Данные и досье: как мы подтвердили факты о «Вагнергейте»

После ареста 33 наемников в Беларуси в июле 2020 года, имея сведения о том, что он стал результатом прерванной украинской спецоперации, команда Bellingcat решила начать съемки документального фильма о подоплеке этой дерзкой спецоперации. В августе 2020 года команда Bellingcat выяснила, что несколько высокопоставленных сотрудников Главного управления разведки Министерства обороны Украины (ГУР МОУ), в том числе его директор, были отстранены от работы всего через несколько дней после минских арестов.

Расследование «Вагнергейта», что нехарактерно для Bellingcat, во многом полагалось на источники, которые не могут быть названы, либо потому, что они попросили об анонимности, поскольку обсуждали секретную информацию, либо, в случае с российскими наемниками, из соображений их личной безопасности.

Однако методики исследования открытых источников все равно оказались очень полезны при критическом анализе заявлений этих людей.

Бывшие сотрудники ГУР МОУ

Команда Bellingcat связалась с двумя из этих сотрудников, попросив дать интервью для будущего фильма. Поначалу они отказывались, ссылаясь на правовые и моральные препятствия, а также на соображения национальной безопасности.

Однако в следующие несколько недель поднялась волна общественного интереса к неудавшейся спецоперации, которую СМИ окрестили «Вагнергейт». Она сопровождалась различными взаимопротиворечивыми версиями, некоторые из которых, по-видимому, являлись сознательной дезинформацией как от российских, так и от украинских источников.

Российские пропагандистские каналы представляли операцию как провал «активных мер» американской разведки, которые были направлены на подрыв отношений России и Беларуси. В этой российской версии роль Украины в операции представлялась вторичной и тривиальной, а сама операция подавалась как полный провал

Украинские политические партии, в свою очередь, использовали провал операции в собственных целях. Офис президента и лояльные депутаты Рады отрицали украинское происхождение операции и утверждали, что это была российская провокация «под чужим флагом». С другой стороны, оппозиционные партии и аффилированные с ними СМИ заявляли, что операцию активно саботировали люди из ближнего окружения президента, причем эти заявления не подкреплялись доказательствами.

Именно в такой атмосфере всеобщей дезинформации в начале осени 2020 года отстраненные от работы сотрудники разведки связались с Bellingcat и согласились обсудить детали операции. В течение нескольких дней они давали подробные интервью. Изначально они давались не под запись из-за правовой опасности темы тайных операций. Бывшие сотрудники рассказали подробную хронологию подготовительной и активной фаз операции.

Впоследствии, после слива украинским СМИ аудиозаписей собеседований с наемниками (отредактированных, чтобы замаскировать голос «Сергея Петровича»), мы обратились к тем же сотрудникам разведки и запросили неотредактированные оригиналы аудиозаписей, чтобы проверить их подлинность. Мы также запросили оригиналы файлов с документами и фотографиями, отправленных наемниками в рамках заявок о приеме на работу (многие из которых также ранее были слиты украинским СМИ). Мы получили большой набор аудиозаписей и документов, отправленных наемниками.

Из-за возможного конфликта интересов со стороны отстраненных от работы сотрудников, данные, предоставленные ими, следовало критически оценить и верифицировать.

Верификация изображений и PDF-файлов

Файлы по каждому наемнику пришли в трех подпапках: аудиозаписи, документы и (опционально) заполненные бланки.

В папке «Документы» содержались файлы (как правило, сканы или фотографии документов), присланные наемниками-соискателями. В папке «Бланки» содержались заполненные бланки заявок для ЧВК «МАР».

Во всех присланных документах, по-видимому, сохранились оригинальные метаданные, в том числе даты создания и изменения, а в некоторых случаях и геопривязка.

Согласно метаданным, эта фотография заполненного бланка была сделана с помощью телефона Redmi Note 4. На листе видна тень телефона, габариты и закругления углов которой соответствуют Redmi Note 4 (справа). Имя файла соответствует снимку, сделанному 3 июня 2020 года. Эта же дата содержится и в метаданных. Та же дата также указана на странице бланка с подписью. Данные геолокации указывают на Макеевку (город в 10 километрах от Донецка на востоке Украины). На бланке указан донецкий адрес, а из разговора «Шамана» с «Сергеем Петровичем» мы узнаем, что наемник проживает в Макеевке. Эти данные представляют собой редкий случай полной и взаимоподтверждающей информации, которая говорит о подлинности данных по этому наемнику.

Не все личные дела наемников содержали достаточно данных для такой всеобъемлющей верификации, однако в файлах, изученных Bellingcat, не обнаружилось данных, которые были бы противоречивы или очевидно не соответствовали действительности. Это касается и документов с более значимыми заявлениями, которые вероятнее всего стали бы объектом манипуляций.

Верификация аудиофайлов (записей звонков)

В архиве, который мы получили, содержалось 236 аудиофайлов по 72 разным наемникам. В эту выборку вошло около 40% тех, кто направили свои данные фиктивной ЧВК, в том числе все, кто были арестованы в Минске белорусскими спецслужбами.

Аудиофайлы были в основном в формате .ogg (контейнер), а некоторые — в формате .mp3. Ogg-файлы фактически оказались аудиофайлами, кодированными в формате Opus, который характерен для записи разговоров через приложение WhatsApp. Ogg-контейнер соответствовал результату скачивания из Web-версии WhatsApp.

Метаданные ogg-файлов ограничены, однако те, что там обнаружились, подтверждали, что они были созданы в WhatsApp. Характеристики звука на аудиозаписях показывают, что голос «Сергея Петрович» записывался в полном голосовом диапазоне непосредственно на микрофон возле него, а его собеседников слышно в ограниченном диапазоне телефонной линии, переданной на динамик телефона. Соответственно, звук записывался не на телефон, с которого делались звонки, но на другое устройство в одной комнате с «Сергеем Петровичем» — возможно, через приложение голосовых заметок или напрямую как голосовые заметки WhatsApp на другом телефоне. Кодирование в формат WhatsApp делалось не в тот же день, в какой имел место тот или иной звонок. Дата изменения многих аудиозаписей — 1 июня 2020 года, что может объясняться тем, что в тот день они все были отправлены с записывавшего телефона на другой телефон по Whatsapp.

Метаданные из .ogg-файла

Поскольку аудиофайлы закодированы, установить время их реального создания невозможно. Однако ни на одной из аудиозаписей нет следов редактирования, обрезки или склейки, а последовательность звонков представляется логичной. Например, в случае со звонками «Шаману» каждый последующий (пронумерованный) звонок логически вытекает из предыдущего.

Чтобы еще более уверенно подтвердить подлинность звонков, команда Bellingcat также позвонила на несколько номеров наемников, записи голосов которых у нас имелись. Телефонные номера были установлены с помощью сервисов, которые раскрывают владельцев телефонов по открытым источникам (начиная с агрегаторов вроде «Глаза Бога» и до приложений-телефонных справочников, таких как NumBuster и GetContact, а также мессенджера Telegram). Та же методика с применением нескольких независимых открытых баз данных с пользовательским контентом использовалась для идентификации многих сотрудников ФСБ, причастных к отравлению Алексея Навального в 2020 году.

Один из бывших наемников, которому мы позвонили (и который был среди задержанных в Минске), согласился поговорить с нами и поделиться своей историей при условии, что мы сохраним в тайне его имя. Это позволило нам сравнить его голос с аудиозаписями в папке с его именем. Характеристики голоса и интонации оказались идентичными. Подробное и более технически специализированное сравнение голосов представилось нам не нужным, учитывая, что этот человек также подтвердил, что трижды созванивался с человеком, которого считал «Сергеем Петровичем».

Верификация событий

Значительная часть версии событий, изложенной сотрудниками разведки, была подтверждена посредством уже верифицированных телефонных звонков и подборок документов. Другую часть удалось подтвердить посредством объективных данных из открытых источников.

Например, их слова о перебронировании билетов на самолет для наемников, которые сначала должны были вылетать 25 июля, а затем 30 июля 2020 года, можно подтвердить с помощью системы управления онлайн-заказами Turkish Airlines. Электронные билеты, предоставленные нам сотрудниками разведки, содержали номер, который получают любые клиенты при заказе билета. Это позволило провести простую проверку в онлайн-базе данных Turkish Airlines. В каждом случае мы увидели полное имя человека, на имя которого был заказан билет. Соответственно, так мы подтвердили даты заказов (15 июля для более ранних билетов и 24 июля для билетов, перебронированных на 30 июля), тем самым подтвердив еще один элемент хронологии, изложенной сотрудниками разведки.

Скриншот информации о рейсе в сравнении с данными, найденными с помощью онлайн-инструмента заказа билетов Turkish Airlines

Другие элементы повествования сотрудников удалось верифицировать по словам опрошенных наемников. Они независимо друг от друга и без наводящих вопросов описали в общих чертах одну и ту же хронологию событий, в том числе звонки-собеседования, смерть «Сергея Петровича», смену места назначения с Сирии на Венесуэлу, обстоятельства поездки в Минск, в том числе заминку на границе, перебронирование билетов и, как итог, задержание в Минске.

Единственная часть рассказов сотрудников разведки, которую нам не удалось независимо проверить, относится к описанным ими встречам, которые якобы проходили в Офисе президента в связи с решением отложить операцию. Мы не получили ни отрицания, ни подтверждения от Офиса президента Украины в ответ на вопросы об этих событиях, несмотря на неоднократные просьбы о комментарии.

Василий Бурба

Василий Бурба, бывший директор ГУР МОУ, отклонил вопросы Bellingcat, связанные с оперативными деталями спецоперации. Однако он подтвердил информацию, первоначально предоставленную Bellingcat двумя бывшими оперативниками ГУР МОУ, об обсуждениях, которые он имел в Администрации Президента, в частности, по поводу задержки операции. Поскольку единственными двумя другими свидетелями предполагаемого разговора были начальник Администрации Президента и Руслан Баранецкий, и ни один из них не согласился на интервью, Бурба был единственным источником этой конкретной информации. Эти данные были подтверждены только двумя его бывшими сотрудниками, которые заявили, что сразу после предполагаемых встреч они получили от него звонки с информацией.

Интервью с наемниками

Команда Bellingcat, как говорилось выше, обратилась к одному из людей, задержанных в Минске, который добровольно согласился дать интервью для этого расследования. Он согласился на (анонимизированное) видеоинтервью в Москве, а также на более чем 10 последующих интервью по телефону, которые потребовались, чтобы уточнить детали того, что он нам сообщил. Он также поделился с нами документами, включая электронные билеты и документы об обвинении, которые ему выдали в Беларуси.

Этот человек познакомил нас с еще одним членом группы наемников. Однако этот второй оказался менее разговорчив и внес значительно меньший вклад в расследование в целом. Он дал только одно интервью, где в основном рассказывал об истории боевых операций «ЧВК Вагнера». Третий член группы, которого первый из них привел на видеоинтервью, в последний момент передумал говорить на камеру и поэтому не был опрошен.

Не вполне ясно, каковы были мотива этого источника для разговора с Bellingcat. Это можно частично объяснить его желанием исправить некоторые ошибки в ранее опубликованных в СМИ материалах по этой теме (например, не все арестованные наемники служили в «ЧВК Вагнера» и не все участвовали в боях на Донбассе). Он также описывал разочарование в «ЧВК Вагнера» и хотел поделиться своим опытом. Однако нельзя отбрасывать версию, что его мотивы могли отвечать интересам российской пропаганды. К середине августа российские власти открыто говорили, что наемники попались на удочку зарубежных спецслужб, а российские государственные СМИ публиковали интервью с некоторыми задержанными. По-видимому, чтобы сохранить лицо, Кремль решил признать провал контрразведки, но при этом преуменьшить ценность разведданных, полученных украинскими спецслужбами, а также приписать операцию американской разведке.

Эти возможные пропагандистские цели были приняты во внимание при верификации данных от опрошенного наемника. Описание хронологии событий, а также документы, которые он предоставил, по-видимому, соответствовали данным, полученным из рассказов украинских спецслужбистов и из содержания телефонных переговоров. Кроме того, предоставленные им электронные билеты также удалось верифицировать с помощью инструмента управления заказами Turkish Airlines. Предъявленные в Беларуси обвинительные документы удалось верифицировать благодаря хактивистской группе «Киберпартизаны», которые получили доступ к полицейским базам данных Беларуси и смогли независимо получить обвинительное заключение с идентичными формулировками.

Выдержка из базы данных уголовных дел Беларуси, предоставлено «Белорусскими киберпартизанами»

Однако рассказ этого источника представлялся сомнительным в части его оценки важности разведданных, переданных Украине как им самим, так и другими наемниками, а также в части оценки профессионализма украинских спецслужб в контексте операции. Он описал только один телефонный разговор с «Сергеем Петровичем», в котором не было «чувствительных» данных о его боевом опыте. Однако в распоряжение Bellingcat поступили четыре телефонных звонка, в которых содержатся такие важные данные, как, например, признание, что во время его пребывания на востоке Украины в 2014 году у него имелся куратор из ФСБ.

Он также нелестно отзывался о достижении украинских спецслужб, выманивших наемников из России, объясняя этот успех совпадением: якобы в тот момент также шел и реальный процесс найма для охраны объектов «Роснефти» в Венесуэле. Российские спецслужбы, по его словам, ошибочно сочли, что украинская операция была частью этого реального процесса найма, то есть, как он утверждает, то, что их удалось выманить, объясняется простым везением украинских спецслужб.

Этот источник также утверждал, что практически никто из наемников не имел реального боевого опыта и не совершал преступления на Донбассе, и что многие из них преувеличивали свои военные заслуги, чтобы повысить шансы приема на работу. Однако это противоречит как данным от соискателей (включая награды и рекомендательные письма от командиров), так и независимо полученным данным об их деятельности на востоке Украины.

Несмотря на это, вклад этого источника оказался ценным, поскольку он представил документальное подтверждение версии разведчиков. Он также пролил свет на ранее неизвестный факт, что российские спецслужбы держали наемников на карантине в течение двух недель после возвращения в Россию и всё это время опрашивали их, пытаясь составить полную картину украинской спецоперации.

Разведданные от парламентской комиссии

В течение последних двух недель перед публикацией промежуточного отчета Временной следственной комиссии Верховной Рады Украины, которая частично занимается теми же вопросами, команду Bellingcat попросили верифицировать некоторые рассекреченные разведданные, предоставленные Комиссии. Эти два элемента данных якобы свидетельствовали о том, что российские и/или белорусские спецслужбы знали об украинской спецоперации или даже внедрились в нее.

Элемент данных 1

В первом из этих случаев рассекреченные данные говорили о том, что несколько наемников (которые в итоге не отправились в составе первой группы) в мае 2020 года связались с Федеральной службой безопасности (ФСБ) России, а впоследствии и с Главным разведывательным управлением (ГРУ) Генштаба РФ, раскрыв детали продолжавшейся вербовки и выразив сомнения в ее законности.

Это утверждение не получилось ни подтвердить, ни опровергнуть, так как оно было основано на в основном засекреченных разведданных, которые предоставлены не были. Однако версия, что один или более наемников обратились к российским спецслужбам, соответствует версии событий, описанный бывшими сотрудниками украинской разведки, которые говорили об инциденте, когда один разочарованный кандидат угрожал пожаловаться в ФСБ. Согласно версии разведчиков, это не привело к какому-либо активному вмешательству со стороны российских спецслужб, в том числе благодаря бывшему агенту ГРУ, завербованному Украиной, который должен был придать проекту вид легитимности.

Ранее другие кандидаты также выходили из процесса вербовки, хотя их кандидатуры и были одобрены (в том числе Дмитрий Григорян, считавшийся ценной целью для операции, и Игорь Тараканов, который уже был включен в группу, которая должна была вылетать первой). Возможно, они решили отказаться от работы, поскольку у них возникли сомнения в аутентичности или в безопасности этой вербовки.

Опрошенный нами наемник также рассказал, что он (как, возможно, и другие) связался со своим «куратором» из ФСБ, чтобы осведомиться о подлинности этой вербовки, на что ему ответили, что она заслуживает доверия. По его мнению, дело было в очень похожем реальном проекте вербовки в службу безопасности «Роснефти» в Венесуэле, который осуществлялся одновременно с украинской спецоперацией, что вызвало путаницу в контрразведке ФСБ.

Команда Bellingcat не обнаружила никаких свидетельств активных мер российских спецслужб по срыву операции. Таких свидетельств не было и в рассекреченной части разведданных, оказавшейся в распоряжении Комиссии Верховной Рады.

Элемент данных 2

Второй элемент данных касается возможного внедрения в спецоперацию сотрудников белорусских спецслужб. Среди рассекреченных доказательств этого утверждения была якобы настоящая личность наемника с белорусским паспортом, который якобы был агентом спецслужб Беларуси, работавшим под подставными документами.
Команда Bellingcat, воспользовавшись данными от «Белорусских партизан», выяснила, что вышеупомянутые разведданные неверны, и сообщила об этом Временной следственной комиссии, которая приняла это во внимание в своем отчете.

Другие сливы без источников

В ходе расследования команда Bellingcat анализировала документы, слитые в российские и украинские СМИ. По большей части нам удалось подтвердить их аутентичность.

Однако по другим каналам команде Bellingcat поступали и другие якобы слитые документы, которые при анализе оказались неаутентичными.

В одном случае предмет обсуждения и характер данных говорил о том, что источником неаутентичного документа могла послужить одна из украинских разведслужб — содержимое этого документа частично перекрывается с одним из элементов данных, переданных Временной следственной комиссии из украинской разведки (другим объяснением может быть то, что тот же ненадежный источник передал те же данные и украинским разведслужбам).

В этом анонимном сливе содержались якобы доказательства того, что член группы наемников с белорусским гражданством Андрей Бакунович на самом деле был другим лицом. В документе также было указано имя этого лица (команда Bellingcat не раскрывает это имя, поскольку оно принадлежит реальному лицу, не имеющему никакого отношения к этой истории). Согласно этой гипотезе, личность Бакуновича была подставной.

Кроме того, источник передал якобы фотографию лица, о котором идет речь.

Этот «слив» оказался фейком. Мы выяснили это на основании данных, полученных от хактивистской группы «Киберпартизаны». Тщательное изучение всех граждан Беларуси по имени Вадим С. показало, что человек, о котором говорится в этом докладе разведки, существует, однако на самом деле это другое лицо. Кроме того, по утверждению «киберпартизанов», личный номер, содержащийся в его паспорте, не только отсутствует в централизованной базе данных граждан Беларуси, но и не соответствует правилам создания таких номеров.

Наконец, фотография на этом якобы паспорте соответствует фотографии другого известного наемника (Павла Самарина). Неизвестно, каковы были мотивы этого фейкового «слива», а также как и почему он мог попасть к украинской разведке.