22 Temmuz 2025’te Avrupa Polis Ajansı Europol Fransız polisi tarafından yönetilen uzun süredir devam eden bir soruşturmanın, 38 yaşındaki bir yöneticinin tutuklanmasıyla sonuçlandığını söyledi. XSS, 50.000’den fazla üyesi olan bir Rus dil siber suç forumu. Eylem, XSS sakinleri arasında isimsiz şüphelinin kimliği hakkında devam eden bir spekülasyon ve panik çılgınlığını tetikledi, ancak fikir birliği, Hacker tutamağından geçen suç forumu sahnesinde çok önemli bir figür olmasıdır. ”Anlaşmak. ” İşte Toha hakkında bilinen şeylere derin bir dalış ve kimin yakalandığı kısa bir bıçak.

İsimsiz bir 38 yaşındaki bir adam geçen ay Kiev’de Siber Saldırı Forumu XSS’yi yönetme şüphesiyle tutuklandı. Resim: ssu.gov.ua.
Europol sanığın adını vermedi, ancak Kiev’deki ikametgahına baskından kısmen gizlenmiş fotoğrafları yayınladı. Polis ajansı, şüphelinin güvenilir bir üçüncü taraf olarak hareket ettiğini – suçlular arasında anlaşmazlıklar – ve XSS’deki işlemlerin güvenliğini garanti ettiğini söyledi. Ukrayna’dan bir açıklama SBU Güvenlik Servisi, XSS’nin üyeleri arasında çeşitli fidye yazılımı gruplarından birçok siber suçlu sayıldığını söyledi. Revil– Lockbit– MüstehcenVe Kabullenmek.
Europol duyurusundan bu yana, XSS forumu derin web’deki yeni bir adreste yeniden ortaya çıktı (yalnızca anonimlik ağı toruyla ulaşılabilir). Ancak son yayınları gözden geçirerek, uzun süredir üyeler arasında artık tespit edilen XSS yöneticisinin kimliği konusunda çok az fikir birliği var gibi görünüyor.
Tutuklama ile ilgili en sık yorum, XSS’nin uzun süredir yöneticisi ve diğer bazı büyük Rus forumları tarafından seçilen tutamak olan Toha’ya dayanışma ve destek mesajıydı. Toha’nın diğer forumlardaki hesapları baskından bu yana sessiz kaldı.
Europol, şüphelinin siber suçlarda yaklaşık 20 yıllık bir kariyere sahip olduğunu ve kabaca Toha’nın tarihiyle sıralandığını söyledi. 2005 yılında Toha, Rusça konuşan forumun kurucu üyesiydi Hack-All. Yani, ilk çıkışından birkaç ay sonra büyük ölçüde hacklenene kadar. 2006 yılında Toha forumu yeniden markaladı faydalanmak[.]içindeBu, siber suçluların istediği bir nihai olarak on binlerce üyeyi çekmeye devam edecekti.
Toha, 2018’de, alıcı forumlarında alıcının gizlice bir Rus veya Ukrayna hükümet varlığı veya ön kişi olduğunu forumlarda yaygın bir spekülasyona yol açarak istismar forumunu sattığını duyurdu. Ancak, bu şüpheler kanıtlarla desteklenmedi ve Toha, forumun yetkililere verildiğini şiddetle reddetti.
En eski Rus dili siber suç forumlarından biri Damagelab2004’ten 2017’ye kadar yöneticisi “AR3’ler” tutuklandığında. 2018’de Damagelab forumunun kısmi bir yedeği, XSS olarak reenkarne edildi[.]Toha ile belirtildiği gibi.
Siteler arası korumalı
Toha’nın internetteki erken varlığı hakkında – ~ 2004’ten 2010’a kadar – arşivlerinde mevcuttur. Intel 471forum etkinliğini izleyen bir siber istihbarat firması. Intel 471, Toha’nın aynı e -posta adresini, istismar dahil olmak üzere birden fazla forum hesabında kullandığını gösteriyor. Antifat– Carder[.]var olan Ve uyuşmak[.]Ru.
Domaintools.com Toha’nın e -posta adresini bulur – [email protected] – En az bir düzine alan adı kaydettirmek için kullanıldı- çoğu 2000’li yılların ortalarından sonlarına kadar. Sömürü dışında[.]içinde ve aranan bir alan Ixyq[.]combu e-posta adresine kayıtlı diğer alanlar, Ukrayna için üst düzey alan.[.]Yap, lj.com[.]UA ve blogspot.org[.]yapılmış).

[email protected]’ya ve Kiev’de Anton Medvedovsky’ye kayıtlı bir alanın 2008 anlık görüntüsü. Sol alttaki mesajı, “istismarla korunur.” Diye not edin. Resim: Archive.org.
[email protected] adresine kayıtlı alanların neredeyse tamamı adını içeriyor Anton Medvedovskiy Kayıt kayıtlarında, yukarıda belirtilen IXYQ hariç[.]com, isme kayıtlı Yuriy avdeev Moskova’da.
Bu avdeev soyadı, açgözlü ve yıkıcı fidye yazılım ortaklık grubunun lideri Lockbitsupp ile uzun bir sohbette ortaya çıktı. Lockbit. Konuşma, Lockbitsupp’ın Toha’nın gerçek yaşam kimliğini tanımlamak için yardım istediğinde Şubat 2024’te gerçekleşti.

2024’ün başlarında, Lockbit Ransomware grubunun lideri Lockbitsupp – Anton Avdeev adında bir Rus adam olduğunu iddia ettiği XSS yöneticisi Toha’nın kimliğini araştırmaya yardım istedi.
Lockbitsupp, Toha’nın detaylarını neden istediğini paylaşmadı, ancak Toha’nın gerçek adının Anton Avdeev. Lockbitsupp’a Toha üzerinde planladığı intikamda ne olursa olsun yardım etmeyi reddettim, ancak sorusu beni daha derin görünmeyi merak etti.
Görünüşe göre LockBitsupp’ın sorgusu, “3xp0rt” adıyla bir kullanıcı Toha’nın Rus bir adam olduğunu iddia ettiği 2022’den itibaren silinmiş bir Twitter gönderisine dayanıyordu. Anton Viktorovich Avdeev27 Ekim 1983 doğumlu.
Web’i Toha’nın e -posta adresi için arama [email protected], forumda 2010 satış iş parçacığını ortaya koyuyor bmwclub.ru Honeypo adında bir kullanıcı 2007 BMW X5 satıyordu. Reklam, iletişim kişisini Anton Avdeev olarak listeledi ve iletişim telefon numarasını verdi 9588693.
İhlal izleme hizmetinde 9588693 numaralı telefonda bir arama Constella zekası Bu sayı, doğum tarihi ve Anton Viktorovich Avdeev adıyla birçok resmi Rus hükümet kaydı buluyor. Örneğin, saldırıya uğramış Rus hükümet kayıtları, bu kişinin bir Rus vergi kimliğine ve günahına (Sosyal Güvenlik numarası) sahip olduğunu ve Moskova Polisi tarafından birkaç kez trafik ihlalleri için işaretlendiğini gösteriyor; 2004, 2006, 2009 ve 2014’te.
Astute okuyucular şimdiye kadar Bay Avdeev (45) ve bu ay tutuklanan XSS yöneticisinin yaşlarının (38) biraz kapalı olduğunu fark etmiş olabilirler. Bu, tutuklanan kişinin yorum taleplerine cevap vermeyen Bay Avdeev’den başka biri olduğunu gösteriyor gibi görünüyor.
Duvarda Bir Sinek
Bu soru hakkında daha fazla bilgi için KrebSonsecurity, Sergeii VovnenkoUkrayna’dan şu anda güvenlik girişimini yürüten eski bir siber suçlu paranoidlab.com. Vovnenko’ya ulaştım çünkü 2010 yılından itibaren birkaç yıl boyunca sahibi ve operatörüydü. vasiyetname[.]işEuropol’un Kiev’de tutuklanan şüpheli tarafından işletildiğini söylediği şifreli bir “Jabber” anlık mesajlaşma sunucusu. Vasiyetname[.]Biz, Rusça konuşan en iyi siber suçluların birçoğu arasında oldukça popüler hale geldi, çünkü kullanıcılarının etkinliğinin az sayıda rekorunu kırdı ve yöneticisi her zaman topluluğun güvenilir bir üyesiydi.
Bu tarihi tidbit’i bilmemin nedeni, 2013’te Vovnenko – hacker takma adlarını kullanıyor ”Uçmak,” Ve “Flycracker” – İpek Yolu Darknet Pazarı’ndan satın alınan ve Kuzey Virginia’daki evimize gönderilen bir gram eroinin bir planı yaptı. Program, komşularımızdan birinden yerel polise bir çağrı yapmaktı ve bu adamın caddede Krebs’in evine teslim edilen narkotikleri olan bir eczane olduğunu söyledi.
Eroin çerçeveleme planı gerçekleştirildiğinde Flycracker’ın özel siber suç forumunda gizlendim ve şaplak sonunda ABD postasına gelmeden önce polisi kendim olarak adlandırdım. Vovnenko daha sonra ABD’ye iade edilen, mahkum edilen ve ABD hapishane sisteminde 16 aylık bir konaklamadan sonra sınır dışı edilen ilgisiz siber suç faaliyetlerinden tutuklandı. [on several occasions, he has expressed heartfelt apologies for the incident, and we have since buried the hatchet].
Vovnenko, 2009 yılında Toha’dan kredi kartı klonlamak için bir cihaz satın aldığını ve Toha’nın öğeyi Rusya’dan gönderdiğini söyledi. Vovnenko, (Flycracker) ‘nın sahibi ve operatörü olduğunu açıkladı.[.]2010’dan 2014’teki tutuklanmasına kadar.
Vovnenko buna inanıyor[.]Biz hapiste iken, Toha ve/veya takma adlarla geçen bir XSS yöneticisi tarafından çalındı N0KLOS Ve Sonik.
“Ben hapisteyken, [the] XSS.’nin yöneticisi bu alan adını çaldı, ya da muhtemelen N0KLOS XSS’yi Toha’dan veya tam tersinden satın aldı, ”dedi Vovnenko Jabber alanından. [the forums] Hapishanemden sonra benimle konuştum, bu yüzden sadece gerçekten ne olduğunu tahmin edebilirim. ”
N0KLOS, erken bir Rus dili siber suç forumunun sahibi ve yöneticisiydi. Karanlık hayatı[.]Ws. Bununla birlikte, N0KL0S aynı zamanda ömür boyu bir Rus sakini gibi görünüyor ve her durumda birkaç yıl önce Rus siber suç forumlarından kaybolmuş gibi görünüyor.
Toha’nın bu ay Ukrayna’da tutuklanan XSS yöneticisi olduğuna inanıp inanmadığı sorulduğunda Vovnenko, Toha’nın Rus olduğunu ve “Fransız polislerinin yanlış adamı aldığını” savundu.
Vazgeçecek?
Peki Ukrayna polisi Fransız yetkililerin soruşturmasına yanıt olarak kim tutuklandı? Toha’nın e -posta adresini çağıran BMW reklamının ve bir Rus vatandaşının adı ve telefon numarasının, Toha’nın soruşturmacıları karıştırması ve atması amaçlanan yanlış yönlendirmesi olduğu makul görünüyor. Belki de bu, Toha’nın alanlarından birinden kayıt kayıtlarında ortaya çıkan avdeev soyadını bile açıklıyor.
Ancak bazen en basit cevap doğrudur. “Toha”, “Anton” adlı ilk adı olan ve Toha’s [email protected]’ya bağlı bir düzineden fazla alan için kayıt kayıtlarındaki adla eşleşen ortak bir Slav takma addır.
Constella istihbaratı, Anton Gannadievich Medvedovskiy Aralık ayında 38 yaşında olacak Kiev’de yaşıyor. Bu birey e -posta adresine sahiptir [email protected]aynı zamanda Ukrayna polisi tarafından yayınlanan bulanık fotoğraflardaki şüpheliyle kabaca aynı saç çizgisine sahip bir adamın profil fotoğrafını içeren bir Airbnb hesabı. Bay Medvedovskiy, yorum talebine yanıt vermedi.
Yayından kaldırma benim Ukraynalı yetkililerin muhtemelen Medvedovskiy’i tutuklamaları. Toha, 2005 yılında Damagelab’ı yakın zamanda 11. sınıfı bitirdiğini ve bir üniversitede okuduğunu paylaştı – Mevedovskiy’in yaklaşık 18 yaşında olacağı bir zaman. 11 Aralık 2006’da, istismar üyeleri Toha’ya mutlu bir doğum günü diledi. Ukrayna Kamu Hizmetleri Portalı Diia.gov.ua’daki 2022 hackinde maruz kalan kayıtlar, Bay Medvedovskiy’in doğum gününün 11 Aralık 1987 olduğunu gösteriyor.
Kolluk eylemi ve gözaltına alınanların kimliği hakkında karışıklık, Rus siber suç forumu sahnesini son haftalarda Kargaşa’ya attı ve XSS’nin gelecekteki forumlar boyunca makarası hakkında uzun ve ısıtmalı argümanlar.
XSS, yetkililer forumun ana sayfasında nöbet bildirimlerini çıkardıktan kısa bir süre sonra yeni bir TOR adresinde yeniden başlatıldı, ancak eski forumdan gelen tüm güvenilir moderatörler açıklama yapmadan reddedildi. Mevcut üyeler forum hesap bakiyelerinin sıfıra düştüğünü gördü ve yeni forumda kayıt yapmak için bir depozito bırakmaları istendi. Yeni XSS “Admin”, önceki sahiplerle temas halinde olduklarını ve değişikliklerin toplum içindeki güvenliği ve güveni yeniden inşa etmeye yardımcı olacak olduğunu söyledi.
Bununla birlikte, yeni yöneticinin güvenceleri, forumun eski üyelerinin en kötü korkularını değerlendirmek için çok az şey yapmış gibi görünüyor, bunların çoğu şimdilik yeniden başlatılan siteden uzaklıklarını koruyor gibi görünüyor.
Gerçekten de, XSS’nin ele geçirilmesiyle ilgili tüm bu tartışmaların ortasında yaygın bir anlayış varsa, Ukraynalı ve Fransız yetkililerin artık XSS forum kullanıcıları arasında birkaç yıllık özel mesajlara sahip olması ve iletişim kadroları ve ele geçirilen Jabber sunucusuna bağlı diğer kullanıcı verileri var.
“Gordonbellford” kullanıcısı, 3 Ağustos’ta düzinelerce sayfayı kapsayan bir istismar forumu iş parçacığında “’Güvenilir kişi’ efsanesi paramparça oldu. “Forum yabancılar tarafından yürütülüyor. Her şeyi aldılar. İki yıllık Jabber Server günlükleri. Tam yedekleme ve forum veritabanı.”
Gordonbellford devam etti:
Ve en korkunç şey: Bu veri dizisi sadece bir arşiv değil. Daha önce yapılmış olan analiz için malzemedir. Modern araçların yardımıyla her şeyi görüyorlar:
Kişilerinizin ve etkinliğinizin grafikleri.
Takma adlar, e -postalar, şifre karmalar ve jabber kimliği arasındaki ilişkiler.
Zaman damgaları, IP adresleri ve dijital parmak izleri.
Benzersiz yazma stiliniz, ifadeniz, noktalama işaretleriniz, dilbilgisi hatalarının tutarlılığı ve hatta hesaplarınızı farklı platformlarda bağlayacak tipik yazım hataları.Bir samanlıkta iğne aramıyorlar. Sadece samanları AI elekinden elemediler ve hazır dosya aldılar.