Український канал HackYourMom запросив до розмови Осіріса — очільника хакерського угруповання 4b1d (Forbid), яке відверто позиціонує себе як «заборонене» на території Росії й діє без масок та спроб анонімізації. Угруповання спеціалізується на атаках проти російських компаній, використовуючи переважно ransomware, і фінансує свою діяльність за рахунок цих операцій, не отримуючи підтримки від держави.
Ця розмова дає рідкісний погляд зсередини на те, хто такий Осіріс, що таке 4b1d, які саме цілі вони обирають і як виглядає їхня війна з російським бізнесом та інфраструктурою.
«Заборонені» на території Росії: хто такі 4b1d
Угруповання 4b1d, яке Осіріс вимовляє як Forbid, позиціонує себе максимально прямо: назва означає «заборонений». У розмові він підкреслює, що «заборонений» насамперед «на території Аркастану» — так він іронічно називає Росію.
Осіріс відкрито говорить, що є лідером 4b1d. На відміну від більшості хакерів, які ховають обличчя, він принципово не маскується. Угруповання діє публічно, бере на себе відповідальність за атаки й не намагається створювати образ «таємничої тіні».
Водночас Осіріс наголошує: він не є «спонсорованим» державою хакером. Українська держава, за його словами, не фінансує його діяльність, попри те, що в російських звітах його можуть описувати як «актив, який працює на Україну». Він прямо заперечує будь-які виплати від українських міністерств, спецслужб чи військових структур і описує себе як «self-made» — саморобленого, самозабезпеченого хакера.
Джерело фінансування 4b1d Осіріс формулює без евфемізмів: це ransomware-операції проти російських цілей. Злам, шифрування, вимагання викупу — і саме з цих грошей, за його словами, живе команда. Він згадує, що навіть публікував фрагменти переписки з директором одного з заводів, який заплатив за розшифрування.
Таким чином 4b1d — це не «офіційний кіберпідрозділ», а радше самостійне хакерське формування, яке воює з Росією власними методами, поєднуючи політичну мотивацію з кримінальною економікою ransomware.
Від шкільного Wi?Fi до власного угруповання: шлях Осіріса
Біографія Осіріса не схожа на класичну історію «золотої молоді з технічного ліцею». Він виріс без батьків, його виховував дідусь, якому він приписує ключову роль у своєму становленні. Саме дід, за його словами, з дитинства повторював: у 16 років — «піньок під зад» і «на свої хліба». Ця установка на ранню самостійність добре пояснює, чому Осіріс так рано почав шукати способи заробітку через технічні навички.
Перші кроки в хакінгу він робив ще у школі — між п’ятим і восьмим класами. У школі був лаборант, який постійно змінював пароль від Wi?Fi, а учні хотіли після уроків грати в World of Tanks Blitz. Осіріс навчився ламати шкільну мережу, діставав пароль і продавав його однокласникам по 5 гривень.
Ситуація дійшла до того, що до школи викликали дідуся, аби «вирішити, що з ним робити». Реакція діда, за словами Осіріса, була показовою: запропонував «брати відсоток» з його «бізнесу», а не карати. Це не просто анекдот, а ілюстрація того, як у його оточенні сприймали технічну кмітливість: не як злочин, а як ресурс, який можна монетизувати.
Формальна освіта Осіріса виглядає скромно. Школу він закінчив «погано» — на чотири бали за 12-бальною системою, з низькими оцінками з більшості предметів, окрім інформатики та фізкультури. Англійську, яку він тоді ледве тягнув на «четвірку з натяжкою», сьогодні він використовує для читання технічної документації, що, на його думку, здивувало б колишню вчительку.
Після школи він вступив до технічного коледжу у рідному Світловодську, неподалік Кременчука. Спеціальність — інженер-технолог у сфері газового машинобудування. Коледж він не називає «шарагою» — навпаки, визнає, що там давали хорошу технічну базу, зокрема з інформатики. Закінчив на «три» за п’ятибальною системою, але паралельно вже писав код на Python, робив сайти на Django, починав вивчати Java та Spring, готуючись до кар’єри розробника.
Пізніше Осіріс вступив до Житомирської політехніки на напрям, пов’язаний із кібербезпекою, але вища освіта залишилася незавершеною. Він розділяє «навчання» і «саморозвиток»: перше йому не заходило, друге — стало основним шляхом. Приблизно з 17 років він, за власними словами, почав системно займатися самоосвітою в технічній сфері, без менторів і підтримки.
Цей бекграунд важливий для розуміння 4b1d: це не академічна команда з університетських лабораторій, а радше продукт вуличної, практичної школи хакінгу, де головними інструментами стали Google, експерименти й постійна практика.
Від готельних CRM до SCADA: як мислить хакер, який «сидить глибоко»
Нік «Осіріс» він обрав не випадково. У давньоєгипетській міфології Осіріс — бог загробного царства, який «сидить глибоко під землею». Для хакера це метафора: глибоко проникати в систему й довго залишатися непоміченим.
Ця логіка добре простежується в історії його життя в Єгипті, де він провів близько п’яти-шести місяців. Там він відточував навички проникнення в мережі готелів, використовуючи класичні техніки Wi?Fi-атак і слабку сегментацію внутрішніх мереж.
Схема виглядала так. Поруч із готелем, у якому він жив, був інший готель. Осіріс виявив приховану Wi?Fi-мережу, яка використовувалася для внутрішніх потреб. За допомогою невеликого пристрою — по суті, деавтентифікатора й «evil twin» точки доступу — він глушив справжню мережу й піднімав власну з тим самим SSID.
Коли у гостей або персоналу пропадав Wi?Fi, вони намагалися перепідключитися, вводили відомий їм пароль, а Осіріс у цей момент перехоплював його. Після цього він вимикав «жучок», справжня мережа знову ставала доступною, а в нього вже був дійсний пароль.
Далі він підключався до внутрішньої мережі готелю. Через сканування (наприклад, nmap) бачив усі пристрої в мережі, оскільки вона не була сегментована на підмережі. За відкритими портами 80 або 443 він ідентифікував веб-застосунки, заходив у веб-інтерфейси й знаходив CRM-систему готелю — ту саму, де зберігалися бронювання, дані клієнтів і співробітників.
Отримавши доступ до CRM, він просто додавав себе як гостя, продовжував «проживання» й жив у готелях безкоштовно. За його оцінкою, сумарні збитки єгипетських готелів від такої схеми значно перевищили 50 тисяч доларів.
Зрештою його затримали «на гарячому» з ноутбуком, на якому була вся доказова база зламів. Осіріс провів близько двох діб у поліцейському відділку, після чого йому запропонували вийти за 10 тисяч доларів і негайно залишити країну. Він заплатив і був фактично депортований.
Ця історія важлива не лише як кримінальний епізод, а як демонстрація підходу: Осіріс шукає слабкі місця в інфраструктурі, користується типовими помилками (відсутність сегментації, стандартні паролі, наклейки з паролями на моніторах) і далі вже працює з бізнес-логікою системи — у цьому випадку з бронюваннями в CRM.
Той самий підхід простежується й у його пізніших атаках на російські компанії, але вже на значно вищому рівні складності й з набагато серйознішими наслідками.
Найгучніші атаки 4b1d: від автосалонів Lada до лабораторії «Газпрому»
Список цілей, які 4b1d взяло на себе, виглядає як карта вразливостей російського бізнесу й інфраструктури. Осіріс підтверджує участь угруповання в низці масштабних атак, які вдарили по різних секторах — від роздрібної торгівлі до наукових структур, пов’язаних із «Газпромом».
Одним із помітних епізодів став злам мережі автосалонів Lada Bright Park. За словами Осіріса, 4b1d зламало й зашифрувало 10 автосалонів цієї мережі в Росії. Деталі технічної реалізації в цьому фрагменті розмови не розкриваються, але формат атаки типовий для ransomware: шифрування інфраструктури, блокування бізнес-процесів, подальші переговори про викуп.
Ще масштабнішою за наслідками була атака на мережу магазинів будівельних матеріалів «МиниМакс» — російський аналог українського «Епіцентру». Осіріс підтверджує, що 4b1d зашифрувало близько 4 тисяч комп’ютерів і знищило близько 200 серверів компанії. Важливий нюанс: під удар потрапили й SCADA-системи — тобто системи диспетчерського керування й збору даних, які часто відповідають за виробничі процеси, логістику, складські операції.
Виведення з ладу SCADA для великої мережі DIY-магазинів означає не просто «падіння сайтів» чи кас, а глибокий збій у всьому ланцюжку операцій — від управління складами до постачання. Для російського ритейлу це не лише фінансові втрати, а й репутаційний удар: клієнти бачать, що мережа не може працювати в нормальному режимі, а партнери — що її ІТ-інфраструктура вразлива.
Окремий блок — атаки на структури, пов’язані з «Газпромом». Осіріс розповідає про злам компанії «Газтех» (ПАО «Газтех»), яку він описує як наукову лабораторію для «Газпрому». За його словами, у результаті атаки компанія втратила всі локальні дані.
Для «Газпрому» це подвійно чутливо. По-перше, це демонструє, що навіть структури, які працюють із критичною інфраструктурою, мають серйозні прогалини в кіберзахисті. По-друге, втрата наукових і технічних даних може мати довгострокові наслідки для розробок, планування й безпеки об’єктів.
Ще один епізод, який Осіріс згадує, стосується військової сфери. Він говорить про викрадення військової бази даних, у якій містився софт, що використовувався для зв’язку вищого російського військового керівництва. Він уточнює, що йдеться не зовсім про сам софт, а про базу, разом із якою був «стягнутий» цей софт.
Це вже виходить за межі класичного ransomware й переходить у площину кіберрозвідки: доступ до засобів комунікації вищого командування — це потенційно можливість аналізувати протоколи, шукати вразливості, готувати подальші операції.
У сукупності ці кейси показують, що 4b1d працює не точково, а системно, б’ючи по різних сегментах російської економіки й інфраструктури: роздріб, промисловість, наука, військова сфера. І всюди повторюється одна й та сама логіка: знайти слабку ланку, проникнути, зашифрувати, знищити або викрасти дані.
Ransomware як економіка війни: чому 4b1d не потребує «спонсора»
Осіріс не приховує, що ransomware для нього — не лише інструмент тиску на ворога, а й основне джерело фінансування. Він прямо говорить: держава йому не платить, а всі витрати покриваються за рахунок викупів, які платять російські компанії.
Це створює специфічну модель «економіки війни», де ворог одночасно є й мішенню, і джерелом ресурсів. Російські підприємства, які стають жертвами атак, змушені платити українським хакерам, аби відновити роботу, і цими ж грошима фактично фінансують подальші операції проти інших російських цілей.
З точки зору класичної кібербезпеки, це чиста кримінальна схема. З точки зору реалій повномасштабної війни, яку Росія веде проти України, Осіріс і його команда позиціонують себе як учасників кіберфронту, які діють автономно, без бюрократичних обмежень і без формального мандату.
Ця автономність має дві сторони. З одного боку, вона дозволяє 4b1d діяти агресивно, обирати цілі й методи без огляду на політичні ризики для держави. З іншого — залишає їх поза правовим полем навіть у власній країні: формально їхня діяльність не узгоджується з українським законодавством, і вони не мають офіційного статусу «кібервійськових».
Утім, у публічному просторі Осіріс намагається чітко розмежувати: він не працює проти українського бізнесу, а навпаки, позиціонує себе як того, хто б’є виключно по російських цілях. У цьому сенсі його діяльність вписується в ширший контекст волонтерських і напівформальних кіберініціатив, які з’явилися після 2022 року.
Висновок: нова реальність кіберфронту
Історія Осіріса та угруповання 4b1d — це концентрований зріз нової реальності кіберфронту у війні між Україною та Росією.
З одного боку, це класична історія хакера-самоучки: важке дитинство, низькі оцінки в школі, технічний коледж, ранні експерименти зі шкільним Wi?Fi, подальші зломи готельних CRM у Єгипті й конфлікт із законом. З іншого — це історія людини, яка перетворила свої навички на інструмент війни, очолила власне угруповання й почала системно бити по російських компаніях і структурах, пов’язаних із критичною інфраструктурою та військовим управлінням.
Атаки на Lada Bright Park, «МиниМакс» із тисячами зашифрованих комп’ютерів і знищеними серверами, виведення з ладу SCADA, злам «Газтеху» та викрадення військової бази даних — усе це показує, наскільки вразливою залишається російська інфраструктура перед обличчям мотивованих і технічно підготовлених хакерських груп.
4b1d працює на перетині кримінальної економіки ransomware й політичної мотивації воювати з державою-агресором. Вони не вписуються в класичні рамки «державних хакерів» чи «чистих кіберзлочинців», а радше формують новий тип гравця — автономного, ідеологізованого, але фінансово самодостатнього.
Для України це водночас ресурс і виклик. Для Росії — ще один фронт, де втрата даних, зупинка бізнесу й компрометація військових систем стають частиною щоденної реальності.
Джерело
Хакер Osiris з 4b1d про взлом ГазПром, та заробіток на RansomWare