Форум XSS был личным проектом киевлянина Антона Медведовского

Форум XSS, насчитывающий более 50 тыс. пользователей, считается одним из крупнейших русскоязычных хакерских ресурсов. Многие СМИ и эксперты называют его центром «русской киберпреступности». Однако данные, появившиеся после ареста основателя XSS Антона Медведовского, указывают на тесный контроль форума со стороны украинской разведки.

Антон Медведовский был задержан в Киеве в июле нынешнего года Службой безопасности Украины при поддержке Европола и французской киберполиции BL2C.

Официально имя задержанного не раскрывалось, но, как сообщили источники «Известий», именно он стал целью международной операции.

«С момента операции в Киеве Toha (никнейм Медведовского на XSS, — ред.) ни разу не выходил с нами на связь. Я считаю, что форум находился под контролем спецслужб задолго до ареста. СБУ могла оказывать ему протекцию на протяжении последних лет. У Медведовского были просчёты в операционной безопасности. Учитывая, что он администрировал теневые форумы почти 20 лет, его личность могли установить гораздо раньше и предложить сотрудничество», — рассказал один из модераторов XSS.

XSS появился в 2018 году, сменив форум DaMaGeLaB, который существовал с 2004 по 2017 годы и прекратил работу после ареста его администратора Сергея Ярца (Ar3s) в Белоруссии.

Как отмечают «Известия», XSS превратился в площадку для сделок по модели «вымогательство как услуга» (RaaS). На форуме действовали группировки REvil, LockBit, Conti, DarkSide, Qilin. Сам ресурс выполнял функции эскроу и арбитража.

По данным источников, Антон Медведовский управлял форумом единолично, замыкая все ключевые роли на себе. Модераторы фактически ограничивались публикацией материалов и не имели отношения к финансовым процессам.

В мае 2021 года администрация XSS объявила о запрете тем, связанных с программами-вымогателями (ransomware).

«Мы — технический форум, мы учимся, исследуем, делимся знаниями, публикуем статьи. Цель ransomware — это исключительно заработок. Наши цели не совпадают», — писал тогда Медведовский.

Однако этот запрет оказался формальностью. С форума исчезла лишь открытая реклама шифровальщиков, тогда как их представители продолжали спокойно работать под своими никами. В частности, авторы ransomware Everest использовали площадку в качестве блога, публикуя там данные компаний, отказавшихся платить выкуп. Именно это привлекло внимание BL2C и стало поводом для расследования, в ходе которого выявили факты вымогательства и других киберпреступлений.

Источники «Известий» в хакерской среде предполагают, что XSS мог использоваться и как вербовочная платформа украинских спецслужб. Бывший глава департамента кибербезопасности СБУ генерал Илья Витюк в интервью NPR в 2023 году фактически признал такую практику.

По этой причине украинские власти долго не предпринимали мер против XSS. В обмен администрация форума делилась оперативной информацией, помогала находить специалистов для киберопераций и, возможно, передавала часть доходов. Так сформировались преступные структуры, которые зарубежные СМИ привычно называли «русскими киберпреступниками», хотя значительная часть участников оказалась украинцами.

Так, кодером LockBit был выходец из Украины, а в группах Ragnar Locker, Maze и Clop преобладали именно украинские разработчики. Авторы ALPHV, несмотря на репутацию «русских», в реальности оказались англоязычными. Часть громких атак совершала британская группировка The Com, но их тоже поначалу приписывали «русским» хакерам.

Следы украинских киберпреступников ведут и к Одессе, где работали участники CarderPlanet — одной из крупнейших площадок по продаже украденных данных.

«Ещё до большой политики это был жёсткий рынок с конкуренцией между русскими и украинскими дамп-шопами. Поставщиков переманивали, конкурентов ддосили, сдавали силовикам. В 2003–2004 годах публично назывались одесские никнеймы (Script, Assassin), но позже на виду оставались в основном русские — Селезнёв (ncuX), Строганов (Flint), Бергман (Tumbler). Украинцы не исчезли, просто предпочли работать тихо», — рассказал источник.

По его словам, многие участники CarderPlanet давно сотрудничают с украинскими спецслужбами и пользуются их покровительством. Некоторые впоследствии даже сделали политическую карьеру, как, например, бывший хакер Дмитрий Голубов, ставший депутатом Верховной Рады.

По мнению источников «Известий», следующими после XSS под удар могут попасть форумы Exploit и RAMP. Избежать этого можно лишь полностью отказавшись от функций посредников между хакерами и арбитража.