У значному ударі по глобальній екосистемі кіберзлочинності, українські органи влади заарештували підозрюваного адміністратора XSS.IS, однієї з найбільш горезвісних і складних кіберзлочинних платформ у світі, що призвело до повного захоплення форуму міжнародними правоохоронними органами.
Арешт відбувся 22 липня 2025 року за допомогою Європолу та французьких слідчих з кіберзлочинності, що означає завершення чотирирічного розслідування, яке почалося в липні 2021 року. Операція була спрямована проти одного з найстаріших і найвпливовіших російськомовних кіберзлочинних форумів у темній мережі.
Злочинна імперія вартістю мільйони
XSS.IS служив процвітаючим ринком для кіберзлочинців по всьому світу, приймаючи понад 50 000 зареєстрованих користувачів, які торгували шкідливими програмами, викраденими обліковими даними, захопленим системним доступом та наборами програм-вимагачів. Платформа заробляла мільйони доларів через рекламу та комісійні збори, а також керувала зашифрованим сервером обміну повідомленнями Jabber, який дозволяв кіберзлочинцям спілкуватися анонімно.
Згідно з французькими прокурорами, судовий нагляд за сервером Jabber форуму виявив обширну злочинну діяльність, включаючи атаки програм-вимагачів, які принесли принаймні 7 мільйонів євро (8,2 мільйона доларів) незаконного прибутку. Перехоплена комунікація розкрила масштаб і складність операцій, координованих через платформу.
Більше ніж просто ринок
Європол виявив, що заарештований підозрюваний був не просто технічним оператором, а відігравав активну роль у сприянні злочинній діяльності. Адміністратор допомагав кіберзлочинцям вирішувати суперечки, забезпечував безперебійний хід незаконних угод і підозрювався в безпосередній участі в кібератаках, організованому вимаганні та ширших злочинних змовах. Розуміння того, що спонукає хакерів скоювати ці злочини, допомагає пояснити, чому такі форуми стають центральними вузлами незаконної діяльності.
Від DaMaGeLaB до XSS.IS: Злочинна еволюція
Історія форуму сягає 2004 року, коли він був первісно запущений як DaMaGeLaB, поважна російськомовна хакерська спільнота. Платформа зіткнулася з тимчасовим закриттям у грудні 2017 року після арешту одного з її адміністраторів, білоруського громадянина Сергія Ярця (відомого як “Ar3s”).
Наприкінці 2018 року видний адміністратор форуму придбав резервну копію сайту і перезапустив його під новою назвою XSS — посилання на вразливість веб-безпеки cross-site scripting. Цей ребрендинг служив подвійній меті: відокремлення форуму від його попередніх асоціацій з правоохоронними органами та надання йому більш технічного, сучасного іміджу.
Трансформація виявилася успішною, з XSS.IS, що став одним з найбільш видатних і ексклюзивних кіберзлочинних форумів у темній мережі. Членство надавалося лише після ретельної перевірки, і в деяких випадках користувачі були зобов’язані платити збори за створення облікових записів, запобігаючи спаму та підтримуючи елітний статус форуму.
Міжнародна співпраця правоохоронних органів
Повідомлення про конфіскацію на XSS.IS тепер відображає повідомлення про те, що домен був захоплений “la Brigade de Lutte Contre la Cybercriminalité за допомогою SBU Cyber Department”. Brigade de Lutte Contre la Cybercriminalité (BL2C) є спеціалізованою філією французької судової поліції, зосередженою на боротьбі з кіберзлочинністю, тоді як SBU Cyber Department відноситься до Департаменту кібербезпеки Служби безпеки України.
Ця міжнародна співпраця демонструє зростаючу ефективність транскордонних зусиль правоохоронних органів проти кіберзлочинності. Операція залучила кілька європейських агентств, які працювали разом, щоб демонтувати одну з найнебезпечніших злочинних платформ інтернету. Цей підхід відлунює попередні успішні операції, такі як коли поліція Нідерландів розмістила попередження безпосередньо на хакерських форумах для порушення злочинної діяльності.
Український контекст: Кіберзлочинність у воєнний час
Арешт в Україні має особливе значення з огляду на триваючу війну країни з Росією. Хоча органи влади довго підозрювали, що XSS.IS керувався або підтримувався російськими розвідувальними агентствами — включаючи Службу зовнішньої розвідки (СВР), Федеральну службу безпеки (ФСБ) та Головне управління розвідки (ГРУ) — адміністратор був знайдений у розташуванні в Україні.
Цей розвиток підкреслює складну природу кіберзлочинних операцій, які часто перетинають національні кордони і політичні конфлікти. Залишається неясним, чи є підозрюваний українським або російським громадянином, що демонструє, як кіберзлочинні мережі можуть діяти через геopolitичні розбіжності.
Успішна операція також демонструє зобов’язання України до міжнародної співпраці з кібербезпеки незважаючи на триваючий конфлікт, з українськими органами влади, що працюють разом з французькими та європейськими партнерами для боротьби з глобальною кіберзлочинністю.
Поточний статус і триваюче розслідування
Станом на конфіскацію, відвідувачі основного домену XSS.IS тепер бачать офіційне повідомлення про конфіскацію правоохоронними органами. Однак домен темної мережі форуму (.onion) та дзеркало clearnet (XSS.AS) зараз відображають помилки “504 Gateway Timeout”, що свідчить про те, що ці компоненти інфраструктури можуть все ще бути під розслідуванням або в процесі демонтажу.
Примітно, що Telegram-канал, пов’язаний з адміністратором XSS.IS, залишається активним і не показує ознак конфіскації, з акаунтом, позначеним як “нещодавно побачений”. Залишається неясним, чи отримали органи влади доступ до цих каналів зв’язку або контроль над асоційованими акаунтами соціальних мереж форуму.
Згідно з Європолом, органи влади захопили значні обсяги користувацьких даних, які зараз аналізуються для ідентифікації та відстеження кіберзлочинців по всьому світу. Ця інформація, ймовірно, підтримає триваючі операції проти мереж кіберзлочинності як в Європі, так і глобально.
Частина ширшої тенденції правозастосування
Ліквідація XSS.IS представляє останню в серії успішних операцій проти основних кіберзлочинних платформ. Останні дії правоохоронних органів були спрямовані проти численних ринків темної мережі та злочинних форумів, включаючи BreachForums та інші основні платформи:
- BreachForums – Кілька підозрюваних операторів заарештовані французькими органами влади в червні
- Cracked and Nulled – Операція ліквідації, спрямована проти форумів піратства програмного забезпечення
- PopeyeTools – Злочинний ринок закритий
- Incognito Market – Конфіскація ринку темної мережі
- Nemesis Market – Підпільна торгова платформа демонтована
- Bohemia and Kingdom Market – Додаткові закриття ринків темної мережі
- Pygmalion – Німецька поліція захопила цей магазин темної мережі, отримавши доступ до даних клієнтів з понад 7000 замовлень
Ці координовані зусилля демонструють зростаючу складність правоохоронних органів у боротьбі з онлайн-злочинними мережами та їх готовність проводити довгострокові розслідування для досягнення значущих результатів.
Вплив на екосистему кіберзлочинності
Хоча кіберзлочинні форуми часто з’являються і зникають, конфіскація XSS.IS представляє особливо значний удар по глобальній спільноті кіберзлочинності. Репутація форуму, широка база користувачів і роль у сприянні високовартісним злочинним транзакціям зробили його наріжним каменем російськомовної екосистеми кіберзлочинності.
Втрата такої авторитетної платформи, ймовірно, змусить кіберзлочинців шукати альтернативні місця для своїх операцій, потенційно порушуючи усталені стосунки та канали зв’язку. Однак спільнота кібербезпеки очікує, що нові платформи зрештою з’являться, щоб заповнити порожнечу, оскільки злочинні мережі адаптуються до тиску правоохоронних органів.
Що це означає для кібербезпеки
Для організацій та фахівців з безпеки конфіскація XSS.IS надає кілька важливих висновків:
- Довгострокові розслідування працюють – Чотирирічне розслідування демонструє, що терпіння та міжнародна співпраця можуть дати значні результати
- Моніторинг комунікацій є критично важливим – Судовий нагляд за сервером Jabber надав ключові докази злочинної діяльності
- Користувацькі дані надають постійну цінність – Захоплена інформація підтримуватиме майбутні розслідування та допомагатиме ідентифікувати додаткові загрози
- Міжнародна співпраця є необхідною – Успіх вимагав координації між українськими, французькими та європейськими органами влади
Організації повинні залишатися пильними, оскільки переміщені кіберзлочинці можуть спробувати прискорити операції або шукати нові платформи, потенційно призводячи до збільшення активності атак у короткостроковій перспективі.
Шлях вперед
Французькі органи влади не розкрили особу заарештованого підозрюваного і не уточнили, чи будуть слідувати процедури екстрадиції. Українські органи влади також не прокоментували публічно арешт крім їх участі в операції.
Розслідування продовжується, оскільки органи влади аналізують значну кількість захоплених даних, що, ймовірно, призведе до додаткових арештів і допоможе картографувати ширшу мережу кіберзлочинності, яка використовувала XSS.IS. Ця інформація може виявитися неоціненною для розуміння та порушення інших злочинних операцій по всьому світу.
Як зазначив Європол у своїй заяві, повідомлення кіберзлочинцям є зрозумілим: незалежно від того, наскільки складні або добре налагоджені злочинні платформи можуть бути, правоохоронні органи зрештою наздоженуть. Ліквідація XSS.IS служить нагадуванням, що навіть найбільш горезвісні кіберзлочинні форуми не є поза межами досяжності рішучих міжнародних зусиль правоохоронних органів.
