<div id="post_message_807782">
<font size="3"><font face="Verdana">22 июля 2025 года европейское полицейское агентство <b>Европол</b> <a href="https://www.europol.europa.eu/media-press/newsroom/news/key-figure-behind-major-russian-speaking-cybercrime-forum-targeted-in-ukraine" target="_blank">сообщило</a>, что длительное расследование, проводимое французской полицией, привело к аресту 38-летнего администратора <b>XSS</b> — русскоязычного форума о киберпреступности с более чем 50 000 участников. Это событие вызвало непрекращающуюся волну домыслов и панику среди участников XSS по поводу личности неназванного подозреваемого, но все сходятся во мнении, что он, известный под ником «<b>Toha</b>, является ключевой фигурой на криминальном форуме. Вот подробный разбор того, что известно о Тохе, и краткая информация о том, кого поймали.<br/>
<br/>
<div align="center"><img alt="" border="0" class="bbCodeImage" src="https://i.ibb.co/bRqmF4MP/xss-sbu.png"/><br/>
<font color="Gray">В прошлом месяце в Киеве был арестован неназванный 38-летний мужчина по подозрению в администрировании форума по киберпреступности XSS. Изображение: ssu.gov.ua.</font></div><br/>
Европол не назвал имя обвиняемого, но опубликовал частично засвеченные фотографии с обыска его дома в Киеве. Полиция заявила, что подозреваемый выступал в качестве доверенной третьей стороны, выступая арбитром в спорах между преступниками и гарантируя безопасность транзакций на XSS. В <a href="https://ssu.gov.ua/novyny/sbu-spilno-z-natspolitsiieiu-ta-pravookhorontsiamy-frantsii-vykryla-rozrobnyka-odniiei-z-naividomishykh-u-sviti-khakerskykh-platform" target="_blank">заявлении</a> службы безопасности Украины [Б]СБУ[/B] говорится, что XSS Среди ее членов было много киберпреступников из различных группировок-вымогателей, в том числе <b>REvil</b>, <b>LockBit</b>, <b>Conti</b> и <b>Qiliin</b>. <br/>
<br/>
После объявления Европола форум XSS вновь появился по новому адресу в глубокой сети (доступен только через анонимную сеть <a href="https://en.wikipedia.org/wiki/Tor_(network)" target="_blank">Tor</a>). Однако, судя по последним сообщениям, среди давних участников форума нет единого мнения о личности ныне задержанного администратора XSS.<br/>
<br/>
Наиболее частым комментарием к аресту было выражение солидарности и поддержки Toha, никнейма, выбранного давним администратором XSS и нескольких других крупных русскоязычных форумов. Аккаунты Toha на других форумах после обыска замолчали.<br/>
<br/>
Европол заявил, что подозреваемый имеет почти 20-летний опыт киберпреступности, что примерно соответствует истории Toha. В 2005 году Toha был одним из основателей русскоязычного форума <b>Hack-All.</b> То есть, до тех пор, пока он не подвергся масштабному взлому через несколько месяцев после своего основания. В 2006 году Тоха переименовал форум в <a href="https://krebsonsecurity.com/tag/exploit-in/" target="_blank"><b>exploit[.]in</b></a>, что впоследствии привлекло десятки тысяч участников, включая, в конечном итоге, авторитетных киберпреступников.<br/>
<br/>
В 2018 году Тоха объявил о продаже форума Exploit, что вызвало бурные спекуляции на форумах о том, что покупатель — тайное российское или украинское государственное учреждение или подставное лицо. Однако эти подозрения не были подтверждены доказательствами, и Тоха категорически отрицал передачу форума властям.<br/>
<br/>
Одним из старейших русскоязычных форумов, посвящённых киберпреступности, был <b>DaMaGeLaB</b>, действовавший с 2004 по 2017 год, когда был арестован его администратор «Ar3s». В 2018 году частичная резервная копия форума DaMaGeLaB была <a href="https://www.own.security/en/ressources/blog/russian-language-cybercriminal-forums---chapter-iii-analyzing-the-most-active-and-renowned-communities-english-only" target="_blank">реинкарнирована как xss[.]is</a>, а Тоха был заявлен в качестве ее администратора.<br/>
<br/>
<b>МЕЖСАЙТОВАЯ СВЯЗЬ</b><br/>
<br/>
Подсказки о раннем присутствии Тохи в интернете — примерно с 2004 по 2010 год — можно найти в архивах <b>Intel 471</b>, компании, занимающейся киберразведкой и отслеживающей активность на форумах. Согласно данным Intel 471, Тоха использовал один и тот же адрес электронной почты для нескольких учётных записей на форумах, включая Exploit, <b>Antichat</b>, <b>Carder[.]su</b> и <b>inattack[.]ru</b><br/>
<br/>
<b>DomainTools.com</b> обнаружил, что адрес электронной почты Тохи — <b>[email protected]</b> — использовался для регистрации как минимум дюжины доменных имён, большинство из которых относятся к середине-концу 2000-х годов. Помимо exploit[.]in и домена <b>ixyq[.]com</b>, другие домены, зарегистрированные на этот адрес электронной почты, заканчиваются на .ua, домен верхнего уровня для Украины (например, removed.org[.]ua, lj.com[.]ua и blogspot.org[.]ua).<br/>
<br/>
<font color="gray"><div align="center"><img alt="" border="0" class="bbCodeImage" src="https://i.ibb.co/HS0Wkd4/image.png"/><br/>
Снимок домена, зарегистрированного на <a href="mailto:[email protected]">toschka2003@ya ndex.ru</a> и Антона Медведовского в Киеве, 2008 года. Обратите внимание на сообщение в левом нижнем углу: «Protected by Exploit.in». Изображение: archive.org.</div></font><br/>
<br/>
Почти все домены, зарегистрированные на <a href="mailto:[email protected]">toschka2003@ya ndex.ru</a>, содержат имя <b>Антон Медведовский</b> в регистрационных записях, за исключением вышеупомянутого ixyq[.]com, зарегистрированного на имя <b>Юрий Авдеев</b> в Москве.<br/>
<br/>
Фамилия Авдеева всплыла в продолжительном разговоре с <a href="https://krebsonsecurity.com/2024/05/u-s-charges-russian-man-as-boss-of-lockbit-ransomware-group/" target="_blank">Lockbitsupp</a>, лидером хищной и разрушительной группы, связанной с программой-вымогателем <b>Lockbit</b>. Разговор состоялся в феврале 2024 года, когда Lockbitsupp попросил помочь установить настоящую личность Тохи.<br/>
<br/>
<font color="gray"><div align="center"><img alt="" border="0" class="bbCodeImage" src="https://i.ibb.co/ZznLKSg3/image.png"/><br/>
В начале 2024 года лидер группы шифровальщиков Lockbit — Lockbitsupp — обратился за помощью в расследовании личности XSS-администратора Тохи, который, по его словам, был россиянином по имени Антон Авдеев.</div></font><br/>
<br/>
Lockbitsupp не объяснил, зачем ему нужны данные Тохи, но утверждал, что настоящее имя Тохи — <b>Антон Авдеев</b>. Я отказался помогать Lockbitsupp в его замысле мести Тохе, но его вопрос пробудил во мне любопытство и желание разобраться в этом поглубже. Судя по всему, запрос Lockbitsupp был основан на ныне удалённом сообщении в Твиттере от 2022 года, где пользователь под ником «<a href="https://x.com/3xp0rtblog/status/1585357689777164288" target="_blank">3xp0rt</a>» утверждал, что Тоха — россиянин по имени <b>Антон Викторович Авдеев</b>, родившийся 27 октября 1983 года.<br/>
<br/>
Поиск в интернете по адресу электронной почты Тохи <a href="mailto:[email protected]">toschka2003@ya ndex.ru</a> обнаруживает <a href="https://www.bmwclub.ru/threads/bmw-x5-e70.398405/" target="_blank">тему продажи 2010 года</a> на форуме <b>bmwclub.ru</b>, где пользователь по имени Honeypo продавал BMW X5 2007 года выпуска. В объявлении контактным лицом был указан Антон Авдеев, а также указан номер телефона <b>9588693.</b><br/>
<br/>
<div align="center"><img alt="" border="0" class="bbCodeImage" src="https://i.ibb.co/qL8VQQGh/image.png"/></div><br/>
Поиск по номеру телефона 9588693 в сервисе отслеживания утечек <b>Constella Intelligence</b> обнаруживает множество официальных записей российского правительства с этим номером, датой рождения и именем Антон Викторович Авдеев. Например, взломанные данные российского правительства показывают, что у этого человека есть российский налоговый идентификационный номер (ИНН) и номер социального страхования (SIN), а также что он неоднократно нарушал правила дорожного движения московской полицией; в 2004, 2006, 2009 и 2014 годах.<br/>
<br/>
Внимательные читатели, возможно, уже заметили, что возраст г-на Авдеева (41) и арестованного в этом месяце администратора XSS (38) немного отличается. Это, по-видимому, наводит на мысль, что арестованным был кто-то другой, а не г-н Авдеев, который не ответил на просьбы о комментарии.<br/>
<br/>
<b>МУХА НА СТЕНЕ</b><br/>
<br/>
Для более подробного изучения этого вопроса KrebsOnSecurity обратился за комментариями к <b>Сергею Вовненко</b>, бывшему киберпреступнику из Украины, ныне работающему в стартапе, специализирующемся на безопасности <b>paranoidlab.com</b>. Я обратился к Вовненко, поскольку в течение нескольких лет, начиная примерно с 2010 года, он был владельцем и оператором <b>thesecure[.]biz</b>, зашифрованного сервера обмена мгновенными сообщениями «Jabber», которым, по данным Европола, управлял арестованный в Киеве подозреваемый. Thesecure[.]biz стал довольно популярным среди многих ведущих русскоязычных киберпреступников, поскольку скрупулезно хранил лишь ограниченное количество записей об активности своих пользователей, а его администратор всегда был доверенным членом сообщества. <br/>
<br/>
Я знаю эту историческую деталь потому, что в 2013 году Вовненко, используя хакерские прозвища «<b>Fly</b>» и «<b>Flycracker</b>», <a href="http://krebsonsecurity.com/2013/07/mail-from-the-velvet-cybercrime-underground/" target="_blank">придумал план</a> купить грамм героина на даркнет-рынке Silk Road и доставить его нам домой в Северную Вирджинию. Схема заключалась в том, чтобы подделать звонок от одного из наших соседей в местную полицию, сообщив, что этот парень, Кребс, живущий по соседству, наркоман и ему доставляют наркотики домой.<br/>
<br/>
Я случайно заглянул на закрытый форум Флайкрекера, посвящённый киберпреступлениям, когда его план по подделке героина был реализован, и сам позвонил в полицию, прежде чем груз наконец-то прибыл в почтовое отделение США. Позднее Вовненко был <a href="https://krebsonsecurity.com/2014/06/the-fly-has-been-swatted/" target="_blank">арестован</a> за не связанную с этим киберпреступную деятельность, экстрадирован в США, осужден и депортирован после 16-месячного пребывания в американской тюрьме [он неоднократно приносил искренние извинения за инцидент, и с тех пор мы зарыли топор войны].<br/>
<br/>
Вовненко заявил, что приобрел устройство для клонирования кредитных карт у Toha в 2009 году, и что Toha отправила его из России. Вовненко пояснил, что он (Flycracker) был владельцем и оператором thesecure[.]biz с 2010 года до своего ареста в 2014 году.<br/>
<br/>
Вовненко считает, что thesecure[.]biz был украден, пока он находился в тюрьме, либо Тохой, либо администратором XSS, известным под псевдонимами <b>N0klos</b> и <b>Sonic</b>.<br/>
<br/>
«Когда я был в тюрьме, администратор xss.is украл этот домен, или, вероятно, N0klos купил XSS у Toha, или наоборот», — сказал Вовненко о домене Jabber. «Никто из [форумов] не общался со мной после моего заключения, поэтому я могу только догадываться, что произошло на самом деле».<br/>
<br/>
N0klos был владельцем и администратором одного из первых русскоязычных форумов по киберпреступности, известного как <b>Darklife[.]ws</b>. Однако N0kl0s, похоже, всю жизнь прожил в России и, в любом случае, исчез с российских форумов, посвящённых киберпреступности, несколько лет назад.<br/>
<br/>
На вопрос, считает ли он Тоху администратором XSS, арестованным в этом месяце на Украине, Вовненко ответил, что Тоха — россиянин, и что «французские копы забрали не того парня».<br/>
<br/>
<b>КТО ТАКОЙ ТОХА?</b><br/>
<br/>
Так кого же арестовала украинская полиция в ответ на расследование французских властей? Похоже, что реклама BMW, в которой упоминался адрес электронной почты Тохи, а также имя и номер телефона гражданина России, была просто дезинформацией со стороны Тохи, призванной запутать и сбить с толку следователей. Возможно, это даже объясняет появление фамилии Авдеев в регистрационных записях одного из доменов Тохи.<br/>
<br/>
Но иногда самый простой ответ оказывается правильным. «Тоха» — распространённое славянское прозвище для человека с именем «Антон», и оно совпадает с именем в регистрационных записях более десятка доменов, связанных с адресом электронной почты Тохи <a href="mailto:[email protected]">toschka2003@ya ndex.ru</a>: Антон Медведовский.<br/>
<br/>
По данным Constella Intelligence, в Киеве проживает <b>Антон Ганнадиевич Медведовский</b>, которому в декабре исполнится 38 лет. Этому человеку принадлежит адрес электронной почты <b>[email protected]</b>, а также <a href="https://www.airbnb.com/users/show/27040702" target="_blank">аккаунт Airbnb</a> с фотографией профиля мужчины с примерно такой же линией роста волос, как у подозреваемого на размытых фотографиях, опубликованных украинской полицией. Г-н Медведовский не ответил на запрос о комментарии.<br/>
<br/>
Моя версия удаления заключается в том, что украинские власти, вероятно, арестовали Медведовского. В 2005 году Тоха написал на DaMaGeLab, что недавно окончил 11-й класс и учится в университете — тогда Медведовскому было около 18 лет. 11 декабря 2006 года участники Exploit поздравили Тоху с днём рождения. Данные, обнародованные в результате взлома украинского портала государственных услуг diia.gov.ua в 2022 году, показывают, что день рождения г-на Медведовского — 11 декабря 1987 года.<br/>
<br/>
Действия правоохранительных органов и возникшая в результате неразбериха с личностью задержанного в последние недели вызвали хаос на российском форуме киберпреступности. На форумах разгорелись продолжительные и жаркие споры о будущем XSS.<br/>
<br/>
XSS был возобновлен на новом адресе Tor вскоре после того, как власти разместили уведомление о конфискации на главной странице форума, но все доверенные модераторы старого форума были забанены без объяснения причин. Балансы аккаунтов действующих участников форума упали до нуля, и им было предложено внести депозит для регистрации на новом форуме. Новый «администратор» XSS заявил, что они связались с предыдущими владельцами и что эти изменения направлены на восстановление безопасности и доверия в сообществе. Однако заверения нового администратора, похоже, мало помогли развеять худшие опасения бывших участников форума, большинство из которых, похоже, пока держатся подальше от возрождённого сайта.<br/>
<br/>
Действительно, если и есть что-то общее среди всех этих обсуждений об изъятии XSS, так это то, что украинские и французские власти теперь располагают личными сообщениями между пользователями форума XSS за несколько лет, а также списками контактов и другими пользовательскими данными, связанными с изъятым сервером Jabber.<br/>
<br/>
«Миф о „доверенном лице“ развеян», — предупредил пользователь «GordonBellford» 3 августа в теме на форуме Exploit, посвящённой аресту администратора за XSS. «Форумом управляют незнакомцы. У них есть всё. Журналы Jabber-сервера за два года. Полное резервное копирование и база данных форума».<br/>
<br/>
GordonBellford продолжил:<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

И самое страшное: этот массив данных — не просто архив. Это материал для анализа, который УЖЕ ПРОВЕДЕН. С помощью современных инструментов они видят всё:<br/>
<br/>
Графики ваших контактов и активности.<br/>
Связи между никнеймами, адресами электронной почты, хешами паролей и идентификатором Jabber.<br/>
Временные метки, IP-адреса и цифровые отпечатки.<br/>
Ваш уникальный стиль письма, фразеологию, пунктуацию, постоянство грамматических ошибок и даже типичные опечатки, которые будут связывать ваши аккаунты на разных платформах.<br/>
<br/>
Они не ищут иголку в стоге сена. Они просто просеивают стог сена через сито ИИ и получают готовые досье.

</td>
</tr>
</table>
</div></font></font><br/>
<font size="2">krebsonsecurity.com/2025/08/who-got-arrested-in-the-raid-on-the-xss-crime-forum/</font>
</div>