Охота на охотников: как мы выследили ФСБшников, следивших за Навальным

Команда Bellingcat совместно с нашими партнерами из CNN, Der Spiegel и The Insider установила, что ФСБ много лет вела операцию по слежке за Алексеем Навальным, в которой участвовали различные эксперты по химическому оружию, причастные к разработке «Новичка». Как нам удалось обнаружить и верифицировать эту информацию? В этом материале мы подробно изложим методологию нашего расследования, а также коснемся вопросов российского рынка данных, перекрестной верификации и других тем.

Команда Bellingcat ранее установила роль ряда российских государственных научно-исследовательских институтов в разработке и производстве нервно-паралитических веществ для операций ГРУ за рубежом, в том числе отравления «Новичком» Сергея и Юлии Скрипалей в марте 2018 года и предшествовавшего ему отравления болгарского производителя оружия Емельяна Гебрева.

В ходе расследования возобновившейся российской программы химического оружия мы проанализировали метаданные телефонных номеров, которыми пользовались двое руководителей НЦ «Сигнал» — организации, которая, как мы выяснили, непосредственно причастна к разработке новых вариантов нервно-паралитических веществ и методов их применения. Мы обнаружили, что в течение нескольких месяцев перед отравлением Навального оба этих руководителя (Артур Жиров и Виктор Таранченко) общались со Станиславом Макшаковым, реже — с его начальниками в ФСБ Кириллом Васильевым и Владимиром Богдановым. Moreover, we had observed a surge in the communication between this group of FSB operatives

Наше расследование отравления Навального началось с того, что мы стали проверять, не было ли подобного всплеска общения руководства НЦ «Сигнал» и связанного с ГРУ института непосредственно перед отравлением Навального в Томске. Мы не увидели такой картины: единственный звонок от «Сигнала» сотруднику ГРУ (Сергею Чепуру) был 6 июля 2020 года. Однако при этом мы обнаружили гораздо более интенсивный всплеск общения руководства НЦ «Сигнал» с номерами, связанными с ФСБ. В частности, первый такой всплеск имел место в период с 29 июня по 7 июля 2020 года, пик пришелся на 6 июля. В этот день директор «Сигнала» Артур Жиров принял звонки от четверых разных сотрудников ФСБ, связанных с Институтом криминалистики, в том числе от полковника Станислава Макшакова и генерала Владимира Богданова. Кроме того, Жирову звонили по стационарному телефону отдела защищенных коммуникаций ФСБ.

Вооружившись этой информацией, мы начали поиски и в результате нашли команду офицеров ФСБ и экспертов в области химического оружия, которые следили за Алексеем Навальным с 2017 г.

Российский рынок данных

Большую часть информации, которую мы использовали для наших расследований, было бы невозможно найти в большинстве стран Запада. Однако в России она общедоступна либо бесплатно, либо по довольно скромной цене. Кроме того, российские поставщики услуг электронной почты, например Mail.ru или Rambler, а также социальные сети, такие как ВКонтакте, гораздо меньше заботятся о безопасности и неприкосновенности частной жизни, чем их западные аналоги. В результате регулярно происходят утечки данных, а сами сервисы снабжены мощными системами поиска.

Благодаря недостатку мер по защите данных в России, достаточно лишь креативного подхода к поиску в Google (или Яндексе) и криптовалюты на несколько сотен евро, которую нужно будет отправить через автоматическую платежную платформу, не особо отличающуюся от Amazon или Lexis Nexis, чтобы получить телефонные логи с геолокационными данными, записи о пассажирах или данные о прописке. Для записей, содержащихся в многогигабайтных файлах баз данных, которые пока не попали в интернет через торренты, имеется процветающий черный рынок купли-продажи данных. Обычно эти данные поставляют вручную сотрудники низшего звена в банках, телефонных компаниях и отделениях полиции. Зачастую эти торговцы данными, которые передают их перекупщикам или непосредственно клиентам, попадаются и привлекаются к уголовной ответственности. Другие записи можно получить с помощью автоматических сервисов на сайтах или ботах в Телеграме, тем самым полностью избавившись от необходимости получать личные данные через людей-посредников.

Например, чтобы найти огромное количество информации об Анатолии Чепиге, одном из двоих офицеров ГРУ, причастных к отравлению Сергея Скрипаля и его дочери, нужен только бот в Телеграме и около 10 евро. Через 2-3 минуты после ввода имени Анатолия Чепиги и оплаты через Google Pay или Яндекс.Деньги, популярный Телеграм-бот предоставит нам его дату рождения, номер паспорта, справку о судимости, госномер автомобиля, номер VIN, историю владения автомобилями, нарушений правил дорожного движения и частые места парковки в Москве. Ниже приведен пример такой базовой информации (основные личные данные скрыты).

Отредактированный скриншот личных данных отравителя Скрипалей Анатолия Чепиги. Среди данных — госномер автомобиля, номер(а) телефона, номер и год/место выдачи паспорта и дата рождения.

Подробнее о российском черном рынке данных см. это расследование Андрея Захарова для «Русской службы Би-Би-Си» https://www.bbc.com/news/world-europe-48348307, где журналист проверил работу этих рынков данных, чтобы оценить их точность и методы доставки информации. Он сумел купить запись о собственном паспорте примерно за 2000 рублей у торговца данными на онлайн-форуме. Поговорив с другим анонимным торговцем данными, который представлялся «детективным агентством», Захаров потратил «меньше 10 000 рублей», чтобы купить логи своего телефона и телефона одного из членов его семьи. Эти данные были верными и включали практически точное местоположение его и члена семьи в недавнее время.

Разумеется, этот рынок представляет опасность с точки зрения неприкосновенности частной жизни. Однако очевидно, как эту атмосферу мелкой коррупции и слабого государственного регулирования можно обернуть против сотрудников российских спецслужб. За несколько сотен евро можно (как многие неоднократно делали) получить данные телефонных звонков за много месяцев на офицера ФСБ или ГРУ, что позволяет расследователям отслеживать операции спецслужб, идентифицировать коллег объектов исследования и идти по следам шпионов в России и за рубежом

Ход нашего расследования

Чтобы установить личности офицеров ФСБ, причастных к операции против Навального, потребовалось поработать с уже упоминавшимися российскими слитыми базами данных, а также применить более традиционные методики исследования открытых источников. Далее мы расскажем, как мы нашли первые зацепки, изучили их, нашли новые данные и укрепились в уверенности в подлинности обнаруженных данных. Важно заметить, что для каждого найденного нами источника данных мы обязательно проверяем и подтверждаем его с помощью других источников. Имя, дату рождения, номер машины, номер паспорта и другие данные о том или ином лице можно подвергнуть перекрестной проверке по другим источникам, чтобы убедиться, что первый источник достоверен. Кроме того, большинство слитых источников сохраняются на момент слива. Таким образом, если кто-то попадет в СМИ в 2020 году, то слитая в 2016 году база данных уже будет недоступна российским властям и другим желающим ею манипулировать.

За последние несколько лет команда Bellingcat получила в свое распоряжение десятки слитых баз данных, что дает хорошую основу для перекрестной проверки и верификации новых данных, которые мы получаем. Если дата рождения офицера ФСБ в новом нашумевшем досье не соответствует дате рождения в базе данных регистрации автомобилей Московской области за 2013 год, то что-то не так. Однако мы редко сталкиваемся с такими проблемами, и в этом расследовании мы не встретились с подобными нестыковками.

Мы начали с того, что изучили списки пассажиров рейсов, параллельных рейсам, которыми летал Навальный. Мы приняли гипотезу, что сотрудники спецслужб вряд ли станут летать теми же самолетами, что и Навальный, а скорее полетят более ранним рейсом в тот же пункт назначения и вернутся в Москву вскоре после Навального. Навальный вылетел рейсом 1460 «Аэрофлота» из Москвы в Новосибирск 14 августа, а 20 августа — из Томска обратно в Москву. Об этом должен был знать любой сотрудник спецслужб или торговец данными с доступом к логам заказов билетов.

Зная это, мы изучили другие рейсы в Новосибирск 14 августа, в день прилета Навального, или днем ранее. Мы сопоставили этих пассажиров с теми, у которых были билеты на рейсы из Томска в Москву на 20 или 21 августа, в соответствии с маршрутом Навального. Поиск по этим параметрам вывел нас на Алексея Фролова, гражданина России 1980 года рождения, который купил билет на рейс из Москвы в Новосибирск на 13 августа (рейс 1460 «Аэрофлота», тот же, которым днем позже летел Навальный) и из Томска в Москву на 21 августа. Однако, хотя он и купил билет из Томска в Москву, он так и не сел на этот самолет — что логично, если учесть, что обратный рейс Навального сел в Омске, когда тот начал испытывать симптомы отравления.

Возможно, это выглядит натянуто, однако стоит помнить, что маршрут Фролова полностью соответствовал маршруту Навального, а также что из-за пандемии COVID-19 внутренними рейсами летает меньше пассажиров.

В рейсе Фролова в Москву было интересно то, что он был записан как попутчик еще двоих мужчин, что говорило о том, что их билеты были куплены совместно (то есть все три билета купил один человек). Этими двумя попутчиками были Владимир Паняев и Иван Спиридонов.

Итак, у нас было три имени потенциальных подозреваемых — мужчина по фамилии Фролов с тем же маршрутом, что и Навальный, за исключением того, что он прибыл днем раньше и должен был вылететь днем позже, и еще двое, которые должны были возвращаться с ним в Москву. Фролов и Спиридонов оказались «призраками» со всеми признаками подставных личностей: у них не было номеров налогоплательщиков (ИНН), истории владения автомобилями и прописки, однако они годами путешествовали по России. Паняев же, напротив, летел под настоящим именем. Поиск телефонного номера Паняева в приложении GetContact, которое собирает записи для одного номера в разных списках контактов, мы обнаружили, что у кого-то в телефоне он был записан как «ФСБ Владимир Александрович Паняев».

Скриншот списка из GetContact, где Паняев указан как «Владимир Паняев», «Паняев Владимир» и «ФСБ Владимир Александрович Паняев»

То, что один человек записал собеседника в телефоне как «ФСБ», не является убедительным доказательством, что это действительно сотрудник ФСБ, однако это хорошая зацепка, которая заставляет пристальнее присмотреться к троице, которая планировала втроем лететь из Томска в Москву: Паняеву, Фролову и Спиридонову.

Если взглянуть на логи авиабилетов Паняева, можно обнаружить золотую жилу: он летал вместе с Фроловым в Калининград в июле 2020 года — тогда же, когда и Навальный. Они также совместно летали в Астрахань в апреле 2017 года, куда Навальный должен был отправиться, прежде чем попал в больницу из-за нападенияс применением зеленки. Незадолго до перелета в Астрахань в апреле 2017 года они вместе летали в Челябинск, где на тот момент находился и Навальный.

В сентябре 2017 года Паняев также летал с человеком по имени Алексей Александров из Омска в Москву, что также совпало с перелетом Навального.

Очевидно, что либо имело место невероятное совпадение, либо Паняев и его коллеги следили за Навальным. Мы не нашли ничего о Фролове, кроме записей об его перелетах. Однако попутчик Паняева в Омске Алексей Александров показался нам знакомым. Алексей Александрович Александров родился 16 июня 1981 г, а Алексей Андреевич Фролов — 16 июня 1980 года. Девичья фамилия жены Александра, как мы узнали из социальных сетей, — Фролова. Изучив историю адресов регистрации Александрова, мы увидели, что ранее он был прописан по адресу Мичуринский, 25. Это жилое здание, которым часто пользуются курсанты Академии ФСБ, находящейся дальше по той же улице (Мичуринский, 70).

После изучения логов телефона Александрова ситуация становится понятна: Александров не заказывал билетов из своего дома в Москве перед отравлением Навального. «За него» это сделал Фролов. Однако метаданные его телефона показывают, что 14 августа, когда Навальный прибыл в Новосибирск, телефон Александрова связался с сотовой вышкой у гостиницы, где остановился Навальный. Впоследствии он еще раз включил своей телефон чуть позже полуночи 20 августа. Стало ясно, что он был в Томске, возле гостиницы Навального, всего через несколько часов после отравления. Как и «Фролов», Александров последовал за Навальным в Новосибирск 14 августа и должен был вылететь из Томска 20 августа. Такая же картина видна и для других мест, где сходятся данные о перелетах «Фролова» и Александрова. Очевидно, что Фролов — не настоящее лицо, а скорее подставная личность Александрова.

Уже отсюда можно строить хронологию того, кто с кем разговаривал, куда они ездили и т.п. Давайте подробнее рассмотрим несколько направлений расследования, которое позволило нам установить оперативную команду ФСБ.

Адрес регистрации автомобиля

15 и 16 августа, за несколько часов до отравления Навального, Александров/«Фролов» часто общался с московским номером, который заканчивался на -58. Поиск этого номера в популярном Телеграм-боте показывает, что он принадлежит Михаилу Швецу 1977 года рождения. Швец зарегистрировал свой автомобиль в 2019 году по адресу Трубецкая, 116 в Балашихе.

Информация из популярного телеграм-бота об автомобиле, связанном с номером, на который звонил Александров

Поиск адреса в Google Maps дает понять, что это явно не жилой дом, если только Швец — не богатый олигарх с целой армадой слуг, чьи машины припаркованы снаружи. На самом деле по адресу Трубецкая, 116 никто не живет. Это рабочий адрес Швеца — Центр специальных операций ФСБ

Центр специальных операций ФСБ по адресу Трубецкая, 116 в подмосковной Балашихе

Поиск этого адреса в слитой московской базе данных регистрации автомобилей показывает, что кроме Швеца, по адресу Трубецкая, 116 зарегистрировали свои автомобили еще 191 человек. Ни в одном из адресов регистрации не указан номер квартиры, все владельцы автомобилей родились с 1970 по 1997 гг (т.е. им от 30 до 50 лет), а 161 из 191 (84%) — мужчины. Это похоже на проколы ГРУ, сотрудники которого часто регистрируют автомобили на свой рабочий адрес.

Парковка как улика

25 августа, через несколько дней после отравления Навального, Александров/«Фролов» общался с московским телефонным номером, который заканчивается на -49. Поиск этого телефонного номера в популярном телеграм-боте, который собирает информацию об автомобилях, позволяет узнать, что обладатель этого номера оплатил сотни парковок одного и того же автомобиля в Москве.

Открытая база данных оплаты парковок в Москве, привязанная к различным телефонным логам Александрова

И этот автомобиль (поиск по госномеру), и телефонный номер связаны со Станиславом Валентиновичем Макшаковым.

Информация из популярного телеграм-бота, который показывает регистрационные данные, связанные с автомобилем, который парковал человек, использующий телефонный номер, с которым общался Александров.

Адрес регистрации Макшакова — Москва, Бригадирский переулок, 13. Это адрес регистрации 27-го Центрального научно-исследовательского института Минобороны РФ. Как мы установили в одном из предыдущих расследований, этот центр причастен к разработке и испытанию химического оружия. Его посещал сотрудник ГРУ во время подготовки к операциям за рубежом с применением химического оружия.

Макшаков указан как держатель патента на химическое вещество для учений о противодействии химическим атакам с применением иприта. Этот патент подала войсковая часть 61469 Вооруженных сил РФ — научно-медицинское подразделение, которое базируется в Саратовской области. Дальнейшее изучение телефонных логов Макшакова показывает, что он осуществлял контроль за операцией. Он работал в Шиханах Саратовской области, где был разработан «Новичок» и где базируется войсковая часть 61469.

Разбор полетов

Дальнейшее изучение логов телефонов и записей о перелетах позволяет составить подробную картину всей операции и состава команды ФСБ. Например, Александров в 2014 году летал вместе с неким Олегом Таякиным.

Рейс Москва (Внуково) — Омск 22 октября 2014 г, где Александров и Таякин указаны как попутчики

Поиск по номеру паспорта Таякина показывает, что в 2015 году он путешествовал вместе с Константином Кудрявцевым.

Рейс Москва (Домодедово) — Челябинск 18 сентября 2015 г, где Таякин и Кудрявцев указаны как попутчики

Александров в 2014 году летал с тем же Кудрявцевым. Как видим, круг замкнулся.

Рейс Москва (Внуково) — Махачкала 8 мая 2014 г, где Александров и Кудрявцев указаны как попутчики

Всех этих людей можно найти в логах звонков друг друга. Также они общались и путешествовали вместе с уже упомянутыми Макшаковым, Паняевым и «Спиридоновым» (настоящее имя — Иван Осипов), а также с другими сотрудниками, причастными к отравлению Алексея Навального

Предсказуемые легенды

Довольно просто установить алгоритм выбора подставных личностей для сотрудников ФСБ: та же дата/месяц рождения (но годом раньше или позже), а фамилия обычно совпадает с фамилией девушки или девичьей фамилией жены сотрудника. Например:

  • Алексей Александрович Александров (родился 16 июня 1981 г) стал Алексеем Андреевичем Фроловым, дата рождения — 16 июня 1980 года.
  • Иван Владимирович Осипов (род. 21 августа 1976 г) стал Иваном Васильевичем Спиридоновым (род. 21 августа 1975 г).
  • Константин Борисович Кудрявцев (род. 28 апреля 1980 г) стал Константином Евгеньевичем Соколовым (род. 28 апреля 1979 г).

Иногда есть исключения, но их все равно можно распознать:

  • Олег Борисович Таякин (род. 6 декабря 1980 г) помолодел ровно на шесть месяцев, став Олегом Васильевичем Тарасовым (род. 6 июня 1980 г).

Заключение

Потянув за одну ниточку, можно распутать целый клубок взаимопроверяемых данных и в итоге обнаружить, что отравление Навального было спланировано и осуществлено командой экспертов в области химического оружия и сотрудников ФСБ. Большая часть этих данных доступна благодаря халатности российских властей, — сложно себе представить, чтобы в Германии или Канаде каждый год сливали практически в открытый доступ базу данных регистрации автомобилей для целого города с паспортными данными, адресами, госномерами и другими данными, — а также благодаря беспечности самих сотрудников спецслужб.

ФСБ и ГРУ — амбициозные и опасные организации, однако конспирацией они не блещут. Больше не надо подбирать пакеты с информацией в темном парке или следовать по пятам за разведчиками в переулках, чтобы установить их личности. Достаточно только наблюдательности, терпения и представления о том, где искать источники слитых данных.

Автор: Арик Толер