Przejęli wielkie forum w dark webie. Cyberprzestępca ujęty w Ukrainie

Mężczyzna podejrzany o pełnienie roli administratora jednego z największych forów cyberprzestępczych - XSS - został aresztowany na terenie Ukrainy. Domena forum została przejęta przez służby, a kwitnący tam niegdyś czarny rynek został wstrzymany. Do ujęcia podejrzanego doszło w wyniku długo prowadzonego przez francuską policję i paryską prokuraturę śledztwa, we współpracy ze służbami ukraińskimi i Agencją Unii Europejskiej ds. Współpracy Organów Ścigania Europol.

Rosyjskojęzyczne forum operujące w dark webie działało od ponad 10 lat. Forum liczyło ponad 50 000 zarejestrowanych użytkowników i służyło m.in. do handlu skradzionymi danymi, narzędziami hakerskimi oraz nielegalnymi usługami. Forum wykorzystywano też do koordynacji nielegalnych działań, ich reklamy i rekrutacji do cyberprzestępczej siatki. Ujęty mężczyzna działał w dark webie od prawie dwóch dekad, a forum zarządzać miał od 2013 roku.

Raport IOCTA z 2025 r. podkreśla zagrożenie ze strony rynków skradzionych danych, ujawniając, jak takie miejsca pomagają cyberprzestępcom róść w siłę. Akcja ujęcia rzekomego administratora forum XSS wpisuje się w ustalenia dotyczące oceny zagrożeń z raportu. Forum to było kluczowym elementem złożonego ekosystemu cyberprzestępczego - jednym z najbardziej wpływowych rosyjskojęzycznych platform cyberprzestępczości na świecie. Do ujęcia zarządcy rosyjskojęzycznego forum doszło 22 lipca w Kijowie w Ukrainie. Podejrzany prawdopodobnie obsługiwał też specjalną usługę umożliwiającym cyberprzestępcom anonimową komunikację.

- Zatrzymany administrator forum, mający prawie 20 lat doświadczenia w działalności cyberprzestępczej, zarobił ponad 7 milionów euro na ułatwianiu nielegalnych działań - podaje Europol.

Śledztwo trwało od 2021 r. Rozpoczęte przez Francuzów działania weszły w fazę operacyjną w Ukrainie, a całą akcję wspierał Europol. Agencja odegrała kluczową rolę m.in. w zmapowaniu infrastruktury wykorzystywanej przez cyberprzestępców oraz w ustaleniu powiązań podejrzanego z innymi głównymi grupami stanowiącymi zagrożenie.

- Administrator forum był nie tylko operatorem technicznym, ale uważa się, że odegrał kluczową rolę w umożliwieniu działalności przestępczej. Działając jako zaufana strona trzecia, rozstrzygał spory między przestępcami i gwarantował bezpieczeństwo transakcji. Uważa się również, że zarządzał prywatnym serwisem wiadomości dostosowanym do potrzeb cyberprzestępczego podziemia - wyjaśnia Europol.

Nie wszystko jest tutaj jednak takie proste. Cyberprzestępcza siatka działa bardzo sprawnie.

Jak zaznacza zajmująca się cyberbezpieczeństwem firma Socradar, choć domena wyświetla powiadomienie o przejęciu i wstrzymano tam wszelkie działania, to jednak część infrastruktury wydaje się być nadal aktywna. Hackread.com i ExploitWareLabs potwierdzają nawet, że forum XSS jest ponownie dostępne za pośrednictwem domeny lustrzanej.

- Wersja forum .onion jest dostępna, chociaż dostęp wydaje się ograniczony. Domena zapasowa XSS i serwer Jabbera na serwisie wiadomości również pozostają online. Usługi te mogą nadal umożliwiać komunikację między użytkownikami, którzy nie opuścili platformy - raportuje Socradar.

Wcześniej Europol informował o podobnych działaniach także w Polsce. W ramach PowerOFF, wspólnej inicjatywa służb z kilkunastu krajów, w tym Australii, Japonii, Niemiec, Polski i innych państw z różnych części świata, funkcjonariusze Centralnego Biura Zwalczania Cyberprzestępczości wspierani przez Europol ujęli grupę hakerów działających na terenie kilku województw w Polsce. 

Mężczyźni zajmowali się wytwarzaniem i sprzedażą oprogramowania służącego do przeprowadzania ataków na serwery i strony internetowe m.in. szkół, instytucji rządowych i różnych przedsiębiorstw. W przypadku tej akcji Europol zapewnił analityczne i operacyjne wsparcie w trakcie całego śledztwa, w które zaangażowane były organy ścigania z czterech krajów (oprócz Polski były to Holandia, Niemcy i USA).