Предлагаю пробежку по фактам последних дней, в контексте проведенной операции Служба безпеки України по ликвидации абузоустойчивого хостинга. О чем сейчас шумит хакерская сцена exСНГ? .

В сотрудничестве с американскими спецслужбами (упоминались ФБР и секретная служба США), 16 июля СБУ проводит в Одессе спецоперацию по ликвидации исвестного абузоустойчивого хостинга .

Технически, ресурсы этой хостинговой площадки предоставлялись в аренду по “индивидуальным тарифам” представителям киберкриминала, и использовались в качестве обеспечивающей инфраструктуры для проведения серьезных кибератак по всему миру. В том или ином виде упомянутый хостинг существовал, как минимум, с 2007 года. С ним были связаны многие мутные истории, о которых я не рискну говорить вслух, но если в общих чертах, то этот высокодоходный “бизнес” имел могущественных покровителей в Украине.

Однако, интересной в этой истории является прямая связь между операцией СБУ и начавшимися проблемами на известной хакерской площадке Exploit, являющейся одним из старейших и известнейших на просторах сети хакерским ресурсом, с качественным контентом и закрытой (приватной) регистрацией.

События развивались так. Уже 16 июля, день в день так сказать, пользователи открыли на форуме тред с жалобами на падение Jabber сервиса exploit.im. На фоне отсутствия ответов со стороны администрации форума, пользователи принялись обсуждать совпадение с проведенной СБУ операцией. Владельцем изъятых в Одессе серверов является Михаил Рытиков (с никнеймом Whost), разыскиваемый США за киберпреступления. Внезапно, в обсуждение на форуме exploit врывается некто, утверждающий, что в руках СБУ теперь находится огромный массив информации клиентов Рытикова, в том числе – данные с exploit.im и известной кардерской площадки – WWH.

На следующий день (17 июля) администрация Exploit размещает сообщение о том, что проблема была из за DDoS-атаки, затем в тред заходит кто-то с никнеймом Рытикова (Whost) и призывает не верить СМИ, мол – все в порядке и никого не арестовывали.

Затем, 19 июля, админ форума выкатывает длинный пост, что всё на самом деле ок, сервера форума и джаббера exploit никогда не хостились у Рытикова, а атаки не было – было отключение анти-DDoS сервиса, который не стали продлять. При этом админ банит пользователя с ником Whost.

Тем не менее, 17 июля в Телеграм появляется канал с названием “Слив exploit” , набравший за несколько дней аудиторию в 3+ тысячи подписчиков. На канале публикуются canvas фингерпринты, user-agents и айпи адреса некоторых пользователей Экспы.

Также декларируется информация о том, что exploit.in “ведут” украинские спецслужбы и следят за деятельностью участников форума. На канале предлагалось заплатить выкуп за то, чтобы информация о пользователях не была опубликована, но потом от этой идеи автор канала отказался. Однако опубликовал разлетевшуюся по сети, довольно сумбурную статью.

В статье он изобличает текущего владельца форума Exploit как друга Рытикова, а другого администратора (с ником Support), как штатного сотрудника СБУ. Автор объясняет, что силовики с помощью давления заставили прошлого админа форума отдать ресурс в руки подконтрольных Службе безопасности Украины людей. Дополнительно, автор прикладывает фотографии документов, в которых говорится о рассмотренных жалобах Whost (Рытикова) в СБУ и Генпрокуратуру Украины в 2015 году.

Тем не менее, напрямую из этих документов нельзя сделать вывод о каком-либо сотрудничестве Рытикова с силовыми структурами.

В этой истории пока больше вопросов, чем ответов. Действительно ли был контроль над exploit со стороны наших силовиков, были сервера exploit.im среди изъятых в Одессе или нет, и не является ли поднятая вокруг exploit шумиха – информационной игрой российских структур, чтобы хакерьё перебежало на другую, подконтрольную им площадку? У меня есть и такие факты, которые говорят в пользу последней версии. Продолжаю следить за событиями и думаю, что это не последняя моя публикация на эту тему.

Егор Папышев