За зламом пошти Бабченка стояли люди з "ДНР", які знімали фейки про бойовиків "ІД"

Копирайт изображения Reuters
Image caption Аркадій Бабченко (в центрі) відомий своєю радикальною критикою Кремля

У вересні в Twitter російського опозиційного журналіста Аркадія Бабченка, інсценування смерті якого навесні організувала Служба безпеки України (СБУ), з'явилося повідомлення про те, що його збираються затримати. Аккаунт журналіста був зламаний. ВВС дізналася, хто це міг зробити. Сліди ведуть до "ДНР".

Від "вбивства" до зламу

У травні 2018 року світові ЗМІ облетіли кадри з прес-конференції у Києві. На них зображені троє людей. У камуфляжі - керівник СБУ Василь Грицак. У синьому діловому костюмі - генпрокурор України Юрій Луценко.

У чорній толстовці з написом Journey ("подорож") між ними стояв російський опозиційний журналіст Аркадій Бабченко. Київ - вже третя його зупинка в еміграції після Чехії та Ізраїлю.

Журналістам пояснили, що три нічних постріли з Макарова і фото закривавленого пана Бабченка на порозі своєї квартири - інсценування, а людина, яка намагалася "замовити" журналіста, затримана і пов'язана з російськими спецслужбами. Це - український бізнесмен Борис Герман.

На суді пан Герман свідчив проти ще одного бізнесмена - В'ячеслава Пивоварника, який, імовірно, переховується у Росії.

Розслідування справи про замах на пана Бабченка офіційно завершили 13 вересня. Цьому передували дві дивні події.

12 вересня в інтернеті з'явилося відеозвернення пана Пивоварника: слідом за Борисом Германом він назвав себе колишнім позаштатним агентом СБУ, а також звинуватив українську спецслужбу у вибуху в будинку його батьків у закарпатському місті Чоп.

А 11 вересня хакери зламали пошту пана Бабченка на Mail.Ru і пов'язані з нею акаунти в соцмережах.

У Twitter Аркадія Бабченка з'явилося повідомлення: "Сьогодні мене хочуть незаконно затримати за вигаданим звинуваченням в шпигунстві. Всіх небайдужих прошу терміново прийти до мого будинку ..."

У "Живому журналі" від імені пана Бабченка оприлюднили "покаяння": він нібито зізнавався, що за завданням СБУ керував "спеціальною групою блогерів, що займалася вкиданням різних фальсифікатів".

Як зламали

Аркадій Бабченко розповів Російській службі Бі-бі-сі, що хакерам вдалося підібрати складний пароль приблизно з 12 символів. У його акаунтах в месенджері Skype і "Живому журналі" відобразилися мережеві адреси зловмисників, орендовані в Польщі та Словаччині.

Того ж дня, коли були зламані Twitter, "Живий журнал" та інші акаунти пана Бабченка, на одній із сторінок в соцмережі "ВКонтакте" з'явився відеозвіт про злам від імені хакерів "КіберБеркута".

Відразу після цього звіт хакерів перепублікували "Сводки от ополчения Новороссии" на сторінці "ВКонтакте" - у тій самій групі 17 липня 2014 року з'явилося повідомлення про "черговий птахопад", коли над Донбасом був збитий малайзійський Boeing 777. Анонімний автор вважав, що збили військово-транспортний літак Ан-26.

Щоб увійти до облікового запису пана Бабченка, хакери прив'язали до нього свій номер телефона, випливало із звіту. На відео номер заретушувано, однак менше ніж на секунду ця латка зникає (дефект міг з'явитися під час імпортування файлу). Першим це помітив консультант Школи цифрової безпеки DSS380 в Києві Павло Білоусов.

+380713001743

Зупинивши відео в потрібному місці, можна роздивитись номер телефона хакера: +380713001743. Цей номер з мережі мобільного оператора "Фенікс", який працює на території самопроголошеної "Донецької народної республіки" ("ДНР").

Два джерела, знайомі з ситуацією в "ДНР", сказали ВВС, що номери з комбінацією "071300" часто зустрічаються у представників спеціальних служб "ДНР": "міністерств" оборони, безпеки, внутрішніх справ, надзвичайних ситуацій, а також у особистої охорони лідера "ДНР".

Image caption Стоп-кадр з відео про злам Аркадія Бабченка: ввести телефон хакеру вдалося не з першого разу

ВВС знайшла підтвердження цієї інформації: номер телефона прес-секретаря "міністерства оборони ДНР" Данила Безсонова відрізняється від номера хакера лише однією з останніх цифр. І це, вочевидь, не випадково.

  • 34-річний уродженець Києва Данило Безсонов також відомий під ім'ям Данило Галицький і позивним "Гудвін". Пан Безсонов брав участь у перестрілках з українською армією і викладав фото на тлі полонених. До війни він був офіцером міліції, потім адвокатом. До заміни паспорта його звали Руслан Баклан. 2013 року колишні клієнти звинуватили пана Баклана в шахрайстві, а кваліфікаційно-дисциплінарна комісія адвокатури Київської області позбавила його статусу.

Данило Безсонов відмовився відповідати на запитання, пославшись на відсутність у ВВС акредитації ЗМІ у "ДНР".

Забув видалити файл

Номер телефона - не єдиний доказ, залишений хакерами.

У відеозвіті хакери показували, як вони нібито знаходять у хмарному сховищі даних пана Бабченка файл під назвою project з "листуванням журналіста із працівником СБУ", у якому той начебто вимагав від спецслужби 20 тисяч доларів за інсценування вбивства. Мовляв, Аркадій Бабченко скопіював його з месенджера у хмарне сховище Mail.Ru.

Image caption Державна "Росія 24" приділила обговоренню підробки майже сім хвилин

Після зламу пан Бабченко зв'язався з компанією Mail.Ru, яка допомогла відновити доступ до акаунтів. В кошику хмарного сховища лежав тот самий файл project. Хакер видалив його після запису відеозвіту, однак, схоже, забув видалити остаточно.

У властивостях файлу ВВС знайшла псевдонім автора - Fess Hally. В інтернеті ним користується лише одна людина, причому вже 15 років. Це 34-річний Павло Коренєв з "міністерства оборони ДНР".

2005 року пан Коренєв використовував цей нік на форумі судових медиків, де просив копію бланка медичного огляду для зйомок телепередачі. Він тоді працював на ВДТРК.

  • Павло Коренєв (справжнє прізвище - Єлізаров) захоплювався страйкболом, багато подорожував країнами СНД, а початок війни з Україною зустрів у Донецьку. На фото у соцмережах пан Коренєв позує то з автоматом, то з камерою. Кілька років тому Павло Коренєв зробив ревізію своїх фото "ВКонтакте", наклавши всюди, де видно його обличчя, стікер Censored.

Група Безсонова

У соцмережах можна знайти близько десяти спільних фото Коренєва і Безсонова. Крім того, на цих фото зображені їхні спільні колеги - Ден Леві і Даліант Максимус.

  • 23-річний Ден Леві (справжнє ім'я - Данило Богдан) нещодавно переїхав до Москви. Він називає себе колишнім працівником прес-служби "міноборони ДНР". Леві - автор більшості спільних фото групи.
  • ВВС вже писала про 30-річного організатора "Центру стратегічних ініціатив Новоросії" Даліанта Максимуса. Його справжнє ім'я - Іван Борозенний. Як і Данило Безсонов, Максимус раніше працював слідчим і певний час жив у Дніпрі. Улюблений жанр Максимуса - відеозвернення до українських силовиків.
Копирайт изображения DAN LEVY
Image caption Зліва направо: Данило Безсонов, Павло Коренєв, Ден Леві, Даліант Максимус

За допомогою фальшивих інфоприводів і відеороликів ці люди намагаються дискредитувати владу України і українських військовослужбовців.

Як вже писала ВВС, вони знімають постановочні відео із залученням масовки з донецьких силовиків.

Людина у шоломі

Ось неповний перелік проектів групи пана Безсонова з 2014 року:

  • Публікація відеороликів від імені "КіберБеркута", герой яких зображує лицаря з мечем і кобурою. На ньому - лицарський шолом і чорна форма. За даними ВВС, такий самий рідкісний шолом, стилізований під середньовіччя, Даліант Максимус придбав 2014 року.
  • Даліант Максимус позував і в іншому відео, де закликає українських силовиків здаватися - вже без шолома, але у такій самій формі і з тією ж кобурою.
  • "Русское освободительное движение" (РОД). Фальшива терористична організація, членами якої нібито є "російські неоязичники" і "бандерівці", брала на себе відповідальність за підпал житлового кварталу в Ростові-на-Дону в серпні 2017 року і вибух в магазині "Перехрестя" в Петербурзі в грудні того ж року. За даними слідства, до пожежі у Ростові призвела недбалість, в Петербурзі за вибух затримали чоловіка з психічним розладом.
  • "Проросійські партизани", які нібито діють у кількох містах України. У відеозверненнях "партизан" можна побачити тих самих людей, що й у відео РОД. В одному з відео "дніпропетровських партизан" міг знятися сам Данило Безсонов.

На хакері з відеозвіту про злам Аркадія Бабченка - такий самий лицарський шолом, що й у відео від імені "КіберБеркута".

Раніше Даліант Максимус не відповідав на запитання ВВС про постановочні відео, а після публікації написав: "РОД - це відверта провокація, не підтверджена фактами, яку на вуха не натягнеш!"

Після зламу пана Бабченка зв'язатися з Даліантом Максимусом не вдалося.

Кіно про "ІД"

2016 року ВВС писала про серію фото і відео, на яких були зображені нібито бойовики "Ісламської держави" у лавах українського батальйону "Азов". "КіберБеркут" стверджував, що це були матеріали із смартфона людини, що воювала на боці України. Фальшивку підхопили російські федеральні канали "Звезда" і "ТВ Центр".

Вивчивши фото пана Коренєва, ВВС виявила у нього такі ж окуляри і штани, як у фальшивих бойовиків "ІД". На штанах - камуфляжне зображення Multicam. Предмети одягу з Multicam схожі, однак дві пари штанів з однаковими принтами в одних і тих самих місцях - доволі рідкісне явище.

У ролі терориста міг знятися не Павло Коренєв, а інша людина, але у його речах.

Сценою для відео обрали колишній цех у Донецьку, до війни там був музей сучасного мистецтва "Ізоляція", після її початку - табір "міністерства держбезпеки ДНР".

Як розповів ВВС один з колишніх полонених з цього табору Дмитро Потєхін, раніше у цьому цеху також зберігали для перепродажу викрадені автомобілі.

Невдовзі після оприлюднення відео, у лютому 2016 року, Ден Леві виклав у себе в "ВКонтакте" фото з цього ангара. На ньому - квадрокоптер, яким Ден Леві керував для зйомок рекламного ролика "міністерства держбезпеки ДНР". Леві виклав фото з цеху невдовзі після того, як з'явився ролик з "бойовиками" ІД.

Ден Леві сказав ВВС, що, на його думку, на фото зображені різні цехи, але відмовився розвинути цю думку.

Петербурзький слід

2016 року розслідувачі з Bellingcat викрили фальшиві відеоролики, у яких шестеро з автоматами від імені "Азова" загрожують терактами жителям Нідерландів, якщо ті не підтримають на референдумі договір про асоціацію між Україною та Євросоюзом.

У Bellingcat вважали, що за цими відео стоїть петербурзька "фабрика тролів". Її влада США пов'язує з Євгеном Пригожиним - бізнесменом, якого ЗМІ називали "кухарем Путіна".

У понеділок, 1 жовтня, Аркадій Бабченко написав у Facebook, що вважає пана Пригожина можливим замовником замаху на себе. З боку Євгена Пригожина коментарів не було.

Як вважають у Bellingcat, одним з авторів міг бути 32-річний петербуржець Юрій Горчаков (той відкидає підозри на свою адресу). Пан Горчаков був членом кримського відділення "Національно-визвольного руху" разом з Даліантом Максимусом у 2014 році. І захоплювався страйкболом, як і Павло Коренєв.

Всі відео мали загальний механізм поширення - через мережу фальшивих акаунтів у соцмережах.

Пан Безсонов відмовився від коментарів, назвавши запитання ВВС провокаційними. Пан Коренєв заборонив публікувати свої коментарі.

"Розіп'яли і спалили"

У мережі є багато інших схожих відео з людьми у масках. ВВС поки не вдалося встановити їхній зв'язок з групою пана Безсонова. Ось як вони з'являлися:

  • Лютий 2015-року. Український батальйон "Донбас" нібито розстріляв ополченців. Єдина чітка деталь на відео - український прапор на автомобілі УАЗ.
  • Липень 2015-го. Серія фото, на яких невідомі у масках готуються до спалення ікон, яка ілюструє фальшиву історію про "розграбування храму бойовиками" Азова".
  • Квітень 2015-го. Відео, на якому "українські карателі розіп'яли і спалили ополченця". Переривається у момент, коли факел підносять до хреста.
  • Травень 2015-го. Відео, на якому "українські карателі повісили у лісі ополченця і його вагітну дружину (супроводжувалося прес-конференцією "міністерства оборони ДНР" і навіть публікацією на американському правому сайті Infowars).
  • Червень 2016-го. "Українські карателі живцем закопують ополченця".
  • Березень 2018-го. Люди у масках від імені "бандерівців" погрожують перенести війну на території Угорщини і Польщі і спалюють прапори цих країн.

Хто такі "КіберБеркут"

Під цим брендом працює кілька груп хакерів. Чи пов'язані вони між собою, достеменно невідомо.

Хакерська група, наразі відома як "КіберБеркут", з'явилася у лютому 2014 року під брендом Anonymous Ukraine і оголосила своєю метою боротьбу з нацизмом і фашизмом.

Група розміщувала списки сайтів для хакерських атак на CyberGuerrilla - головному сайті міжнародного руху Anonymous. Мішенями були переважно польські сайти.

У березні 2014 року на сайті "КіберБеркута" з'явився заклик вступати до кіберармії на восьми мовах. ВВС знає історію неповнолітнього австралійського хакера, який допомагав зламувати "сайти нацистів". Він відмовився відповідати на запитання ВВС.

Серед цілей "КіберБеркута" - сайти НАТО, німецький бундестаг, приватні військові компанії США, ЦВК України.

Група регулярно звітує про злам конфіденційного листування українських і західних політиків, але замість масивів листів публікує лише окремі документи, достовірність яких перевірити неможливо.

Головний ресурс "КіберБеркута" - сайт у доменній зоні org. Там з'являються звіти про злами і фальшиві документи.

Донецька філія "КіберБеркута" публікує фальшиві відеоролики і фальшиві документи у своєму акаунті у соцмережі "ВКонтакте".

По Аркадію Бабченку працювала саме філія. Витівки групи Безсонова нагадують самодіяльність. Проте сам він вважає, що "замовник" його вбивства - людина набагато більш могутня, ніж четверо інформаційних активістів із значним запасом військового реквізиту.

Оригінал статті читайте тут.

Новини на цю ж тему