Игры и перекусы: что подвело хакера, держащего в страхе полмира

Как обычные покупки разрушили иллюзию анонимности

Министерство юстиции США совместно с полицией Великобритании предъявили обвинения 19-летнему жителю Ист-Лондона Талхе Джубаиру. По версии следствия, он считается одним из ключевых участников группировки Scattered Spider, которую связывают с серией атак на крупные компании и государственные структуры. С мая 2022 года по сентябрь 2025-го, утверждается в материалах дела, было зафиксировано более 120 эпизодов, затронувших 47 организаций в США. Суммарные выплаты превышают 115 миллионов долларов. Отдельно в Лондоне рассматривается атака на Transport for London в августе 2024-го, где вместе с Джубаиром фигурирует 18-летний Оуэн Флауэрс.

Ключ к установлению личности, по данным следователей, дал анализ транзакций. Средства, поступавшие на адреса, куда переводились выкупы, далее направлялись на сервер, приписываемый Джубаиру. На нём находились криптокошельки, через которые приобретались игровые сертификаты и сервисы доставки еды. Часть заказов была связана с его жилым комплексом, а один сертификат оказался привязан к аккаунту геймера с домашними данными. При конфискации инфраструктуры правоохранители изъяли около 36 миллионов долларов в цифровых активах.

История активности Джубаира, согласно обвинению, насчитывает несколько лет. В 2021–2022 годах он якобы участвовал в LAPSUS$, используя ники Amtrak и Asyntax, а ранее фигурировал как Everlynn — имя связывали с продажей поддельных экстренных запросов данных от имени полиции. Внутренние конфликты внутри LAPSUS$ привели к утечке его сведений в открытые Telegram-чаты.

С 2022 года Джубаир, уже под псевдонимом EarthtoStar, был причастен к работе канала Star Chat, ориентированного на схемы SIM Swapping. Участники проводили фишинговые атаки на операторов связи, в том числе T-Mobile, получая доступ к их внутренним инструментам и продавая переадресацию звонков и сбросы аккаунтов. Летом того же года с помощью фейковых страниц Okta и ботов в Telegram для перехвата кодов 2FA группа получила доступ к корпоративным системам множества компаний, среди которых назывались LastPass, DoorDash, Mailchimp, Plex и Signal.

Следы активности тянутся и на форум Exploit, где под никами RocketAce и Lopiu предлагались доступы к сетям американских операторов, фишинговые комплекты, загрузчики и даже сертификаты расширенной проверки. К концу 2022 года вокруг англоязычного сообщества «Com» появились «офлайн-услуги», включая физическое давление на цели. Аналитики связывают эту практику и с EarthtoStar. Кроме того, под именем Brad он продвигал вредоносный код с обходом защитных решений и реверс-шеллами.

В сентябре 2023 года группировка заявила о причастности к атакам на MGM Resorts и Caesars Entertainment. Доступ был получен через подрядчиков с помощью социальной инженерии. По сообщениям СМИ, Caesars выплатили около 15 миллионов долларов, а у MGM простой длился неделями. Весной 2025 года анонимный дайджест Com Cast приписал Джубаиру новые ники — Clark, Miku и Operator. Последний связывается с захватом Doxbin и запуском автоматизированного сервиса доксинга.

Отдельным эпизодом в материалах Минюста США значится взлом инфраструктуры федеральных судов в январе 2025 года. Через службу поддержки злоумышленники добились сброса пароля, получили новые доступы и извлекли персональные данные сотрудников. С одной из скомпрометированных почт затем был отправлен запрос в финорганизацию с просьбой раскрыть клиентские сведения. По аналогичному сценарию — социальная инженерия, смена пароля, извлечение данных и последующий торг — проходили атаки и на другие компании из финансового сектора, ритейла, медиасферы и промышленности. В пяти случаях пострадавшие перевели не менее 89,5 миллиона долларов в BTC, крупные суммы поступили от банков.

В марте 2025 года Telegram заблокировал Star Chat, однако, по данным следствия, активность продолжалась до сентября. Часть эпизодов связана с делом Флауэрса, а также перекликается с процессом против Ноа Урбана, уже осуждённого в США на 10 лет. Эксперты отмечают: вовлечение несовершеннолетних в такие группы осложняет расследования и замедляет преследование, однако координация действий властей и бизнеса по обе стороны Атлантики постепенно сокращает возможности Scattered Spider.