Секретная служба США, совместно с Государственным департаментом США, предлагает серьезное вознаграждение до 10 миллионов долларов за информацию, которая приведет к аресту и/или осуждению Тимура Камилевича Шахмаметова.

26 сентября 2024 года Офис прокурора США по Восточному округу Виргинии публично объявил о раскрытии обвинительного акта против Шахмаметова, гражданина России, который был обвинен в серьезных преступлениях, связанных с созданием и управлением «Joker’s Stash». Этот печально известный сайт связанный незаконной продаже данных украденных платежных карт. Согласно данным Секретной службы США, Joker’s Stash работал в огромных масштабах, ежегодно предоставляя информацию приблизительно о 40 миллионах украденных платежных картах. За время своей деятельности эта платформа стала одной из крупнейших в истории для торговли данными платежных карт. Аналитики оценивают, что прибыль, полученная от этой преступной операции, могла составить от $280 миллионов до более чем $1 миллиарда.

Полезные OSINT инструменты в телеграме (всегда рабочие ссылки).

Шахмаметов столкнулся с несколькими обвинениями, включая один пункт за сговор с целью совершения и пособничества банковскому мошенничеству, один пункт за сговор с целью совершения мошенничества с устройствами доступа и один пункт за сговор с целью отмывания денег. Тяжесть этих обвинений подчеркивает значительный ущерб, нанесенный его действиями финансовой безопасности как отдельных лиц, так и организаций.

Background

Joker’s Stash, запущенный в 2014 году, является одним из старейших сайтов в интернете, торгующих скомпрометированными данными кредитных карт. Он приобрел известность благодаря участию в различных нелегальных киберсхемах и значительным утечкам информации о кредитных картах. За последний год Joker’s Stash связывали с продажей данных похищенных кредитных карт после транзакций в точках продаж таких компаний, как Dickey’s Barbecue Pit, Champagne French Bakery and Cafe и Wawa Inc.

Что выделяет Joker’s Stash среди конкурентов, так это "свежесть" предлагаемых карт, что означает высокую валидность данных. Они также утверждают, что получают информацию о картах через "эксклюзивные базы данных, взломанные самостоятельно". Кроме того, их уникальность проявляется в размещении магазина на блокчейн-DNS, а в апреле 2020 года они расширились, добавив домены в сети Tor.

Данные о скомпрометированных платежных картах, доступные в подпольных магазинах, можно разделить на две категории:

1. Dumps:
Это данные с магнитной полосы физической карты (трек-детали), украденные с помощью скимминговых устройств или вредоносного ПО, установленного на точках продаж (POS).

2. Cards:
Это информация, собранная из перехваченного сетевого трафика, которая может быть использована для онлайн-покупок.

Пока причины закрытия не были заявлены явно, существует предположение, что администраторы решили закрыть сайт из-за опасений относительно возможных вмешательств со стороны федеральных властей. Совместная полицейская операция, проведённая ФБР и Интерполом, привела к изъятию нескольких серверов, принадлежащих Joker’s Stash, что временно нарушило работу сайта. Кроме того, агентства конфисковали четыре домена Joker’s Stash, что значительно повлияло на его способность функционировать.

• jstash.bazar

• jstash.lib

• jstash.emc

• jstash.coin

Активная с 2014 года, кардерская платформа Joker's Stash была причастна к многочисленным утечкам данных, продавая и обнародуя финансовую информацию миллионов пользователей в даркнете. Операторы платформы незаконно заработали сотни миллионов долларов на использовании украденных данных.

Было зафиксировано множество инцидентов, связанных с продажей киберпреступниками украденных данных кредитных карт на платформе Joker's Stash. Компания Gemini Advisory, специализирующаяся на киберугрозах, сообщила, что хакеры хранили данные платежных карт клиентов сети Wawa на этой платформе. Wawa подтвердила, что хакеры пытались продать информацию о картах клиентов, пострадавших в результате утечки данных от 10 декабря 2019 года. Эта утечка затронула данные 30 миллионов американцев и более 1 миллиона человек из более чем 100 других стран.

Тимур Шахмаметов обвиняется в управлении этой киберпреступной площадкой. По утверждениям властей США, эта платформа принесла сотни миллионов долларов прибыли за счёт продажи краденой платёжной информации. В настоящий момент Шахмаметов и его сообщники находятся на свободе, а Госдепартамент США предлагает вознаграждение в 10 миллионов долларов за информацию, которая приведёт к их аресту или осуждению.

По данным правоохранительных органов США, платформа связана с хищением финансовых данных десятков миллионов американцев. Более того, сообщается, что миллионы долларов, полученные с помощью вымогательских программ и продаж наркотиков в даркнете, прошли через криптовалютные аккаунты, связанные с ещё одним участником — Ивановым.

На протяжении многих лет правительство США пыталось убедить Россию принять меры против киберпреступников, действующих с её территории, но зачастую безуспешно.

Joker’s Stash долгое время был доминирующим игроком в русскоязычном криминальном подполье. Форум активно рекламировал данные, похищенные в результате крупных утечек американских корпораций. Министерство юстиции США утверждает, что Тимур Шахмаметов использовал различные криминальные онлайн-форумы для продвижения Joker’s Stash и его обширной коллекции украденной информации.

После того как правоохранительные органы США и Европы конфисковали несколько серверов, связанных с Joker’s Stash, форум объявил о своём закрытии в 2021 году. Однако, несмотря на это, охота американских властей на двух россиян продолжается.

Известная информация

Полное имя: Тимур Камильевич Шахмаметов

Псевдонимы: “JokerStash”, “Vega”, “vip”, “v1pee”, “ViperSV”

Национальность: Россия

Рост: 5’9”, вес: 180 фунтов, цвет волос: коричневый.

Вот один из сайтов, которым управляет Шахмаметов.

мы начали сбор информации с открытых источников.

Наши первые действия предполагали отказ от использования изображений Шахмаметова, опубликованных Службой тайной охраны США. В поисках более актуальных и современных фотографий мы наткнулись на завораживающий снимок, сделанный во время празднования годовщины в Новосибирске. Этот оживленный город, известный как третий по величине в России, расположен к северу от Казахстана, богат культурой и историей, а также является важным центром в Сибири.

Поворот в расследовании

Мы начали масштабный поиск Шахмаметова, применяя продвинутые методы OSINT. Наши усилия позволили обнаружить известный псевдоним Шахмаметова — “JokerStash”, который всплыл в базе данных “CardMafia”, компрометированной в 2021 году. Carding Mafia — это подпольный форум, известный кражей и торговлей украденной информацией о кредитных картах. В марте и декабре 2021 года он подвергся серьёзным утечкам данных. Эти утечки привели к раскрытию конфиденциальной пользовательской информации, включая адреса электронной почты, имена пользователей, IP-адреса и пароли, которые были сохранены в виде солёных хешей MD5.

Эти данные предоставили нам два ключевых инсайта. Во-первых, они позволили связать Шахмаметова с известным веб-сайтом, вовлечённым в незаконную деятельность. Во-вторых, мы обнаружили новый адрес электронной почты, связанный с ним: jstashhhh@yandex.ru. Кроме того, мы установили последнюю активность данного аккаунта на платформе — 1 февраля 2021 года. В результате ещё одного взлома нам удалось связать псевдоним “JokerStash” и обнаруженный адрес электронной почты с несколькими IP-адресами:

- 185.61.137.100 — Лелистад, Нидерланды;

- 185.162.10.129 — София, Болгария;

- 185.162.10.198 — София, Болгария.

Наше расследование также выявило ключевую личную информацию, включая водительское удостоверение, национальный идентификационный номер, налоговый идентификатор, а также паспорт Шахмаметова, выданный Управлением внутренних дел Ленинского района города Новосибирск. Это подтвердило, что он является российским гражданином, проживающим в Новосибирске.

Кроме того, нам удалось выявить несколько других адресов электронной почты:

- shahmametov@list.ru,

- gsgs.2021@list.ru,

- shaxmametov.timur@bk.ru,

- 79139511590@monetnaya-lavka.ru.

Мы отследили эти адреса на различных платформах, включая Skype, Microsoft и Vivino. В ходе нашего исследования мы также обнаружили два телефонных номера:

- 9139511590,

- 79133709629.

Оба номера связаны с аккаунтами на таких мессенджерах и социальных платформах, как WhatsApp, CallApp и VK.

Особенно примечательным оказался аккаунт в VK, использовавшийся как марионеточный под псевдонимом “Спиридон Красноконев”. Последняя зафиксированная активность на этом аккаунте датируется 10 марта 2024 года, что предоставляет дополнительный контекст о присутствии Шахмаметова в сети и его действиях.

После изучения широкого списка телефонных номеров и адресов электронной почты, которые нам удалось выявить, становится довольно любопытно отметить, что они не были использованы для создания значительного количества аккаунтов. Обычно при исследовании такого объёма персонально идентифицируемой информации (PII) можно ожидать наличие обширного набора данных. Однако данное открытие приобретает ещё большую важность, так как оно указывает на то, что Шахмаметов обладает высоким уровнем понимания принципов оперативной безопасности (OPSEC). Это демонстрирует его целенаправленные усилия для поддержания анонимности и защиты своей персональной информации от возможных утечек или разоблачений.

Местоположение Шахмаметова

Шахмаметов получил паспорт и водительские права в Новосибирске, крупном городе в Сибирском регионе России. На момент получения водительского удостоверения его официально зарегистрированный адрес - улица 9-й Гвардейской дивизии, квартира X, дом XXX, в оживлённом районе Новосибирска. Эта информация даёт представление о его личности и месте проживания.

Разумно предположить, что большинство людей получают водительские удостоверения в относительно молодом возрасте. Этот факт позволяет предположить, что рассматриваемый адрес, вероятно, восходит к ранним этапам жизни данного человека. Кроме того, само здание не обладает признаками, которые могли бы соответствовать убежищу для многомиллионного преступника – его внешний вид вызывает ощущение полной заурядности.

В ходе нашего расследования нам удалось установить банковские услуги, которыми пользовался данный человек. Мы обнаружили три счета, зарегистрированные на его имя в Альфа-Банке. Примечательно, что в октябре 2024 года украинские хакерские группы KibOrg и NLB в сотрудничестве с Службой безопасности Украины (СБУ) осуществили масштабный взлом крупнейшего частного финансового учреждения России – Альфа-Банка. Они заявили, что получили доступ к персональным данным более чем 30 миллионов клиентов, включая чувствительную информацию, такую как имена, даты рождения, номера счетов и телефоны (https://novayagazeta.eu/articles/2024/01/08/hackers-publish-personal-data-of-20-million-alfa-bank-customers-en-news).

При составлении временной шкалы на основе утечек данных важно проявлять осторожность. Например, утечка, связанная с Facebook в 2024 году, не обязательно указывает на то, что аккаунт был создан в этом году; он мог быть зарегистрирован в любой момент до этого. Однако в случае с банковскими счетами крайне маловероятно, чтобы человек имел счет, не используя его активно. Этот контекст позволяет предположить, что информация, полученная в результате утечки Альфа-Банка, скорее всего, является довольно современной и точно отражает текущее положение дел данного человека.

После корреляции данных нами были выявлены следующие адреса:

Новосибирск, Кедровая улица, 41 и Новосибирск, улица Галущака, оба расположены в центре города Новосибирска.

Шахмаметов управляет многомиллионным мобильным игровым приложением

Недавние расследования, проведенные экспертом в области кибербезопасности Брайаном Кребсом, выявили тревожную информацию о Шахмаметове, главе компании по разработке мобильных игровых приложений под названием Arpaplus. Только в 2023 году Arpaplus получила ошеломляющую выручку в размере $1,143,570.87 и продолжает свою деятельность, что свидетельствует о её значительном присутствии на рынке мобильных приложений. В знак своей популярности Arpaplus насчитывает впечатляющие 8 миллионов загрузок на различных платформах.

Более тщательное изучение отзывов пользователей выявляет тревожную тенденцию: значительная часть загрузок поступает от жителей северных стран. Это вызывает особое беспокойство, учитывая сомнительное прошлое Шахмаметова, связанное с кражей кредитных карт и распространением инфостилеров. Мы настоятельно рекомендуем проявлять крайнюю осторожность при работе с приложениями, разработанными Arpaplus, так как существует значительный риск утечки конфиденциальной информации, включая данные кредитных карт.

Для интересующихся, мобильные приложения, разработанные Arpaplus, можно найти по ссылке:

https://play.google.com/store/apps/developer?id=ARPAPLUS&hl=da. Однако крайне важно относиться к этим загрузкам с долей скептицизма и осторожности.

Кроме того, стоит отметить, что сайт Arpaplus размещен на сервере с IP-адресом 185.193.90.36. На этом же сервере расположен сайт www.fashion.girls.co.com, приложение которого достигло десятков миллионов загрузок. Наши исследования показывают определённую закономерность: несколько отзывов указывают на то, что пользователи из Дании и других северных стран активно взаимодействуют с игровыми приложениями, связанными с Arpaplus. Это вызывает дополнительные подозрения, что Fashion Girls, ещё одно приложение из каталога, также может управляться Шахмаметовым.

Представляем самую свежую фотографию Тимура Камилевича Шахматемтовa.

Через всесторонний анализ социально-медийной разведки (SOCMINT) нам удалось выявить членов семьи Шахмаметова, что позволило обнаружить их аккаунты в VK и получить доступ к ранее неизвестным фотографиям.

Основные этапы работы:

Идентификация новых изображений Шахмаметова оказалась непростой задачей. Нам потребовался доступ к его социальным сетям и окружению. Хотя сам объект может придерживаться строгих мер информационной безопасности, как показывает практика, друзья и члены семьи зачастую действуют менее осторожно, публикуя больше информации. Мы выявили один из бывших адресов Шахмаметова, который был связан с его номером телефона. Этот номер телефона оказался ассоциированным с заказом из интернет-магазина обуви.Данный заказ содержал email, принадлежащий супруге Шахмаметова.

В результате тщательной работы с открытыми источниками удалось обнаружить аккаунты жены Шахмаметова в социальных сетях VK, OK и Instagram. В этих аккаунтах мы нашли последние фотографии Шахмаметова, что предоставило ценные данные о его текущем местоположении.

Мы подготовили график в Predicta Graph для дальнейшего отслеживания и анализа связей.

https://www.predictagraph.com/graph/snapshot/6f6fb8ea-4aa5-4cec-bd73-1cead6863d00

На изображении ниже мы четко видим интересующее нас лицо, рядом с которым сидит его жена. Однако мы не раскрываем её лицо, так как не вовлекаем членов семьи в наши расследования.

На изображении выше Шахмаметов наслаждается рестораном "Лето", расположенным в сердце леса в Новосибирске. Заведение, известное своим роскошным декором и изысканной атмосферой, излучает чувство роскоши и великолепия, что подтверждают фотографии с его страницы в Instagram. Сцена разворачивается в апреле 2024 года.

Мы проанализировали аккаунты в социальных сетях и нашли фотографию одного из членов его семьи, празднующего в этом ресторане. Ниже представлено сравнение объектов.

Мы определили местоположение заведения и нашли обновленные спутниковые снимки его района.

Шахмаметов ведёт роскошную жизнь, предаваясь изысканным удовольствиям, доступным только богатым. Его экстравагантный образ жизни наполнен дорогими вечеринками, дизайнерской одеждой и элитными автомобилями, что резко контрастирует с тем страданием, которое он принес другим.

На этой фотографии мы видим Шахмаметова, сидящего рядом с предполагаемой женой справа, в красной рубашке, что было выявлено через анализ социальных сетей.

Мы создали коллаж, используя фотографии последних нескольких лет, найденные с помощью OSINT в аккаунтах членов семьи Шахмаметова в социальных сетях.

Полезные OSINT инструменты в телеграме (всегда рабочие ссылки) и отличный контент.