KrebsOnSecurity – ведущий ресурс в области журналистских расследований о киберпреступности и интернет-безопасности – хорошо , чтобы попытаться раскрыть имя и биографию легендарного в хакерском мире основателя форума xss.is.
Напомним, 22 июля 2025 года европейское полицейское агентство Европол и СБУ заявили, что , русскоязычного форума по киберпреступности, который насчитывает более 50 000 участников.
Это действие вызвало постоянный безумный спекуляций и панику среди пользователей XSS по поводу личности неназванного подозреваемого, но все соглашаются, что он является ключевой фигурой на преступном форуме, использующем хакерский никнейм «Тоха/toha».
Европол и СБУ не назвали имя обвиняемого, но опубликовал частично скрытые фотографии с места ареста. Полицейское агентство заявило, что подозреваемый действовал как доверенная третья сторона - разрешая споры между преступниками - и обеспечивая безопасность транзакций на XSS. В заявлении Службы безопасности Украины говорится, что среди участников XSS было много киберпреступников из разных групп программ-требителей, включая REvil, LockBit, Conti и Qiliin.
После объявления Европола форум XSS снова появился по новому адресу в даркнете. Но открытый домен в интернете ( ) уже не работал. Аккаунты Toha на других форумах молчали после ареста.
Европол заявил, что у подозреваемого почти 20-летняя карьера в киберпреступности, которая примерно совпадает с историей Toha. В 2005 году Toha был одним из основателей русскоязычного форума Hack-All , пока он не был сломан через несколько месяцев после дебюта. В 2006 году Тоха переименовал форум в exploit[.]in, который впоследствии привлек десятки тысяч участников.
В 2018 году Тоха объявил, что продает форум Exploit, что вызвало безумные спекуляции на форумах о том, что покупателем тайно является российское или украинское государственное учреждение или подставное лицо. Однако эти подозрения не были подтверждены доказательствами, и Тоха решительно отрицал, что форум был передан властям.
Одним из старейших русскоязычных форумов по киберпреступности был DaMaGeLaB , работавший с 2004 по 2017 год, когда его администратор Ar3s был арестован. В 2018 году частичная резервная копия форума DaMaGeLaB была переименована в xss[.]is, а Тоха стал его заявленным администратором.
Подсказки о раннем присутствии Тохи в Интернете – примерно с 2004 по 2010 год – доступны в архивах Intel 471, фирмы киберразведки, отслеживающей активность на форумах. Intel 471 показывает, что Тоха использовал один и тот же адрес электронной почты для нескольких учетных записей на форумах, включая Exploit, Antichat, Carder[.]su и inattack[.]ru.
DomainTools.com обнаруживает, что адрес электронной почты Тохи – [email protected] – использовался для регистрации по меньшей мере десятка доменных имен – большинство из них датируются серединой-концом 2000-х годов. Кроме exploit[.]in и домена под названием ixyq[.]com, другие домены, зарегистрированные по адресу электронной почты, заканчиваются на .ua, домен верхнего уровня для Украины (например, deleted.org[.]ua, lj.com[.]ua и [.]ua).
Почти все домены, зарегистрированные на [email protected] , содержат имя Антон Медведовский в регистрационных записях , за исключением вышеупомянутого ixyq[.]com, зарегистрированного на имя Юрий Авдеев в Москве.
Эта фамилия Авдеев вспомнилась во время длительного разговора с Lockbitsupp, лидером хищной и разрушительной аффилированной группы программ-требителей Lockbit. Разговор состоялся в феврале 2024 года, когда Lockbitsupp попросил помочь идентифицировать истинное лицо Тохи.
Похоже, запрос Lockbitsupp был основан на удаленном сообщении в Twitter от 2022 года, когда пользователь под именем «3xp0rt» утверждал, что Тоха – россиянин по имени Антон Викторович Авдеев, рожденный 27 октября 1983 года.
Поиск в Интернете по адресу электронной почты Тохи [email protected] обнаружил объявление по продаже 2010 года на форуме bmwclub.ru, где пользователь по имени Honeypo продавал BMW X5 2007 года выпуска. В объявлении контактным лицом были указаны Антон Авдеев и номер телефона 9588693.
Поиск по телефону 9588693 в сервисе отслеживания нарушений Constella Intelligence позволяет найти множество официальных документов российского правительства с этим номером, датой рождения и именем Антон Викторович Авдеев. Например, сломанные документы российского правительства показывают, что у этого лица есть российский налоговый идентификатор и SIN (номер социального страхования), и что его несколько раз нарушала московская полиция за нарушение правил дорожного движения; в 2004, 2006, 2009 и 2014 годах.
Однако возраст Авдеева (41) и администратора XSS, арестованного в этом месяце (38), несколько не совпадают. Это, кажется, говорит о том, что арестованным лицом есть кто-то другой.
Для получения дополнительной информации по этому вопросу KrebsOnSecurity обратился за комментариями к Сергею Вовненко , бывшему киберпреступнику из Украины, который сейчас работает в стартапе безопасности paranoidlab.com.
Вовненко несколько лет, начиная примерно с 2010 года, он был владельцем и оператором thesecure[.]biz, зашифрованного сервера мгновенных сообщений «Jabber», которым, по словам Европола, руководил подозреваемый, арестованный в Киеве.
Вовненко использовал хакерские никнеймы Fly и Flycracker. Его арестовали за киберпреступность, экстрадировали в Соединенные Штаты, осудили и депортировали после 16-месячного пребывания в тюремной системе США.
Вовненко сказал, что приобрел устройство для клонирования кредитных карт у Toha в 2009 году, и что Toha отправил этот товар из России. Вовненко объяснил, что он (Flycracker) был владельцем и оператором thesecure[.]biz с 2010 года до своего ареста в 2014 году.
Вовненко считает, что thesecure[.]biz был похищен, пока он находился в тюрьме, или Toha, и/или администратором XSS, у которого были прозвища N0klos и Sonic.
"Когда я был в тюрьме, администратор xss.is украл этот домен, или, вероятно, N0klos купил XSS у Toha, или наоборот", - сказал Вовненко о домене Jabber. «Никто из [форумов] не разговаривал со мной после моего заключения, поэтому я могу только догадываться, что произошло».
На вопрос, считает ли он, что Toha был администратором XSS, который был арестован в этом месяце в Украине, Вовненко утверждал, что Toha — россиянин, и что «французские полицейские забрали не того человека».
Так кого же арестовала украинская полиция в ответ на расследование французских властей? Расследователю кажется правдоподобным, что реклама BMW, в которой упоминался электронный адрес Тохи, имя и номер телефона гражданина России, была просто дезинформацией со стороны Тохи с целью запутать и сбить с толку следователей. Возможно, это даже объясняет фамилию Авдеев, которая появляется в регистрационных записях одного из доменов Тохи.
Но иногда самый простой ответ верен, пишет расследователь. «Тоха» совпадает с именем в регистрационных записях для более десятка доменов, связанных с электронным адресом Тохи – [email protected] – Антон Медведовский.
Constella Intelligence обнаружила, что в Киеве проживает Антон Геннадиевич Медведовский, которому в декабре исполнится 38 лет. Этому лицу принадлежит электронный адрес [email protected] , а также учетная запись Airbnb с фотографией профиля мужчины с примерно такой же линией волос, как у подозреваемого на размытых фотографиях, опубликованных украинской полицией.
«Мое мнение относительно этого удаления состоит в том, что украинские власти, вероятно, арестовали Медведовского. Тоха поделился на DaMaGeLab в 2005 году, что он недавно окончил 11 класс и учится в университете – в то время Медведовскому было бы около 18 лет. 11 декабря 2006 года другие участники Exploit поздравили Тоху с днем рождения. Записи, разоблаченные во время взлома украинского портала государственных услуг diia.gov.ua в 2022 году, показывают, что день рождения Медведовского – 11 декабря 1987 года», – говорится в расследовании.
Действия правоохранительных органов и вызванная ими путаница в отношении задержанного в последние недели привели к хаосу на российских форумах по киберпреступности, из-за чего на форумах ведутся продолжительные и ожесточенные споры о будущем XSS.
XSS перезапустился на новом адресе Tor вскоре после того, как власти разместили сообщения об изъятии на главной странице форума, но все доверенные модераторы со старого форума были уволены без объяснений. Балансы аккаунтов существующих участников форума упали до нуля, и их попросили внести депозит для регистрации на новом форуме. Новый администратор XSS сказал, что они связываются с предыдущими владельцами, и что изменения должны помочь восстановить безопасность и доверие в сообществе.
Однако заверения нового администратора, похоже, мало что сделали, чтобы успокоить самые плохие опасения бывших участников форума, большинство из которых, похоже, пока держатся на расстоянии от перезапущенного сайта.
"Миф о "доверенном лице" развеян", - предупредил пользователь "GordonBellford" 3 августа в теме форума Exploit об аресте администратора XSS. «Форум управляют незнакомцы. Они получили все. Два года журналы сервера Jabber. Полное резервное копирование и база данных форума».
Напомним, 22 июля 2025 года европейское полицейское агентство Европол и СБУ заявили, что , русскоязычного форума по киберпреступности, который насчитывает более 50 000 участников.
Это действие вызвало постоянный безумный спекуляций и панику среди пользователей XSS по поводу личности неназванного подозреваемого, но все соглашаются, что он является ключевой фигурой на преступном форуме, использующем хакерский никнейм «Тоха/toha».
Европол и СБУ не назвали имя обвиняемого, но опубликовал частично скрытые фотографии с места ареста. Полицейское агентство заявило, что подозреваемый действовал как доверенная третья сторона - разрешая споры между преступниками - и обеспечивая безопасность транзакций на XSS. В заявлении Службы безопасности Украины говорится, что среди участников XSS было много киберпреступников из разных групп программ-требителей, включая REvil, LockBit, Conti и Qiliin.
После объявления Европола форум XSS снова появился по новому адресу в даркнете. Но открытый домен в интернете ( ) уже не работал. Аккаунты Toha на других форумах молчали после ареста.
История
Европол заявил, что у подозреваемого почти 20-летняя карьера в киберпреступности, которая примерно совпадает с историей Toha. В 2005 году Toha был одним из основателей русскоязычного форума Hack-All , пока он не был сломан через несколько месяцев после дебюта. В 2006 году Тоха переименовал форум в exploit[.]in, который впоследствии привлек десятки тысяч участников.
В 2018 году Тоха объявил, что продает форум Exploit, что вызвало безумные спекуляции на форумах о том, что покупателем тайно является российское или украинское государственное учреждение или подставное лицо. Однако эти подозрения не были подтверждены доказательствами, и Тоха решительно отрицал, что форум был передан властям.
Одним из старейших русскоязычных форумов по киберпреступности был DaMaGeLaB , работавший с 2004 по 2017 год, когда его администратор Ar3s был арестован. В 2018 году частичная резервная копия форума DaMaGeLaB была переименована в xss[.]is, а Тоха стал его заявленным администратором.
Тоха и его домены
Подсказки о раннем присутствии Тохи в Интернете – примерно с 2004 по 2010 год – доступны в архивах Intel 471, фирмы киберразведки, отслеживающей активность на форумах. Intel 471 показывает, что Тоха использовал один и тот же адрес электронной почты для нескольких учетных записей на форумах, включая Exploit, Antichat, Carder[.]su и inattack[.]ru.
DomainTools.com обнаруживает, что адрес электронной почты Тохи – [email protected] – использовался для регистрации по меньшей мере десятка доменных имен – большинство из них датируются серединой-концом 2000-х годов. Кроме exploit[.]in и домена под названием ixyq[.]com, другие домены, зарегистрированные по адресу электронной почты, заканчиваются на .ua, домен верхнего уровня для Украины (например, deleted.org[.]ua, lj.com[.]ua и [.]ua).
Почти все домены, зарегистрированные на [email protected] , содержат имя Антон Медведовский в регистрационных записях , за исключением вышеупомянутого ixyq[.]com, зарегистрированного на имя Юрий Авдеев в Москве.
Эта фамилия Авдеев вспомнилась во время длительного разговора с Lockbitsupp, лидером хищной и разрушительной аффилированной группы программ-требителей Lockbit. Разговор состоялся в феврале 2024 года, когда Lockbitsupp попросил помочь идентифицировать истинное лицо Тохи.
Похоже, запрос Lockbitsupp был основан на удаленном сообщении в Twitter от 2022 года, когда пользователь под именем «3xp0rt» утверждал, что Тоха – россиянин по имени Антон Викторович Авдеев, рожденный 27 октября 1983 года.
Поиск в Интернете по адресу электронной почты Тохи [email protected] обнаружил объявление по продаже 2010 года на форуме bmwclub.ru, где пользователь по имени Honeypo продавал BMW X5 2007 года выпуска. В объявлении контактным лицом были указаны Антон Авдеев и номер телефона 9588693.
Поиск по телефону 9588693 в сервисе отслеживания нарушений Constella Intelligence позволяет найти множество официальных документов российского правительства с этим номером, датой рождения и именем Антон Викторович Авдеев. Например, сломанные документы российского правительства показывают, что у этого лица есть российский налоговый идентификатор и SIN (номер социального страхования), и что его несколько раз нарушала московская полиция за нарушение правил дорожного движения; в 2004, 2006, 2009 и 2014 годах.
Однако возраст Авдеева (41) и администратора XSS, арестованного в этом месяце (38), несколько не совпадают. Это, кажется, говорит о том, что арестованным лицом есть кто-то другой.
Свидетель
Для получения дополнительной информации по этому вопросу KrebsOnSecurity обратился за комментариями к Сергею Вовненко , бывшему киберпреступнику из Украины, который сейчас работает в стартапе безопасности paranoidlab.com.
Вовненко несколько лет, начиная примерно с 2010 года, он был владельцем и оператором thesecure[.]biz, зашифрованного сервера мгновенных сообщений «Jabber», которым, по словам Европола, руководил подозреваемый, арестованный в Киеве.
Вовненко использовал хакерские никнеймы Fly и Flycracker. Его арестовали за киберпреступность, экстрадировали в Соединенные Штаты, осудили и депортировали после 16-месячного пребывания в тюремной системе США.
Вовненко сказал, что приобрел устройство для клонирования кредитных карт у Toha в 2009 году, и что Toha отправил этот товар из России. Вовненко объяснил, что он (Flycracker) был владельцем и оператором thesecure[.]biz с 2010 года до своего ареста в 2014 году.
Вовненко считает, что thesecure[.]biz был похищен, пока он находился в тюрьме, или Toha, и/или администратором XSS, у которого были прозвища N0klos и Sonic.
"Когда я был в тюрьме, администратор xss.is украл этот домен, или, вероятно, N0klos купил XSS у Toha, или наоборот", - сказал Вовненко о домене Jabber. «Никто из [форумов] не разговаривал со мной после моего заключения, поэтому я могу только догадываться, что произошло».
На вопрос, считает ли он, что Toha был администратором XSS, который был арестован в этом месяце в Украине, Вовненко утверждал, что Toha — россиянин, и что «французские полицейские забрали не того человека».
Так кто же такой Toha?
Так кого же арестовала украинская полиция в ответ на расследование французских властей? Расследователю кажется правдоподобным, что реклама BMW, в которой упоминался электронный адрес Тохи, имя и номер телефона гражданина России, была просто дезинформацией со стороны Тохи с целью запутать и сбить с толку следователей. Возможно, это даже объясняет фамилию Авдеев, которая появляется в регистрационных записях одного из доменов Тохи.
Но иногда самый простой ответ верен, пишет расследователь. «Тоха» совпадает с именем в регистрационных записях для более десятка доменов, связанных с электронным адресом Тохи – [email protected] – Антон Медведовский.
Constella Intelligence обнаружила, что в Киеве проживает Антон Геннадиевич Медведовский, которому в декабре исполнится 38 лет. Этому лицу принадлежит электронный адрес [email protected] , а также учетная запись Airbnb с фотографией профиля мужчины с примерно такой же линией волос, как у подозреваемого на размытых фотографиях, опубликованных украинской полицией.
«Мое мнение относительно этого удаления состоит в том, что украинские власти, вероятно, арестовали Медведовского. Тоха поделился на DaMaGeLab в 2005 году, что он недавно окончил 11 класс и учится в университете – в то время Медведовскому было бы около 18 лет. 11 декабря 2006 года другие участники Exploit поздравили Тоху с днем рождения. Записи, разоблаченные во время взлома украинского портала государственных услуг diia.gov.ua в 2022 году, показывают, что день рождения Медведовского – 11 декабря 1987 года», – говорится в расследовании.
Действия правоохранительных органов и вызванная ими путаница в отношении задержанного в последние недели привели к хаосу на российских форумах по киберпреступности, из-за чего на форумах ведутся продолжительные и ожесточенные споры о будущем XSS.
Что происходит с XSS сейчас
XSS перезапустился на новом адресе Tor вскоре после того, как власти разместили сообщения об изъятии на главной странице форума, но все доверенные модераторы со старого форума были уволены без объяснений. Балансы аккаунтов существующих участников форума упали до нуля, и их попросили внести депозит для регистрации на новом форуме. Новый администратор XSS сказал, что они связываются с предыдущими владельцами, и что изменения должны помочь восстановить безопасность и доверие в сообществе.
Однако заверения нового администратора, похоже, мало что сделали, чтобы успокоить самые плохие опасения бывших участников форума, большинство из которых, похоже, пока держатся на расстоянии от перезапущенного сайта.
"Миф о "доверенном лице" развеян", - предупредил пользователь "GordonBellford" 3 августа в теме форума Exploit об аресте администратора XSS. «Форум управляют незнакомцы. Они получили все. Два года журналы сервера Jabber. Полное резервное копирование и база данных форума».
