KrebsOnSecurity — провідний ресурс у галузі журналістських розслідувань про кіберзлочинність та інтернет-безпеку — гарно відпрацював тему, щоб спробувати розкрити ім’я та біографію легендарного у хакерському світі засновника форуму xss.is.
KrebsOnSecurity — провідний ресурс у галузі журналістських розслідувань про кіберзлочинність та інтернет-безпеку — гарно відпрацював тему, щоб спробувати розкрити ім’я та біографію легендарного у хакерському світі засновника форуму xss.is.
Нагадаємо, 22 липня 2025 року європейське поліцейське агентство Європол та СБУ заявили, шо, заарештували у Києві 38-річного адміністратора XSS, російськомовного форуму з кіберзлочинності, який налічує понад 50 000 учасників.
Ця дія викликала постійний шалений спекуляцій та паніку серед користувачів XSS щодо особи неназваного підозрюваного, але всі погоджуються, що він є ключовою фігурою на злочинному форумі, який використовує хакерський нікнейм «Тоха/toha».
Європол та СБУ не назвали ім’я обвинуваченого, але опублікував частково приховані фотографії з місця арешту. Поліцейське агентство заявило, що підозрюваний діяв як довірена третя сторона — вирішуючи суперечки між злочинцями — та гарантуючи безпеку транзакцій на XSS. У заяві Служби безпеки України йдеться, що серед учасників XSS було багато кіберзлочинців з різних груп програм-вимагачів, включаючи REvil, LockBit, Conti та Qiliin.
Після оголошення Європолу форум XSS знову з’явився за новою адресою в даркнеті. Але відкритий домен в інтернеті (xss.is) вже не працював. Акаунти Toha на інших форумах мовчали після арешту.
Європол заявив, що підозрюваний має майже 20-річну кар'єру в кіберзлочинності, що приблизно збігається з історією Toha. У 2005 році Toha був одним із засновників російськомовного форуму Hack-All, доки його не було зламано через кілька місяців після дебюту. У 2006 році Тоха перейменував форум на exploit[.]in, який згодом залучив десятки тисяч учасників.
У 2018 році Тоха оголосив, що продає форум Exploit, що викликало шалені спекуляції на форумах про те, що покупцем таємно є російська чи українська державна установа або підставна особа. Однак ці підозри не були підтверджені доказами, і Тоха рішуче заперечував, що форум був переданий владі.
Одним із найстаріших російськомовних форумів з кіберзлочинності був DaMaGeLaB, який працював з 2004 по 2017 рік, коли його адміністратора «Ar3s» було заарештовано. У 2018 році часткова резервна копія форуму DaMaGeLaB була перейменована на xss[.]is, а Тоха став його заявленим адміністратором.
Підказки щодо ранньої присутності Тохи в Інтернеті — приблизно з 2004 по 2010 рік — доступні в архівах Intel 471, фірми кіберрозвідки, яка відстежує активність на форумах. Intel 471 показує, що Тоха використовував одну й ту саму адресу електронної пошти для кількох облікових записів на форумах, зокрема на Exploit, Antichat, Carder[.]su та inattack[.]ru.
DomainTools.com виявляє, що адреса електронної пошти Тохи — [email protected] — використовувалася для реєстрації щонайменше десятка доменних імен — більшість з них датуються середині-кінцем 2000-х років. Окрім exploit[.]in та домену під назвою ixyq[.]com, інші домени, зареєстровані на цю адресу електронної пошти, закінчуються на .ua, домен верхнього рівня для України (наприклад, deleted.org[.]ua, lj.com[.]ua та blogspot.org[.]ua).
Майже всі домени, зареєстровані на [email protected], містять ім’я Антон Медведовський у реєстраційних записах, за винятком вищезгаданого ixyq[.]com, який зареєстрований на ім’я Юрій Авдєєв у Москві.
Це прізвище Авдєєв згадалося під час тривалої розмови з Lockbitsupp, лідером хижої та руйнівної афілійованої групи програм-вимагачів Lockbit. Розмова відбулася в лютому 2024 року, коли Lockbitsupp попросив допомогти ідентифікувати справжню особу Тохи.
Схоже, запит Lockbitsupp був заснований на видаленому дописі в Twitter від 2022 року, коли користувач під іменем «3xp0rt» стверджував, що Тоха — росіянин на ім’я Антон Вікторович Авдєєв, народжений 27 жовтня 1983 року.
Пошук в Інтернеті за адресою електронної пошти Тохи [email protected] виявив оголошення з продажу 2010 року на форумі bmwclub.ru, де користувач на ім’я Honeypo продавав BMW X5 2007 року випуску. В оголошенні контактною особою було вказано Антона Авдєєва та номер телефону 9588693.
Пошук за номером телефону 9588693 у сервісі відстеження порушень Constella Intelligence дозволяє знайти безліч офіційних документів російського уряду з цим номером, датою народження та ім’ям Антон Вікторович Авдєєв. Наприклад, зламані документи російського уряду показують, що ця особа має російський податковий ідентифікатор та SIN (номер соціального страхування), і що її кілька разів порушувала московська поліція за порушення правил дорожнього руху; у 2004, 2006, 2009 та 2014 роках.
Однак вік Авдєєва (41) та адміністратора XSS, заарештованого цього місяця (38), дещо не співпадають. Це, здається, говорить про те, що заарештованою особою є хтось інший.
Для отримання додаткової інформації з цього питання KrebsOnSecurity звернувся за коментарями до Сергія Вовненка, колишнього кіберзлочинця з України, який зараз працює у стартапі безпеки paranoidlab.com.
Вовненко протягом кількох років, починаючи приблизно з 2010 року, він був власником та оператором thesecure[.]biz, зашифрованого сервера миттєвих повідомлень «Jabber», яким, за словами Європолу, керував підозрюваний, заарештований у Києві.
Вовненко використовував хакерські нікнейми Fly та Flycracker. Його заарештували за кіберзлочинність, екстрадували до Сполучених Штатів, засудили та депортували після 16-місячного перебування у тюремній системі США.
Вовненко сказав, що придбав пристрій для клонування кредитних карток у Toha у 2009 році, і що Toha відправив цей товар з росії. Вовненко пояснив, що він (Flycracker) був власником та оператором thesecure[.]biz з 2010 року до свого арешту в 2014 році.
Вовненко вважає, що thesecure[.]biz було викрадено, поки він перебував у в’язниці, або Toha, та/або адміністратором XSS, який мав прізвиська N0klos та Sonic.
«Коли я був у в’язниці, адміністратор xss.is вкрав цей домен, або, ймовірно, N0klos купив XSS у Toha, або навпаки», — сказав Вовненко про домен Jabber. «Ніхто з [форумів] не розмовляв зі мною після мого ув’язнення, тому я можу лише здогадуватися, що насправді сталося».
На запитання, чи вважає він, що Toha був адміністратором XSS, якого заарештували цього місяця в Україні, Вовненко стверджував, що Toha — росіянин, і що «французькі поліцейські забрали не ту людину».
То кого ж заарештувала українська поліція у відповідь на розслідування французької влади? Розслідувачу здається правдоподібним, що реклама BMW, в якій згадувалася електронна адреса Тохи, ім’я та номер телефону громадянина росії, була просто дезінформацією з боку Тохи — з метою заплутати та збити з пантелику слідчих. Можливо, це навіть пояснює прізвище Авдєєв, яке з’являється в реєстраційних записах одного з доменів Тохи.
Але іноді найпростіша відповідь є правильною, пише розслідувач. «Тоха» збігається з ім’ям у реєстраційних записах для більш ніж десятка доменів, пов’язаних з електронною адресою Тохи — [email protected] — Антон Медведовський.
Constella Intelligence виявила, що в Києві проживає Антон Геннадійович Медведовський, якому в грудні виповниться 38 років. Цій особі належить електронна адреса [email protected], а також обліковий запис Airbnb з фотографією профілю чоловіка з приблизно такою ж лінією волосся, як у підозрюваного на розмитих фотографіях, опублікованих українською поліцією.
«Моя думка щодо цього видалення полягає в тому, що українська влада, ймовірно, заарештувала Медведовського. Тоха поділився на DaMaGeLab у 2005 році, що він нещодавно закінчив 11 клас і навчається в університеті — у той час Медведовському було б близько 18 років. 11 грудня 2006 року інші учасники Exploit привітали Тоху з днем народження. Записи, викриті під час злому українського порталу державних послуг diia.gov.ua у 2022 році, показують, що день народження Медведовського — 11 грудня 1987 року», — йдеться в рослідуванні.
Дії правоохоронних органів та спричинена ними плутанина щодо особи затриманого в останні тижні призвели до хаосу на російських форумах з кіберзлочинності, через що на форумах точаться тривалі та запеклі суперечки щодо майбутнього XSS.
XSS перезапустився на новій адресі Tor невдовзі після того, як влада розмістила повідомлення про вилучення на головній сторінці форуму, але всіх довірених модераторів зі старого форуму було звільнено без пояснень. Баланси облікових записів існуючих учасників форуму впали до нуля, і їх попросили внести депозит для реєстрації на новому форумі. Новий «адміністратор» XSS сказав, що вони зв’язуються з попередніми власниками, і що зміни мають допомогти відновити безпеку та довіру в спільноті.
Однак, запевнення нового адміністратора, схоже, мало що зробили, щоб заспокоїти найгірші побоювання колишніх учасників форуму, більшість з яких, схоже, поки що тримаються на відстані від перезапущеного сайту.
«Міф про „довірену особу“ розвіяно», — попередив користувач «GordonBellford» 3 серпня в темі форуму Exploit про арешт адміністратора XSS. «Форумом керують незнайомці. Вони отримали все. Два роки журналів сервера Jabber. Повне резервне копіювання та база даних форуму».
