— Игорь, сколько расследований, связанных с интернет-минированием различных объектов в России, провела ваша компания?
— Примерно десять расследований. Из них четыре были связаны именно с минированием. Начинали мы с «вексовского минёра» (личность в интересах следствия не раскрывается, известно только, что он гражданин Украины. — RT).
Этот человек рассылал письма с требованием вернуть ему 120 биткоинов, якобы похищенных при захвате управления криптовалютой биржи WAX. Он требовал, чтобы российский предприниматель Константин Малофеев вернул ему эти деньги.
Почти два года продолжалась активная работа этого минёра. В результате анализа фактической информации о выводе денежных средств мы установили его связь с группой хакеров. А эта группа, в свою очередь, имеет отношение к Силам специальных операций Украины. Это уже фактически подтверждённая информация.
— Как удалось это установить?
— Мы исследовали криптовалютные транзакции, потому что знали, что этому минёру поступала криптовалюта. Её отправляли специально, чтобы отследить.
Оказалось, что данная транзакция при выводе через несколько кошельков слилась с другими транзакциями. Они, в свою очередь, происходили из кошельков, на которые получался выкуп от действий одного вирус-шифровальщика (хакера, специализирующегося на взломе компьютерных файлов, их краже или блокировке с целью вымогательства. — RT).
Мы изучили этого вирус-шифровальщика и группы, которые ему помогали. Они пользовались несколькими электронными почтовыми ящиками. Выяснилось, что электронные адреса связаны с подразделением Сил специальных операций Украины.
— Но как вы отследили биткоин-кошельки? Они же анонимные.
— Биткоин-кошельки анонимные, но транзакции публичные. При помощи определённых методик мы выяснили, что деньги с этих кошельков выводились через одну из крупнейших криптовалютных бирж.
Исследование криптовалютных транзакций осуществляется до какого-то конкретного известного объекта. Это либо банкомат, либо обменник, либо физическое лицо (что редко бывает), либо криптобиржа. После этого в рамках определённых процедур посылается запрос на этот объект, а в ответ предоставляются данные пользователя, который осуществлял вывод.
Also on rt.com «Урегулирование мнимых трудностей»: что известно о создании национальных «кибервойск» на УкраинеТак устроено большинство исследований, связанных с криптовалютой. Всё остальное — это накопление и анализ больших данных. Например, анализируется база известных криптокошельков, которые принадлежат конкретным пользователям или используются на теневых площадках. Дальше применяются математические законы, которые позволяют относить новые кошельки к уже известным сущностям.
— Сколько интернет-минёров работают на спецслужбы Украины?
— Точный ответ дать сложно, я могу только предположить. По моему опыту, около двух десятков.
ССО Украины постоянно осуществляют поиск и вербовку молодёжи — как российской, так и за пределами нашей страны. И это опасно. Организуются закрытые сообщества как в Telegram, так и во «ВКонтакте». Появилось своеобразное течение — с одной стороны, субкультурное, а по факту организуемое как раз с той стороны. Вовлекают молодёжь именно в виртуальное минирование.
— Что происходит в этих закрытых группах?
— Обучение. Объясняют, как завести анонимный аккаунт, как обезопасить интернет-соединение, как воспользоваться анонимной почтой и виртуальной телефонией. А потом они в этих сообществах хвастаются, кто и что заминировал.
— Они получают за это деньги или им просто заняться нечем? Какая у них мотивация?
— Некоторые получают деньги. Мы изучали разные каналы, в том числе те, где публикуются личные данные: суицидальные, колумбайнерские, о минировании. А когда свели всё воедино, пришли к выводу, что все эти кейсы имеют общую корреляцию. И эта корреляция сводится к тому, что используются аффилированные криптокошельки.
То есть через одно-два колена они все оказываются связаны между собой. А над ними стоят другие криптокошельки, которые фигурируют в закрытых чатах даркнета. И в этих закрытых чатах непосредственно ведётся обсуждение координации работ, то есть кому и сколько отправлять.
Это верхний уровень управления. А оперативный уровень — это закрытые чаты во «ВКонтакте», в которых вербуются люди, выдаются задания или люди сами выкладывают выполненные задания.
— Удалось ли вам установить личности интернет-минёров, которые угрожали взрывами в нашей стране?
— Да. Есть одна группа в Telegram, её участники у нас давно идентифицированы. Информация была передана в правоохранительные органы.
— Что это за люди? Откуда они?
— Мы устанавливали физическое расположение их устройств. По большей части это Украина. Только один IP-адрес связан с Польшей.
В эту деятельность вовлекаются в том числе несовершеннолетние. Особенно никого уже и не удивить, что в таких чатах и каналах присутствуют и ведут активную работу ребята по 13—14 лет.