22 июля 2025 года Европейское полицейское агентство Европол
, что в результате длительного расследования, проводимого французской полицией, был арестован 38-летний администратор XSS, русскоязычного форума о киберпреступлениях, насчитывающего более 50 000 участников. Это событие вызвало волну спекуляций и паники среди пользователей XSS по поводу личности неназванного подозреваемого, но все сходятся во мнении, что он является ключевой фигурой на криминальном форуме и известен под хакерским ником Тоха. В этой статье мы подробно расскажем о Тохе и попытаемся предположить, кого поймали.
В прошлом месяце в Киеве был арестован 38-летний мужчина, имя которого не разглашается, по подозрению в управлении киберпреступным форумом XSS. Изображение: ssu.gov.ua.
Европол не назвал имя обвиняемого, но опубликовал частично скрытые фотографии, сделанные во время рейда в его доме в Киеве. Полицейское агентство заявило, что подозреваемый выступал в качестве доверенной третьей стороны — арбитра в спорах между преступниками — и гарантировал безопасность транзакций на XSS. В Службы безопасности Украины СБУ говорится, что среди участников XSS было много киберпреступников из различных групп вымогателей, включая REvil, LockBit, Conti и Qiliin.
После заявления Европола форум XSS появился по новому адресу в даркнете (доступен только через сеть анонимности ). Однако, судя по недавним сообщениям, среди давних участников нет единого мнения о личности администратора XSS, который сейчас находится под стражей.
Самым частым комментарием по поводу ареста было выражение солидарности и поддержки Toha — никнейма, который выбрал давний администратор XSS и нескольких других крупных российских форумов. После рейда аккаунты Toha на других форумах замолчали.
Европол сообщил, что подозреваемый почти 20 лет занимался киберпреступностью, что примерно соответствует истории Toha. В 2005 году Toha был одним из основателей русскоязычного форума Hack-All. Так было до тех пор, пока через несколько месяцев после его создания не произошёл массовый взлом. В 2006 году Тоха переименовал форум в , который впоследствии привлёк десятки тысяч участников, в том числе самых разыскиваемых киберпреступников.
В 2018 году Тоха объявил о продаже форума Exploit, что вызвало бурные обсуждения на форумах о том, что покупателем на самом деле была российская или украинская государственная организация или подставное лицо. Однако эти подозрения не были подкреплены доказательствами, и Тоха категорически отрицал, что форум был передан властям.
Одним из старейших русскоязычных форумов о киберпреступлениях был DaMaGeLaB, который работал с 2004 по 2017 год, когда был арестован его администратор «Ar3s». В 2018 году частичная резервная копия форума DaMaGeLaB была , а его администратором был указан Toha.
DomainTools.com обнаружил, что адрес электронной почты Тохи — [email protected] — использовался для регистрации по меньшей мере дюжины доменных имён, большинство из которых были зарегистрированы в середине — конце 2000-х годов. Помимо exploit[.]in и домена ixyq[.]com, другие домены, зарегистрированные на этот адрес электронной почты, заканчиваются на .ua — домен верхнего уровня для Украины (например, deleted.org[.]ua, lj.com[.]ua и blogspot.org[.]ua).
Снимок экрана домена, зарегистрированного в 2008 году на [email protected] и Антона Медведовского в Киеве. Обратите внимание на сообщение в левом нижнем углу: «Защищено Exploit,in». Изображение: archive.org.
Почти все домены, зарегистрированные на [email protected], содержат в регистрационных записях имя Антон Медведовский, за исключением вышеупомянутого ixyq[.]com, который зарегистрирован на имя Юрий Авдеев в Москве.
Фамилия Авдеев всплыла в ходе продолжительной беседы с , лидером жадной и разрушительной группы аффилированных лиц, занимающихся вымогательством Lockbit. Беседа состоялась в феврале 2024 года, когда Lockbitsupp попросил помочь установить личность Тохи в реальной жизни.
В начале 2024 года лидер группы Lockbit, занимающейся вымогательством, — Lockbitsupp — обратился за помощью в установлении личности администратора XSS Toha, которым, по его словам, был россиянин по имени Антон Авдеев.
Локбитсапп не объяснил, зачем ему понадобились данные Тохи, но утверждал, что настоящее имя Тохи — Антон Авдеев. Я отказался помогать Локбитсаппу в его планах мести Тохе, но его вопрос заставил меня копнуть глубже.
Судя по всему, запрос Lockbitsupp был основан на ныне удалённом посте в Twitter от 2022 года, в котором пользователь под ником утверждал, что Тоха — это русский по имени Антон Викторович Авдеев, родившийся 27 октября 1983 года.
Поиск в интернете адреса электронной почты Toha [email protected] приводит к на форуме bmwclub.ru, где пользователь под ником Honeypo продавал BMW X5 2007 года выпуска. В объявлении контактное лицо указано как Антон Авдеев, а контактный номер телефона — 9588693.
Поиск по номеру телефона 9588693 в сервисе отслеживания утечек Constella Intelligence выявил множество официальных документов российского правительства с этим номером, датой рождения и именем Антон Викторович Авдеев. Например, из взломанных документов российского правительства следует, что у этого человека есть российский ИНН и СНИЛС (страховой номер индивидуального лицевого счёта), а также что московская полиция несколько раз привлекала его к ответственности за нарушение правил дорожного движения: в 2004, 2006, 2009 и 2014 годах.
Внимательные читатели, возможно, уже заметили, что возраст господина Авдеева (41 год) и администратора XSS, арестованного в этом месяце (38 лет), немного не совпадает. Это наводит на мысль, что арестованный — не господин Авдеев, который не ответил на запросы о комментарии.
Я знаю об этом историческом факте, потому что в 2013 году Вовненко, используя хакерские псевдонимы Fly и Flycracker, , как купить грамм героина на теневом рынке Silk Road и отправить его в наш дом в Северной Вирджинии. План состоял в том, чтобы подделать звонок от одного из наших соседей в местную полицию и сообщить, что этот парень, Кребс, с нашей улицы, наркоман, которому доставляют наркотики на дом.
Я случайно наткнулся на закрытый форум Flycracker, посвящённый киберпреступлениям, когда был реализован его план с героином, и сам позвонил в полицию до того, как наркотик был доставлен в США по почте. Позже Вовненко был за другие киберпреступления, экстрадирован в США, осуждён и депортирован после 16 месяцев пребывания в американской тюремной системе [несколько раз он приносил искренние извинения за случившееся, и с тех пор мы забыли об этом инциденте].
Вовненко рассказал, что в 2009 году купил у Тохи устройство для клонирования кредитных карт и что Тоха отправил товар из России. Вовненко объяснил, что он (Flycracker) был владельцем и оператором сайта thesecure[.]biz с 2010 года до своего ареста в 2014 году.
Вовненко считает, что сайт thesecure[.]biz был взломан, пока он находился в тюрьме, либо Тохой, либо администратором XSS, который использовал никнеймы N0klos и Sonic.
«Когда я был в тюрьме, [администратор] xss.is украл этот домен, или, возможно, N0klos купил XSS у Toha, или наоборот», — сказал Вовненко о домене Jabber. «Никто из [участников форумов] не общался со мной после того, как я вышел из тюрьмы, так что я могу только догадываться, что произошло на самом деле».
N0klos был владельцем и администратором одного из первых русскоязычных форумов о киберпреступлениях, известного как Darklife[.]ws. Однако N0kl0s, судя по всему, всю жизнь прожил в России и в любом случае исчез с российских форумов о киберпреступлениях несколько лет назад.
На вопрос, считает ли он, что Тоха был администратором XSS, которого арестовали в этом месяце в Украине, Вовненко ответил, что Тоха — русский и что «французские полицейские взяли не того парня».
Но иногда самый простой ответ оказывается правильным. «Тоха» — распространённое славянское прозвище для человека с именем Антон, которое совпадает с именем в регистрационных записях более десятка доменов, связанных с адресом электронной почты Тохи [email protected]: Антон Медведовский.
Компания Constella Intelligence выяснила, что в Киеве проживает Антон Геннадьевич Медведовский, которому в декабре исполнится 38 лет. Этому человеку принадлежит адрес электронной почты [email protected], а также с фотографией мужчины с такой же линией роста волос, как у подозреваемого на размытых фотографиях, опубликованных украинской полицией. Господин Медведовский не ответил на запрос о комментарии.
Я считаю, что украинские власти, скорее всего, арестовали Медведовского. В 2005 году Тоха рассказал на DaMaGeLab, что недавно окончил 11-й класс и учится в университете. На тот момент Медведовскому было около 18 лет. 11 декабря 2006 года другие участники Exploit поздравили Тоху с днём рождения. Согласно данным, полученным в результате взлома украинского портала государственных услуг diia.gov.ua в 2022 году, г-н Медведовский родился 11 декабря 1987 года.
Действия правоохранительных органов и возникшая в связи с этим путаница в отношении личности задержанного в последние недели привели к хаосу на российских форумах, посвящённых киберпреступности. На форумах разгорелись длительные и жаркие споры о будущем XSS.
XSS перезапустился на новом адресе Tor вскоре после того, как власти разместили уведомление об аресте на главной странице форума, но все доверенные модераторы старого форума были уволены без объяснения причин. У существующих участников баланс на форуме обнулился, и их попросили внести депозит для регистрации на новом форуме. Новый «администратор» XSS заявил, что они поддерживают связь с предыдущими владельцами и что эти изменения направлены на восстановление безопасности и доверия в сообществе.
Однако заверения нового администратора, похоже, не смогли развеять худшие опасения бывших участников форума, большинство из которых пока держатся на расстоянии от перезапущенного сайта.
Действительно, если и есть какое-то общее понимание среди всех этих дискуссий об изъятии XSS, то оно заключается в том, что у украинских и французских властей теперь есть личные сообщения пользователей форума XSS за несколько лет, а также списки контактов и другие пользовательские данные, связанные с изъятым сервером Jabber.
«Миф о „доверенном лице“ развенчан», — предупредил пользователь GordonBellford 3 августа в ветке форума Exploit, посвящённой аресту администратора XSS. «Форумом управляют незнакомцы. У них есть всё. Двухлетние логи Jabber-сервера. Полная резервная копия и база данных форума».
Гордон Белфорд продолжил:
В прошлом месяце в Киеве был арестован 38-летний мужчина, имя которого не разглашается, по подозрению в управлении киберпреступным форумом XSS. Изображение: ssu.gov.ua.
Европол не назвал имя обвиняемого, но опубликовал частично скрытые фотографии, сделанные во время рейда в его доме в Киеве. Полицейское агентство заявило, что подозреваемый выступал в качестве доверенной третьей стороны — арбитра в спорах между преступниками — и гарантировал безопасность транзакций на XSS. В Службы безопасности Украины СБУ говорится, что среди участников XSS было много киберпреступников из различных групп вымогателей, включая REvil, LockBit, Conti и Qiliin.
После заявления Европола форум XSS появился по новому адресу в даркнете (доступен только через сеть анонимности ). Однако, судя по недавним сообщениям, среди давних участников нет единого мнения о личности администратора XSS, который сейчас находится под стражей.
Самым частым комментарием по поводу ареста было выражение солидарности и поддержки Toha — никнейма, который выбрал давний администратор XSS и нескольких других крупных российских форумов. После рейда аккаунты Toha на других форумах замолчали.
Европол сообщил, что подозреваемый почти 20 лет занимался киберпреступностью, что примерно соответствует истории Toha. В 2005 году Toha был одним из основателей русскоязычного форума Hack-All. Так было до тех пор, пока через несколько месяцев после его создания не произошёл массовый взлом. В 2006 году Тоха переименовал форум в , который впоследствии привлёк десятки тысяч участников, в том числе самых разыскиваемых киберпреступников.
В 2018 году Тоха объявил о продаже форума Exploit, что вызвало бурные обсуждения на форумах о том, что покупателем на самом деле была российская или украинская государственная организация или подставное лицо. Однако эти подозрения не были подкреплены доказательствами, и Тоха категорически отрицал, что форум был передан властям.
Одним из старейших русскоязычных форумов о киберпреступлениях был DaMaGeLaB, который работал с 2004 по 2017 год, когда был арестован его администратор «Ar3s». В 2018 году частичная резервная копия форума DaMaGeLaB была , а его администратором был указан Toha.
Межсайтовый грабёж
Сведения о раннем присутствии Toha в интернете — примерно с 2004 по 2010 год — доступны в архивах Intel 471, компании, занимающейся киберразведкой и отслеживающей активность на форумах. Intel 471 показывает, что Toha использовал один и тот же адрес электронной почты для нескольких учётных записей на форумах, в том числе на Exploit, Antichat, Carder[.]su и inattack[.]ru.DomainTools.com обнаружил, что адрес электронной почты Тохи — [email protected] — использовался для регистрации по меньшей мере дюжины доменных имён, большинство из которых были зарегистрированы в середине — конце 2000-х годов. Помимо exploit[.]in и домена ixyq[.]com, другие домены, зарегистрированные на этот адрес электронной почты, заканчиваются на .ua — домен верхнего уровня для Украины (например, deleted.org[.]ua, lj.com[.]ua и blogspot.org[.]ua).
Снимок экрана домена, зарегистрированного в 2008 году на [email protected] и Антона Медведовского в Киеве. Обратите внимание на сообщение в левом нижнем углу: «Защищено Exploit,in». Изображение: archive.org.
Почти все домены, зарегистрированные на [email protected], содержат в регистрационных записях имя Антон Медведовский, за исключением вышеупомянутого ixyq[.]com, который зарегистрирован на имя Юрий Авдеев в Москве.
Фамилия Авдеев всплыла в ходе продолжительной беседы с , лидером жадной и разрушительной группы аффилированных лиц, занимающихся вымогательством Lockbit. Беседа состоялась в феврале 2024 года, когда Lockbitsupp попросил помочь установить личность Тохи в реальной жизни.
В начале 2024 года лидер группы Lockbit, занимающейся вымогательством, — Lockbitsupp — обратился за помощью в установлении личности администратора XSS Toha, которым, по его словам, был россиянин по имени Антон Авдеев.
Локбитсапп не объяснил, зачем ему понадобились данные Тохи, но утверждал, что настоящее имя Тохи — Антон Авдеев. Я отказался помогать Локбитсаппу в его планах мести Тохе, но его вопрос заставил меня копнуть глубже.
Судя по всему, запрос Lockbitsupp был основан на ныне удалённом посте в Twitter от 2022 года, в котором пользователь под ником утверждал, что Тоха — это русский по имени Антон Викторович Авдеев, родившийся 27 октября 1983 года.
Поиск в интернете адреса электронной почты Toha [email protected] приводит к на форуме bmwclub.ru, где пользователь под ником Honeypo продавал BMW X5 2007 года выпуска. В объявлении контактное лицо указано как Антон Авдеев, а контактный номер телефона — 9588693.
Поиск по номеру телефона 9588693 в сервисе отслеживания утечек Constella Intelligence выявил множество официальных документов российского правительства с этим номером, датой рождения и именем Антон Викторович Авдеев. Например, из взломанных документов российского правительства следует, что у этого человека есть российский ИНН и СНИЛС (страховой номер индивидуального лицевого счёта), а также что московская полиция несколько раз привлекала его к ответственности за нарушение правил дорожного движения: в 2004, 2006, 2009 и 2014 годах.
Внимательные читатели, возможно, уже заметили, что возраст господина Авдеева (41 год) и администратора XSS, арестованного в этом месяце (38 лет), немного не совпадает. Это наводит на мысль, что арестованный — не господин Авдеев, который не ответил на запросы о комментарии.
Муха на стене
Чтобы лучше разобраться в этом вопросе, KrebsOnSecurity обратился за комментариями к Сергею Вовненко, бывшему киберпреступнику из Украины, который сейчас работает в стартапе по кибербезопасности paranoidlab.com. Я связался с Вовненко, потому что в течение нескольких лет, начиная с 2010 года, он был владельцем и оператором thesecure[.]biz, зашифрованного сервера обмена мгновенными сообщениями Jabber, которым, по данным Европола, управлял подозреваемый, арестованный в Киеве. Эти сайты[.]biz стали довольно популярными среди многих ведущих русскоязычных киберпреступников, потому что они тщательно скрывали активность своих пользователей, а их администратор всегда был доверенным лицом сообщества.Я знаю об этом историческом факте, потому что в 2013 году Вовненко, используя хакерские псевдонимы Fly и Flycracker, , как купить грамм героина на теневом рынке Silk Road и отправить его в наш дом в Северной Вирджинии. План состоял в том, чтобы подделать звонок от одного из наших соседей в местную полицию и сообщить, что этот парень, Кребс, с нашей улицы, наркоман, которому доставляют наркотики на дом.
Я случайно наткнулся на закрытый форум Flycracker, посвящённый киберпреступлениям, когда был реализован его план с героином, и сам позвонил в полицию до того, как наркотик был доставлен в США по почте. Позже Вовненко был за другие киберпреступления, экстрадирован в США, осуждён и депортирован после 16 месяцев пребывания в американской тюремной системе [несколько раз он приносил искренние извинения за случившееся, и с тех пор мы забыли об этом инциденте].
Вовненко рассказал, что в 2009 году купил у Тохи устройство для клонирования кредитных карт и что Тоха отправил товар из России. Вовненко объяснил, что он (Flycracker) был владельцем и оператором сайта thesecure[.]biz с 2010 года до своего ареста в 2014 году.
Вовненко считает, что сайт thesecure[.]biz был взломан, пока он находился в тюрьме, либо Тохой, либо администратором XSS, который использовал никнеймы N0klos и Sonic.
«Когда я был в тюрьме, [администратор] xss.is украл этот домен, или, возможно, N0klos купил XSS у Toha, или наоборот», — сказал Вовненко о домене Jabber. «Никто из [участников форумов] не общался со мной после того, как я вышел из тюрьмы, так что я могу только догадываться, что произошло на самом деле».
N0klos был владельцем и администратором одного из первых русскоязычных форумов о киберпреступлениях, известного как Darklife[.]ws. Однако N0kl0s, судя по всему, всю жизнь прожил в России и в любом случае исчез с российских форумов о киберпреступлениях несколько лет назад.
На вопрос, считает ли он, что Тоха был администратором XSS, которого арестовали в этом месяце в Украине, Вовненко ответил, что Тоха — русский и что «французские полицейские взяли не того парня».
КТО ТАКОЙ ТОХА?
Так кого же арестовала украинская полиция в ответ на расследование французских властей? Вполне вероятно, что реклама BMW с указанием адреса электронной почты Тохи, а также имени и номера телефона гражданина России была просто уловкой со стороны Тохи, призванной запутать и сбить с толку следователей. Возможно, это даже объясняет появление фамилии Авдеев в регистрационных записях одного из доменов Тохи.Но иногда самый простой ответ оказывается правильным. «Тоха» — распространённое славянское прозвище для человека с именем Антон, которое совпадает с именем в регистрационных записях более десятка доменов, связанных с адресом электронной почты Тохи [email protected]: Антон Медведовский.
Компания Constella Intelligence выяснила, что в Киеве проживает Антон Геннадьевич Медведовский, которому в декабре исполнится 38 лет. Этому человеку принадлежит адрес электронной почты [email protected], а также с фотографией мужчины с такой же линией роста волос, как у подозреваемого на размытых фотографиях, опубликованных украинской полицией. Господин Медведовский не ответил на запрос о комментарии.
Я считаю, что украинские власти, скорее всего, арестовали Медведовского. В 2005 году Тоха рассказал на DaMaGeLab, что недавно окончил 11-й класс и учится в университете. На тот момент Медведовскому было около 18 лет. 11 декабря 2006 года другие участники Exploit поздравили Тоху с днём рождения. Согласно данным, полученным в результате взлома украинского портала государственных услуг diia.gov.ua в 2022 году, г-н Медведовский родился 11 декабря 1987 года.
Действия правоохранительных органов и возникшая в связи с этим путаница в отношении личности задержанного в последние недели привели к хаосу на российских форумах, посвящённых киберпреступности. На форумах разгорелись длительные и жаркие споры о будущем XSS.
XSS перезапустился на новом адресе Tor вскоре после того, как власти разместили уведомление об аресте на главной странице форума, но все доверенные модераторы старого форума были уволены без объяснения причин. У существующих участников баланс на форуме обнулился, и их попросили внести депозит для регистрации на новом форуме. Новый «администратор» XSS заявил, что они поддерживают связь с предыдущими владельцами и что эти изменения направлены на восстановление безопасности и доверия в сообществе.
Однако заверения нового администратора, похоже, не смогли развеять худшие опасения бывших участников форума, большинство из которых пока держатся на расстоянии от перезапущенного сайта.
Действительно, если и есть какое-то общее понимание среди всех этих дискуссий об изъятии XSS, то оно заключается в том, что у украинских и французских властей теперь есть личные сообщения пользователей форума XSS за несколько лет, а также списки контактов и другие пользовательские данные, связанные с изъятым сервером Jabber.
«Миф о „доверенном лице“ развенчан», — предупредил пользователь GordonBellford 3 августа в ветке форума Exploit, посвящённой аресту администратора XSS. «Форумом управляют незнакомцы. У них есть всё. Двухлетние логи Jabber-сервера. Полная резервная копия и база данных форума».
Гордон Белфорд продолжил:
