Данные форензик-анализа криптовалют раскрывают, каким образом российское правительство использует международные криминальные организации в разных странах для отмывания госсредств. Публикуется впервые.
КРИПТОМОНЕТЫ, НЕСУМЕВШИЕ СПРЯТАТЬСЯ
В предыдущей части мы проследили, как именно государственные деньги России перемещались через биткоин-кошельки, франкфуртских посредников и точки обналичивания по всему Евросоюзу. Однако биткоин, несмотря на всю сложность схем, остается прозрачным реестром: каждая транзакция публична. Администраторы сети прекрасно понимали это, и поэтому для самых деликатных задач они переключались на применение особенных средств, созданных для обеспечения полной анонимности.
ZCash и Monero — это так называемые конфиденциальные монеты, известные также как анонимные криптовалюты (privacy coins). Они изначально спроектированы так, чтобы скрывать отправителя, получателя и сумму перевода. Это главный выбор тех, кто желает остаться неотслеженным. И тем не менее, как показывает анализ, герои нашего расследования всё же оставили за собой один след.
«Лучшие средства анонимизации в мире были преодолены, и вовсе не программами и продвинутыми технологиями. Их провал стал результатом простой человеческой ошибки, которая при моментной потере бдительности рассыпала в прах самую надёжную киберзащиту».
ТРАНЗАКЦИЯ В ZCASH
За всё время существования публичного ZCash-кошелька ФБК на него поступила ровно одна входящая транзакция. 21 июня 2018 года на счет пришел перевод в размере $512 012. Важно отметить, что сам кошелек был создан в день перевода. Его открыли не заранее в качестве адреса для донатов, а специально под эту конкретную транзакцию. Это не соответствует стандартному поведению случайных жертвователей, а почерк спланированной спецоперации.
Спустя два дня, 23 июня 2018 года, вся сумма без остатка была отправлена одним исходящим переводом на другой кошелек, управляемый закрытой группой, которая занимается обналичиванием ZCash. Кошелек открылся, принял деньги и полностью обнулился за 48 часов. Вся история его существования свелась к этой единственной транзакции.
Однако изучение кошелька, с которого пришли эти $512 012, выявило именно то, что оператор явно пытался скрыть. Тот же самый кошелек, который профинансировал перевод в ZCash, использовался для покупок внутри видеоигры The Walking Dead: Survivors игровым аккаунтом IMMAX. А IP-адрес этого аккаунта указывает на одну знакомую нам локацию: 79.174.12.175, Инновационный центр «Сколково», Москва. Именно этот аккаунт принадлежит тому самому оператору, который администрирует в «Сколково» криптовалютную сеть. Его личность будет раскрыта в следующей части.
Схема транзакции ZCash: единичное пожертвование в размере $512 012, отслеженное от исходного кошелька (с которого совершались и покупки в TWD Survivors через аккаунт IMMAX) до кошелька ФБК и далее на группу обналичивания. IP-адрес аккаунта IMMAX ведет в Инновационный центр «Сколково», Москва. Источник: разведывательный анализ публичных данных блокчейна.
КРИМИНАЛЬНАЯ СЕТЬ
Та группа, принявшая исходящий перевод в ZCash, известна на закрытых хакерских форумах под прозвищем Johnny_sky. Это узкий круг из трёх-пяти человек: граждане России, выходцы из Чечни, проживающие в Испании. Рабочие заказы они согласовывают исключительно через Discord и присутствуют на специализированных форумах в закрытой сети Tor. Их деятельность носит масштабный характер и не ограничивается узким локальным рынком. Они управляют финансовыми потоками через Banco Santander в Барселоне и Banco di Napoli в Неаполе, где у них налажены личные связи внутри одной из итальянских преступных организаций. Параллельно они оказывают услуги по скрытому сбору и транспортировке наличных по всему Евросоюзу, работая с суммами от 500 000 евро и выше.
Перед нами не произвольная независимая банда, случайно пересёкшаяся с российскими госорганами. Речь идет об услугах по контракту. Преступная инфраструктура, которую наняли кремлёвские операторы для главной цели: обращение денег из сети в наличные.
«Кремль нанимает не только офицеров разведки. Он нанимает уголовников. И это доказывает блокчейн».
Отдельного внимания заслуживает одна деталь: тот же Владислав Сурков, который фигурирует в вертикали командования «Сколково», по национальности является чеченцем. Это обстоятельство даёт основания предполагать наличие личной связи между Сурковым и группой Johnny_sky. Версия не подтверждена, но и не опровергнута.
«Человек, который строил «Сколково» с нуля. Человек, который управляет криптовалютной сетью изнутри него. И человек, который по крови и происхождению может быть личным мостом между российским государством и преступной группой, обналичивающей деньги. Три роли. Одно имя».
СЛЕД MONERO
История кошелька Monero Фонда борьбы с коррупцией похожа на предыдущую, но в ней обнаружилась дополнительная деталь, которая делает её ещё более примечательной. На счет поступили две транзакции: $325 920 от 12 декабря 2019 года и $37 055 от 23 января 2020 года. Кошелек, с которого крупный перевод пришел, сидит на одном из четырёх адресов, используемых другой российской группой людей. Это тоже граждане РФ, живущие в Испании, которые обеспечивают услуги обналичивания Monero, а география их активности распространяется вплоть до Центральноафриканской Республики.
25 января 2020 года, всего два дня после второго поступления, ФБК перевел на адрес первой криминальной группы объединённую сумму в размере $362 975 единой исходящей транзакцией. Этим и был завершён цикл: деньги ушли из рук преступников, пронеслись через кошелек ФБК и вернулись к ним же.
Фонд борьбы с коррупцией не был конечным получателем или целью пожертвований. Он послужил транзитной точкой: ширмой мнимой легитимности, встроенной в круговой оборот средств, который начинался и заканчивался в руках одной и той же преступной группы.
Схема транзакций Monero (Лондон, Схема 1): входящие пожертвования от преступной группы, связанной с ЦАР, и исходящий перевод той же группе. Физическое расположение сети было раскрыто благодаря одному единственному незащищённому входу с лондонского IP-адреса. Источник: анализ данных публичных блокчейнов.
ЛОНДОНСКИЙ СЛЕД
Monero-кошелек, с которого поступил перевод на $325 920, подключился к сети без VPN всего один-единственный раз. Незащищённый вход в сеть зафиксирован на IP 45.156.88.226 (провайдер Eonix London, Кингс-Кросс). Именно этот IP-адрес и связывает данную операцию, сделанную через Monero, с более широкой сетью транзакций, задокументированной в нашем расследовании.
Кроме того, косвенный анализ транзакций в ZCash и Monero указывает на то, что токены, зачисленные на кошельки фонда, изначально приобретались за стейблкоин USDT. Это была длительная трёхэтапная операция, проводившаяся с одного устройства: телефона с мультивалютным криптокошельком. Обе операции с анонимными криптовалютами, несмотря на видимую раздельность, ведут к одному и тому же координационному источнику.
«Две разные конфиденциальные монеты, оперируемые разными преступными группами, на двух отдельных континентах. И один аккаунт в видеоигре указывает на координатора и связывает всё дело с ИЦ «Сколково»».
Аккаунт IMMAX — это не сноска. Это нить, которая связывает всю сеть с одним конкретным человеком. В следующей части мы тянем эту нить до конца. Его имя, адрес, распорядок дня и обе линии подчинения — в Администрацию Президента и в Службу внешней разведки — полностью задокументированы. Ничего из этого не должно было всплыть.
Весь анализ в данной серии основан на публичных данных блокчейна официальных кошельков ФБК (donate.fbk.info). Технические подробности, включая конкретные IP-адреса, номера кошельков и идентификаторы транзакций, будут полностью представлены в соответствующих главах.
СЛЕДУЕТ: «ФАЙЛЫ СИСТЕМЫ» | ЧАСТЬ 5 | MaxiCo: Человек, которого нет