женой, сидящей справа. Однако мы не раскрываем ее лицо, поскольку не вовлекаем членов семьи в наши расследования.
На изображении выше Шахмаметов наслаждается рестораном «Leto/Лето», расположенным в самом сердце леса в Новосибирске. Заведение, известное своим роскошным декором и изысканной атмосферой, излучает ощущение роскоши и экстравагантности, как показано на фотографиях с его страницы в Instagram. Действие происходит в апреле 2024 года. Мы проанализировали аккаунты в социальных сетях и нашли фотографию одного из членов его семьи, празднующего в ресторане. Ниже приведено сравнение объектов.
Мы обнаружили ресторан и нашли обновленные спутниковые снимки его местонахождения.
Шахмаметов ведет роскошную и излишнюю жизнь, наслаждаясь самой изысканной роскошью, которую может предложить богатство. Его экстравагантный образ жизни отмечен роскошными вечеринками, дизайнерской одеждой и дорогими автомобилями, все это резко контрастирует со страданиями, которые он причинил. Будучи печально известным авторитетом в мире киберпреступности, он накопил огромное состояние, леденящее душу свидетельство темной стороны его операций. Миллионы невинных людей стали жертвами его схем, борясь с финансовым крахом и эмоциональным расстройством как прямым результатом его злонамеренных действий. Влияние его действий глубокое, оставляющее след трудностей, который подчеркивает высокую цену его жадности. На этой фотографии мы видим Шахмаметова, сидящего рядом со своей предполагаемой женой справа в красной рубашке, которую мы нашли с помощью анализа социальных сетей.
Мы создали коллаж из фотографий за последние несколько лет, найденных с помощью OSINT в аккаунтах членов его семьи в социальных сетях.
Ссылки:
- https://www.state.gov/reward-for-information-timur-kamilevich-shakhmametov/
- https://www.secretservice.gov/sites...024-09/SHAKHMAMETOV-Timur-Reward-Combined.pdf
- https://krebsonsecurity.com/2024/09/us-indicts-2-top-russian-hackers-sanctions-cryptex/
- https://home.treasury.gov/news/press-releases/jy2616
- https://www.justice.gov/opa/pr/two-...n-operating-billion-dollar-money-laundering-1
- https://edition.cnn.com/2024/09/26/politics/us-russians-accused-money-laundering-schemes/index.html
- https://cyberscoop.com/jokers-stash-card-forum-shut-down-dark-web/
- https://www.predictagraph.com/graph/snapshot/6f6fb8ea-4aa5-4cec-bd73-1cead6863d00
- https://flashpoint.io/wp-content/up...-Ivanov-and-Timur-Kamilevich-Shakhmametov.pdf
Источник
