Friend
Professional
- Messages
- 2,653
- Reaction score
- 842
- Points
- 113
Русскоязычный киберпреступный форум WWH-Club был взломан сотрудниками Федерального бюро расследований, получившими администраторский доступ к системам и сумевшим выгрузить базу данных. Как следует из опубликованных судебных документов, следствие установило имена двоих администраторов проекта.
Ими, согласно опубликованному судом Флориды ордеру на арест, оказались гражданин России Павел Кублицкий и гражданин Казахстана Александр Ходырев. Известно, что первый уже арестован, судьба второго пока проясняется. ФБР удалось определить их IP-адреса после получения ордера на обыск американской облачной компании Digital Ocean.
После этого спецагенты смогли взломать площадку и предоставить следователям привилегии администраторов, а также возможность просматривать десятки тысяч переписок, паролей и любую активность в зарегистрированных учетных записях. Содержание ордера на арест косвенно указывает, что это могло произойти еще в 2020 году.
Проведенное силовиками исследование показало, что создатель и владелец WWH прятался за никнеймами W.W.H. и Mans77. При этом Кублицкий и Ходырев оба были администраторами площадки и делили учетную запись Makein. Они оба прибыли в США не позднее 2022 года и попросили политическое убежище. Статус безработных не помешал Кублицкому приобрести во Флориде роскошный кондоминиум, а Ходыреву — Corvette 2023 года за, который он заплатил 110 тысяч долларов.
• Source: https://www.courtwatch.news/p/exclusive-massive-criminal-online
• Source: https://storage.courtlistener.com/recap/gov.uscourts.flsd.672601/gov.uscourts.flsd.672601.1.0.pdf
-----
В США по делу о руководстве форумом для краж с кредиток в даркнете задержали главу омского филиала МММ‑2011
Во Флориде россиянина Павла Кублицкого обвинили в руководстве форумом в даркнете для краж с кредиток. Об этом сообщает издание Court Watch со ссылкой на материалы обвинительного заключения из судебной базы.
Вместе с Кублицким другим администратором форума wwh-club.ws ФБР называет гражданина Казахстана Александра Ходырева. Кублицкий был задержан. Из обвинительного заключения непонятно, задержан ли Ходырев, отмечает Courtwatch.
Всего на форуме были зарегистрированы около 170 тысяч пользователей. Там можно было купить гайды о том, как красть деньги с банковских счетов, покупать товары с помощью украденных данных кредитных карт и проводить DDoS и спам-атаки. Агент ФБР под прикрытием купил один из этих курсов за тысячу долларов в биткоинах, он длился шесть недель, его посещали еще 50 человек. На форуме также за деньги предлагались пробивы по утекшим базы данных.
И Кублицкий, и Ходырев, по данным ФБР, приехали в США в декабре 2022 года и подались на политическое убежище. Хотя у них не было официального места работы, как утверждает спецслужба, оба вели роскошный образ жизни. Кублицкий открыл счет в банке и положил на него 50 тысяч долларов, а также арендовал «престижную квартиру» в Майами, в районе Санни Айлс Бич, где большая русская диаспора. Ходырев же купил за наличные 110 тысяч долларов спортивную машину Chevrolet Corvette.
В обвинительном заключении упоминается адрес почты Кублицкого на Gmail. Благодаря этому, «Медиазона» обнаружила в утекших базах данных, что ему 37 лет, и в России он был зарегистрирован в Омске — в отношении него приставы открыли несколько производств.
Павел Кублицкий был одним из руководителей финансовой пирамиды «МММ-2011» Сергея Мавроди. Так, связанный с gmail-ящиком Кублицкого телефонный номер, согласно утечкам, использовался МММ-2011. В интервью омскому изданию БК55 в 2011 году мужчина называл себя «координатором МММ в Омске». Офисы пирамиды в Омске и других городах закрылись спустя год.
Форум открывается через tor и clear net.
------------------------
Паша регнул компанию недавно - KPV E-COMMERCE LLC 02/09/2024
KUBLITSKII, PAVEL
17000 N BAY RD
1008
SUNNY ISLES BEACH, FL 33160
-----
Некоторые подробности:
- несмотря на использование технологии FastFlux, агенты ФБР смогли определить конечные IP-адреса, к которым разрешался домен, что позволило им выйти на компанию DigitalOcean. Образы с серверов, предоставленные DigitalOcean, не были зашифрованы, что позволило ФБР получить полный доступ к данным, хранящимся на этих серверах.
- ФБР не взламывало сам форум напрямую. Они работали с образом данных, предоставленных DigitalOcean. ФБР настроило эти данные так, чтобы получить доступ, аналогичный административному, и исследовать всю активность на форуме. Вся информация была переведена с помощью Google Translate, так как сайт был полностью на русском языке.
- в документе указывается, что данные с серверов были реконструированы с использованием SQL-базы данных. Это говорит о том, что форум использовал реляционную базу данных для хранения информации. Точный движок форума (например, XenForo, vBulletin и т.д.) в документе не уточняется, но использование SQL указывает на стандартные веб-форумные платформы.
- анализ бэкэнд данных показал, что у форума было почти 170 000 зарегистрированных пользователей, из которых 7 имели админские привилегии, 32 - привилегии "персонала", и 29 - модераторские.
- активные следственные действия начались в 2021 году. Так, в апреле 2021 года был выдан федеральный ордер на обыск примерно 70 аккаунтов электронной почты, связанных с администраторами и персоналом WWH.
- в январе 2023 года агент ФБР под прикрытием зарегистрировался на WWH и заплатил около $1000 в биткойнах за участие в обучении на форуме. Лекции проводились через чат и включали инструкции по получению и использованию украденных данных для совершения мошенничества.
Дополнительно:
52. While it appears that WWH had over 350,000 users in March 2023, this
investigation has largely focused on identifying the owner of WWH and those individuals involved in the administration, management, and operation of the site
Их интересовали больше всего администраторы, модераторы и управляющие проектом, а не простые юзеры (верим, ага)
-------------
WWH-Club подтвердил арест двоих модераторов
Площадка WWH-Club выпустила /index.php?threads/po-situacii-skynetzone-dva-moderatora-wwh-club.274241/ официальное заявление, в котором признала задержание двоих модераторов. При этом сам форум, по словам администрации проекта, дискредитирован не был.
«Была оперативно проведена внутренняя проверка. С сожалением вынуждены подтвердить задержание двух наших модераторов. Инфраструктура форума под нашим контролем, никаких захватов, взломов и подобного нет», — сказано в сообщении.
Администратор WWH отметил, что платформа тщательно подходит к вопросам обеспечения безопасности: не используется электронная почта, неактивные переписки удаляются каждые шесть месяцев, создана самописная разветвленную система серверов, прокси и шифрования. При этом, по уверениям главы проекта, в нем отсутствует логирование, регистрация анонимна, а все форумные платежи проходят через миксер. Он отдельно подчеркнул, что серверы проекта никогда не располагались в США.
«Но в любой цепи всегда есть слабое звено. В беду попал форум Skynet и его владелец. Не разобравшись в иерархии WWH-CLUB или сделав это специально, [сотрудники ФБР] навязали им статус главных администраторов нашего форума. Они тут таковыми не являлись. Прав администрирования у них не было. Была скомпрометирована инфраструктура именно данного ресурса», — говорится в сообщении.
Пожалев представителей партнерской площадки, администратор WWH объявил о начале благотворительного сбора на их нужды. Кроме того, в течение недели любой пользователь сможет бесплатно сменить ник.
------
Арестованным «администратором» WWH-Club оказался модератор по интеграции с партнерами.
Арестованный в США россиянин Павел Кублицкий, подозреваемый властями Соединенных Штатов в том, что он является одним из администраторов площадки WWH-Club, на самом деле возглавлял направление интеграции с партнерскими площадками. Об этом Darknet News на условиях анонимности рассказал источник, приближенный к руководству проекта.
«Пока точно известно, что задержан один из модераторов, отвечавший за интеграцию других площадок (Center, Skynetzone и т. д.). Сам форум в безопасности, уже предприняли определенные меры», — рассказал источник.
Площадка Skynetzone упоминается в обвинительном заключении за подписью спецагента ФБР Грегори Кристофера. По его данным, пользователь WWH с ником Makein, которым в равной степени владели Кублицкий и второй подозреваемый, гражданин Казахстана Александр Ходырев, был владельцем и основным администратором Skynetzone. Упоминания об этом сотрудники ФБР нашли в полученных ими базах данных WWH.
Изучив переписки Makein, связанные с платежами за рекламу, спецслужбы обнаружили несколько кластеров, состоящих из сотен криптовалютных кошельков, связанных друг с другом общими транзакциями. Один из таких кластеров с 2015-го по 2024 год получил около 152 BTC от 4000 других пользователей. Позднее эта крипта 193 платежами была переведена на другие кошельки с помощью сервиса Bitpay. При этом 90 из этих исходящих платежей связаны с пять адресами электронной почты: superbuyer777@gmail[.]com, k.ostyanasonov.777@gmail[.]com, russellgoodwinmail@gmail[.]com, kelemenmitchell@gmail[.]com и sadieheamogr@aol[.]com. При этом первые четыре связаны друг с другом общими cookies, а последний указан в качестве резервного для первого адреса.
В ФБР отмечают, что с администраторами площадки, в отношении которых проводилось расследование, был также связан адрес 2013KPV@gmail[.]com. Записи Google доказывают, что Кублицкий или владел и им, и superbuyer777@gmail[.]com, или использовал один для связи с другим.
При этом в аккаунте 2013KPV@gmail[.]com содержится персональная информация и фотографии, доказывающие, что им владеет Кублицкий. А в 2018 году с помощью адреса superbuyer777@gmail[.]com был забронирован отдых для россиянина и его семьи в Доминиканской Республике. В переписках между двумя адресами также всплывали краденные номера кредитных карт и другие сведения, указывающие на мошеннические операции. Кроме того, силовики обратили внимание на то, что для регистрации официального аккаунта площадки Skynetzone на PayPal также использовался адрес superbuyer777@gmail[.]com.
Что любопытно, пробив по электронной почте 2013KPV@gmail[.]com выводит сведения не только о Павле Кублицком, но и о его несовершеннолетней дочери Мелании, что свидетельствует о том, что у девочки был доступ к адресу отца, который использовался для киберпреступной деятельности.
Ими, согласно опубликованному судом Флориды ордеру на арест, оказались гражданин России Павел Кублицкий и гражданин Казахстана Александр Ходырев. Известно, что первый уже арестован, судьба второго пока проясняется. ФБР удалось определить их IP-адреса после получения ордера на обыск американской облачной компании Digital Ocean.
После этого спецагенты смогли взломать площадку и предоставить следователям привилегии администраторов, а также возможность просматривать десятки тысяч переписок, паролей и любую активность в зарегистрированных учетных записях. Содержание ордера на арест косвенно указывает, что это могло произойти еще в 2020 году.
Проведенное силовиками исследование показало, что создатель и владелец WWH прятался за никнеймами W.W.H. и Mans77. При этом Кублицкий и Ходырев оба были администраторами площадки и делили учетную запись Makein. Они оба прибыли в США не позднее 2022 года и попросили политическое убежище. Статус безработных не помешал Кублицкому приобрести во Флориде роскошный кондоминиум, а Ходыреву — Corvette 2023 года за, который он заплатил 110 тысяч долларов.
• Source: https://www.courtwatch.news/p/exclusive-massive-criminal-online
• Source: https://storage.courtlistener.com/recap/gov.uscourts.flsd.672601/gov.uscourts.flsd.672601.1.0.pdf
-----
В США по делу о руководстве форумом для краж с кредиток в даркнете задержали главу омского филиала МММ‑2011
Во Флориде россиянина Павла Кублицкого обвинили в руководстве форумом в даркнете для краж с кредиток. Об этом сообщает издание Court Watch со ссылкой на материалы обвинительного заключения из судебной базы.
Вместе с Кублицким другим администратором форума wwh-club.ws ФБР называет гражданина Казахстана Александра Ходырева. Кублицкий был задержан. Из обвинительного заключения непонятно, задержан ли Ходырев, отмечает Courtwatch.
Всего на форуме были зарегистрированы около 170 тысяч пользователей. Там можно было купить гайды о том, как красть деньги с банковских счетов, покупать товары с помощью украденных данных кредитных карт и проводить DDoS и спам-атаки. Агент ФБР под прикрытием купил один из этих курсов за тысячу долларов в биткоинах, он длился шесть недель, его посещали еще 50 человек. На форуме также за деньги предлагались пробивы по утекшим базы данных.
И Кублицкий, и Ходырев, по данным ФБР, приехали в США в декабре 2022 года и подались на политическое убежище. Хотя у них не было официального места работы, как утверждает спецслужба, оба вели роскошный образ жизни. Кублицкий открыл счет в банке и положил на него 50 тысяч долларов, а также арендовал «престижную квартиру» в Майами, в районе Санни Айлс Бич, где большая русская диаспора. Ходырев же купил за наличные 110 тысяч долларов спортивную машину Chevrolet Corvette.
В обвинительном заключении упоминается адрес почты Кублицкого на Gmail. Благодаря этому, «Медиазона» обнаружила в утекших базах данных, что ему 37 лет, и в России он был зарегистрирован в Омске — в отношении него приставы открыли несколько производств.
Павел Кублицкий был одним из руководителей финансовой пирамиды «МММ-2011» Сергея Мавроди. Так, связанный с gmail-ящиком Кублицкого телефонный номер, согласно утечкам, использовался МММ-2011. В интервью омскому изданию БК55 в 2011 году мужчина называл себя «координатором МММ в Омске». Офисы пирамиды в Омске и других городах закрылись спустя год.
Форум открывается через tor и clear net.
------------------------
Паша регнул компанию недавно - KPV E-COMMERCE LLC 02/09/2024
KUBLITSKII, PAVEL
17000 N BAY RD
1008
SUNNY ISLES BEACH, FL 33160
-----
Некоторые подробности:
- несмотря на использование технологии FastFlux, агенты ФБР смогли определить конечные IP-адреса, к которым разрешался домен, что позволило им выйти на компанию DigitalOcean. Образы с серверов, предоставленные DigitalOcean, не были зашифрованы, что позволило ФБР получить полный доступ к данным, хранящимся на этих серверах.
- ФБР не взламывало сам форум напрямую. Они работали с образом данных, предоставленных DigitalOcean. ФБР настроило эти данные так, чтобы получить доступ, аналогичный административному, и исследовать всю активность на форуме. Вся информация была переведена с помощью Google Translate, так как сайт был полностью на русском языке.
- в документе указывается, что данные с серверов были реконструированы с использованием SQL-базы данных. Это говорит о том, что форум использовал реляционную базу данных для хранения информации. Точный движок форума (например, XenForo, vBulletin и т.д.) в документе не уточняется, но использование SQL указывает на стандартные веб-форумные платформы.
- анализ бэкэнд данных показал, что у форума было почти 170 000 зарегистрированных пользователей, из которых 7 имели админские привилегии, 32 - привилегии "персонала", и 29 - модераторские.
- активные следственные действия начались в 2021 году. Так, в апреле 2021 года был выдан федеральный ордер на обыск примерно 70 аккаунтов электронной почты, связанных с администраторами и персоналом WWH.
- в январе 2023 года агент ФБР под прикрытием зарегистрировался на WWH и заплатил около $1000 в биткойнах за участие в обучении на форуме. Лекции проводились через чат и включали инструкции по получению и использованию украденных данных для совершения мошенничества.
Дополнительно:
52. While it appears that WWH had over 350,000 users in March 2023, this
investigation has largely focused on identifying the owner of WWH and those individuals involved in the administration, management, and operation of the site
Их интересовали больше всего администраторы, модераторы и управляющие проектом, а не простые юзеры (верим, ага)
-------------
WWH-Club подтвердил арест двоих модераторов
Площадка WWH-Club выпустила /index.php?threads/po-situacii-skynetzone-dva-moderatora-wwh-club.274241/ официальное заявление, в котором признала задержание двоих модераторов. При этом сам форум, по словам администрации проекта, дискредитирован не был.
«Была оперативно проведена внутренняя проверка. С сожалением вынуждены подтвердить задержание двух наших модераторов. Инфраструктура форума под нашим контролем, никаких захватов, взломов и подобного нет», — сказано в сообщении.
Администратор WWH отметил, что платформа тщательно подходит к вопросам обеспечения безопасности: не используется электронная почта, неактивные переписки удаляются каждые шесть месяцев, создана самописная разветвленную система серверов, прокси и шифрования. При этом, по уверениям главы проекта, в нем отсутствует логирование, регистрация анонимна, а все форумные платежи проходят через миксер. Он отдельно подчеркнул, что серверы проекта никогда не располагались в США.
«Но в любой цепи всегда есть слабое звено. В беду попал форум Skynet и его владелец. Не разобравшись в иерархии WWH-CLUB или сделав это специально, [сотрудники ФБР] навязали им статус главных администраторов нашего форума. Они тут таковыми не являлись. Прав администрирования у них не было. Была скомпрометирована инфраструктура именно данного ресурса», — говорится в сообщении.
Пожалев представителей партнерской площадки, администратор WWH объявил о начале благотворительного сбора на их нужды. Кроме того, в течение недели любой пользователь сможет бесплатно сменить ник.
------
Арестованным «администратором» WWH-Club оказался модератор по интеграции с партнерами.
Арестованный в США россиянин Павел Кублицкий, подозреваемый властями Соединенных Штатов в том, что он является одним из администраторов площадки WWH-Club, на самом деле возглавлял направление интеграции с партнерскими площадками. Об этом Darknet News на условиях анонимности рассказал источник, приближенный к руководству проекта.
«Пока точно известно, что задержан один из модераторов, отвечавший за интеграцию других площадок (Center, Skynetzone и т. д.). Сам форум в безопасности, уже предприняли определенные меры», — рассказал источник.
Площадка Skynetzone упоминается в обвинительном заключении за подписью спецагента ФБР Грегори Кристофера. По его данным, пользователь WWH с ником Makein, которым в равной степени владели Кублицкий и второй подозреваемый, гражданин Казахстана Александр Ходырев, был владельцем и основным администратором Skynetzone. Упоминания об этом сотрудники ФБР нашли в полученных ими базах данных WWH.
Изучив переписки Makein, связанные с платежами за рекламу, спецслужбы обнаружили несколько кластеров, состоящих из сотен криптовалютных кошельков, связанных друг с другом общими транзакциями. Один из таких кластеров с 2015-го по 2024 год получил около 152 BTC от 4000 других пользователей. Позднее эта крипта 193 платежами была переведена на другие кошельки с помощью сервиса Bitpay. При этом 90 из этих исходящих платежей связаны с пять адресами электронной почты: superbuyer777@gmail[.]com, k.ostyanasonov.777@gmail[.]com, russellgoodwinmail@gmail[.]com, kelemenmitchell@gmail[.]com и sadieheamogr@aol[.]com. При этом первые четыре связаны друг с другом общими cookies, а последний указан в качестве резервного для первого адреса.
В ФБР отмечают, что с администраторами площадки, в отношении которых проводилось расследование, был также связан адрес 2013KPV@gmail[.]com. Записи Google доказывают, что Кублицкий или владел и им, и superbuyer777@gmail[.]com, или использовал один для связи с другим.
При этом в аккаунте 2013KPV@gmail[.]com содержится персональная информация и фотографии, доказывающие, что им владеет Кублицкий. А в 2018 году с помощью адреса superbuyer777@gmail[.]com был забронирован отдых для россиянина и его семьи в Доминиканской Республике. В переписках между двумя адресами также всплывали краденные номера кредитных карт и другие сведения, указывающие на мошеннические операции. Кроме того, силовики обратили внимание на то, что для регистрации официального аккаунта площадки Skynetzone на PayPal также использовался адрес superbuyer777@gmail[.]com.
Что любопытно, пробив по электронной почте 2013KPV@gmail[.]com выводит сведения не только о Павле Кублицком, но и о его несовершеннолетней дочери Мелании, что свидетельствует о том, что у девочки был доступ к адресу отца, который использовался для киберпреступной деятельности.
Last edited by a moderator:
Все мои предположения, всего лишь пару человек оттуда, всего лишь за пару своих сообщений - сами превратили если не в факт, то, как минимум, однозначно подтвердили.
