UNIT.City — місце, де люди працюють... КРАЩЕ! Обирай свій простір просто зараз 👉
Наталя ХандусенкоГаряченьке
25 липня 2025, 17:49
2025-07-25
СБУ разом із французькою поліцією прикрили хакерський форум №1 в СНД XSS.IS: на сайті висить заглушка, а головний адмін заарештований у Києві. Розповідаємо, чому це антиподія для хакерів з усього світу
Сайт однієї з найвідоміших хакерських платформ XSS.IS, де сиділи переважно росіяни, більше не працює. На ньому висить заглушка з «привітом» від СБУ і французьких правоохоронців. Це пов’язано з арештом його адміна в Києві 22 липня. Ймовірно йдеться про адміністратора з ніком Тоха, який також є засновником ще одного великого хакерського форуму exploit.in.
Правоохоронці повідомляють про часткове припинення діяльності інфраструктури XSS.IS, водночас кіберзлочинці запевняють, що основний сервер не постраждав. Чи достатнього цих дій, щоб XSS.IS повністю припинив своє існування? З цим питанням ми звернулися до українського білого хакера Микити Книша та хактивиста з України Шона Таусенда, і дізналися деякі цікаві подробиці.
Сайт однієї з найвідоміших хакерських платформ XSS.IS, де сиділи переважно росіяни, більше не працює. На ньому висить заглушка з «привітом» від СБУ і французьких правоохоронців. Це пов’язано з арештом його адміна в Києві 22 липня. Ймовірно йдеться про адміністратора з ніком Тоха, який також є засновником ще одного великого хакерського форуму exploit.in.
Правоохоронці повідомляють про часткове припинення діяльності інфраструктури XSS.IS, водночас кіберзлочинці запевняють, що основний сервер не постраждав. Чи достатнього цих дій, щоб XSS.IS повністю припинив своє існування? З цим питанням ми звернулися до українського білого хакера Микити Книша та хактивиста з України Шона Таусенда, і дізналися деякі цікаві подробиці.
XSS.IS та російська розвідка
Форум XSS.IS був спочатку запущений у 2004 році під назвою DaMaGeLaB як російськомовна хакерська спільнота. Сайт був ненадовго закритий у грудні 2017 року після того, як одного з його адміністраторів, громадянина білорусі Сергія Ярця, відомого на форумі як «Ar3s», було заарештовано, пише Hackread.com.
Наприкінці 2018 року відомий адміністратор форуму отримав резервну копію сайту та перезапустив його під новою назвою XSS, що є посиланням на вразливість веббезпеки, відому як міжсайтовий скриптинг.
Зміна назви мала дві основні цілі. По-перше, вона дистанціювала форум від його минулих асоціацій з правоохоронними органами під назвою DaMaGeLaB. По-друге, вона надала сайту більш технічного та сучасного іміджу, посилаючись на вразливість, знайому його цільовій аудиторії.
Влада та спільнота кібербезпеки давно підозрюють, що XSS.IS керувався або підтримувався російськими розвідувальними службами, включаючи Службу зовнішньої розвідки (СЗР), Федеральну службу безпеки (ФСБ) та Головне розвідувальне управління (ГРУ).
На форумі було зареєстровано понад 50 000 користувачів. Серед них — відомі хакерські угруповання, зокрема «REvil», «LockBit», «Conti», «Qilin».
Використовуючи «послуги» форуму, кіберзлочинці атакували автоматизовані системи управління банків, держустанов та великих корпорацій у США та Євросоюзі.
Так, наприклад, зловмисники використовували придбанe на форумі шкідливе програмне забезпечення та першочергові доступи до комп’ютерних мереж міжнародних компаній для подальшого вимагання грошових коштів.
У разі відмови — погрожували потерпілим «злити» в інтернет їхні конфіденційні дані та паралізувати роботу організації.
Також задокументовано численні факти використання онлайн-платформи для вербування нових учасників хакерських угруповань і збуту новітніх вірусних програм.
22 липня у своєму помешканні у Києві був арештований адміністратор XSS.IS. Ним виявився 37-річний громадянин України. Його роль полягала у створенні та технічному адмініструванні ресурсу — він надавав інфраструктуру для злочинної діяльності інших осіб та отримував від цього відсоток. Операцію проводила СБУ спільно з Нацполіцією, правоохоронцями Франції та Європолом.
Кінець історії XSS.IS чи ні?
Після арешту адміна XSS.IS було вилучено. Відвідувачі форуму могли бачити наступне повідомлення: «Цей домен було вилучено Бригадою боротьби з кіберзлочинністю (ред. — Франція) за сприяння Департаменту кібербезпеки СБУ».
Проте домени даркнету та дзеркала показували лише помилку 504 Gateway Timeout. 23 липня Telegram-канал, пов’язаний з адміністратором XSS.IS, не мав ознак вилучення та позначений як «нещодавно активний».
24 липня з’явилося повідомлення від XSS.IS, що основний сервер не пошкоджений. Потім написали, що форум доступний і скоро перейде на інший домен. Але один з адміністраторів не доступний під ніком Тоха, а частина інших, хто працював у підтримці форуму, не виходять на зв’язок.
«Тоха недоступний, але цей варіант був обговорений із ним заздалегідь, з метою збереження працездатності форуму всупереч усьому та всім. Частина людей, які допомагали у підтримці форуму, не виходять на зв’язок. Бекенд і бекапи в безпеці, але частина інфраструктури засвітилася і вимагатиме заміни. На роботу форуму це не вплине. Домен перебили на реєстраторі, згодом буде новий, всі старі .onion домени будуть замінені з метою безпеки. Склад модерів поки що залишається. Операції із депозитами на паузі», — говориться у повідомленні.
Хто такий Тоха й що може означати його арешт для форуму?
Як нам пояснив український білий хакер Микита Книш, тут питання не в адресі, а в основній інформації, яка зберігалася на сервері: «Навіть якщо забрали основний сервер, у них все одно є бекапи, на яких вони можуть знов підняти сервіс. Треба одночасно заарештовувати всіх ватажків кібергрупи. А якщо ти заарештував трьох з п’яти адмінів, то система оновиться. Питання: ватажок заарештований чи ні?»
Книш також підтверджує, що разом з сервером правоохоронці могли отримати доступ до деяких даних кіберзлочинців-користувачів: «Якщо вони (правоохоронці) вилучили сервер, на якому зберігалися логіни та паролі користувачів форуму, то, так, вони заволоділи цією інформацією. Але може бути й таке, що вони вилучили Proxy сервер, то тільки заблокували домен через реєстратора».
Він додає, що з думки подальших розслідувань вилучені дані можуть мати певну цінність. Але сказати, що вони матимуть суттєву цінність не можна.
Книш також додає, що існує багато альтернативних форумів, таких як wwh, exploit, antichat, migalki, lolz, duty.
Український хактивіст Шон Таусенд вважає, що заарештований ймовірно і є адміном під ніком Тоха, а сам сайт знаходиться під контролем правоохоронців.
«Тор-версія сайту працює. Але керує нею не адмін, він сам про це сказав, так що ні модератори, ні інші користувачі не можуть перевірити, хто він насправді. З „Тохою“ адміном сайту ні в кого зв’язку немає, тому швидше за все затримали саме його, а сайт знаходиться під контролем правоохоронців. Адмін у разі і є власник ресурсу, це технічна посада. Якщо це „Тоха“, то він же творець іншого такого майданчика exploit.in. Кілька років тому він передав експлоіт іншим людям, а сам перейшов на xss, після того, як затримували Ar3s (творця xss, який називався damagelab і існує з 2004 року)».
Що далі?
Наразі триває перевірка на предмет причетності інших осіб до діяльності форуму XSS.IS. Зібрані в Україні докази передано компетентним органам юстиції Французької Республіки в межах процедур міжнародної правової допомоги.
«Росіяни завжди хочуть когось трахнути». Микита Книш розповів FT, як українські хакери видавали себе за дівчат, зламували камери відеоспостереження та россайти заради перемоги
Видання Financial Times опублікувало статтю про роботу українських хакерів у війні проти рф, засновану на розмові з українським білим хакером Микитою Книшем. Він, як і сотні інших хакерів, допомагає боротися із російськими загарбниками в кіберпросторі. Наводимо адаптований переклад матеріалу.
