Французька прокуратура 23 липня підтвердила затримання особи, яку підозрюють в адмініструванні одного з найвідоміших хакерських форумів — XSS.is. Арешт відбувся на території України за участі українських правоохоронців, Європолу та французької кіберполіції. Це — один із найгучніших ударів по російськомовній кіберзлочинності за останні роки.
За даними французької прокуратури, підозрюваний був ключовою фігурою в управлінні форумом XSS.is, який діяв із 2013 року та вважався однією з найбільших платформ для продажу шкідливого ПЗ, крадених даних, доступів до зламаних систем і послуг із запуску вірусу-здирника.
Цей форум був центром координації операцій кіберзлочинців із країн СНД, Східної Європи та Азії. Його користувачі залишались анонімними завдяки шифрованому серверу обміну повідомленнями Jabber, який забезпечував конфіденційне спілкування і торгівлю між “партнерами”.
Форум XSS.is став наступником знищеного у 2020 році форуму Exploit.in та швидко набрав популярності серед злочинців, пов’язаних з ransomware-групами, carding-схемами та кібершпигунством. Він мав десятки тисяч користувачів, включаючи відомі угруповання, пов’язані з атакою на Colonial Pipeline, SolarWinds і кількома банками у США та Європі.
Затримання відбулося в рамках міжнародної спецоперації, ініційованої Францією після відстеження серії транзакцій, пов’язаних з розповсюдженням шкідливого програмного забезпечення та відмиванням криптовалюти. Слідчі з Франції змогли ідентифікувати підозрюваного завдяки цифровому сліду, залишеному в криптовалютних гаманцях і на хостингу, який використовувався для підтримки роботи форуму.
Українські правоохоронці в супроводі представників Європолу провели обшуки, в ході яких було вилучено сервери, ноутбуки, накопичувачі з даними, а також понад 30 тис. євро готівкою та віртуальні активи на криптогаманцях. Вилучена техніка передана на експертизу у Францію та Нідерланди.
За інформацією джерел, підозрюваний є громадянином України, але діяв у тісному контакті з російськими хакерськими групами. На момент затримання він проживав у Києві й використовував VPN та анонімізатори для прикриття своєї діяльності. Йому інкримінують участь у транснаціональному злочинному угрупованні, відмивання грошей та пособництво у кіберзлочинах.
Західні експерти відзначають, що XSS.is став “Amazon-ом для кіберзлочинців” — з відгуками, рейтингами продавців та послугами технічної підтримки. Тут можна було придбати експлойти, віруси, фішингові комплекти, доступи до банківських рахунків і бази даних користувачів.
На форумі також здійснювалась торгівля вразливостями нульового дня (zero-day exploits), що робило його особливо небезпечним для державних та приватних інфраструктур. Ряд урядових структур Заходу фіксували, що з XSS.is координувались атаки на медичні системи, аеропорти, енергетичні компанії.
Європол уже оголосив, що справа матиме “публічне продовження”, і ймовірно, буде екстрадиційний запит до Франції або ще ширша координація у рамках EUROPOL Joint Cybercrime Action Taskforce (J-CAT). Очікується також спроба ліквідації решти інфраструктури форуму.
Арешт адміністратора XSS.is є черговим свідченням зміни підходу України до боротьби з кіберзлочинністю. За останній рік українські сили кібербезпеки неодноразово співпрацювали з міжнародними партнерами в розслідуванні атак на енергетичну інфраструктуру, банківський сектор та державні установи.
Успішна ліквідація активного вузла кіберзлочинної екосистеми — важливий сигнал як для союзників України, так і для кримінального середовища. Вона демонструє, що навіть у стані війни українська держава спроможна реагувати на транснаціональні загрози.