Крупнейший русскоязычный хакерский форум - XSS, объединявший более 50 тыс. человек, - управлялся гражданином Украины и долгие годы мог находиться под контролем СБУ, узнали "Известия" от людей, причастных к его деятельности. Западные СМИ и эксперты называли его одним из центров "русской киберпреступности", но в реальности он оказался бизнес-проектом украинца Антона Медведовского. Он жил в Киеве, 20 лет управлял форумами в даркнете, но оставался на свободе. Собеседники "Известий" связывают это с тем, что деятельность XSS была выгодна СБУ: там она вербовала хакеров для своих операций, а украинцы и преступники из западных стран могли действовать под видом "русской киберсети". В июле французские спецслужбы совместно с Европолом добились ареста Медведовского.
Подробности событий и их последствий - в расследовании "Известий".
В конце июля 2025 года крупнейший русскоязычный киберфорум XSS (50 тыс. зарегистрированных участников) оказался в эпицентре международной операции. В Киеве СБУ при поддержке Европола и французской киберполиции (BL2C) задержала 38-летнего мужчину, которого подозревают в администрировании форума.
Уже на следующий день на его главной странице появилась заглушка о конфискации домена правоохранителями, а среди постоянных членов ресурса начались паника и споры о том, кто именно попал в руки следствия.
Официально имя задержанного до сих пор не названо. По версии Европола, речь идёт о человеке, который почти 20 лет управлял инфраструктурой разных даркнет-форумов, выступал арбитром и "гарантом" сделок между хакерами и мог заработать на комиссиях более €7 млн. Источники "Известий", причастные к деятельности XSS, подтвердили, что речь идёт об Антоне Медведовском, известном среди хакеров под ником Toha, - гражданине Украины, жителе Киева. Ранее эту версию публиковал специализированный портал KrebsOnSecurity.
- С момента операции в Киеве Toha ни разу не вышел с нами на связь, - рассказал "Известиям" один из модераторов XSS с ником Anomalia, хорошо посвященный в происходившие внутри ресурса процессы.
После непродолжительной паузы XSS объявился на новых адресах. Но пользователи фиксировали обнуление балансов и заморозку депозитов, прежние модераторы получили баны. На этом фоне они публично заявили, что форум, вероятно, контролируется силовыми структурами и функционирует как honeypot - ловушка для сбора доказательств и сетевых связей его пользователей.
- Я полагаю, что форум не просто перешёл под контроль спецслужб сейчас. СБУ могла оказывать ему протекцию все последние годы, - сказал "Известиям" Anomalia. - Медведовский имел просчёты в обеспечении собственной операционной безопасности. Учитывая, что он администрирует теневые форумы на протяжении 20 лет, его личность явно могли установить намного раньше и предложить сотрудничество.
XSS - это русскоязычная онлайн-площадка, возникшая в конце 2018 года. Её предшественником был форум DaMaGeLaB (запущен в 2004-м, затух в 2017-м после ареста в Белоруссии его администратора Сергея Ярца с ником Arts).
Форум помимо того, что там общались на темы IT, выполнял роль площадки для сделок между хакерами. Например, разработчиками вредоносного ПО и адвертами - т.е. теми, кто брал их программы-вымогатели "в аренду". С помощью "арендованных" шифровальщиков хакеры взламывали компьютерные системы компаний и за возврат контроля над ними требовали выкуп. Получив его, делились добычей с разработчиком программы. Такая бизнес-модель называется RaaS (от Ransomware-as-a-Service - "программа-вымогатель как услуга"). В качестве поставщиков вредоносного ПО на XSS были активны представители крупнейших вымогательских группировок вроде REvil, LockBit, Conti, DarkSide, Qilin.
Ключевые функции площадки - escrow (гарант), когда деньги участников сделки временно удерживает третья сторона и переводит продавцу только после подтверждения результата, и "арбитраж" - разбор спорных ситуаций с публикацией доказательств.
Сам Антон Медведовский - фигура известная в теневых форумах. С 2005 года он был админом крупного даркнет-форума Exploit.in, который также предоставлял набор услуг для киберпреступников. А в 2016-м стал владельцем джаббер-cepbepaTheSecure.biz (самодельный мессенджер, популярный у хакеров). В сентябре 2018 года зарегистрировал домен XSS.is.
По словам Anomalia, с большой долей вероятности Медведовский управлял теневым бизнесом форума единолично.
- С момента появления форума в сентябре 2018 года под началом Toha все главные роли замкнулись на нём, - рассказывает Anomalia. - Модераторы на форуме были, но они скорее были авторами статей на определённые темы, а не управляли ресурсом. Безусловно, мы видели, что форум оказывает платные нелегальные услуги что какие-то деньги текут на депозиты, но мы абсолютно никак не касались финансовой части проекта.
Формально в мае 2021 года XSS объявил запрет на темы, связанные с ransomware (предоставлением программы-вымогателя в аренду).
"Мы - технический форум, мы учимся, исследуем, делимся знаниями, пишем интересные статьи. Цель ransomware - это только лишь заработок. Цели не совпадают", - писал тогда Toha.
В реальности предложение этих услуг и заключение сделок по ним с форума не исчезли. Это и привлекло внимание французских киберполицейских, которые в том же году после атаки на одну из местных компаний (следы сделки вели на XSS) и начали расследование.
- Запрет программ-вымогателей в 2021 году при Toha был по большей части формальным, - подтверждает Anomalia. - To есть рекламу шифровальщиков запретили, но представители рынка вымогателей спокойно жили под своими никнеймами, некоторые их "арбитражи" рассматривались. А ведь если мы говорим об "арбитраже", то в контексте даркнета - это доказательства неправоты оппонента с публикацией полной ситуации в виде логов и скриншотов о совершённых преступлениях. Например, представитель локера (программы-шифровальщика. - "Известия") Everest спокойно присутствовал на форуме и, по сути, использовал его как собственный блог, заливая туда данные компаний, которые не заплатили выкуп.
Как пример, какие конфликтные ситуации попадали на "арбитраж" на форуме, Anomalia привёл случай спора между человеком под ником simpleteaseller и одним из криптообменников. Обменник должен был "отмыть" полученные нелегальным путем 666 тыс. USDT (стейблкоин или крипто-валюта с фиксированной ценой, привязанной к курсу доллара), однако не справился с задачей и вернул клиенту ещё более "грязные" коины. В итоге эмитент криптовалюты Tether заблокировал кошельки заказчика. "Арбитраж" проводил Toha, он постановил, что обменник должен вернуть процент, который взял за услуги, но не обязан покрывать "клиенту" полный ущерб в размере 666Tbic.USDT.
Расследование французской кибер-полиции в отношении XSS началось 9ноября 2021 года. Правоохранителям удалось взломать сервер TheSecure.biz. Полученные данные помогли выявить факты вымогательства и других киберпреступлений, приносивших злоумышленникам многомиллионные доходы.
В 2023 году бывший глава департамента кибербезопасности СБУ генерал Илья Витюк в интервью американскому Национальному общественному радио (NPR) признавал: ведомство активно вербует киберпреступников с Украины, из России и других стран для проведения антироссийских акций. Причём речь шла именно о профессиональных "вымогателях", в том числе ранее осуждённых киберпреступниках. "Это похоже на нашу кибернетическую территориальную оборону", - говорил Витюк.
Именно XSS мог быть одной из площадок подобной вербовки, не исключают источники "Известий" в хакерской среде.
Правоохранительные органы Украины закрывали глаза на существование управляемого из Киева форума - маркетплейса хакерских услуг в обмен на откаты, оперативную информацию и привлечение хакеров к операциям под крылом СБУ, уверяет один из собеседников редакции.
- На подобных форумах есть куча молодых пацанов, которые интересуются технологиями, развивают свои навыки, а коррумпированные украинские силовики делают на этом свой бизнес, - поясняет Anomalia. - А когда им это выгодно или их прижмут, они сдают этих пацанов своим иностранным партнёрам - американцам или тем же французам.
Например, в 2023 году в Одессе был задержан модератор XSS под никнеймом Pernatly по подозрению в хакерстве.
По словам собеседника "Известий", именно симбиоз руководителей некоторых теневых форумов и украинских спецслужб привёл к формированию организованных преступных структур, которые западные журналисты любят называть "русскими киберпреступниками", хотя на самом деле это кибер-преступники украинские.
К слову, коррумпированность киберподразделений СБУ нашла подтверждение и в реальности - 3 сентября 2025 года тот самый Илья Витюк попал под следствие и лишь на днях вышел под залог в 9 млн гривен ($217,5 тыс.). В Национальном антикоррупционном бюро Украины сообщили, что в 2023 году генерал купил квартиру за $522 тыс., оформив её на одного из членов семьи и к тому же существенно занизив её стоимость в договоре.
Anomalia не знает, привёл ли арест Медведовского к задержанию других участников форума. Но считает, что на XSS история не закончится и следующими под удар могут попасть форумы Exploit и RAMP. Единственный способ этого избежать - полностью отказаться от роли посредников между хакерами и "арбитража", полагает наш собеседник. Кстати, после ареста Медведовского, часть модераторов его платформы развернули альтернативную площадку DamageLib и объявили полный отказ от рекламы и размещения нелегальных услуг.
А на события в Киеве обратил внимание даже российский МИД. В августе на брифинге заместитель директора департамента информации и печати Алексей Фадеев, комментируя операцию СБУ и французской полиции, назвал её "показной акцией", призванной продемонстрировать "готовность к борьбе с киберпреступностью" на Украине, притом что на самом деле украинские власти покровительствуют онлайн-мошенникам, а западные государства годами поощряли превращение Украины в рассадник киберпреступности.
Сообщение о блокировке домена киберфорума появилось на сайте уже на следующий день после ареста киевлянина
Справка "Известий"
Everest - вымогательская группировка, специализирующаяся на краже и сливе данных. По материалам из СМИ известно, что она причастна к взлому Coca-Cola на Ближнем Востоке, сети кондитерских Crumbl и итальянского агентства SIAE. Также Everest приписывает себе атаки на Mediclinic, департамент культуры и туризма Абу-Даби, Jordan Kuwait Bank, AT&T и Radisson; ранее её связывали с атаками на NASA и правительство Бразилии.
0
25.00
