[RedruMZ]

В США по делу о руководстве форумом для краж с кредиток в даркнете задержали главу омского филиала МММ‑2011
Во Флориде россиянина Павла Кублицкого обвинили в руководстве форумом в даркнете для краж с кредиток. Об этом сообщает издание Court Watch со ссылкой на материалы обвинительного заключения из судебной базы.
Вместе с Кублицким другим администратором форума wwh-club.ws ФБР называет гражданина Казахстана Александра Ходырева. Кублицкий был задержан. Из обвинительного заключения непонятно, задержан ли Ходырев, отмечает Courtwatch.
Всего на форуме были зарегистрированы около 170 тысяч пользователей. Там можно было купить гайды о том, как красть деньги с банковских счетов, покупать товары с помощью украденных данных кредитных карт и проводить DDoS и спам-атаки. Агент ФБР под прикрытием купил один из этих курсов за тысячу долларов в биткоинах, он длился шесть недель, его посещали еще 50 человек. На форуме также за деньги предлагались пробивы по утекшим базы данных.
И Кублицкий, и Ходырев, по данным ФБР, приехали в США в декабре 2022 года и подались на политическое убежище. Хотя у них не было официального места работы, как утверждает спецслужба, оба вели роскошный образ жизни. Кублицкий открыл счет в банке и положил на него 50 тысяч долларов, а также арендовал «престижную квартиру» в Майами, в районе Санни Айлс Бич, где большая русская диаспора. Ходырев же купил за наличные 110 тысяч долларов спортивную машину Chevrolet Corvette.
В обвинительном заключении упоминается адрес почты Кублицкого на Gmail. Благодаря этому, «Медиазона» обнаружила в утекших базах данных, что ему 37 лет, и в России он был зарегистрирован в Омске — в отношении него приставы открыли несколько производств.

Павел Кублицкий был одним из руководителей финансовой пирамиды «МММ-2011» Сергея Мавроди. Так, связанный с gmail-ящиком Кублицкого телефонный номер, согласно утечкам, использовался МММ-2011. В интервью омскому изданию БК55 в 2011 году мужчина https://bk55.ru/news/article/23474/ «координатором МММ в Омске». Офисы пирамиды в Омске и других городах https://kvnews.ru/gazeta/2012/07/27/...sya_ofisi_mmm_ спустя год.

Добавлено через 2 минуты 10 секунд
Некоторые подробности:
- несмотря на использование технологии FastFlux, агенты ФБР смогли определить конечные IP-адреса, к которым разрешался домен, что позволило им выйти на компанию DigitalOcean. Образы с серверов, предоставленные DigitalOcean, не были зашифрованы, что позволило ФБР получить полный доступ к данным, хранящимся на этих серверах.
- ФБР не взламывало сам форум напрямую. Они работали с образом данных, предоставленных DigitalOcean. ФБР настроило эти данные так, чтобы получить доступ, аналогичный административному, и исследовать всю активность на форуме. Вся информация была переведена с помощью Google Translate, так как сайт был полностью на русском языке.
- в документе указывается, что данные с серверов были реконструированы с использованием SQL-базы данных. Это говорит о том, что форум использовал реляционную базу данных для хранения информации. Точный движок форума (например, XenForo, vBulletin и т.д.) в документе не уточняется, но использование SQL указывает на стандартные веб-форумные платформы.
- анализ бэкэнд данных показал, что у форума было почти 170 000 зарегистрированных пользователей, из которых 7 имели админские привилегии, 32 - привилегии "персонала", и 29 - модераторские.
- активные следственные действия начались в 2021 году. Так, в апреле 2021 года был выдан федеральный ордер на обыск примерно 70 аккаунтов электронной почты, связанных с администраторами и персоналом *****
- в январе 2023 года агент ФБР под прикрытием зарегистрировался на WWH и заплатил около $1000 в биткойнах за участие в обучении на форуме. Лекции проводились через чат и включали инструкции по получению и использованию украденных данных для совершения мошенничества.
Добавлено через 1 минуту 25 секунд
Арестованным «администратором» WWH-Club оказался модератор по интеграции с партнерами
Арестованный в США россиянин Павел Кублицкий, подозреваемый властями Соединенных Штатов в том, что он является одним из администраторов площадки WWH-Club, на самом деле возглавлял направление интеграции с партнерскими площадками. Об этом Darknet News на условиях анонимности рассказал источник, приближенный к руководству проекта.
«Пока точно известно, что задержан один из модераторов, отвечавший за интеграцию других площадок (Center, Skynetzone и т. д.). Сам форум в безопасности, уже предприняли определенные меры», — рассказал источник.
Площадка Skynetzone упоминается в обвинительном заключении за подписью спецагента ФБР Грегори Кристофера. По его данным, пользователь WWH с ником Makein, которым в равной степени владели Кублицкий и второй подозреваемый, гражданин Казахстана Александр Ходырев, был владельцем и основным администратором Skynetzone. Упоминания об этом сотрудники ФБР нашли в полученных ими базах данных *****
Изучив переписки Makein, связанные с платежами за рекламу, спецслужбы обнаружили несколько кластеров, состоящих из сотен криптовалютных кошельков, связанных друг с другом общими транзакциями. Один из таких кластеров с 2015-го по 2024 год получил около 152 BTC от 4000 других пользователей. Позднее эта крипта 193 платежами была переведена на другие кошельки с помощью сервиса Bitpay. При этом 90 из этих исходящих платежей связаны с пять адресами электронной почты: superbuyer777@gmail[.]com, k.ostyanasonov.777@gmail[.]com, russellgoodwinmail@gmail[.]com, kelemenmitchell@gmail[.]com и sadieheamogr@aol[.]com. При этом первые четыре связаны друг с другом общими cookies, а последний указан в качестве резервного для первого адреса.
В ФБР отмечают, что с администраторами площадки, в отношении которых проводилось расследование, был также связан адрес 2013KPV@gmail[.]com. Записи Google доказывают, что Кублицкий или владел и им, и superbuyer777@gmail[.]com, или использовал один для связи с другим.
При этом в аккаунте 2013KPV@gmail[.]com содержится персональная информация и фотографии, доказывающие, что им владеет Кублицкий. А в 2018 году с помощью адреса superbuyer777@gmail[.]com был забронирован отдых для россиянина и его семьи в Доминиканской Республике. В переписках между двумя адресами также всплывали краденные номера кредитных карт и другие сведения, указывающие на мошеннические операции. Кроме того, силовики обратили внимание на то, что для регистрации официального аккаунта площадки Skynetzone на PayPal также использовался адрес superbuyer777@gmail[.]com.
Что любопытно, пробив по электронной почте 2013KPV@gmail[.]com выводит сведения не только о Павле Кублицком, но и о его несовершеннолетней дочери Мелании, что свидетельствует о том, что у девочки был доступ к адресу отца, который использовался для киберпреступной деятельности.
Добавлено через 4 минуты 17 секунд
1. "there is probable cause to believe that KUBLITSKII and KHODYREV are two of the administrators of WWH,"
- бремя доказать это лежит на следствии, но это предполагает, что есть доказательства того, чтобы доказать их роль как администраторов в ВВХ.
2. "In or around July 2020, FBI agents determined that WWH's main domain, wwh - club. ws, resolved to IP addresses ultimately belonging to DigitalOcean",
- никто не будет отрицать что wwh - club . ws был доменом форума в июле 2020 года?
3. "Pursuant to a federal search warrant, DigitalOcean provided investigators with a copy of the server used to run *****.. s well as the transactions conducted via the site"
- никто не будет отрицать, что ДО предоставил полную копию форума ФБР в 2020?
4. "Based on information obtained from the backend database, it appeared the Marketplace had nearly 170,000 registered users as of July 2020. Of the approximately 170,000 accounts, approximately 29 were assigned "moderator" privileges; 32 were assigned "staff" privileges; and 7 were assigned "admin" privileges."
- нет никаких сомнений, что эта информация с ВВХ?
5. К предыдущей фразе (4.) следует приписка: "Based on the facts below, there is probable cause to believe that KUBLITSKII and KHODYREV are two of those administrators, and that KUBLITSKII also acted as a moderator."
- давайте переведем по слогам - после того, как ФБР получили полный доступ к бэкенду в июле 2020, они развернули его копию и проанализировали все аккаунты и транзакции и пришли к выводу, что Кублицкий и Ходырев были двумя администраторами, к тому же Кублицкий еще имел аккаунт модератора. Я повторю - речь о ВВХ.
6. The Reklama administrator also advertised on WWH that the owners and administrators of WWH own additional criminal forums as well: Skynetzone,
Opencard, and Center-Club
- никто опять же не будет спорить, что как минимум на июль 2020 - ВВХ владели тремя другими форумами - скайнет, оупенкард и центр.
7. "This was confirmed by a review of messages from the reconstructed Marketplace. For example, upon receipt of payment, one of the administrators told a user, "Done, the link from you was only required for approval. Above, I wrote you full instructions on the topics. You can also stay on the sites ************** center-club.pw opencard.pw skynetzone.org". A review of the additional sites revealed they appear similar to WWH in layout and content, and the
administrator usemames are the same across sites.
- при подтверждении оплаты рекламы - админ сам пишет пользователю, что реклама оплачена на ввх, центре, оупенкарде, скайнет, на момент июля 2020 - имена администраторов (ники с администраторскими привилегиями) - одинаковые на ВСЕХ сайтах

8. "To date, investigators have determined that the owner and creator of the forum has two usemames with administrative functions: "W.W.H" and "Mans77." In addition to the forum owner and creator, it appears there are several
other top administrators who operate the site and receive a portion of the generated revenue. One of those top administrators operates under the usemame "Makein."
- никто не спорит, что были ДРУГИЕ администраторы, которые в том числе получали доход, но по версии следствия Кублицкий и Ходырев были связаны с администраторскими аккаунтами "W.W.H","Mans77." и "Makein." - еще раз, на момент июля 2020 года
9. "On April 29, 2021, a United States Magistrate Judge sitting in the MDFL authorized four federal search warrants covering approximately 70 email accounts associated to administrators and staff who worked together to facilitate
***** See 6:21-mj-1332 (TBS); 6:21-mj-1333 (TBS); 6:21-mj-1334 (TBS); 6:21-mj-335 (TBS). Based on the information gathered from those warrants, on July 25, 2023, a different United States Magistrate Judge sitting in the MDFL authorized four follow-up federal search warrants covering 25 more email accounts associated with the main WWH Club administrators."
- вот это самое охуенное, почему-то осталось без комментариев с чьей-либо стороны - в апреле 2021 судья разрешила получить содержимое (!) 70 адресов электронной почты, связанных с администрацией ВВХ (включая модераторов конечно же) + дополнительное решение судьи обыскать 25 других емэйлов в июля 2023
была высказана версия, что ФБР получило доступ к форуму ТОЛЬКО один раз, тогда откуда 25 других емэйлов администраторов-модераторов в июле 2023?
10. "data returned from these search warrants revealed that many of these email accounts are linked to each other and used by KUBLITSKil and/or KHODYREV to administer WWH Club, as well as for other purposes, including personal ones"
- черным по белому - информация полученная с этих почтовых адресов показала, что многие из них были связаны и использовались Кублицким и Ходыревым для админстрирования ВВХ Клаба, также как и для других целей - включая личные
11. "WWH Club generates revenue by charging users for training, membership, and advertisement on the site. Most payments are made through Bitcoin, and site administrators often send users Bitcoin addresses to which payment
should be made. Payment and blockchain records tied several e-mail addresses to Makein, and by extension KUBLITSKil and/or KHODYREV."
- более того, менты проанализировали блокчейн с оплатами ВВХ Клаба за курсы, членство и рекламу на сайте, большинство платежей проходило через биткойн - платежные записи блокчейна связаны с несколькими электронными адресами человека под ником Makein, т.е. Кублицкого и Ходырева (они вместе пользовались этим аккаунтом)
12. "Based on backend data collected by law enforcement pertaining to Skynetzone, a sister marketplace to WWH Club maintained by the same administrators (per their own posts on WWH Club), Makein is the owner and
primary administrator of Skynetzone. Investigators thus believe that same person(s) control(s) the Makein account on WWH Club and the Makein account on Skynetzone.
Только, бля, с 58 пункта начинается речь отдельно о Skynetzone и о том, что ФБР также получило данные с него и имеет основания полагать, что аккаунты Makein на ВВХ и Скайнетзон - контролировались одним и тем же человеком.
13. Основная масса проанализированных биткойн адресов - связана с Скайнетзон, но охватывает период с 2015 по 2022, все эти бабки тем или иным образом попадали в руки Кублицкого (в документе приведено множество его гмейлов). Но, также выявлена большая группа платежей в блокчейне - связанные с другими емэйл адресами Ходырева - и эти платежи были вокруг ВВХ.
14. Кублицкий также оплачивал хостинг ВВХ, используя емэйлы - mailto:[email protected], mailto:[email protected]
У меня нет больше времени копаться в этом, но как бы очевидно, что:
- был принят как минимум один администратор ВВХ и один модератор (или оба администратора), который был плотно в финансах дочернего форума (скайнетзон) и каким-то образом мелькал у других платежей ВВХ (отвечал за финансы?),
- при этом опять же - как минимум - оплачивал часть серверов.
Добавлю: реакция ВВХ тоже странная - начиная от "фейк ньюз и базу никогда не снимали" до "приняли дропов" до "приняли модераторов". При этом в доке очевидно, что база ВВХ была снята как минимум один раз - июль 2020.
(c) bratvacorp