Российские неонацисты воруют криптовалюту через сайты по сбору средств для Вооруженных сил Украины (ВСУ) и компьютерные игры про «безжалостных роботов», а потом тратят ее на продолжение войны, пишет «Медуза».
Логотип украинского благотворительного фонда Happy New Life — раскрытые к небу ладони, на которых растет крона «древа жизни». Через свой сайт организация собирает средства на нужды ВСУ, беженцев — и даже на случай «радиационного заражения Европы». Последнее, по версии фонда, может быть спровоцировано ситуацией на Запорожской АЭС, которая с марта находится под контролем российских войск.
Фонд появился в июне 2022 года на основе волонтерской инициативы из Днепра, рассказал «Медузе» финансовый директор Happy New Life Даниэль Овчаренко. А «чтобы у организации было хоть какое-то лицо», добавляет он, для нее сделали «очень недорогой» сайт. Изображения украинских детей и военнослужащих на нем сопровождаются таким призывом: «Сегодня мы ведем борьбу с государством-террористом. И наша победа станет победой всего цивилизованного мира… Чтобы пересилить тьму, иногда достаточно зажечь свечу». Половину экрана по соседству c этой надписью занимает кнопка «Donate».
Как выяснила «Медуза», как минимум часть этих пожертвований могла уходить в прямо противоположном направлении. Не поддерживающему ВСУ украинскому фонду, а диверсионно-штурмовой разведывательной группе (ДШРГ) «Русич» — отряду русских неонацистов, воюющих в Украине на стороне российской армии. По крайней мере, именно им принадлежит криптокошелек, указанный на сайте Happy New Life как один из каналов помощи фонду. Об этом «Медузе» рассказал финансовый аналитик Артем Иргебаев, подробно изучивший криптовалютную инфраструктуру ДШРГ.
«Русич» известен своей жестокостью. Возглавляющий ДШРГ неонацист Алексей Мильчаков фотографировался на фоне искалеченных тел украинских военных, а телеграм-канал отряда открыто призывал пытать украинских военнопленных и убивать мирных жителей.
Как адрес кошелька «Русича» оказался на странице фонда, Овчаренко (которому сайт и принадлежит) не знает: раньше на этом месте стоял криптовалютный адрес Happy New Life.
«Кошелек для нужд фонда я заводил на MetaMask — и он у меня вообще другой, разве что первые три символа совпадают [с кошельком «Русича"]», — сказал Овчаренко «Медузе». И признался, что почти не занимался сайтом Happy New Life — тем более «не пересчитывал цифры в [указанном на главной странице ресурса криптовалютном] адресе».
А фонд настоящий?
Благотворительный фонд «Хеппiньюлайф» был зарегистрирован в Днепре 1 июня 2022 года. Это следует из документов украинского Единого государственного реестра юридических лиц, физических лиц-предпринимателей и общественных формирований, которые Даниэль Овчаренко передал «Медузе».
Предоставил Овчаренко и свидетельства того, что фонд ведет деятельность: например, прислал фотографии, где он с другими волонтерами Happy New Life развозит гуманитарную помощь. Еще больше отчетов о деятельности НКО можно найти в Facebook и телеграм-канале организации.
Указанный на сайте фонда украинский номер, согласно сервису NumВuster! и открытым данным, принадлежит именно Овчаренко.
«На сайте стоит имя мое, номер мой, — сказал Даниэль «Медузе». — Я был бы очень тупым мошенником, если бы через открыто принадлежащий мне ресурс прогонял какие-то деньги на ту [российскую] сторону».
«Русичи» могли взломать сайт Happy New Life — и просто подменить криптокошелек фонда, пояснил «Медузе» Иргебаев.
«Похожая история была с сайтом по продаже прокси-серверов, где оплата была в том числе криптой. Злоумышленник заменил адрес владельца сайта на свой собственный — и ресурс проработал так двое суток: люди отправляли деньги не продавцу серверов, а хакеру, — рассказывает аналитик. — Интернет-мошенники так регулярно делают, а «Русич», как выясняется, это группа с обширными «талантами» — и наемничество, и хакинг».
Средства на подложный криптокошелек фонда продолжают поступать. Согласно данным сервиса Etherscan.io, сейчас там остается, по нынешнему курсу Ethereum, больше семи тысяч долларов.
Хакинг на бронежилеты
В конце июля специалист по финансовым расследованиям Артем Иргебаев скачал с торрентов шутер Synthetik: Legion Rising («в мире, который захватили машины», «героя ждет мощное оружие… и уровни, полные безжалостных роботов», говорится в описании игры).
«Мы с товарищем скачали поиграть какой-то древний-древний шутер, который весит 700 мегабайт, — и заметили, что [после загрузки торрента на наших компьютерах] пошла какая-то нездоровая активность, — рассказал Иргебаев. — Отрубили интернет — и начали копать, что это за тип малвари и что она делает».
Вредоносная программа не воровала пароли, захватить учетные записи тоже не пыталась. Но при более пристальном изучении малвари Иргебаев «прямо в бинарном коде нашел несколько криптовалютных адресов».
Аналитику стало ясно, что программа — это clipboard malware, которая ворует у пользователя криптовалюту:
«Как это выглядит для жертвы. Допустим, вы хотите перевести денег своему товарищу. Вбивать его 32-значный криптовалютный адрес вручную — неблагодарное дело, поэтому вы просто копируете его из заметок прямо в свой кошелек или биржевый аккаунт. Адрес попадает в буфер обмена — и в этот момент малварь заменяет его на адрес злоумышленников. Так деньги уходят не туда, куда планировал пользователь, а мошенникам».
Иргебаев передал «Медузе» адреса, обнаруженные в коде вредоносной программы. Упоминания об их связи с clipboard malware есть на сайтах Bitcoinabuse.com и Checkbitcoinaddress.com, которые собирают жалобы на криптокошельки мошенников и шантажистов.
Эта же вредоносная программа совершала еще одно действие: автоматически устанавливала на зараженное устройство майнер криптовалюты. «И компьютер жертвы начинал добывать крипту», — пояснил Иргебаев.
Аналитик подчеркнул, что сначала вредоносная программа его не удивила: «Стандартный скам. Ничего выдающегося». Но потом Иргебаев загуглил содержавшиеся в ее коде криптовалютные адреса — и обнаружил, что они принадлежат не рядовым мошенникам, а контролируются воюющей в Украине группировкой «Русич».
«[Когда я загуглил адрес кошелька], в телеграме сразу вылезли посты из Z-каналов, где призывали жертвовать на обмундирование членов провоенной активистской группы «Русич», — рассказал Иргебаев. — Я-то думал, что русский хакинг — это вмешательство в американские выборы. А оказалось, это клипборд-малварь, чтобы собрать на бронежилет».
Оказавшиеся в криптокошельке ДШРГ средства действительно идут на поддержание боеспособности «Русича», замеченного на украинском фронте еще в апреле 2022 года (к сентябрю пять криптокошельков группы попали под американские санкции).
Согласно сообщениям из телеграм-канала самого отряда, за время войны «Русич» «работал» на харьковском и изюмско-славянском направлении, в том числе понес серьезные потери при «зачистке» села Долгенькое (речь, вероятно, идет о событиях июля 2022-го). Позже, в августе, группа штурмовала Марьинку — в том же месяце ее бойцы были ранены при столкновениях в Запорожье. В октябре в соцсетях подразделения появлялось видео, где ДШРГ ведет огонь по бригаде эвакуации ВСУ, спешащей к своей санитарной машине.
Неонацисты из даркнета
Вредоносная программа «Русича» попала на компьютер после загрузки торрента. Это значит, что отряд неонацистов должен был не только разработать нужную малварь, но и суметь внедрить ее в скачанный файл, то есть каким-то образом получить доступ к сайту с торрент-каталогом.
На самом деле, отметил Иргебаев, самому «Русичу» техническая экспертиза такого уровня могла не понадобиться. Скорее всего, боевики просто оплатили услуги профессиональных киберпреступников:
«Это называется cybercrime as a service: каждый этап преступления представляет из себя услугу, которую можно просто приобрести. Сначала ты покупаешь доступ к нужной программе на теневом форуме. Малварь обычно арендуется — например, по 200 долларов за месячную подписку). А чтобы это ПО установили себе потенциальные жертвы, можно тупо заплатить держателю торрент-каталога, чтобы он добавил в свои торренты вредоносный код».
В даркнете «Русич» завел знакомства не только с хакерами, но и с наркоторговцами — и, судя по данным кошельков отряда, между ними даже происходили какие-то сделки.
«С июля по октябрь 2022 года ДШРГ получила 1787 долларов с трех разных теневых маркетплейсов по продаже наркотиков», — пояснил Иргебаев.
Криптовалюты же анонимны?
Блокчейн — это открытая сеть, любой участник которой может изучить историю транзакций и установить пересылаемые между адресами суммы. «Это совершенно открытый массив данных, — говорит Иргебаев. — И зная один криптовалютный кошелек, я могу увидеть всех его контрагентов».
С другой стороны, блокчейн анонимен — и установить конкретного владельца кошелька сложно. Для решения этой проблемы — и для проведения финансовых расследований в области криптовалют — используют технологию кластеризации.
«Анализируя данные из блокчейна, мы можем определить кластер криптовалютных адресов, то есть набор адресов, который контролируется одной сущностью — компанией или человеком, — объясняет Иргебаев. — Криптовалютные адреса «Русича» на нескольких блокчейнах, например, объединены в кластер уже потому, что на них — как и на саму ДШРГ — наложены американские санкции».
Благодаря технологии кластеризации можно, зная только один анонимный кошелек, установить, к какой группе он принадлежит, то есть увидеть за набором символов реального контрагента.
«В инструментах вроде Chainalysis Reactor криптовалютные адреса выглядят уже не как последовательность из 32 знаков, а как поименованная сущность, — говорит Иргебаев. — И если ввести [в такой сервис] один идентификатор, вам покажут кластер целиком. То есть вы смотрите адрес какой-то криптобиржи — и софт сразу вам подсказывает, что это за биржа».
Анализируя кошельки группы «Русич», Иргебаев увидел, что этот набор активно взаимодействует с облаком криптовалютных адресов сразу нескольких даркнет-маркетплейсов.
«У теневых магазинов есть публичные адреса, которые доступны, в принципе, каждому исследователю, — объясняет исследователь. — То есть я знаю адреса «Русича» и знаю если не все, то большую часть адресов наркошопа. А затем просто смотрю пересечения. Так я могу точно сказать, сколько денег и с каких наркомаркетов им [ДШРГ] пришло».
Продавцы или администраторы этих даркнет-площадок могли тоже стать жертвой распространяемой «Русичем» вредоносной программы — а могли и просто оплачивать услуги группы, рассуждает Иргебаев. При этом «Медузе» не известно о случаях такого найма бойцов ДШРГ.
Есть и третья версия: те, кто отправлял деньги «Русичу», могли использовать маркетплейс из даркнета для анонимизации своего перевода.
«Теневые магазины работают как большие отмывочные, — объяснил Иргебаев. — При регистрации там у вас появляется личный счет, который можно пополнять, — но внутри шопа сделки совершаются уже не в криптовалюте, а с использованием внутреннего баланса площадки. То есть сама сделка между клиентом и продавцом уже не видна в блокчейне: можно зарегистрировать, что деньги ушли на маркетплейс, но откуда они ушли с маркетплейса, отследить невозможно».
Поэтому Иргебаев сумел зафиксировать суммы, которые «Русич» получал от даркнет-магазинов, — но не смог отследить, кому конкретно принадлежали эти деньги.
Сами члены ДШРГ тоже совершали покупки в даркнете — правда, совсем небольшие: например, 34 доллара со счетов «Русича» перевели маркетплейсу, где торгуют наркотиками. «Дань мефедроновому демону, наверное, — рассуждает Иргебаев. — За такую сумму можно купить грамм чего-то».
160 тысяч долларов «пожертвований»
Через криптовалютные кошельки «Русича» постоянно проходят крупные суммы. Только с майнинга на кошельки группы поступило около 1100 долларов, рассказал «Медузе» Иргебаев. Причем неизвестно, велась ли добыча криптовалюты честно — или весь доход сгенерировали майнеры, установленные на компьютеры жертв с помощью вредоносной программы.
Прямыми переводами на криптокошельки «Русича» пришло больше 160 тысяч долларов. В официальных объявлениях о краудфандинге группа указывала те же кошельки, куда приходят и заработки ДШРГ от хакинга. Однако Иргебаев не исключает, что «все эти транзакции и пополнения могут оказаться не добровольными пожертвованиями, а украденными с помощью малвари средствами»:
- на адрес «Русичей» на блокчейне Ethereum пришло 27,895704431 ETH (то есть больше 45 тысяч долларов) в 146 транзакциях. Среднее «пожертвование» — больше 300 долларов;
- на биткоин-кошелек ДШРГ пришло 2,26113377 BTC (то есть больше 47 тысяч долларов) в 433 транзакциях. Среднее «пожертвование» — около 108 долларов;
- на кошелек «Русича» на Ethereum Classic пришло 51,811099906 ETC, то есть около 1228 долларов;
- на кошелек стейблкоина USD Coin пришло 20 142,378595 USDC (то есть больше 20 тысяч долларов) в четырех транзакциях. Среднее «пожертвование» — пять тысяч долларов;
- на кошелек стейблкоина на блокчейне Ethereum пришла 51 тысяча USDT (то есть 51 тысяча долларов) в 49 транзакциях. Среднее «пожертвование» — чуть больше тысячи долларов.
Такие масштабы переводов и «средних» пожертвований заставили аналитика усомниться, что такие средства могли поступить на кошельки «Русича» от случайных жертвователей, просто увидевших в патриотических телеграм-каналах посты с призывом скинуться ДШРГ на обмундирование.
«Очень сомнительно для меня выглядят, например, «пожертвования» [размером] в 0,1 биткоина — это чуть больше двух тысяч долларов, — пришедшие одним переводом с какого-то биткоин-адреса, опустошенного этой транзакцией в ноль, — отметил Иргебаев. — То есть весь баланс был переведен «Русичам». И кошелек с тех пор не использовался».
«Медуза» спросила лидера «Русича» Алексея Мильчакова об этих суммах — а также о сделках с наркомагазинами, взломе сайта украинского благотворительного фонда и хищении криптовалюты с помощью вредоносной программы. И он все подтвердил:
«У нас имеются собственные IT-отдел и финансовый отдел, которые и занимаются теми операциями, о которых вы спросили. Да, в компетенции IT-отдела действительно входит взлом сайтов и других интернет-ресурсов противника, а также иные диверсии в информационной сфере, включая работу не только против бывшей так называемой «Украины» (действуем гораздо шире). И взлом упомянутого вами ресурса [сайта украинского фонда] - это всего лишь верхушка айсберга. А те сотрудники отдела, которые прямо влияют на смерти наибольшего количества людей в месяц, кстати, премируются весьма щедро.
Финансовый же отдел как раз занимается операциями, связанными с криптовалютами, драгоценными камнями, отмыванием денег (только вне РФ: мы уважаем законы нашей страны) и инкассацией, включая частые командировки к заинтересованным крупным спонсорам из числа теневых бизнесменов (Мексика, Гонконг, Сомали и т.д.). Проект получает огромную (по нашему мнению) поддержку от числа недовольных планетарной гегемонией США группировок, картелей и синдикатов».
Мильчаков добавил, что воюющие с Украиной россияне действительно могут получать донаты от продавцов наркотиков и сотрудничать с ними «по линии получения обезболивающих». По мнению Мильчакова, такие даркнет-маркетплейсы являются «настоящими патриотами России».
«Деньги подразделения лично я в руки не беру и не храню, — вместе с тем подчеркнул глава «Русича». — А исключительно указываю, на что их тратить».
Война в криптовалюте
Cобранные средства «Русич» тратит на лечение раненых и закупку всего необходимого для продолжения участия в войне: кровоостанавливающего средства «Элларга», раций «Моторола», шлемов, глушилок дронов, дизельных генераторов, зимней формы бренда Charintia, ичигов от компании «Поскряков», спальных мешков, термобелья, коптеров Mavic, прицелов на противотанковые гранатометы, печек-буржуек и систем охраны периметра «Кувшинка».
При этом с начала российского вторжения в Украину криптовалютный краудфандинг на военное снаряжение начали еще несколько групп:
- МОО «Вече» (аналитики из Elliptic установили, что организации пожертвовали 1,7 миллиона долларов, позже потраченных на поддержку армии самопровозглашенной ДНР);
- «Координационный центр помощи Новороссии» (на шесть его кошельков, по данным исследователей из TRM Labs, пришло больше 21 тысячи долларов);
- «патриотические» телеграм-каналы «Рыбарь» и «Romanov Лайт» — только последний, согласно отчету TRM Labs, собрал больше 174 тысяч долларов; средства были предназначены для нужд СОБРа.
Эти кампании, чаще всего начинавшиеся с постов в Telegram, за февраль — октябрь 2022 года позволили собрать на нужны воюющих в Украине российских отрядов как минимум четыре миллиона долларов. Так оценили суммарные криптовалютные пожертвования компании Chainalysis, Elliptic и TRM Labs, специализирующиеся на анализе блокчейна, а также расследователи с крупнейшей криптобиржи Binance.
«Когда убиваешь человека, чувствуешь азарт»
Сам «Русич» за время вторжения не только перешел на блокчейн (впрочем, не полностью), но и стал вести пропаганду криптовалют среди воюющих в Украине россиян. Так, в сентябре 2022 года ДШРГ предложила им зарабатывать в биткоинах на плененных — и убитых в плену — украинцах.
«Тела убитых… не отдавайте [просто] так, — инструктировала ДШРГ в своем телеграм-канале. — Делайте фото, чтоб видно было лицо, и предлагайте родне купить данные о месте захоронения сына, мужа и прочего за сумму от двух до пяти тысяч долларов. Деньги могут перевести на биткоин-кошелек».
Это только выдержка из целой инструкции «Русича» по допросам украинских военнопленных. Так, для получения необходимой информации группа предлагала применять пытки. «Отрубить пальцы, отрезать ухо, удары в область паха и суставов, загнать иголки под ногти, — перечислялось в соцсетях ДШРГ. — Не бойтесь убивать пленных!»
Предлагали бойцы «Русича» убивать и мирных жителей. Например, если те стали свидетелями, как российские военные где-то «накосячили». Призывали неонацисты и к этническим чисткам на захваченных территориях. «Все небелое население… должно быть физически уничтожено (часть — путем научных экспериментов)», — писали представители отряда в своем телеграм-канале (пост был быстро удален).
Лидеры ДШРГ не скрывают, что никогда не планировали соблюдать международные правила ведения боевых действий.
«Когда убиваешь человека, чувствуешь азарт охотничий. Кто не был на охоте — попробуйте», — делился лидер «Русича» Алексей Мильчаков в интервью, опубликованном еще в декабре 2020-го. До начала войны оставалось год и три месяца.