- Регистрация
- 23.02.21
- Сообщения
- 386
22 июля 2025 года европейское полицейское агентство Европол сообщило , что проведение расследования, проводимое французской полицией, привело к аресту 38-летнего администратора XSS — русскоязычного форума о киберпреступности с более чем 50 000 участников. Это событие вызвало непрекращающееся волнение домыслов и панику среди участников XSS по поводу личности неназванного подозрительного человека, но все сходятся во мнении, что он, известный под ником « Тоха », является ключевой фигурой в криминальном мире. Вот подробный разбор того, что известно о Тохе, и краткая информация о том, кого поймали.
Европол не назвал имя обвиняемого, но опубликовал частично засвеченные фотографии с обыска его дома в Киеве. Полиция заявила, что подозреваемый выступал в качестве доверенной стороны, проявляя арбитром в спорах между коридорами и гарантируя безопасность транзакций по XSS. В заявлении службы безопасности Украины [Б]СБУ[/B] говорилось, что среди ее членов было много киберпреступников из различных группировок-вымогателей, в том числе REvil , LockBit , Conti и Qiliin .
После объявления форума Европола XSS вновь появился по новому адресу в глубокой сети (доступен только через анонимную сеть Tor ). Однако, судя по последним сообщениям, среди давних участников форума нет единого мнения о личности нынешнего задержанного администратора XSS.
Наиболее частым комментарием к слушанию было выражение солидарности и поддержки Тохи, никнейма, давним администратором XSS и нескольких других крупных русскоязычных форумов. Аккаунты Тоха на других форумах после обыска замолчали.
Европол заявил, что подозреваемый имеет почти 20-летний опыт киберпреступности, что примерно соответствует истории Тоха. В 2005 году Тоха был одним из основателей русскоязычного форума Hack-All. То есть, до тех пор, пока он не подвергся масштабному взлому через несколько месяцев после своего основания. В 2006 году Тоха переименовал форум в «эксплойт[.]in» , что впоследствии привлекло десятки тысяч участников, включая, в конечном итоге, выдающихся киберпреступников.
В 2018 году Тоха объявил о продаже форума Exploit, что вызвало бурные спекуляции на форумах о том, что покупатель — тайное российское или украинское государственное учреждение или подставное лицо. Однако эти подозрения не были подтверждены доказательствами, и Тоха категорически отрицал передачу форума властям.
Одним из старых русскоязычных форумов, посвящённых киберпреступности, был DaMaGeLaB , действовавший с 2004 по 2017 год, когда был оскорблен его администратором «Ar3s». В 2018 году частичная резервная копия форума DaMaGeLaB была реинкарнирована как xss[.]is , а Тоха был заявлен в качестве ее администратора.
МЕЖСАЙТОВАЯ СВЯЗЬ
Подсказки о обучении Тохи в интернете — примерно с 2004 по 2010 год — можно найти в архивах Intel 471 , компании, занимающейся киберразведкой и отслеживающей активность на форумах. Согласно данным Intel 471, Тоха использовал один и тот же адрес электронной почты для нескольких учётных записей на форумах, включая Exploit, Antichat , Carder[.]su и inattack[.]ru
DomainTools.comОбнаружил, что адрес электронной почты Тохи — [email protected] — используется для регистрации как минимум дюжины доменных имён, большинство из которых относятся к середине-концу 2000-х годов. Помимо эксплойта[.]in и домена ixyq[.]com , другие домены, зарегистрированные на этом адресе электронной почты, заканчиваются на .ua, домене верхнего уровня для Украины (например, Remove.org[.]ua, lj.com[.]ua и blogspot.org[.]ua).
Почти все домены, зарегистрированные на [email protected] , содержат имя Антона Медведовского в регистрационных записях, за исключением вышеупомянутого ixyq[.]com, зарегистрированного на имя Юрий Авдеев в Москве.
Фамилия Авдеева вплыла в продолжительный разговор с Lockbitsupp , лидером хищной и деструктивной группы, связанной с программой-вымогателем Lockbit . Разговор состоялся в феврале 2024 года, когда Локбитсупп попросил помочь установить точную личность Тохи.
Локбитсупп не объяснил, что ему нужны данные Тохи, но утверждал, что настоящее имя Тохи — Антон Авдеев . Я отказался поддерживать Lockbitsupp в его замысле места Тохе, но его вопрос пробудил во мне любопытство и желание разобраться в этом глубже. Судя по всему, запрос Lockbitsupp был основан на нынешнем удалённом сообщении в Твиттере от 2022 года, где пользователь под ником « 3xp0rt » утверждал, что Тоха — россиянин по имени Антон Викторович Авдеев , родившийся 27 октября 1983 года.
Поиск в Интернете по адресу электронной почты Тохи [email protected] обнаруживает тему продажи 2010 года на сайте bmwclub.ru , где пользователь по имени Honeypo предоставил BMW X5 2007 года выпуска. В объявлении контактным лицом был указан Антон Авдеев, а также указан номер телефона 9588693.
Поиск по номеру телефона 9588693 в сервисе идентификации утечек Constella Intelligence обнаруживает множество официальных записей российского правительства с этим номером, датой рождения и именем Антон Викторович Авдеев. Например, проверенные данные российского правительства показывают, что у этого человека есть российский налоговый идентификационный номер (ИНН) и номер финансового страхования (SIN), а также что он неоднократно нарушал правила дорожного движения московской полиции; в 2004, 2006, 2009 и 2014 годах.
Внимательные читатели, возможно, уже заметили, что возраст г-на Авдеева (41) и похвального в этом месяце администратора XSS (38) немного отличаются. Это, по-видимому, наводит на мысль, что похвальным был кто-то другой, а не г-н Авдеев, который не ответил на просьбы на комментарии.
МУХА НА СТЕНЕ
Для более детального изучения этого вопроса KrebsOnSecurity обратился за комментариями к Сергею Вовненко , бывшему киберпреступнику из Украины, ныне работающему в стартапе, специализирующемся на безопасности paranoidlab.com . Я обратился к Вовненко, поскольку в течение нескольких лет, примерно с 2010 года, он был известным и оператором thesecure[.]biz , зашифрованного сервера обмена мгновенными сообщениями «Jabber», которым, по данным Европола, управлял доброжелательный в Киеве подозрительный. Thiscure[.]biz стал довольно популярен среди многих ведущих русскоязычных киберпреступников, поскольку скрупулезно хранил лишь ограниченное количество записей об активности своих пользователей, а его администратор всегда был доверенным членом сообщества.
Я знаю эту историческую деталь, потому что в 2013 году Вовненко, используя хакерские прозвища « Fly » и « Flycracker », придумал план купить грамм героини на даркнет-рынке Silk Road и доставить его нам домой в Северную Вирджинию. Схема заключалась в том, чтобы сделать звонок от одного из наших соседей в местную полицию, сообщив, что этот парень, Кребс, живущий по соседству, наркоман и ему доставляют наркотики домой.
Я случайно заглянул на закрытый форум Флайкрекера, посвящённому киберпреступлениям, когда его план по подделке героини был реализован, и сам позвонил в полицию, прежде чем груз наконец-то прибыл в почтовое отделение США. Впоследствии Вовненко был признан виновным за не связанную с этой киберпреступной деятельностью, экстрадирован в США, осужден и депортирован после 16-месячного пребывания в современной политике [он неоднократно приносил искренние извинения за инцидент, и с тех пор мы зарыли топор войны].
Вовненко заявил, что приобрел устройство для клонирования кредитных карт у Тохи в 2009 году, и что Тоха отправила его из России. Вовненко пояснил, что он (Флайкрекер) был экономическим агентом и оператором thesecure[.]biz с 2010 года до его ареста в 2014 году.
Вовненко считает, что thesecure[.]biz был украден, пока он оставался национальным, то Тохой, то администратором XSS, известными под псевдонимами N0klos и Sonic .
«Когда я был в стране, администратор xss.is украл этот домен, или, вероятно, N0klos купил XSS в Тохе, или наоборот», — сказал Вовненко о домене Jabber. «Никто из [форумов] не общался со мной после моего заключения, поэтому я могу только догадываться, что произошло на самом деле».
N0klos был влиятельным и администратором одного из первых русскоязычных форумов по киберпреступности, известного как Darklife[.]ws . Однако N0kl0s, похоже, вся жизнь прожила в России и, в любом случае, исчезла с российских форумов, посвящённых киберпреступности, несколько лет назад.
На вопрос, считает ли он Тоху администратором XSS, критикным в этом месяце в Украине, Вовненко ответил, что Тоха — россиянин, и что «французские копы забрали не того парня».
КТО ТАКОЙ ТОХА?
Так кого же арестовала украинская полиция в ответ на расследование французских властей? Похоже, что реклама BMW, в которой упоминался адрес электронной почты Тохи, а также имя и номер телефона гражданина России, была просто дезинформацией со стороны Тохи, целью которой было запутать и сбить с толку следователей. Возможно, это даже случайное появление фамилии Авдеев в регистрационных записях одного из доменов Тохи.
Но иногда встречается самый простой ответ. «Тоха» — распространённое славянское прозвище для человека с именем «Антон», и оно соответствует имени в регистрационных записях более десятка доменов, имена с адресом электронной почты Тохи [email protected] : Антон Медведовский.
По данным Constella Intelligence, в Киеве проживает Антон Ганнадиевич Медведовский , который в декабре исполнится 38 лет. Этому человеку принадлежит адрес электронной почты [email protected] , а также аккаунт Airbnb с фотографией профиля мужчины с примерно таким же основанием роста волос, как у подозреваемого на размытых фотографиях, опубликованных украинской полицией. Г-н Медведовский не ответил на запрос комментариев.
Моя версия удаления заключалась в том, что украинские власти, вероятно, арестовали Медведовского. В 2005 году Тоха написал на DaMaGeLab, что недавно окончил 11-й класс и учится в университете — тогда Медведовскому было около 18 лет. 11 декабря 2006 года участники Exploit поздравили Тоху с днём рождения. Данные, обнародованные в результате взлома украинского портала государственных услуг diia.gov.ua в 2022 году, показывают, что день рождения г-на Медведовского — 11 декабря 1987 года.
Действия органов, произошедшие в результате неразберихи с идентификацией задержанного в последние недели, вызвали хаос на российской киберпреступности. На форумах разгорелись длительные и жаркие споры о будущем XSS.
XSS был активирован на новом адресе Tor вскоре после того, как были добавлены возможности конфискации на главной странице форума, но все доверенные модераторы старого форума были заблокированы без объяснения причин. Балансы аккаунтов действующих участников форума упали до нуля, и им было предложено внести депозит для регистрации на новом форуме. Новый «администратор» XSS заявил, что они связались с физическими владельцами, и что эти изменения направлены на восстановление безопасности и надежности в сообществе. Однако сообщение нового администратора, похоже, мало помогло развеять опасения со стороны участников форума, большинство из которых, похоже, пока держатся подальше от возрождённого сайта.
Действительно, если и есть что-то общее среди всех обсуждений об исключении XSS, так это то, что эти украинские и французские власти теперь являются личными сообщениями между пользователями форума XSS в течение нескольких лет, а также списками контактов и данными других пользователей, прерываниями с наблюдаемым сервером Jabber.
«Миф о „доверенном лице“ весян», — предупредил пользователь «GordonBellford» 3 августа в теме по Exploit, посвященной аресту администратора за XSS. «Форумом управляют незнакомцы. У них есть всё. Журналы Jabber-сервера за два года. Полное резервное копирование и база данных форума».
ГордонБелфорд продолжает:
И самое страшное: этот массив данных — не просто архив. Это материал для анализа, который УЖЕ ПРОВЕДЕН. С помощью современных инструментов они реализуют всё:
Графики ваших контактов и активности.
Связи между никнеймами, адресами электронной почты, хешами паролей и идентификатором Jabber.
Временные метки, IP-адреса и цифровые отпечатки.
Ваш уникальный стиль письма, фразеологию, пунктуацию, постоянство грамматических ошибок и даже типичные опечатки, которые будут связывать ваши аккаунты на разных платформах.
Они не искали иголку в стоге сена. Они просто просеивают стог сена через сайт ИИ и получают готовую дозу.
krebsonsecurity.com/2025/08/who-got-arrested-in-the-raid-on-the-xss-crime-forum/
В прошлом месяце в Киеве был оскорблен неназванный 38-летний мужчина по подозрению в администрировании форума по киберпреступности XSS. Изображение: ssu.gov.ua.
Европол не назвал имя обвиняемого, но опубликовал частично засвеченные фотографии с обыска его дома в Киеве. Полиция заявила, что подозреваемый выступал в качестве доверенной стороны, проявляя арбитром в спорах между коридорами и гарантируя безопасность транзакций по XSS. В заявлении службы безопасности Украины [Б]СБУ[/B] говорилось, что среди ее членов было много киберпреступников из различных группировок-вымогателей, в том числе REvil , LockBit , Conti и Qiliin .
После объявления форума Европола XSS вновь появился по новому адресу в глубокой сети (доступен только через анонимную сеть Tor ). Однако, судя по последним сообщениям, среди давних участников форума нет единого мнения о личности нынешнего задержанного администратора XSS.
Наиболее частым комментарием к слушанию было выражение солидарности и поддержки Тохи, никнейма, давним администратором XSS и нескольких других крупных русскоязычных форумов. Аккаунты Тоха на других форумах после обыска замолчали.
Европол заявил, что подозреваемый имеет почти 20-летний опыт киберпреступности, что примерно соответствует истории Тоха. В 2005 году Тоха был одним из основателей русскоязычного форума Hack-All. То есть, до тех пор, пока он не подвергся масштабному взлому через несколько месяцев после своего основания. В 2006 году Тоха переименовал форум в «эксплойт[.]in» , что впоследствии привлекло десятки тысяч участников, включая, в конечном итоге, выдающихся киберпреступников.
В 2018 году Тоха объявил о продаже форума Exploit, что вызвало бурные спекуляции на форумах о том, что покупатель — тайное российское или украинское государственное учреждение или подставное лицо. Однако эти подозрения не были подтверждены доказательствами, и Тоха категорически отрицал передачу форума властям.
Одним из старых русскоязычных форумов, посвящённых киберпреступности, был DaMaGeLaB , действовавший с 2004 по 2017 год, когда был оскорблен его администратором «Ar3s». В 2018 году частичная резервная копия форума DaMaGeLaB была реинкарнирована как xss[.]is , а Тоха был заявлен в качестве ее администратора.
МЕЖСАЙТОВАЯ СВЯЗЬ
Подсказки о обучении Тохи в интернете — примерно с 2004 по 2010 год — можно найти в архивах Intel 471 , компании, занимающейся киберразведкой и отслеживающей активность на форумах. Согласно данным Intel 471, Тоха использовал один и тот же адрес электронной почты для нескольких учётных записей на форумах, включая Exploit, Antichat , Carder[.]su и inattack[.]ru
DomainTools.comОбнаружил, что адрес электронной почты Тохи — [email protected] — используется для регистрации как минимум дюжины доменных имён, большинство из которых относятся к середине-концу 2000-х годов. Помимо эксплойта[.]in и домена ixyq[.]com , другие домены, зарегистрированные на этом адресе электронной почты, заканчиваются на .ua, домене верхнего уровня для Украины (например, Remove.org[.]ua, lj.com[.]ua и blogspot.org[.]ua).
Снимок домена, зарегистрированного на [email protected] и Антона Медведовского в Киеве, 2008 года. Обратите внимание на сообщение в левом пульте: «Защищено Exploit.in». Изображение: archive.org.
Почти все домены, зарегистрированные на [email protected] , содержат имя Антона Медведовского в регистрационных записях, за исключением вышеупомянутого ixyq[.]com, зарегистрированного на имя Юрий Авдеев в Москве.
Фамилия Авдеева вплыла в продолжительный разговор с Lockbitsupp , лидером хищной и деструктивной группы, связанной с программой-вымогателем Lockbit . Разговор состоялся в феврале 2024 года, когда Локбитсупп попросил помочь установить точную личность Тохи.
В начале 2024 года лидер группы шифровальщиков Lockbit — Lockbitsupp — обратился за помощью в расследовании личности XSS-администратора Тохи, который, по его словам, был россиянином по имени Антон Авдеев.
Локбитсупп не объяснил, что ему нужны данные Тохи, но утверждал, что настоящее имя Тохи — Антон Авдеев . Я отказался поддерживать Lockbitsupp в его замысле места Тохе, но его вопрос пробудил во мне любопытство и желание разобраться в этом глубже. Судя по всему, запрос Lockbitsupp был основан на нынешнем удалённом сообщении в Твиттере от 2022 года, где пользователь под ником « 3xp0rt » утверждал, что Тоха — россиянин по имени Антон Викторович Авдеев , родившийся 27 октября 1983 года.
Поиск в Интернете по адресу электронной почты Тохи [email protected] обнаруживает тему продажи 2010 года на сайте bmwclub.ru , где пользователь по имени Honeypo предоставил BMW X5 2007 года выпуска. В объявлении контактным лицом был указан Антон Авдеев, а также указан номер телефона 9588693.
Поиск по номеру телефона 9588693 в сервисе идентификации утечек Constella Intelligence обнаруживает множество официальных записей российского правительства с этим номером, датой рождения и именем Антон Викторович Авдеев. Например, проверенные данные российского правительства показывают, что у этого человека есть российский налоговый идентификационный номер (ИНН) и номер финансового страхования (SIN), а также что он неоднократно нарушал правила дорожного движения московской полиции; в 2004, 2006, 2009 и 2014 годах.
Внимательные читатели, возможно, уже заметили, что возраст г-на Авдеева (41) и похвального в этом месяце администратора XSS (38) немного отличаются. Это, по-видимому, наводит на мысль, что похвальным был кто-то другой, а не г-н Авдеев, который не ответил на просьбы на комментарии.
МУХА НА СТЕНЕ
Для более детального изучения этого вопроса KrebsOnSecurity обратился за комментариями к Сергею Вовненко , бывшему киберпреступнику из Украины, ныне работающему в стартапе, специализирующемся на безопасности paranoidlab.com . Я обратился к Вовненко, поскольку в течение нескольких лет, примерно с 2010 года, он был известным и оператором thesecure[.]biz , зашифрованного сервера обмена мгновенными сообщениями «Jabber», которым, по данным Европола, управлял доброжелательный в Киеве подозрительный. Thiscure[.]biz стал довольно популярен среди многих ведущих русскоязычных киберпреступников, поскольку скрупулезно хранил лишь ограниченное количество записей об активности своих пользователей, а его администратор всегда был доверенным членом сообщества.
Я знаю эту историческую деталь, потому что в 2013 году Вовненко, используя хакерские прозвища « Fly » и « Flycracker », придумал план купить грамм героини на даркнет-рынке Silk Road и доставить его нам домой в Северную Вирджинию. Схема заключалась в том, чтобы сделать звонок от одного из наших соседей в местную полицию, сообщив, что этот парень, Кребс, живущий по соседству, наркоман и ему доставляют наркотики домой.
Я случайно заглянул на закрытый форум Флайкрекера, посвящённому киберпреступлениям, когда его план по подделке героини был реализован, и сам позвонил в полицию, прежде чем груз наконец-то прибыл в почтовое отделение США. Впоследствии Вовненко был признан виновным за не связанную с этой киберпреступной деятельностью, экстрадирован в США, осужден и депортирован после 16-месячного пребывания в современной политике [он неоднократно приносил искренние извинения за инцидент, и с тех пор мы зарыли топор войны].
Вовненко заявил, что приобрел устройство для клонирования кредитных карт у Тохи в 2009 году, и что Тоха отправила его из России. Вовненко пояснил, что он (Флайкрекер) был экономическим агентом и оператором thesecure[.]biz с 2010 года до его ареста в 2014 году.
Вовненко считает, что thesecure[.]biz был украден, пока он оставался национальным, то Тохой, то администратором XSS, известными под псевдонимами N0klos и Sonic .
«Когда я был в стране, администратор xss.is украл этот домен, или, вероятно, N0klos купил XSS в Тохе, или наоборот», — сказал Вовненко о домене Jabber. «Никто из [форумов] не общался со мной после моего заключения, поэтому я могу только догадываться, что произошло на самом деле».
N0klos был влиятельным и администратором одного из первых русскоязычных форумов по киберпреступности, известного как Darklife[.]ws . Однако N0kl0s, похоже, вся жизнь прожила в России и, в любом случае, исчезла с российских форумов, посвящённых киберпреступности, несколько лет назад.
На вопрос, считает ли он Тоху администратором XSS, критикным в этом месяце в Украине, Вовненко ответил, что Тоха — россиянин, и что «французские копы забрали не того парня».
КТО ТАКОЙ ТОХА?
Так кого же арестовала украинская полиция в ответ на расследование французских властей? Похоже, что реклама BMW, в которой упоминался адрес электронной почты Тохи, а также имя и номер телефона гражданина России, была просто дезинформацией со стороны Тохи, целью которой было запутать и сбить с толку следователей. Возможно, это даже случайное появление фамилии Авдеев в регистрационных записях одного из доменов Тохи.
Но иногда встречается самый простой ответ. «Тоха» — распространённое славянское прозвище для человека с именем «Антон», и оно соответствует имени в регистрационных записях более десятка доменов, имена с адресом электронной почты Тохи [email protected] : Антон Медведовский.
По данным Constella Intelligence, в Киеве проживает Антон Ганнадиевич Медведовский , который в декабре исполнится 38 лет. Этому человеку принадлежит адрес электронной почты [email protected] , а также аккаунт Airbnb с фотографией профиля мужчины с примерно таким же основанием роста волос, как у подозреваемого на размытых фотографиях, опубликованных украинской полицией. Г-н Медведовский не ответил на запрос комментариев.
Моя версия удаления заключалась в том, что украинские власти, вероятно, арестовали Медведовского. В 2005 году Тоха написал на DaMaGeLab, что недавно окончил 11-й класс и учится в университете — тогда Медведовскому было около 18 лет. 11 декабря 2006 года участники Exploit поздравили Тоху с днём рождения. Данные, обнародованные в результате взлома украинского портала государственных услуг diia.gov.ua в 2022 году, показывают, что день рождения г-на Медведовского — 11 декабря 1987 года.
Действия органов, произошедшие в результате неразберихи с идентификацией задержанного в последние недели, вызвали хаос на российской киберпреступности. На форумах разгорелись длительные и жаркие споры о будущем XSS.
XSS был активирован на новом адресе Tor вскоре после того, как были добавлены возможности конфискации на главной странице форума, но все доверенные модераторы старого форума были заблокированы без объяснения причин. Балансы аккаунтов действующих участников форума упали до нуля, и им было предложено внести депозит для регистрации на новом форуме. Новый «администратор» XSS заявил, что они связались с физическими владельцами, и что эти изменения направлены на восстановление безопасности и надежности в сообществе. Однако сообщение нового администратора, похоже, мало помогло развеять опасения со стороны участников форума, большинство из которых, похоже, пока держатся подальше от возрождённого сайта.
Действительно, если и есть что-то общее среди всех обсуждений об исключении XSS, так это то, что эти украинские и французские власти теперь являются личными сообщениями между пользователями форума XSS в течение нескольких лет, а также списками контактов и данными других пользователей, прерываниями с наблюдаемым сервером Jabber.
«Миф о „доверенном лице“ весян», — предупредил пользователь «GordonBellford» 3 августа в теме по Exploit, посвященной аресту администратора за XSS. «Форумом управляют незнакомцы. У них есть всё. Журналы Jabber-сервера за два года. Полное резервное копирование и база данных форума».
ГордонБелфорд продолжает:
И самое страшное: этот массив данных — не просто архив. Это материал для анализа, который УЖЕ ПРОВЕДЕН. С помощью современных инструментов они реализуют всё:
Графики ваших контактов и активности.
Связи между никнеймами, адресами электронной почты, хешами паролей и идентификатором Jabber.
Временные метки, IP-адреса и цифровые отпечатки.
Ваш уникальный стиль письма, фразеологию, пунктуацию, постоянство грамматических ошибок и даже типичные опечатки, которые будут связывать ваши аккаунты на разных платформах.
Они не искали иголку в стоге сена. Они просто просеивают стог сена через сайт ИИ и получают готовую дозу.
krebsonsecurity.com/2025/08/who-got-arrested-in-the-raid-on-the-xss-crime-forum/
