رادار تكنولوژي

ماجرای دستگیری ادمین معروف فروم جرم XSS؛ داستان «توها» و کلی حاشیه

  • ۱۵ مرداد ۱۴۰۴

خب بذارین خیلی راحت و دوستانه براتون تعریف کنم که توی دنیای فروم‌های خرابکاری و هک، مخصوصاً فروم XSS که یه جور تالار گفتگوی خلاف و هک به زبان روسی با بیشتر از ۵۰ هزار عضوئه، اخیراً چه اتفاقی افتاده.

ماجرا از این قراره که روز ۲۲ جولای ۲۰۲۵، پلیس اروپا که بهش Europol میگن (یه سازمان پلیسی برای همکاری بین کشورهای اروپایی)، اعلام کرد که طی یه عملیات بزرگ و طولانی به رهبری پلیس فرانسه، یه مرد ۳۸ ساله توی کی‌یف اوکراین دستگیر شده. اتهامش هم این بود که مدیر اصلی همین فروم XSS بوده. جالبه بدونین تو این فروم، کلی از خلافکارها و هکرهایی که عضو گروه‌های باج‌افزار معروف مثل REvil، LockBit، Conti و Qiliin بودن جمع میشن.

اسم طرف رو نگفتن، ولی کلی عکس تار از لحظه‌ی دستگیریش پخش شد. از همون اول توی خود فروم XSS قیامتی شد که کیه این بنده خدا و همه هم تقریباً مطمئن بودن اسم مستعارش «Toha»ئه (توها). این اسم تو جامعه‌های هکری روسی سال‌هاست محبوبه و مثلاً یه جور «برند» واسه خودش داره.

توها کیه و چرا اینقدر معروفه؟

مدیرهای فروم XSS معمولاً فقط دلال یا مدیر نیستن! مثلاً این بنده خدا نقش فرد سوم مورد اعتماد رو بازی می‌کرده؛ یعنی توی اختلافات بین خلافکارها قضاوت می‌کرده و حتی امنیت معاملاتشون رو تضمین می‌کرده! قشنگ مثل یه داور توی بازار سیاه

همچنین طبق اعلام پلیس فرانسه، فرد دستگیرشده نزدیک ۲۰ ساله تو این صحنه است و قشنگ با داستان توها می‌خونه. توها اولین بار سال ۲۰۰۵ توی یه فروم دیگه به اسم Hack-All بود، ولی اون فروم بعد چند ماه خودشم هک شد! بعد اسمش رو کرد Exploit.in و آورد کلی خلافکار سرشناس.

سال ۲۰۱۸ توها گفت که فروم Exploit رو می‌فروشه؛ کلیا شایعه شد خریدارش یه مامور دولتی روس یا اوکراینیه، اما هیچ وقت مدرک ندادن و خودش هم قاطعانه تکذیب کرد.

اتفاق باحال اینکه یکی از فروم‌های قدیمی‌تر به اسم DaMaGeLaB تا سال ۲۰۱۷ فعال بود تا اینکه مدیرش گرفتن. بعد نسخه نیمه پشتیبانی شده‌ای از همون DaMaGeLaB شد xss[.]is، که گفته شد توها ادمین‌اشه.

حالا سر و ته قضیه چگونگی دستگیری این فرد و ماجرای هویتش خیلی جالبه. پلیس اوکراین و فرانسه فقط سن و یه سری عکس داده بودن بیرون. ولی بررسی‌ها نشون میده که توها مدت‌ها با ایمیلی به اسم toschka2003@yandex.ru فعالیت می‌کرده. مثلاً این ایمیل رو برای ثبت دامنه‌های مختلف و عضو شدن توی چندتا فروم هکری مثل Exploit, Antichat و غیره استفاده کرده.

حالا اطلاعات دامنه‌هایی که با این ایمیل ثبت شده بودن اکثراً اسم یه نفر به اسم Anton Medvedovskiy رو نشون می‌دادن از کی‌یف، فقط یه استثناء بود که مربوط به Anton Avdeev توی مسکو بود.

حتی یک ادعایی هم در سال ۲۰۲۴ توسط لیدر گروه باج‌افزاری Lockbit مطرح شد که توها در اصل اسمش Anton Avdeevه. اما سند و مدرکش ضعیف بود و خیلیا گفتن شاید این اسم فقط برای گمراه کردن پلیس به کار رفته.

ماجرای بامزه‌تر: وقتی ایمیل توها رو سرچ کردن، به یه آگهی فروش BMW مدل X5 سال ۲۰۰۷ رسیدن به اسم Anton Avdeev و شماره تماس روسی! حتی توی سایت‌های دولتی روسیه مثلاً سوابق خلاف راهنمایی رانندگی و مالیاتی اسم این Anton Avdeev اومده بود. ولی مشکل اینجا بود که سنش با اون کسی که دستگیر شده نمی‌خورد!

یه بررسی دیگه نشون داد که اسم «توها» اسم مخفف آنتون به سبک اسلاوی‌هاست. و توی اطلاعات لو رفته از سرویس‌های عمومی اوکراین، یه نفر دقیقاً با اسم Anton Gannadievich Medvedovskiy توی کی‌یف زندگی می‌کنه و ۳۸ سالشه (متولد ۱۱ دسامبر ۱۹۸۷) و اطلاعات چهره‌اش هم به عکس تار پلیس می‌خوره.

احتمالاً این آنتون مدودوفسکی همان توهاست که پلیس اوکراین به جای آنتون افدیف گرفتار کرده. حتی تو پست‌های قدیمی فروم هم به تولد ۱۱ دسامبر توها اشاره شده.

یه نکته مهم: بعد دستگیری، فروم XSS دوباره روی آدرس جدید توی شبکه Tor (توضیح: Tor یه شبکه مخصوص برای اینترنت ناشناس و مخفی هست!) بالا اومد. اما همه مدیرها اخراج شدن، موجودی اعضا صفر شد و برای ورود باید دوباره پول می‌دادن! مدیر جدید گفت داره با مدیرهای قبلی صحبت می‌کنه تا امنیت و اعتماد رو درست کنه. اما اعضای قدیمی هنوز بهش اعتماد ندارن و فعلاً عقب نشستن.

نکته ترسناک ماجرا اینه که حالا پلیس‌ها به دیتاهای خصوصی سال‌ها گفتگو و پیام بین کاربرهای فروم بخصوص سرور Jabber (یه نوع پیام‌رسان رمزگذاری‌شده) دست پیدا کردن. اون‌طور که خودشون میگن، با استفاده از ابزارهای هوش مصنوعی دیگه لازم نیست دنبال سوزن تو انبار کاه بگردن؛ قشنگ با چند تا کلیک می‌تونن تمام ارتباط‌ها، ایمیل‌ها، اسم مستعارها، آدرس IP و حتی استایل نوشتاری کاربرا رو ربط بدن و شناسایی کنن!

در آخر اینکه دستگیری توها (احتمالاً همون مدودوفسکی) باعث شده نظم قدیمی فروم‌های روسی خرابکاری به هم بخوره و آینده‌ی XSS پر از ابهام باشه؛ مخصوصاً با وجود این همه داده‌ای که پلیس داره و دلواپسی اعضای قدیمی. به قول یکی از اعضای قدیمی توی فروم Exploit: “افسانه آدم قابل اعتماد تموم شد. همه‌چی رو گرفتن!”

منبع: +