欧洲刑警组织宣布逮捕了俄语网络犯罪论坛 XSS 的一名管理员,引发了社区的恐慌和身份猜测。尽管官方未公布嫌疑人姓名,但普遍认为被捕者是关键人物 Toha。调查追踪了 Toha 的数字足迹,排除了最初怀疑的俄罗斯人 Anton Avdeev,最终将目标锁定为 38 岁的乌克兰人 Anton Medvedovskiy,其年龄、地点和生日都与证据相符。此次逮捕和数据泄露已使网络犯罪社区陷入混乱,成员们担心其私人信息已被执法部门掌握。
逮捕行动与初步猜测
欧洲刑警组织宣布,在法国警方的领导下,一名 38 岁的男子因管理网络犯罪论坛 XSS 而在基辅被捕。该论坛拥有超过 50,000 名成员。
- 嫌疑人角色:据称,被捕者在论坛中担任受信任的第三方,负责仲裁犯罪分子之间的纠纷并保障交易安全。
- 社区反应:尽管官方未公布姓名,但 XSS 成员普遍认为被捕者是论坛的长期管理员 Toha。
- 论坛背景:乌克兰安全局(SBU)指出,XSS 的成员包括来自 REvil、LockBit、Conti 和 Qiliin 等多个勒索软件组织的罪犯。
追溯 Toha 的数字足迹
Toha 在网络犯罪领域有近 20 年的活动历史,通过追踪其早期的网络活动,可以发现一些关键线索。
- 早期论坛:Toha 于 2005 年成为 Hack-All 论坛的创始成员,该论坛在 2006 年更名为 exploit[.]in,吸引了大量知名网络罪犯。2018 年,他又成为 xss[.]is 论坛的管理员。
- 关键电子邮件:网络情报公司发现,Toha 在多个论坛上使用了同一个电子邮件地址:
[email protected]。 - 域名注册记录:该邮箱被用于注册十几个域名。除了少数例外,大部分域名都指向了乌克兰,并且注册人姓名为 Anton Medvedovskiy。
这一发现将调查的焦点从俄罗斯转向了乌克兰,并提供了第一个具体的身份线索。
相互矛盾的线索:Avdeev 还是 Medvedovskiy?
调查过程中出现了两条相互矛盾的线索,一度让 Toha 的真实身份变得扑朔迷离。
理论一:俄罗斯人 Anton Avdeev
- Lockbit 的指控:勒索软件组织 Lockbit 的头目曾声称 Toha 的真实身份是俄罗斯人 Anton Avdeev。
- 支持证据:这一说法源于一个 2010 年的宝马汽车销售广告,该广告使用了 Toha 的邮箱,但联系人姓名和电话指向了莫斯科的 Anton Viktorovich Avdeev。
- 疑点:Avdeev 的年龄为 41 岁,与被捕嫌疑人 38 岁的年龄不符。这表明,这条线索很可能是 Toha 为了迷惑调查人员而故意留下的虚假信息。
理论二:乌克兰人 Anton Medvedovskiy
- 姓名匹配:“Toha” 是 “Anton” 的常见斯拉夫昵称。
- 年龄和地点:在基辅有一位名叫 Anton Gannadievich Medvedovskiy 的人,其年龄为 38 岁,与被捕者信息完全一致。
- 决定性证据:2006 年 12 月 11 日,Exploit 论坛的成员曾祝 Toha 生日快乐。而被黑客攻击的乌克兰政府数据显示,Medvedovskiy 的生日正是 1987 年 12 月 11 日。
社区恐慌与后果
这次逮捕行动在网络犯罪社区引发了巨大的震动,信任体系已经崩溃。
- 论坛重启失败:XSS 在一个新的地址重新上线,但所有旧版主都被解雇,成员账户余额被清零,这引起了用户的普遍怀疑和抵制。
- 数据泄露恐慌:成员们最担心的是,执法部门现在已经掌握了论坛的完整数据库和多年的私人消息记录。
正如一位用户在 Exploit 论坛上警告的那样:“‘受信任的人’的神话被打破了……他们得到了一切。两年的 Jabber 服务器日志。完整的备份和论坛数据库……他们不是在草堆里找一根针。他们只是用人工智能筛了一遍草堆,得到了现成的档案。”
这次行动表明,执法机构能够利用现代分析工具全面分析缴获的数据,包括:
- 联系图谱:揭示用户之间的关系和活动。
- 数字指纹:关联不同平台的昵称、邮箱、IP 地址和密码。
- 文体分析:通过独特的写作风格、用词和语法错误来识别同一个人在不同地方的匿名账户。