Третий месяц эвакуаций в России. Что известно о лжеминере?

Несмотря на попытки властей заблокировать почтовые сервисы, в России по-прежнему массово и почти ежедневно эвакуируют социальные объекты из-за сообщений об их минировании. Би-би-си узнала, что у следствия есть пять подозреваемых, но четверо из них до сих пор скрываются за никами.

Что происходит?

Массовая волна лжеминирований началась в России 28 ноября и продолжается почти каждый рабочий день. В общей сложности она затронула 16 регионов, сообщала ФСБ. Главные "пострадавшие" города - Москва и Петербург.

Всего по состоянию на конец января эвакуации подверглись почти 17 тысяч объектов, подсчитали ранее в ФСБ. Среди них - суды, детские сады, школы, торговые центры, храмы, редакции телеканалов и даже бассейны.

Общее число эвакуированных людей власти официально не называли. По данным Интерфакса, в одной Москве лжеминирования за два с половиной месяца затронули более 1,6 млн человек.

Во всех известных случаях сообщения о якобы заложенной бомбе приходят по электронной почте. Эти письма можно сравнить с ковровыми бомбардировками: в одно сообщение включается десятки или даже сотни объектов. Получателем, как правило, числится один из районных судов.

Так, только 27 января в Москве на предмет наличия взрывных устройство были обследованы более 700 объектов, в том числе 232 станции метро, 223 школы, 193 гостиницы, Центральный телеграф и храм Христа Спасителя, следует из справки столичного управления МВД (есть в распоряжении Би-би-си). Сообщений было гораздо меньше - ведь все эти организации были перечислены в 21 анонимном письме, которые пришли с одного и того же адреса в районные суды.

Что стало причиной минирований?

Хронология событий и содержание писем указывают, что лжеминер или лжеминеры могли начать свою кампанию после того, как прочитали расследование Би-би-си о причинах краха криптовалютной биржи Wex.

Wex - правопреемник биржи BTC-e, которая перестала работать после ареста в Греции россиянина Александра Винника летом 2017 года. По версии американских властей, Винник был одним из создателей площадки, через которую прошли от 4 до 9 млрд долларов в криптовалютном эквиваленте.

Биржа Wex заработала в сентябре 2017 года, ее запуском занимался возможный партнер Винника по BTC-e - житель Новосибирска Алексей Билюченко. Спустя год и эта площадка перестала обслуживать клиентов, на момент крушения на ней хранилось криптовалюты на 450 млн долларов.

15 ноября 2019 года Би-би-си опубликовала расследование, основанное на показаниях, данных Билюченко в рамках расследования уголовного дела о крахе Wex. По одной из версий, к управлению биржей могли иметь отношение структуры, близкие к православному предпринимателю Константину Малофееву.

Сам Малофеев всегда отрицал, что имел отношение к Wex.

Спустя две недели в петербургские и московские суды пришли первые анонимные сообщения о минировании. В одном из них, в частности, указывалось, что письма будут приходить до тех пор, пока "Константин Малофеев не вернет долг 120 биткоинов украденных с биржи Wex" (цитата по Объединенной пресс-службе судов Санкт-Петербурга).

Ультиматум дополнял адрес биткоин-кошелька и ссылка на расследование Би-би-си.

Впоследствии история с Wex неоднократно всплывала в сообщениях лжеминера: то он использовал фамилию "Малофеев" в имени отправителя, то, например, чуть видоизменял цитату из сериала "Ведьмак": "Пусть Малофей ведьмаку заплатит чеканной монетой".

В конце января он угрожал, что если "еще 1-2 недели Малофей поморозится с возвратом крипты", то эвакуации будут происходить "2 раза в день - утром и ближе к вечеру".

В начале февраля некоторые учреждения - например, петербургские районные суды - эвакуировались трижды в день.

Как власти борются с минированиями?

Почти два месяца российские власти не предпринимали никаких видимых шагов, чтобы остановить лжеминирования. А затем они решили блокировать почтовые сервисы, с помощью которых лжеминер рассылал сообщения. Об этом делала публичные заявления ФСБ.

Первым стал сервис Startmail - о его блокировке ФСБ сообщила 23 января. После этого лжеминер перешел на популярный среди журналистов-расследователей швейцарский Protonmail, издевательски используя в имени отправителя фамилию директора ФСБ Александра Бортникова: десятки тысяч людей были эвакуированы после писем от Mr.Bortnikov.

Protonmail в России заблокировали в самом конце января. В компании заявили, что российские власти не обращались по официальным каналам за информацией об аккаунтах, с которых шла массовая рассылка.

Лжеминера это не остановило: еще после блокировки Startmail он писал в ответ на вопросы Би-би-си, что знает десяток сервисов для анонимной рассылки писем, а еще "15-20" могут выполнять эту задачу "с нюансами".

После ограничения доступа к Protonmail письма пошли через сайт GuerrillaMail (буквально от английского - "почта партизанской войны"), который генерирует временный почтовый адрес. Затем лжеминер стал пользоваться сервисом Cock.li, внутри которого есть разнообразные почтовые поддомены, зачастую - с нецензурными названиями.

В пятницу, 7 февраля, оба сервиса также попали в реестр запрещенных сайтов, указано в соответствующем реестре Роскомнадзора. А в понедельник, 10 февраля, сообщения с угрозами вновь достигли московских и петербургских судов, затем наступила двухдневная тишина - впервые с 28 ноября.

В четверг, 13 февраля, в два районных суда Петербурга вновь пришли анонимки, причем в этот раз в имени пользователя содержалось оскорбительное обращение к Роскомнадзору.

Следующей мишенью надзорного ведомства, вероятно, может стать немецкий почтовый сервис Tutanota, который теперь использует лжеминер.

"[Лжеминирований не было два дня] из-за блокировки, что привела к краткосрочной деморализации" - так сам предполагаемый автор анонимок ответил на вопрос Би-би-си, отправленный ему по электронной почте.

Что есть у следствия?

В конце декабря 2019 года Би-би-си рассказывала о первых результатах работы правоохранительных органов.

Тогда источник, близкий к правоохранительным органам, говорил Би-би-си, что лжеминер - бывший клиент Wex, имеющий отношение к Украине. У него якобы был небольшой обменник по покупке и продаже криптовалюты, поэтому как минимум часть денег, зависших на бирже, принадлежали не ему, а другим людям.

Вычислить его удалось благодаря анализу базы биржи Wex, в которой искали тех, чей баланс был примерно равен 120 биткоинам - сумме, которую автор сообщений требует от Малофеева.

Два собеседника в руководстве мэрии Москвы также говорили Би-би-си, что сообщения поступают с территории Украины.

В пользу этой версии говорили и косвенные признаки. Так, в письменном общении с журналистами "Дождя" автор анонимок употребил словосочетание "рагуль православный". Его в основном используют на территории Украины в качестве синонима слова "быдло".

Кроме того, единственный рабочий день в декабре, когда не было лжеминирования, выпал на среду 25 декабря. На Украине это официальный праздник - Рождество.

Би-би-си уточнила информацию, полученную от источников в декабре. Анализ базы биржи, проведенный МВД и ФСБ, дал тогда список из пяти аккаунтов, рассказали два источника, близких к правоохранительным органам.

В базе искали тех, чей баланс на бирже был равен 120 биткоинам. При этом если человек хранил средства в других криптовалютах, то их переводили в биткоины по курсу на конец ноября, когда началась кампания по лжеминированиям, рассказал один из собеседников Би-би-си.

Специфика BTC-e, а потом и Wex заключалась в том, что для начала торгов на внушительные суммы достаточно было ввести адрес электронной почты. Би-би-си ознакомилась со списком аккаунтов, попавшими под подозрение: во всех случаях речь идет только о никах и почтовых адресах.

Из пяти адресов Би-би-си на основе открытых данных удалось деанонимизировать только один. Его владелец - молодой IT-предприниматель, живущий в одном из городов Поволожья и проведший детство на Западной Украине. По данным Би-би-си, его имя известно правоохранительным органам.

Молодой человек владеет небольшим онлайн-обменником, через который можно перевести электронные деньги из одной системы в другую или купить криптовалюту.

Кроме этого, на предпринимателя зарегистрированы несколько фирм, две из которых стали банкротами после краха биржи Wex. Среди них есть небольшая строительная компания, выручка которой в 2017 году составила около 60 млн рублей.

В настоящее время он находится на свободе в России. Корреспондент Би-би-си пообщался с ним через один из мессенджеров. На вопрос, все ли у него в порядке, этот человек ответил утвердительно. Прямых вопросов о причастности к волне лжеминирований Би-би-си не задавала.

Судя по открытым данным, у него есть штрафы за превышение скорости на элитном спорткаре.

Би-би-си не удалось установить, является ли лжеминер и поволжский предприниматель одним и тем же лицом.

Возможных владельцев остальных четырех аккаунтов из списка деанонимизировать не удалось.

"Удалось по ним что-то собрать? У вас же есть СОРМ", - спросил корреспондент Би-би-си сотрудника правоохранительных органов (СОРМ-2 - государственная система протоколирования обращений к сети интернет, оборудование которой устанавливается у всех провайдеров).

"А у вас [журналистов] по Конституции свобода слова. И что?" - отшутился источник Би-би-си (он говорил на условиях анонимности, поскольку не уполномочен давать комментарии).

В МВД и ФСБ не ответили на официальные запросы Би-би-си.

Что мы знаем о лжеминере?

На нынешнем этапе больше всего о лжеминере могут сказать имена, которые он использует при регистрации электронных ящиков и отправке анонимных сообщений.

Би-би-си проанализировала несколько десятков писем, отправленных в петербургские и московские суды. Все имена можно разделить на три группы.

Первая группа - имена, связанные с историей вокруг краха биржи Wex.

Вторая - специфический трейдерский сленг.

Так, в конце января Солнцевский районный суд заминировал пользователь по имени "Коля Маржин". Margin call - принудительное закрытие позиций на торгах.

В декабре работе петербургских судов мешал человек по имени "Закупился Нахаях". Трейдеры используют это выражение при покупке активов по максимальной цене (от английского high - "высокий").

Еще одно имя пользователя, выдающее принадлежность лжеминера миру трейдеров, - "Spasenie.Vnove". "Новой" в криптовалютных кругах называют одну из цифровых валют - "новакоин".

Третья группа имен связана с русским панк-роком. Так, долгое время лжеминер терроризировал петербургские суды с почты "Винтовка - это праздник". Именно так называется одна из песен "Гражданской обороны". А в московские суды приходили письма от пользователя "Летели Качели". Скорее всего, это цитата из другой песни Егора Летова - "Прыг-Скок".

А после новогодних праздников Кунцевский районный суд и станции московского метро "минировал" пользователь "Панки Хой".

Какой портрет можно составить из этих сообщений? Лжеминер - бывший клиент Wex, который давно занимается трейдингом и слушает панк-рок.

В одном из последних сообщений он пообещал, что, когда Роскомнадзор заблокирует все пригодные почтовые сервисы, он перейдет на звонки через IP-телефонию.

Би-би-си поинтересовалась у представителя Малофеева, готов ли предприниматель заплатить требуемую сумму, чтобы остановить лжеминирования. Ответа на этот вопрос не последовало.

Сам лжеминер утверждает, что люди Малофеева на него не выходили: "Наверное ему и так норм, его же [я] не эвакуирую".

На вопрос Би-би-си, откуда взялась цифра 120 биткоинов, которые он требует от Малофеева, человек, отвечавший с почтового адреса, использованного для лжеминирования, ответил: "Сумма четырех аккаунтов, немного округленная в большую сторону".

Он также иронично пожелал успеха правоохранительным органам в его поисках. "Удачи вычисляторам", - написал лжеминер.