در تاریخ ۲۲ ژوئیه ۲۰۲۵، آژانس پلیس اروپایی یوروپل (Europol) اعلام کرد که تحقیقات طولانیمدتی که توسط پلیس فرانسه هدایت میشد، به دستگیری یک مرد ۳۸ ساله که ادمین فروم سایبری روسزبان XSS بود، انجامید. این فروم دارای بیش از ۵۰ هزار عضو بوده است.
این اقدام باعث هجوم گستردهای از گمانهزنی و وحشت در بین کاربران فروم XSS شد؛ اما اکثریت کاربران بر این باورند که فرد بازداشتشده همان شخص کلیدی با نام مستعار “Toha” است که از چهرههای اصلی دنیای فرومهای جنایی روسی محسوب میشود.
اطلاعات تأیید شده و گزارش پلیس
-
این فرد در کییف، اوکراین دستگیر شد.
-
یوروپل نامی از مظنون نبرد، اما تصاویر تارشدهای از حمله به خانهی وی منتشر کرد.
-
به گفته مقامات، وی به عنوان شخص مورد اعتماد برای حل اختلاف بین مجرمان و تضمین امنیت معاملات در فروم XSS عمل میکرد.
-
سازمان امنیت اوکراین (SBU) اعلام کرد که فروم XSS شامل اعضایی از گروههای باجافزاری معروفی چون REvil، LockBit، Conti، و Qilin بوده است.
فروم XSS پس از این واقعه، در یک آدرس جدید در دارکوب (فقط از طریق شبکهی ناشناس Tor قابل دسترسی) دوباره راهاندازی شد، اما از بررسی پستهای اخیر مشخص است که کاربران قدیمی بر سر هویت واقعی فرد دستگیرشده به توافق نرسیدهاند.
با این حال، بیشترین ابراز همدردی و حمایتها مربوط به فردی با نام مستعار Toha است که بهعنوان ادمین قدیمی XSS و چندین فروم دیگر شناخته میشود. حسابهای Toha در سایر فرومها نیز از زمان حمله کاملاً ساکت ماندهاند.
گذشتهی Toha
-
یوروپل اعلام کرده که فرد مظنون حدود ۲۰ سال سابقه فعالیت در جرایم سایبری دارد؛ این موضوع با سابقهی Toha همخوانی دارد.
-
Toha در سال ۲۰۰۵ یکی از مؤسسان فروم Hack-All بود؛ اما این فروم چند ماه بعد مورد نفوذ قرار گرفت.
-
او سپس در سال ۲۰۰۶ فروم جدیدی به نام exploit[.]in راهاندازی کرد که به یکی از مهمترین فرومهای مجرمان سایبری تبدیل شد.
-
در سال ۲۰۱۸، Toha اعلام کرد که فروم exploit را میفروشد که باعث موجی از تئوریهای توطئه شد مبنی بر اینکه شاید این فروم به سازمانهای دولتی واگذار شده باشد؛ اما شواهدی در این خصوص وجود ندارد و Toha شدیداً این موضوع را انکار کرد.
فروم قدیمی DaMaGeLaB که از سال ۲۰۰۴ تا ۲۰۱۷ فعال بود، پس از دستگیری ادمین آن با نام Ar3s تعطیل شد. در سال ۲۰۱۸، بکاپ ناقصی از آن به عنوان فروم جدیدی با آدرس xss[.]is راهاندازی شد که گفته میشود Toha مدیر اصلی آن بود.
ردپای دیجیتال Toha
بر اساس اطلاعات شرکت امنیتی Intel 471، Toha در سالهای ۲۰۰۴ تا ۲۰۱۰ از ایمیلی به آدرس [email protected] استفاده کرده که در فرومهایی مانند Exploit، Antichat، Carder[.]su، و inattack[.]ru ثبت شده است.
سایت DomainTools.com نشان میدهد که همین ایمیل برای ثبت حداقل ۱۲ دامنه استفاده شده که اغلب آنها به پسوند .ua (اوکراین) ختم میشوند، مانند:
-
deleted.org.ua -
lj.com.ua -
blogspot.org.ua
اما یک دامنه با نام ixyq[.]com به شخصی به نام Yuriy Avdeev در مسکو ثبت شده که باعث ارتباط نام Avdeev با Toha شد.
فرضیه Lockbit درباره هویت Toha
رهبر گروه باجافزاری Lockbit با نام Lockbitsupp در فوریه ۲۰۲۴ درخواستی برای شناسایی Toha ارائه کرد و مدعی شد که Toha همان Anton Avdeev، یک مرد روسی متولد ۲۷ اکتبر ۱۹۸۳ است.
پستی که اکنون حذف شده، در سال ۲۰۲۲ توسط کاربری به نام 3xp0rt منتشر شده بود و ادعا داشت Toha در واقع Anton Viktorovich Avdeev است.
یک آگهی فروش خودرو در سال ۲۰۱۰ در فروم bmwclub.ru توسط کاربری به نام Honeypo منتشر شده که در آن یک دستگاه BMW X5 مدل ۲۰۰۷ برای فروش گذاشته شده بود. این آگهی شامل اطلاعات تماس Anton Avdeev و شماره تلفن ۹۵۸۸۶۹۳ بود.
بر اساس سرویس Constella Intelligence، این شماره در چندین رکورد دولتی روسیه ظاهر شده است که مربوط به شخصی با همان نام و تاریخ تولد است.
اما نکته کلیدی اینکه سن واقعی آقای Avdeev (۴۵ سال) با سن فرد بازداشتشده (۳۸ سال) مطابقت ندارد. در نتیجه، احتمال دارد فرد بازداشتشده کس دیگری غیر از Avdeev باشد.
دیدگاه “Fly” درباره هویت واقعی Toha
Sergeii Vovnenko که با نام مستعار Fly یا Flycracker شناخته میشود، یکی از مجرمان سایبری سابق اوکراینی است که اکنون در شرکت امنیتی paranoidlab.com کار میکند. او مالک سرور رمزگذاریشدهی پیامرسان thesecure[.]biz بوده است که پلیس Europol آن را به فرد بازداشتشده نسبت میدهد.
Vovnenko معتقد است که در سال ۲۰۰۹ یک دستگاه کلون کارت اعتباری از Toha خریداری کرده که از روسیه برایش ارسال شده بود. او بیان میکند که thesecure[.]biz را از سال ۲۰۱۰ تا زمان دستگیریاش در ۲۰۱۴ اداره کرده است.
او باور دارد که دامنه thesecure[.]biz پس از زندانی شدنش توسط Toha یا N0klos (ادمین سابق XSS و Darklife[.]ws) تصاحب شده است.
Vovnenko تأکید میکند که Toha روس است و میگوید:
“پلیس فرانسه فرد اشتباهی را بازداشت کرده.”
پس واقعاً چه کسی بازداشت شده؟
اگرچه شواهدی درباره Anton Avdeev وجود دارد، اما اطلاعات دیگری به فردی به نام Anton Gannadievich Medvedovskiy که ساکن کییف است، اشاره دارد:
-
تولد: ۱۱ دسامبر ۱۹۸۷ (در زمان دستگیری، ۳۸ ساله)
-
ایمیل مرتبط: [email protected]
-
حساب Airbnb با تصویری مشابه فرد موجود در عکسهای تارشده پلیس
-
ثبت بیش از ۱۲ دامنه با ایمیل [email protected] و نام Anton Medvedovskiy
همچنین در سال ۲۰۰۵، Toha در فروم DaMaGeLaB اعلام کرده بود که بهتازگی سال یازدهم تحصیل را تمام کرده و وارد دانشگاه شده است که با سن Medvedovskiy مطابقت دارد.
وضعیت کنونی فروم XSS
-
فروم XSS پس از مصادره توسط مقامات، با آدرس جدیدی در دارکوب بازگشایی شد.
-
تمام مدیران قبلی حذف شدند و کاربران قدیمی موجودی حساب خود را از دست دادند.
-
ثبتنام جدید نیازمند پرداخت وجه است.
-
ادمین جدید ادعا کرده که با ادمین قبلی در تماس است و هدفش بازسازی امنیت و اعتماد است؛ اما اکثر کاربران همچنان به این نسخه جدید اعتماد ندارند.
واقعیت ترسناکتر
کاربر GordonBellford در تاریخ ۳ آگوست در فروم Exploit نوشت:
“افسانهی ‘شخص مورد اعتماد’ نابود شده. این فروم حالا توسط غریبهها اداره میشود. آنها همهچیز را به دست آوردند: دو سال لاگ سرور Jabber، بکاپ کامل و دیتابیس فروم.”
او ادامه میدهد:
-
این دادهها صرفاً آرشیو نیستند؛ تحلیل آنها قبلاً انجام شده است.
-
با استفاده از ابزارهای مدرن و هوش مصنوعی، حالا همهچیز مشخص است:
-
نمودارهای ارتباطات کاربران
-
ارتباط بین نامهای مستعار، ایمیلها، هشهای رمز عبور، و IDهای Jabber
-
تایماستمپها، آدرسهای IP، و اثر انگشتهای دیجیتال
-
سبک نوشتاری منحصربهفرد شما، جملهبندی، غلطهای املایی و حتی اشتباهات تایپی خاص شما که حسابهای شما در پلتفرمهای مختلف را به هم مرتبط میسازد.
-
“آنها دنبال سوزن در انبار کاه نمیگردند؛ آنها کاه را با الک هوش مصنوعی غربال کردهاند و حالا پروندههای آمادهای در اختیار دارند.”
یک نظر