Сайт одной из известнейших хакерских платформ XSS.IS, где сидели преимущественно россияне, больше не работает. На нем висит заглушка с приветом от СБУ и французских правоохранителей. Это связано с арестом его админа в Киеве 22 июля. Вероятно речь идет об администраторе с ником Тохе, который также является основателем еще одного крупного хакерского форума exploit.in.
Правоохранители сообщают о частичном прекращении деятельности инфраструктуры XSS.IS, в то же время киберпреступники уверяют, что основной сервер не пострадал. Достаточно ли этих действий, чтобы XSS.IS полностью прекратил свое существование? С этим вопросом мы обратились к украинскому белому хакеру Никите Кнышу и хактивисту из Украины Шону Таусенду, и узнали некоторые интересные подробности.
Форум XSS.IS был первоначально запущен в 2004 году под названием DaMaGeLaB как русскоязычное хакерское сообщество. Сайт был ненадолго закрыт в декабре 2017 года после того, как один из его администраторов, гражданин белоруса Сергей Ярец, известный на форуме как «Ar3s», был арестован, Hackread.com.
В конце 2018 года известный администратор форума получил резервную копию сайта и перезапустил его под новым названием XSS, что является ссылкой на уязвимость веб-безопасности, известную как межсайтовый скриптинг.
Смена названия имела две основные цели. Во-первых, она дистанцировала форум от его прошлых ассоциаций с правоохранительными органами под названием DaMaGeLaB. Во-вторых, она предоставила сайту более технического и современного имиджа, ссылаясь на уязвимость, знакомую его целевой аудитории.
Власти и сообщество кибербезопасности давно подозревают, что XSS.IS руководствовался или поддерживался российскими разведывательными службами, включая Службу внешней разведки (СВР), Федеральную службу безопасности (ФСБ) и Главное разведывательное управление (ГРУ).
На форуме было зарегистрировано более 50 000 пользователей. Среди них — известные хакерские группировки, в частности REvil, LockBit, Conti, Qilin.
Используя услуги форума, киберпреступники атаковали автоматизированные системы управления банков, госучреждений и крупных корпораций в США и Евросоюзе.
Так, например, злоумышленники использовали приобретенное на форуме вредоносное программное обеспечение и первоочередные доступы к компьютерным сетям международных компаний для дальнейшего вымогания денежных средств.
В случае отказа угрожали пострадавшим «слить» в интернет их конфиденциальные данные и парализовать работу организации.
Также документированы многочисленные факты использования онлайн-платформы для вербовки новых участников хакерских группировок и сбыта новейших вирусных программ.
22 июля в своем доме в Киеве администратор XSS.IS. Им оказался 37-летний гражданин Украины. Его роль заключалась в создании и техническом администрировании ресурса - он предоставлял инфраструктуру для преступной деятельности других лиц и получал от этого процент. Операцию проводила СБУ совместно с Нацполицией, стражами порядка Франции и Европолом.
После ареста админа домен XSS.IS был изъят. Посетители форума могли видеть следующее сообщение: «Этот домен был исключен Бригадой борьбы с киберпреступностью (ред. — Франция) при содействии Департамента кибербезопасности СБУ».
Однако домены даркнета и зеркала показывали только ошибку 504 Gateway Timeout. 23 июля Telegram-канал, связанный с администратором XSS.IS, не имел признаков изъятия и обозначен как «недавно активный».
24 июля появилось сообщение от XSS.IS, что основной сервер не поврежден. Затем написали, что форум доступен и скоро перейдет на другой домен. Но один из администраторов не доступен под ником Тоха, а часть других работавших в поддержке форума не выходят на связь.
«Тоха недоступен, но этот вариант был обсужден с ним заранее, с целью сохранения работоспособности форума вопреки всему и всем. Часть людей, которые помогали в поддержке форума, не выходят на связь.
Домен перебили на регистраторе, впоследствии будет новый, все старые .onion домены будут заменены в целях безопасности. Состав модеров пока остается. Операции с депозитами на паузе», – говорится в сообщении.
Как нам объяснил украинский белый хакер Никита Кныш, здесь вопрос не в адресе, а в основной информации, которая хранилась на сервере: «Даже если забрали основной сервер, у них все равно есть бекапы, на которых они могут снова поднять сервис. Надо одновременно арестовывать всех предводителей кибергруппы. А если ты арестовал трех из пяти админов, система обновится. Вопрос: вожак арестован или нет?
Кныш также подтверждает, что вместе с сервером правоохранители могли получить доступ к некоторым данным киберпреступников-пользователей: «Если они (правоохранители) изъяли сервер, на котором хранились логины и пароли пользователей форума, то да, они завладели этой информацией. Но может быть и такое, что они изъяли Proxy сервер, только заблокировали домен через регистратора».
Он добавляет, что по мнению дальнейших расследований изъятые данные могут иметь определенную ценность. Но сказать, что они будут иметь существенную ценность нельзя.
Кныш также добавляет, что существует много альтернативных форумов, таких как wwh, exploit, antichat, migalki, lolz, duty.
Украинский хактивист Шон Таусенд считает, что арестованный вероятно и является админом под ником Тоха, а сам сайт находится под контролем правоохранителей.
«Тор-версия сайта работает. Но руководит ею не админ, он сам об этом сказал, так что ни модераторы, ни другие пользователи не могут проверить, кто он на самом деле. С „Тохой“ админом сайта ни у кого связи нет, поэтому скорее всего задержали именно его, а сайт находится под контролем правоохранителей. Админ в этом случае и есть владелец ресурса, это техническая должность. Если это „Тоха“, то он же создатель другой такой площадки exploit.in. Несколько лет назад он передал эксплоит другим людям, а сам перешел на xss, после того как задерживали Ar3s (творца xss, который назывался damagelab и существует с 2004 года)».
Продолжается проверка на предмет причастности других лиц к деятельности форума XSS.IS. Собранные доказательства в Украине переданы компетентным органам юстиции Французской Республики в рамках процедур международной правовой помощи.
Правоохранители сообщают о частичном прекращении деятельности инфраструктуры XSS.IS, в то же время киберпреступники уверяют, что основной сервер не пострадал. Достаточно ли этих действий, чтобы XSS.IS полностью прекратил свое существование? С этим вопросом мы обратились к украинскому белому хакеру Никите Кнышу и хактивисту из Украины Шону Таусенду, и узнали некоторые интересные подробности.
XSS.IS и российская разведка
Форум XSS.IS был первоначально запущен в 2004 году под названием DaMaGeLaB как русскоязычное хакерское сообщество. Сайт был ненадолго закрыт в декабре 2017 года после того, как один из его администраторов, гражданин белоруса Сергей Ярец, известный на форуме как «Ar3s», был арестован, Hackread.com.
В конце 2018 года известный администратор форума получил резервную копию сайта и перезапустил его под новым названием XSS, что является ссылкой на уязвимость веб-безопасности, известную как межсайтовый скриптинг.
Смена названия имела две основные цели. Во-первых, она дистанцировала форум от его прошлых ассоциаций с правоохранительными органами под названием DaMaGeLaB. Во-вторых, она предоставила сайту более технического и современного имиджа, ссылаясь на уязвимость, знакомую его целевой аудитории.
Власти и сообщество кибербезопасности давно подозревают, что XSS.IS руководствовался или поддерживался российскими разведывательными службами, включая Службу внешней разведки (СВР), Федеральную службу безопасности (ФСБ) и Главное разведывательное управление (ГРУ).
На форуме было зарегистрировано более 50 000 пользователей. Среди них — известные хакерские группировки, в частности REvil, LockBit, Conti, Qilin.
Используя услуги форума, киберпреступники атаковали автоматизированные системы управления банков, госучреждений и крупных корпораций в США и Евросоюзе.
Так, например, злоумышленники использовали приобретенное на форуме вредоносное программное обеспечение и первоочередные доступы к компьютерным сетям международных компаний для дальнейшего вымогания денежных средств.
В случае отказа угрожали пострадавшим «слить» в интернет их конфиденциальные данные и парализовать работу организации.
Также документированы многочисленные факты использования онлайн-платформы для вербовки новых участников хакерских группировок и сбыта новейших вирусных программ.
22 июля в своем доме в Киеве администратор XSS.IS. Им оказался 37-летний гражданин Украины. Его роль заключалась в создании и техническом администрировании ресурса - он предоставлял инфраструктуру для преступной деятельности других лиц и получал от этого процент. Операцию проводила СБУ совместно с Нацполицией, стражами порядка Франции и Европолом.
Конец истории XSS.IS или нет?
После ареста админа домен XSS.IS был изъят. Посетители форума могли видеть следующее сообщение: «Этот домен был исключен Бригадой борьбы с киберпреступностью (ред. — Франция) при содействии Департамента кибербезопасности СБУ».
Однако домены даркнета и зеркала показывали только ошибку 504 Gateway Timeout. 23 июля Telegram-канал, связанный с администратором XSS.IS, не имел признаков изъятия и обозначен как «недавно активный».
24 июля появилось сообщение от XSS.IS, что основной сервер не поврежден. Затем написали, что форум доступен и скоро перейдет на другой домен. Но один из администраторов не доступен под ником Тоха, а часть других работавших в поддержке форума не выходят на связь.
«Тоха недоступен, но этот вариант был обсужден с ним заранее, с целью сохранения работоспособности форума вопреки всему и всем. Часть людей, которые помогали в поддержке форума, не выходят на связь.
Домен перебили на регистраторе, впоследствии будет новый, все старые .onion домены будут заменены в целях безопасности. Состав модеров пока остается. Операции с депозитами на паузе», – говорится в сообщении.
Кто такой Тоха и что может означать его арест для форума?
Как нам объяснил украинский белый хакер Никита Кныш, здесь вопрос не в адресе, а в основной информации, которая хранилась на сервере: «Даже если забрали основной сервер, у них все равно есть бекапы, на которых они могут снова поднять сервис. Надо одновременно арестовывать всех предводителей кибергруппы. А если ты арестовал трех из пяти админов, система обновится. Вопрос: вожак арестован или нет?
Кныш также подтверждает, что вместе с сервером правоохранители могли получить доступ к некоторым данным киберпреступников-пользователей: «Если они (правоохранители) изъяли сервер, на котором хранились логины и пароли пользователей форума, то да, они завладели этой информацией. Но может быть и такое, что они изъяли Proxy сервер, только заблокировали домен через регистратора».
Он добавляет, что по мнению дальнейших расследований изъятые данные могут иметь определенную ценность. Но сказать, что они будут иметь существенную ценность нельзя.
Кныш также добавляет, что существует много альтернативных форумов, таких как wwh, exploit, antichat, migalki, lolz, duty.
Украинский хактивист Шон Таусенд считает, что арестованный вероятно и является админом под ником Тоха, а сам сайт находится под контролем правоохранителей.
«Тор-версия сайта работает. Но руководит ею не админ, он сам об этом сказал, так что ни модераторы, ни другие пользователи не могут проверить, кто он на самом деле. С „Тохой“ админом сайта ни у кого связи нет, поэтому скорее всего задержали именно его, а сайт находится под контролем правоохранителей. Админ в этом случае и есть владелец ресурса, это техническая должность. Если это „Тоха“, то он же создатель другой такой площадки exploit.in. Несколько лет назад он передал эксплоит другим людям, а сам перешел на xss, после того как задерживали Ar3s (творца xss, который назывался damagelab и существует с 2004 года)».
Что дальше?
Продолжается проверка на предмет причастности других лиц к деятельности форума XSS.IS. Собранные доказательства в Украине переданы компетентным органам юстиции Французской Республики в рамках процедур международной правовой помощи.
Последнее редактирование:
