Крупнейший русскоязычный хакерский форум — XSS, объединявший более 50 тыс. человек, — управлялся гражданином Украины и долгие годы мог находиться под контролем СБУ, узнали «Известия» от людей, причастных к его деятельности. Западные СМИ и эксперты называли его одним из центров «русской киберпреступности», но в реальности он оказался бизнес-проектом украинца Антона Медведовского. Он жил в Киеве, 20 лет управлял форумами в даркнете, но оставался на свободе. Собеседники «Известий» связывают это с тем, что деятельность XSS была выгодна СБУ: там она вербовала хакеров для своих операций, а украинцы и преступники из западных стран могли действовать под видом «русской киберсети». В июле французские спецслужбы совместно с Европолом добились ареста Медведовского. Подробности событий и их последствий — в расследовании «Известий».

Киевский гарант

В конце июля 2025 года крупнейший русскоязычный киберфорум XSS (50 тыс. зарегистрированных участников) оказался в эпицентре международной операции. В Киеве Служба безопасности Украины (СБУ) при поддержке Европола и французской киберполиции (BL2C) задержала 38‑летнего мужчину, которого подозревают в администрировании форума. Уже на следующий день на его главной странице появилась заглушка о конфискации домена правоохранителями, а среди постоянных членов ресурса начались паника и споры о том, кто именно попал в руки следствия.

Фото: xss.is Текущее состояние XSS.is

Официально имя задержанного до сих пор не названо. По версии Европола, речь идет о человеке, который почти 20 лет управлял инфраструктурой разных даркнет-форумов, выступал арбитром и гарантом сделок между хакерами и мог заработать на комиссиях более €7 млн. Источники «Известий», причастные к деятельности XSS, подтвердили, что речь идет об Антоне Медведовском, известном среди хакеров под ником Toha — гражданине Украины, жителе Киева. Ранее эту версию публиковал специализированный портал Krebs on Security.

— С момента операции в Киеве Toha ни разу не вышел с нами на связь, — рассказал «Известиям» один из модераторов XSS с ником Anomalia, хорошо посвященный в происходившие внутри ресурса процессы.

После непродолжительной паузы XSS объявился на новых адресах. Но пользователи фиксировали обнуление балансов и заморозку депозитов, прежние модераторы получили баны. На этом фоне они публично заявили, что форум, вероятно, контролируется силовыми структурами и функционирует как honeypot — ловушка для сбора доказательств и сетевых связей его пользователей.

Заявление модераторов XSS после взлома

— Я полагаю, что форум не просто перешел под контроль спецслужб сейчас. СБУ могла оказывать ему протекцию все последние годы, — сказал «Известиям» Anomalia. — Медведовский имел просчеты в обеспечении собственной операционной безопасности. Учитывая, что он администрирует теневые форумы на протяжении 20 лет, его личность явно могли установить намного раньше и предложить сотрудничество.

Что такое XSS

XSS — это русскоязычная онлайн-площадка, возникшая в конце 2018 года. Ее предшественником был форум DaMaGeLaB (запущен в 2004‑м, затух в 2017-м после ареста в Белоруссии его администратора Сергея Ярца с ником Ar3s).

Форум, помимо того что там общались на темы IT, выполнял роль площадки для сделок между хакерами. Например, разработчиками вредоносного ПО и адвертами, т.е. теми, кто брал их программы-вымогатели «в аренду». С помощью «арендованных» шифровальщиков хакеры взламывали компьютерные системы компаний и за возврат контроля над ними требовали выкуп. Получив его, они делились добычей с разработчиком программы. Такая бизнес-модель называется RaaS (от Ransomware-as-a-Service — «программа-вымогатель как услуга»). В качестве поставщиков вредоносного ПО на XSS были активны представители крупнейших вымогательских группировок вроде REvil, LockBit, Conti, DarkSide, Qilin.

Ключевые функции площадки — эскроу (гарант), когда деньги участников сделки временно удерживает третья сторона и переводит продавцу только после подтверждения результата, и арбитраж — разбор спорных ситуаций с публикацией доказательств.

Сам Антон Медведовский — фигура известная в теневых форумах. С 2005 года он был админом крупного даркнет-форума Exploit.in, который также предоставлял набор услуг для киберпреступников. А в 2016-м стал владельцем джаббер-сервера thesecure.biz (самодельный мессенджер, популярный у хакеров). В сентябре 2018 года зарегистрировал домен XSS.is.

По словам Anomalia, с большой долей вероятности Медведовский управлял теневым бизнесом форума единолично.

— С момента появления форума в сентябре 2018 года под началом Тохи все главные роли замкнулись на нем, — рассказывает Anomalia. — Модераторы на форуме были, но они скорее были авторами статей на определенные темы, а не управляли ресурсом. Безусловно, мы видели, что форум оказывает платные нелегальные услуги, что какие-то деньги текут на депозиты, но мы абсолютно никак не касались финансовой части проекта.

Формально в мае 2021 года XSS объявил запрет на темы, связанные с ransomware (предоставлением программы-вымогателя в аренду).

«Мы — технический форум, мы учимся, исследуем, делимся знаниями, пишем интересные статьи. Цель ransomware — это только лишь заработок. Цели не совпадают», — писал тогда Toha.

В реальности предложение этих услуг и заключение сделок по ним с форума не исчезли. Это и привлекло внимание французских киберполицейских, которые в том же году после атаки на одну из местных компаний (следы сделки вели на XSS) и начали расследование.

— Запрет программ-вымогателей в 2021 году при Тохе был по большей части формальным, — подтверждает Anomalia. — То есть рекламу шифровальщиков запретили, но представители рынка вымогателей спокойно жили под своими никнеймами, некоторые их арбитражи рассматривались. А ведь если мы говорим об арбитраже, то в контексте даркнета это доказательства неправоты оппонента с публикацией полной ситуации в виде логов и скриншотов о совершенных преступлениях. Например, представитель локера (программы-шифровальщика. — «Известия») Everest спокойно присутствовал на форуме и по сути использовал его как собственный блог, заливая туда данные компаний, которые не заплатили выкуп.

Справка «Известий»

Everest — вымогательская группировка, специализирующаяся на краже и сливе данных. По материалам из СМИ известно, что она причастна ко взлому Coca‑Cola на Ближнем Востоке, сети кондитерских Crumbl и итальянского агентства SIAE. Также Everest приписывает себе атаки на Mediclinic, департамент культуры и туризма Абу‑Даби, Jordan Kuwait Bank, AT&T и Radisson. Ранее ее связывали с атаками на NASA и правительство Бразилии.

Как пример, какие конфликтные ситуации попадали на арбитраж на форуме, Anomalia привел случай спора между человеком под ником Simpleteaseller и одним из криптообменников. Обменник должен был отмыть полученные нелегальным путем 666 тыс. USDT (стейблкоин, или криптовалюта с фиксированной ценой, привязанной к курсу доллара), однако не справился с задачей и вернул клиенту еще более «грязные» коины. В итоге эмитент криптовалюты Tether заблокировал кошельки заказчика. Арбитраж проводил Toha, он постановил, что обменник должен вернуть процент, который взял за услуги, но не обязан покрывать клиенту полный ущерб в размере 666 тыс. USDT.

Расследование французской киберполиции в отношении XSS началось 9 ноября 2021 года. Правоохранителям удалось взломать сервер thesecure.biz. Полученные данные помогли выявить факты вымогательства и других киберпреступлений, приносивших злоумышленникам многомиллионные доходы.

Вербовка хакеров

В 2023 году бывший глава департамента кибербезопасности СБУ генерал Илья Витюк в интервью американскому Национальному общественному радио (NPR) признавал: ведомство активно вербует киберпреступников с Украины, из России и других стран для проведения антироссийских акций. Причем речь шла именно о профессиональных «вымогателях», в том числе ранее осужденных киберпреступниках. «Это похоже на нашу кибернетическую территориальную оборону», — говорил Витюк.

Именно XSS мог быть одной из площадок подобной вербовки, не исключают источники «Известий» в хакерской среде.

Правоохранительные органы Украины закрывали глаза на существование управляемого из Киева форума-маркетплейса хакерских услуг в обмен на откаты, оперативную информацию и привлечение хакеров к операциям под крылом СБУ, уверяет один из собеседников редакции.

— На подобных форумах есть куча молодых пацанов, которые интересуются технологиями, развивают свои навыки, а коррумпированные украинские силовики делают на этом свой бизнес, — поясняет Anomalia. — А когда им это выгодно или их прижмут, они сдают этих пацанов своим иностранным партнерам — американцам или тем же французам.

Например, в 2023 году в Одессе был задержан модератор XSS под никнеймом Pernat1y по подозрению в хакерстве.

По словам собеседника «Известий», именно симбиоз руководителей некоторых теневых форумов и украинских спецслужб привел к формированию организованных преступных структур, которые западные журналисты любят называть «русскими киберпреступниками», хотя на самом деле это киберпреступники украинские.

К слову, коррумпированность киберподразделений СБУ нашла подтверждение и в реальности: 3 сентября 2025 года тот самый Илья Витюк попал под следствие и лишь на днях вышел под залог в 9 млн гривен ($217,5 тыс.). В Национальном антикоррупционном бюро Украины сообщили, что в 2023 году генерал купил квартиру за $522 тыс., оформив ее на одного из членов семьи и к тому же существенно занизив ее стоимость в договоре.

Anomalia не знает, привел ли арест Медведовского к задержанию других участников форума. Но считает, что на XSS история не закончится и следующими под удар могут попасть форумы Exploit и RAMP. Единственный способ этого избежать — полностью отказаться от роли посредников между хакерами и арбитража, полагает наш собеседник. Кстати, после ареста Медведовского часть модераторов его платформы развернула альтернативную площадку DamageLib и объявила полный отказ от рекламы и размещения нелегальных услуг.

А на события в Киеве обратил внимание даже российский МИД. В августе на брифинге заместитель директора департамента информации и печати Алексей Фадеев, комментируя операцию СБУ и французской полиции, назвал ее «показной акцией», призванной продемонстрировать «готовность к борьбе с киберпреступностью» на Украине, притом что на самом деле украинские власти покровительствуют онлайн‑мошенникам, а западные государства годами поощряли превращение Украины в рассадник киберпреступности.

Совсем не «русские хакеры»

Для западной прессы «русский хакер» — не обобщенный термин, объединяющий всех русскоязычных, а именно гражданин России. Притом что в реальности это далеко не всегда так.

Примечателен пример с хакерской группировкой LockBit, разработавшей одноименный вирус-шифровальщик. Она была причастна почти к 1,4 тыс. атак на компании по всему миру и вымогательстве более $100 млн. Программа LockBit была обнаружена на русскоязычных форумах (в том числе XSS), что заставило западных экспертов по кибербезопасности предположить, что группировка базируется в России. В 2024 году Американское казначейство в своем пресс-релизе называло LockBit исключительно российской группировкой под управлением россиянина Дмитрия Хорошева.

Но в 2024 году в рамках международной операции Cronos, ликвидировавшей ресурсы группировки, были задержаны двое участников LockBit на Украине и в Польше. В августе 2025 года в Киеве французская полиция допросила еще одного предполагаемого участника группы.

— Некорректно называть какую-либо группировку российской, особенно LockBit. Руководитель у нее может и был русским, но кодер — с Украины, а хакеры — выходцы из СНГ. А зачастую они и вовсе англоязычные — как это было в случае с программой-шифровальщиком ALPHV, — объясняет Anomalia.

Или, например, американские власти на протяжении нескольких лет увязывали потоки нелегальных средств через криптобиржу Garantex с доходами якобы российской программы-вымогателя NetWalker. Однако реальные сроки за ее использование против медицинских организаций по всему миру во время эпидемии COVID-19 получили румын и канадец.

В октябре 2023 года медиа связали с Россией вирус Ragnar Locker. Однако расследование Европола привело правоохранителей на Украину, и первыми в рамках расследования задерживали именно украинцев. Ragnar Locker атаковала крупные промышленные группы в Европе и Америке, требуя двойной выкуп — один за дешифровку данных жертвы, второй за неразглашение украденной информации.

Аналогично с преступной группировкой Maze: публичные привязки к России соседствовали с уголовными делами на Украине и фигурой задержанного в Женеве лидера группы украинца Вячеслава Пенчукова, известного как Tank.

Американские правоохранители искали Пенчукова с 2010 года, вменяя ему участие в деятельности разных преступных группировок, и просили украинских коллег о его задержании еще с тех времен. Он был известным в Донецке диджеем с псевдонимом Slava Rich и ездил по местным клубам с концертами на дорогом BMW, однако оставался «неуловимым» для СБУ.

Или, например, издание Wired напрямую называло хакерскую группировку Clop российской, но в документах украинских судов прямо указывалось, что «группа неустановленных лиц», использовавшая шифровальщик Clop, действовала на территории Украины.

Даже резонансный взлом сети MGM Resorts сначала поспешно записали на счет «российских хакеров», хотя дальше след привел к британскому сообществу The Com, и аресты прошли в Великобритании.

Украина — родина дампов

При этом стоит обратить внимание: истоки криминального хакинга на постсоветском пространстве тянутся тоже на Украину — к CarderPlanet.

Эту площадку в западной прессе годами называли «убежищем русских хакеров», хотя, как рассказывает Anomalia, «практически все основатели были украинцами из Одессы». По его словам, по сути с этого форума зародился рынок дампов, т.е. торговли ворованными данными.

— Еще до всей большой политики это был жесткий, почти ремесленный рынок, где была жесткая конкуренция между русскими и украинскими дамп‑шопами. Поставщиков (хакеров) переманивали, друг друга ддосили и сдавали силовикам. 2003–2004-й — последние годы, когда публично озвучивались фамилии и никнеймы одесситов (Script, Assassin) и их причастность к высокоприбыльному рынку дампов. Годами позже — на виду были только русские — Селезнев (ncuX), Строганов (Flint), Бергман (Tumbler). Но украинцы никуда не исчезли. Они просто предпочли работать тихо, особенно после арестов, — рассказывает Anomalia.

Маркером непрерывности деятельности украинцев на рынке кардинга модератор считает историю Дмитрия Голубова, хакера, ускользнувшего от преследования со стороны США и впоследствии ставшего депутатом украинского парламента. Anomalia полагает, что задекларированные в 2017 году доходы в качестве народного избранника в размере 13 тыс. биткоинов — деньги криминального происхождения. По словам собеседника «Известий», именно Голубов стоял у истоков криминального хакинга на постсоветском пространстве и именно он оказался новатором, создав публичный и открытый форум по IT-тематике, где сторонний контент служил лишь прикрытием для незаконной деятельности.

— Все его первые партнеры были тоже украинцами: Степаненко (Boa) родился в Чернигове, а затем жил в Симферополе; Владислав Хорохорин (BadB) — уроженец Донецка, который и сейчас определяет себя как украинца; Артур Ляшенко (Bigbuyer), тоже украинец, кого одесситы специально послали в Москву для налаживания связей с московскими кардерами, — рассказывает Anomalia.

Парадокс имиджа CarderPlanet был встроен прямо в маркетинг, указывает модератор: украинский хактивист Хорохорин на ранних этапах карьеры никогда не называл себя украинским или еврейским хакером, он утверждал, что он русский, и для рекламы своего дамп‑шопа использовал образ русских в ушанках.

— Всё это серьезные люди, все они на ранних этапах вербовались украинскими спецслужбами, всем им сейчас уже будет скоро пятый десяток, и у них есть протекция на самом высоком уровне на Украине. Через того же уроженца CarderPlanet Давида Арахамию, известного по сайту TemplateMonster, куда половина участников CarderPlanet вбивала ворованные карточки, — рассказал Anomalia.

О роли украинцев в становлении международного рынка кардинга упоминал в интервью подкастеру Лексу Фридману один из основателей форума для киберпреступников ShadowCrew Бретт Джонсон. По его словам, дела у ShadowCrew пошли в гору, когда с ним списался в Сети Дмитрий Голубов. У украинских кардеров возникали проблемы с обналичиванием американских карт, зато у них были их данные. Американцам же, наоборот, не составляло проблем местные карты обналичивать, но возникали проблемы с добычей краденных данных.

По оценке Anomalia, «многие из старых хакерских групп, что работали на дамп‑шопы, нашли себя также и в вымогательстве. И многие из них в прессе также ошибочно назывались «русскими киберпреступниками».

Таким образом, ранний рынок нелегальных услуг вырос вокруг украинского CarderPlanet и его наследников, логистику и поставки обеспечивали акторы из разных стран, а публичная оболочка часто намеренно играла на русском образе — то для запугивания, то для маркетинга. С годами язык русскоязычных форумов стал удобным ярлыком, но не индикатором юрисдикции. История о «русских хакерах» привлекает внимание и укладывается в геополитический контекст, однако с фактологической стороны она ломается о конкретные кейсы, судебные документы и биографии конкретных людей.