Итак, все технические работы по восстановлению и переносу на новую инфраструктуру закончены.
Как только до меня дошла информация о возможном аресте Тохи — первым делом необходимо было понять, как далеко добрались и какие данные им удалось получить.
Результат анализа прошлой инфраструктуры показал следующее:
- Были перехвачены доступы к управлению доменами WWW, вероятно мог быть перехвачен и onion (именно по этой причине и был создан новый onion домен).
- Jabber-сервер был скомпрометирован полностью, на нем находился бинарный файл, который позволял получать информацию об IP-адресах пользователей, находящихся онлайн, а также сообщения, которые были отправлены получателю, находящемуся не в сети. На сервере было отключено логирование переписок, а также история IP-адресов авторизаций, как и сообщал вам Тоха. Но при этом сам сервер не был зашифрован.
- Доступ к бэкэнду сервера не был получен, сторонних бинарных файлов и авторизаций не обнаружено. Сервер также не был пошифрован.
- Ситуация с кошельками куда более удручающая. Все платежи принимались на bitcoin core, litecoin core и monero, которые были подняты на отдельных серверах. Но на момент получения доступа там хранилось всего 1.7 btc, 156 ltc и 58 xmr, все крупные депозиты сразу же выводились с них, вероятнее всего, на холодные кошельки через сложные цепочки. Отследить полностью, увы, не представляется возможным. И вероятнее всего все монеты, находящие на холодных кошельках, были изъяты СБУ.
- Получить физический доступ к серверам jabber и бэкэнду СБУ не могли, поэтому анализа сетевой активности было достаточно для установления наличия или отсутствия факта компрометации.
По результатам тех. работ было сделано следующее:
- Полностью заменены все элементы инфраструктуры и перенесены на другие серверы (в локации, к которым у спец служб не может быть физического доступа, по политическим причинам).
- Подняты новые WWW и onion домены.
- Полностью пошифрованы все критические элементы инфраструктуры.
- Перестроен весь стек сетевых технологий, с учетом современных решений шифрования и маршрутизации. Это позволит избежать раскрытия реального IP-адреса бэкэнд сервера и близких к нему. В случае определения IP-адреса прокладки и попытки ее компрометации, то получить доступ к следующему серверу в цепочке будет невозможно.
- Были подняты новые серверы с новыми кошельками, а также перестроено общением между этими серверами и основным бэкэнд сервером. Монеты, которые были на доступных серверах - перенесены.
Теперь поговорим о судьбе самого форума.
XSS — это в первую очередь сообщество технически грамотных людей, а не торговая площадка. Форум работал, работает и будет работать, несмотря на все происходящие вокруг него события, действия и мнения касательно судьбы отдельных людей.
Как и раньше на форуме будет размещаться платная реклама, платные статьи, конкурсы, депозиты и гарант, все это необходимо в первую очередь для обеспечения возможности возвратов депозитов пользователям, какой-либо нужды в деньгах у меня нет, но и выплачивать более 55 btc из своего кармана считаю не целесообразным, так как ответственность за их хранение на мне не лежит.
Также я заметил большое количество аккаунтов группы scrapper, которые ходят по форуму и собирают все сообщения и активность пользователей. Эти аккаунты будут также заблокированы, а группа scrapper упразднена.
На форуме будет введена платная регистрация для новых пользователей без поручителей, а если при регистрации пользователь сможет указать поручителя и поручитель подтвердит приглашение, то его заявка будет принята без оплаты.
Разберем ситуацию с модераторами.
Как только я изолировал старые серверы и убедился, что доступ к бэкэнду не был получен - я вышел на связь в закрытом разделе для модераторов, где сообщил, что в данный момент я занят анализом и переносом. Как только все будет готово я сделаю отдельную конференцию с модераторами, где необходимо будет обсудить как лучше решить вопрос с депозитами. Они это прочитали, после чего, в инициативном порядке решили поднять свой форум и оповестить об этом пользователей XSS скрыто, разослав в личные сообщения и через систему уведомлений пугающие сообщения о компрометации форума. Это их право, и я сделал для себя вывод об этих людях. В данный момент все модераторы, совершившие это - забанены. Им оставлена почта для обратной связи, если они захотят связаться.
Из-за их действий я вынужден был откатить базу из бэкапа от 01.08.2025.
Сейчас я открываю набор новых модераторов на каждый раздел. Если вы хотите стать модератором, то можете отправить мне в личные сообщения заявку, в которой необходимо указать: модератором какого раздела вы хотите стать, какой опыт работы в этом направлении у вас имеется (статьи, разработки, ресерчи). После проверки заявок и подтверждения компетентности в этом направлении, будет выдан статус модератора.
В ближайшее время будут решены все вопросы по автогаранту и блекам, которые повисли.
В сложившейся ситуации никакой верификации, обозначения старых ников или подобной информации, не будет. Любая подобная верификация равносильна самоубийству.
И хочу всем напомнить, что не нужно рассчитывать только на безопасность инфраструктуры форума. Ваша безопасность только в ваших руках, не указывайте на форумах или в переписках, свои личные почты и контакты, всегда придерживайтесь модели Zero Trust.
