Среди тысяч объектов, которых коснулась волна лжеминирований, был и Эрмитаж
Несмотря на попытки властей заблокировать почтовые сервисы, в России по-прежнему массово и почти ежедневно эвакуируют социальные объекты из-за сообщений об их минировании. Би-би-си узнала, что у следствия есть пять подозреваемых, но четверо из них до сих пор скрываются за никами.
Что происходит?
Массовая волна лжеминирований началась в России 28 ноября и продолжается почти каждый рабочий день. В общей сложности она затронула 16 регионов, сообщала ФСБ. Главные «пострадавшие» города — Москва и Петербург.
Всего по состоянию на конец января эвакуации подверглись почти 17 тысяч объектов, подсчитали ранее в ФСБ. Среди них — суды, детские сады, школы, торговые центры, храмы, редакции телеканалов и даже бассейны.
Общее число эвакуированных людей власти официально не называли. По данным Интерфакса, в одной Москве лжеминирования за два с половиной месяца затронули более 1,6 млн человек.
Сообщения о «лжеминировании», пришедшее в Таганский районный суд
Во всех известных случаях сообщения о якобы заложенной бомбе приходят по электронной почте. Эти письма можно сравнить с ковровыми бомбардировками: в одно сообщение включается десятки или даже сотни объектов. Получателем, как правило, числится один из районных судов.
Так, только 27 января в Москве на предмет наличия взрывных устройство были обследованы более 700 объектов, в том числе 232 станции метро, 223 школы, 193 гостиницы, Центральный телеграф и храм Христа Спасителя, следует из справки столичного управления МВД (есть в распоряжении Би-би-си). Сообщений было гораздо меньше — ведь все эти организации были перечислены в 21 анонимном письме, которые пришли с одного и того же адреса в районные суды.
Что стало причиной минирований?
Хронология событий и содержание писем указывают, что лжеминер или лжеминеры могли начать свою кампанию после того, как прочитали расследование Би-би-си о причинах краха криптовалютной биржи Wex.
Wex — правопреемник биржи BTC-e, которая перестала работать после ареста в Греции россиянина Александра Винника летом 2017 года. По версии американских властей, Винник был одним из создателей площадки, через которую прошли от 4 до 9 млрд долларов в криптовалютном эквиваленте.
Биржа Wex заработала в сентябре 2017 года, ее запуском занимался возможный партнер Винника по BTC-e — житель Новосибирска Алексей Билюченко. Спустя год и эта площадка перестала обслуживать клиентов, на момент крушения на ней хранилось криптовалюты на 450 млн долларов.
Предприниматель Константин Малофеев всегда отрицал связь с биржей Wex
15 ноября 2019 года Би-би-си опубликовала расследование, основанное на показаниях, данных Билюченко в рамках расследования уголовного дела о крахе Wex. По одной из версий, к управлению биржей могли иметь отношение структуры, близкие к православному предпринимателю Константину Малофееву.
Сам Малофеев всегда отрицал, что имел отношение к Wex.
Спустя две недели в петербургские и московские суды пришли первые анонимные сообщения о минировании. В одном из них, в частности, указывалось, что письма будут приходить до тех пор, пока «Константин Малофеев не вернет долг 120 биткоинов украденных с биржи Wex» (цитата по Объединенной пресс-службе судов Санкт-Петербурга).
Одно из самых первых сообщений лжеминера
Ультиматум дополнял адрес биткоин-кошелька и ссылка на расследование Би-би-си.
Впоследствии история с Wex неоднократно всплывала в сообщениях лжеминера: то он использовал фамилию «Малофеев» в имени отправителя, то, например, чуть видоизменял цитату из сериала «Ведьмак»: «Пусть Малофей ведьмаку заплатит чеканной монетой».
В конце января он угрожал, что если «еще 1-2 недели Малофей поморозится с возвратом крипты», то эвакуации будут происходить «2 раза в день — утром и ближе к вечеру».
В начале февраля некоторые учреждения — например, петербургские районные суды — эвакуировались трижды в день.
Как власти борются с минированиями?
Почти два месяца российские власти не предпринимали никаких видимых шагов, чтобы остановить лжеминирования. А затем они решили блокировать почтовые сервисы, с помощью которых лжеминер рассылал сообщения. Об этом делала публичные заявления ФСБ.
Первым стал сервис Startmail — о его блокировке ФСБ сообщила 23 января. После этого лжеминер перешел на популярный среди журналистов-расследователей швейцарский Protonmail, издевательски используя в имени отправителя фамилию директора ФСБ Александра Бортникова: десятки тысяч людей были эвакуированы после писем от Mr.Bortnikov.
Protonmail в России заблокировали в самом конце января. В компании заявили, что российские власти не обращались по официальным каналам за информацией об аккаунтах, с которых шла массовая рассылка.
Лжеминера это не остановило: еще после блокировки Startmail он писал в ответ на вопросы Би-би-си, что знает десяток сервисов для анонимной рассылки писем, а еще «15-20» могут выполнять эту задачу «с нюансами».
Несколько раз аноним сообщал о лжеминировании торгово-делового центра «Новинский пассаж», где располагается офис Малофеева
После ограничения доступа к Protonmail письма пошли через сайт GuerrillaMail (буквально от английского — «почта партизанской войны»), который генерирует временный почтовый адрес. Затем лжеминер стал пользоваться сервисом Cock.li, внутри которого есть разнообразные почтовые поддомены, зачастую — с нецензурными названиями.
В пятницу, 7 февраля, оба сервиса также попали в реестр запрещенных сайтов, указано в соответствующем реестре Роскомнадзора. А в понедельник, 10 февраля, сообщения с угрозами вновь достигли московских и петербургских судов, затем наступила двухдневная тишина — впервые с 28 ноября.
В четверг, 13 февраля, в два районных суда Петербурга вновь пришли анонимки, причем в этот раз в имени пользователя содержалось оскорбительное обращение к Роскомнадзору.
Следующей мишенью надзорного ведомства, вероятно, может стать немецкий почтовый сервис Tutanota, который теперь использует лжеминер.
«[Лжеминирований не было два дня] из-за блокировки, что привела к краткосрочной деморализации» — так сам предполагаемый автор анонимок ответил на вопрос Би-би-си, отправленный ему по электронной почте.
Что есть у следствия?
В конце декабря 2019 года Би-би-си рассказывала о первых результатах работы правоохранительных органов.
Тогда источник, близкий к правоохранительным органам, говорил Би-би-си, что лжеминер — бывший клиент Wex, имеющий отношение к Украине. У него якобы был небольшой обменник по покупке и продаже криптовалюты, поэтому как минимум часть денег, зависших на бирже, принадлежали не ему, а другим людям.
С лета 2018 года торги на криптобирже Wex фактически не ведутся
Вычислить его удалось благодаря анализу базы биржи Wex, в которой искали тех, чей баланс был примерно равен 120 биткоинам — сумме, которую автор сообщений требует от Малофеева.
Два собеседника в руководстве мэрии Москвы также говорили Би-би-си, что сообщения поступают с территории Украины.
В пользу этой версии говорили и косвенные признаки. Так, в письменном общении с журналистами «Дождя» автор анонимок употребил словосочетание «рагуль православный». Его в основном используют на территории Украины в качестве синонима слова «быдло».
Кроме того, единственный рабочий день в декабре, когда не было лжеминирования, выпал на среду 25 декабря. На Украине это официальный праздник — Рождество.
Би-би-си уточнила информацию, полученную от источников в декабре. Анализ базы биржи, проведенный МВД и ФСБ, дал тогда список из пяти аккаунтов, рассказали два источника, близких к правоохранительным органам.
В базе искали тех, чей баланс на бирже был равен 120 биткоинам. При этом если человек хранил средства в других криптовалютах, то их переводили в биткоины по курсу на конец ноября, когда началась кампания по лжеминированиям, рассказал один из собеседников Би-би-си.
Специфика BTC-e, а потом и Wex заключалась в том, что для начала торгов на внушительные суммы достаточно было ввести адрес электронной почты. Би-би-си ознакомилась со списком аккаунтов, попавшими под подозрение: во всех случаях речь идет только о никах и почтовых адресах.
Одно из сообщений лжеминера
Из пяти адресов Би-би-си на основе открытых данных удалось деанонимизировать только один. Его владелец — молодой IT-предприниматель, живущий в одном из городов Поволожья и проведший детство на Западной Украине. По данным Би-би-си, его имя известно правоохранительным органам.
Молодой человек владеет небольшим онлайн-обменником, через который можно перевести электронные деньги из одной системы в другую или купить криптовалюту.
Кроме этого, на предпринимателя зарегистрированы несколько фирм, две из которых стали банкротами после краха биржи Wex. Среди них есть небольшая строительная компания, выручка которой в 2017 году составила около 60 млн рублей.
В настоящее время он находится на свободе в России. Корреспондент Би-би-си пообщался с ним через один из мессенджеров. На вопрос, все ли у него в порядке, этот человек ответил утвердительно. Прямых вопросов о причастности к волне лжеминирований Би-би-си не задавала.
Судя по открытым данным, у него есть штрафы за превышение скорости на элитном спорткаре.
Би-би-си не удалось установить, является ли лжеминер и поволжский предприниматель одним и тем же лицом.
Возможных владельцев остальных четырех аккаунтов из списка деанонимизировать не удалось.
«Удалось по ним что-то собрать? У вас же есть СОРМ», — спросил корреспондент Би-би-си сотрудника правоохранительных органов (СОРМ-2 — государственная система протоколирования обращений к сети интернет, оборудование которой устанавливается у всех провайдеров).
«А у вас [журналистов] по Конституции свобода слова. И что?» — отшутился источник Би-би-си (он говорил на условиях анонимности, поскольку не уполномочен давать комментарии).
В МВД и ФСБ не ответили на официальные запросы Би-би-си.
Что мы знаем о лжеминере?
На нынешнем этапе больше всего о лжеминере могут сказать имена, которые он использует при регистрации электронных ящиков и отправке анонимных сообщений.
Би-би-си проанализировала несколько десятков писем, отправленных в петербургские и московские суды. Все имена можно разделить на три группы.
Первая группа — имена, связанные с историей вокруг краха биржи Wex.
Очередная эвакуация Басманного суда Москвы
Вторая — специфический трейдерский сленг.
Так, в конце января Солнцевский районный суд заминировал пользователь по имени «Коля Маржин». Margin call — принудительное закрытие позиций на торгах.
В декабре работе петербургских судов мешал человек по имени «Закупился Нахаях». Трейдеры используют это выражение при покупке активов по максимальной цене (от английского high — «высокий»).
Еще одно имя пользователя, выдающее принадлежность лжеминера миру трейдеров, — «Spasenie.Vnove». «Новой» в криптовалютных кругах называют одну из цифровых валют — «новакоин».
Третья группа имен связана с русским панк-роком. Так, долгое время лжеминер терроризировал петербургские суды с почты «Винтовка — это праздник». Именно так называется одна из песен «Гражданской обороны». А в московские суды приходили письма от пользователя «Летели Качели». Скорее всего, это цитата из другой песни Егора Летова — «Прыг-Скок».
А после новогодних праздников Кунцевский районный суд и станции московского метро «минировал» пользователь «Панки Хой».
Какой портрет можно составить из этих сообщений? Лжеминер — бывший клиент Wex, который давно занимается трейдингом и слушает панк-рок.
В одном из последних сообщений он пообещал, что, когда Роскомнадзор заблокирует все пригодные почтовые сервисы, он перейдет на звонки через IP-телефонию.
Би-би-си поинтересовалась у представителя Малофеева, готов ли предприниматель заплатить требуемую сумму, чтобы остановить лжеминирования. Ответа на этот вопрос не последовало.
Сам лжеминер утверждает, что люди Малофеева на него не выходили: «Наверное ему и так норм, его же [я] не эвакуирую».
На вопрос Би-би-си, откуда взялась цифра 120 биткоинов, которые он требует от Малофеева, человек, отвечавший с почтового адреса, использованного для лжеминирования, ответил: «Сумма четырех аккаунтов, немного округленная в большую сторону».
Он также иронично пожелал успеха правоохранительным органам в его поисках. «Удачи вычисляторам», — написал лжеминер.