Хакер — тоже человек. Парень, взломавший полмира, попался из-за игр и еды
NewsMakerКак бытовые покупки разрушили легенду анонимности.
Минюст США и британская полиция предъявили обвинения 19-летнему жителю Ист-Лондона Талхе Джубаиру, которого следствие считает одним из ключевых участников Scattered Spider — группировки, стоящей за серией вымогательских атак на крупные компании и государственные структуры. По материалам дела, с мая 2022 года до сентября текущего года злоумышленники провели не менее 120 вторжений, затронули 47 организаций в США, а общая сумма выплат превысила 115 миллионов долларов. В Лондоне параллельно рассматривается эпизод с атакой на Transport for London в августе 2024 года, где вместе с Джубаиром проходит 18-летний Оуэн Флауэрс.
Ключ к идентификации фигуранта — цепочка технических совпадений. Следователи отследили переводы с адресов, куда приходили выкупы, на сервер, который, по их версии, контролировал Джубаир. На этом узле хранились криптокошельки , через которые покупались игровые подарочные сертификаты и карты доставки еды; заказы приходили в его жилой комплекс, а один из сертификатов оказался привязан к геймерскому профилю с данными квартиры. При изъятии инфраструктуры агенты конфисковали около 36 миллионов долларов в криптовалюте; ранее с этих адресов выводились значительные суммы.
Джубаиру приписывают длинную историю кибератак. По данным расследования, в 2021–2022 годах он входил в состав LAPSUS$ , действуя под никами Amtrak и Asyntax, а ранее — как Everlynn, связанный с продажей поддельных экстренных запросов на данные от имени правоохранителей. Внутренние конфликты в LAPSUS$ привели к утечке его реальных данных в открытых Telegram-чатах.
С 2022 года фигурант под псевдонимом EarthtoStar ко-руководил каналом Star Chat — активной SIM Swapping площадкой. Группа системно проводила фишинговые атаки на сотрудников операторов связи, чаще всего T-Mobile, добиваясь доступа к внутренним инструментам и продавая переадресацию звонков и сбросы почтовых аккаунтов. Летом того же года через поддельные страницы Okta и Telegram-ботов для моментальной пересылки кодов двухфакторной аутентификации злоумышленники компрометировали сотрудников сотен компаний, что вылилось в инциденты у LastPass, DoorDash, Mailchimp, Plex и Signal.
Следы активности уходят и на форум Exploit, где аккаунты RocketAce и Lopiu рекламировали доступы к сетям телекомов США, фишинговые наборы, вредоносные загрузчики и даже сертификаты расширенной проверки. В конце 2022-го — начале 2023-го вокруг англоязычного сообщества «Com» оформился набор «IRL-услуг» с элементами физического давления на цели, вплоть до предложений ограбления; такую задачу связывают и с самим EarthtoStar. Параллельно под именем Brad или Brad_banned он продвигал разработку вредоносного кода уровня ядра с устойчивостью, реверс-шеллами и заявленным обходом корпоративных средств защиты .
В сентябре 2023 года после атак на MGM Resorts и Caesars Entertainment группировка взяла на себя ответственность за это. Доступ был получен благодаря социальной инженерии подрядчиков. Caesars, по данным прессы, перевела выкуп в 15 миллионов долларов, у MGM сбой привёл к длительным простоям. Весной 2025 года анонимная сводка «Com Cast» связала Джубаира с новыми псевдонимами — Clark, Miku и Operator. Последнему приписали захват ресурса Doxbin и запуск автоматизированного сервиса доксинга.
Материалы Минюста США отдельно описывают взлом инфраструктуры федеральных судов в январе 2025 года: через техподдержку злоумышленники добились сброса пароля, получили доступ ещё к двум аккаунтам, извлекли персональные сведения сотрудников, после чего одна из скомпрометированных почт запросила в финансовой организации срочное раскрытие клиентских данных. В других эпизодах — от производителей и развлекательных компаний до ритейла, финансов и критической инфраструктуры — сценарий повторялся: обман службы поддержки, смена пароля, эксфильтрация, иногда шифрование, затем торг за дешифрование либо обещание не публиковать украденные массивы. В пяти случаях жертвы отправили не менее 89,5 миллиона долларов в BTC, крупнейшие платежи пришлись на банки.
Telegram заблокировал Star Chat в марте 2025 года, однако, по версии следствия, операции продолжались до сентября. Отдельные эпизоды перекликаются с делом Флауэрса, а также с расследованием против Ноа Урбана, уже получившего 10 лет тбрьмы в США. Аналитики отмечают, что вовлечение несовершеннолетних в «Com» создаёт юридические лакуны и затягивает преследование, но согласованные действия ведомств и бизнеса по обе стороны Атлантики постепенно лишают Scattered Spider операционной опоры.
Минюст США и британская полиция предъявили обвинения 19-летнему жителю Ист-Лондона Талхе Джубаиру, которого следствие считает одним из ключевых участников Scattered Spider — группировки, стоящей за серией вымогательских атак на крупные компании и государственные структуры. По материалам дела, с мая 2022 года до сентября текущего года злоумышленники провели не менее 120 вторжений, затронули 47 организаций в США, а общая сумма выплат превысила 115 миллионов долларов. В Лондоне параллельно рассматривается эпизод с атакой на Transport for London в августе 2024 года, где вместе с Джубаиром проходит 18-летний Оуэн Флауэрс.
Ключ к идентификации фигуранта — цепочка технических совпадений. Следователи отследили переводы с адресов, куда приходили выкупы, на сервер, который, по их версии, контролировал Джубаир. На этом узле хранились криптокошельки , через которые покупались игровые подарочные сертификаты и карты доставки еды; заказы приходили в его жилой комплекс, а один из сертификатов оказался привязан к геймерскому профилю с данными квартиры. При изъятии инфраструктуры агенты конфисковали около 36 миллионов долларов в криптовалюте; ранее с этих адресов выводились значительные суммы.
Джубаиру приписывают длинную историю кибератак. По данным расследования, в 2021–2022 годах он входил в состав LAPSUS$ , действуя под никами Amtrak и Asyntax, а ранее — как Everlynn, связанный с продажей поддельных экстренных запросов на данные от имени правоохранителей. Внутренние конфликты в LAPSUS$ привели к утечке его реальных данных в открытых Telegram-чатах.
С 2022 года фигурант под псевдонимом EarthtoStar ко-руководил каналом Star Chat — активной SIM Swapping площадкой. Группа системно проводила фишинговые атаки на сотрудников операторов связи, чаще всего T-Mobile, добиваясь доступа к внутренним инструментам и продавая переадресацию звонков и сбросы почтовых аккаунтов. Летом того же года через поддельные страницы Okta и Telegram-ботов для моментальной пересылки кодов двухфакторной аутентификации злоумышленники компрометировали сотрудников сотен компаний, что вылилось в инциденты у LastPass, DoorDash, Mailchimp, Plex и Signal.
Следы активности уходят и на форум Exploit, где аккаунты RocketAce и Lopiu рекламировали доступы к сетям телекомов США, фишинговые наборы, вредоносные загрузчики и даже сертификаты расширенной проверки. В конце 2022-го — начале 2023-го вокруг англоязычного сообщества «Com» оформился набор «IRL-услуг» с элементами физического давления на цели, вплоть до предложений ограбления; такую задачу связывают и с самим EarthtoStar. Параллельно под именем Brad или Brad_banned он продвигал разработку вредоносного кода уровня ядра с устойчивостью, реверс-шеллами и заявленным обходом корпоративных средств защиты .
В сентябре 2023 года после атак на MGM Resorts и Caesars Entertainment группировка взяла на себя ответственность за это. Доступ был получен благодаря социальной инженерии подрядчиков. Caesars, по данным прессы, перевела выкуп в 15 миллионов долларов, у MGM сбой привёл к длительным простоям. Весной 2025 года анонимная сводка «Com Cast» связала Джубаира с новыми псевдонимами — Clark, Miku и Operator. Последнему приписали захват ресурса Doxbin и запуск автоматизированного сервиса доксинга.
Материалы Минюста США отдельно описывают взлом инфраструктуры федеральных судов в январе 2025 года: через техподдержку злоумышленники добились сброса пароля, получили доступ ещё к двум аккаунтам, извлекли персональные сведения сотрудников, после чего одна из скомпрометированных почт запросила в финансовой организации срочное раскрытие клиентских данных. В других эпизодах — от производителей и развлекательных компаний до ритейла, финансов и критической инфраструктуры — сценарий повторялся: обман службы поддержки, смена пароля, эксфильтрация, иногда шифрование, затем торг за дешифрование либо обещание не публиковать украденные массивы. В пяти случаях жертвы отправили не менее 89,5 миллиона долларов в BTC, крупнейшие платежи пришлись на банки.
Telegram заблокировал Star Chat в марте 2025 года, однако, по версии следствия, операции продолжались до сентября. Отдельные эпизоды перекликаются с делом Флауэрса, а также с расследованием против Ноа Урбана, уже получившего 10 лет тбрьмы в США. Аналитики отмечают, что вовлечение несовершеннолетних в «Com» создаёт юридические лакуны и затягивает преследование, но согласованные действия ведомств и бизнеса по обе стороны Атлантики постепенно лишают Scattered Spider операционной опоры.