НЕ ДЛЯ СЛАБОНЕРВНЫХ! Самое крупное расследование в даркнете. Welcome to Video | Неразгаданные тайны | Часть 1
Волшебная палочка
Ранним осенним утром 2017 года в пригороде среднего класса на окраине Атланты Крис Янчевски стоял в одиночестве у дверей одного из домов. Он не был гостем в этом доме.
Несколькими мгновениями ранее вооруженные агенты службы внутренней безопасности, облачённые в бронежилеты, заняли позиции вокруг аккуратного двухэтажного кирпичного дома и постучали во входную дверь. А когда глава семьи, проживавший там, открыл ее, агенты ворвались внутрь. Янчевски, следователь по уголовным делам налоговой службы, тихо следовал за ними. Теперь он оказался в прихожей, в центре бурной деятельности, наблюдая, как агенты обыскивают помещение и изымают электронные устройства.
Они разделили семью, поместив отца, помощника директора местной средней школы и, по совместительству, объект своего расследования в одну комнату; его жену отвели в другую комнату; двух детей – в третью. Агент включил телевизор и поставил мультики «Клуб Микки Мауса», чтобы отвлечь детей от вторжения в их дом посторонних людей.
Янчевски участвовал в этом рейде только в качестве наблюдателя, гостя, прилетевшего из Вашингтона, округ Колумбия, чтобы смотреть и давать советы местной службе внутренней безопасности, пока её агенты выполняют свой приказ. Но именно расследование Янчевски привело агентов сюда, в этот самый обычный дом с ухоженным двором, расположенном среди других самых обычных домов, которые можно найти в любом месте Америки. Он привел их туда, основываясь на странной, зарождающейся форме улик. Янчевски следовал по звеньям блокчейна Биткойна, выстраивая эту цепочку до тех пор, пока она не соединила этот самый обычный дом с необычайно жестоким местом в Интернете, а затем соединила это место с сотнями других мужчин по всему миру. Все эти мужчины были замешаны в одном из самых громких и суровых киберпреступлений. Теперь все они находились в длинном списке целей Янчевски.
За последние несколько лет службы Янчевски, его напарник Тигран Гамбарян и небольшая группа следователей из растущего списка трехбуквенных американских агентств использовали новую технику расследования. Они отслеживали криптовалюту, которую когда-то представлялось невозможным отследить, чтобы начать раскрывать одно уголовное дело за другим. Ком уголовных дел достиг беспрецедентного, эпического масштаба. Но новые методы расследования никогда ранее не приводили их к делу, подобному этому, в котором судьбы стольких людей, как жертв, так и преступников, казалось, зависели от результатов этой новой формы судебной экспертизы. Утренние обыски в пригороде Атланты были первым этапом традиционного расследования Янчевски. Это было, как он позже выразился, «доказательством осуществимости концепции». Проверка концепции — это демонстрация практической осуществимости какого-либо метода, идеи, технологии, реализуемости с целью доказательства факта, что метод, идея или технология работают.
С того места, где Янчевски стоял перед домом, он мог слышать, как агенты национальной безопасности разговаривают с отцом семейства, который отвечал надтреснутым, смиренным голосом. В другой комнате он услышал, как агенты допрашивали жену этого человека; она отвечала, что да, она находила определенные изображения на компьютере своего мужа, но он сказал ей, что скачал их случайно, когда качал нелицензионную музыку. А в третьей комнате было слышно, как двое детей школьного возраста — детишки примерно такого же возраста, как и дети Янчевски — смотрят телевизор. Они попросили перекусить, по-видимому, не обращая внимания на трагедию, разворачивающуюся в их семье.
Янчевски помнит серьезность момента: их подозреваемым был администратор средней школы, муж и отец двоих детей. Был он виновен или невиновен, но обвинения, которые выдвигала против него группа агентов правоохранительных органов, — их простое присутствие в его доме — почти наверняка разрушили бы его жизнь.
Янчевски снова подумал о методе расследования, которое привело их в это место. Оно было подобно цифровой лозе, обнажающей скрытый слой незаконных связей, лежащих в основе видимого мира. Он надеялся, что фактам и уликам не удастся сбить его с пути.
В летний день в Лондоне несколькими месяцами ранее технологический предприниматель британского происхождения по имени Джонатан Левин вошел в непритязательную кирпичную штаб-квартиру британского Национального агентства по борьбе с преступностью (National Crime Agency, NCA) — британского эквивалента ФБР — расположенного на южном берегу Темзы. Дружелюбный агент провел его на второй этаж здания и через офисную кухню, предложив ему чашку чая. Левин согласился, как всегда делал при посещении NCA, и по традиции не стал вынимать чайный пакетик из чашки.
Двое мужчин сидели с чашками в руках за столом агента в группе кабинок. Левин находился здесь в рамках обычного визита к клиенту, чтобы узнать, как агент и его коллеги используют программное обеспечение, созданное компанией, соучредителем которой выступал Левин. Эта компания, Chainalysis, была первой в мире технологической фирмой, которая сосредоточилась исключительно на задаче, которая несколько лет назад могла показаться оксюмороном: отслеживание криптовалюты. NCA являлось одним из десятков правоохранительных органов по всему миру, которые научились использовать программное обеспечение Chainalysis, чтобы превратить наиболее предпочтительное средство торговли в среде цифрового преступного мира в его ахиллесову пяту.
Для начала давайте немного погрузимся в теорию блокчейна. Когда Биткойн впервые вышел на мировой рынок в 2008 году, одним из фундаментальных обещаний криптовалюты была абсолютная анонимность. Криптовалюта якобы раскрывала только то, какие монеты на каких биткойн-адресах находятся. В роли адресов выступали длинные уникальные строки букв и цифр — без какой-либо идентифицирующей информации о владельцах этих монет. Этот слой запутывания создал у многих первых его сторонников впечатление, что Биткойн может быть полностью анонимной интернет-валютой, которую так долго ждали либертарианские шифропанки и криптоанархисты: новый финансовый мир, где цифровые портфели, полные немаркированных банкнот, могут мгновенно переходить из рук в руки по всему миру.
Сатоши Накамото, таинственный создатель Биткойна, зашел так далеко, что написал в одном из первых электронных писем, описывающих криптовалюту, что «участники могут сохранять анонимность». В пятницу, 31 октября 2008 года, в электронном письме он также писал: «Я работаю над новой системой электронных денег, полностью одноранговой, без доверенной третьей стороны». И тысячи пользователей черных рынков темной паутины, таких как Silk Road, использовали биткойн в качестве своего центрального платежного механизма. Но парадоксальная правда о Биткойне, на которой Chainalysis построила свой бизнес, заключалась в следующем: каждый биткойн-платеж фиксируется в своей цепочке блоков, постоянной, неизменной и полностью общедоступной записи каждой транзакции в сети Биткойн. Блокчейн гарантирует, что монеты нельзя будет подделать, или потратить более одного раза. Однако это достигается за счет того, что все участники биткойн-экономики становятся свидетелями каждой транзакции. Каждый преступный платеж в некотором смысле оказывался на виду абсолютно у всех.
Через несколько лет после появления Биткойна академические исследователи безопасности, а затем и такие компании, как Chainalysis, начали отыскивать зияющие дыры в масках, разделяющих адреса пользователей Биткойна и их реальные личности. Они могли следить за биткойнами в блокчейне, перемещаясь с адреса на адрес, пока не находили тот, который можно было бы связать с известной личностью. В некоторых случаях следователь может узнать биткойн-адреса, совершив с ними транзакцию, подобно тому, как агент по борьбе с наркотиками, работающий под прикрытием, может провести контрольную закупку. В других случаях следователь может отследить монеты до учетной записи на бирже криптовалют, где финансовые правила требуют от пользователей подтверждения своей личности. Быстрый вызов в суд по поводу обмена от одного из клиентов Chainalysis в правоохранительных органах был достаточен, чтобы развеять любую иллюзию анонимности Биткойна.
Chainalysis объединил эти методы деанонимизации пользователей Биткойна с методами, которые позволили ему «кластерировать» адреса, показывая, что от десятков до миллионов адресов иногда принадлежали одному человеку или организации. Например, когда монеты с двух или более адресов были потрачены в одной транзакции, выяснилось, что тот, кто создал эту «многоходовую» транзакцию, должен иметь контроль над обоими адресами отправителя, что позволяет Chainalysis объединять их в одну транзакцию. В других случаях Chainalysis и ее пользователи могут исследовать «Peel Chain». Peel Chain — это метод отмывания крупных сумм криптовалюты посредством серии многочисленных транзакций. Украденные средства, как правило, распределяются злоумышленниками по двум отдельным адресам, каждый раз отнимая по небольшой сумме при последующем переводе. Этот процесс повторяется снова и снова, пока не достигнет пункта назначения.
Благодаря подобным уловкам Биткойн оказался практически противоположным тому, чем его позиционировали ранее: своего рода приманкой для крипто-преступников, которые годами добросовестно и нестираемо записывали доказательства своих грязных сделок. К 2017 году такие агентства, как ФБР, Управление по борьбе с наркотиками и отдел уголовных расследований налогового управления, отслеживали транзакции биткойнов для проведения одного успешного расследования за другим, очень часто при содействии Chainalysis.
Дела начинались с малого, а затем набирали бешеный размах. Следователи отследили операции двух коррумпированных федеральных агентов, чтобы показать, что до закрытия Silk Road, крупнейшего рынка в даркнете, в 2013 году один крал биткойны с этого рынка темной сети, а другой продавал данные правоохранительных органов создателю этого рынка Россу Ульбрихту. Затем они отследили биткойны на полмиллиарда долларов, украденные с онлайн-биржи Mt.Gox, и показали, что вырученные средства были отмыты российским администратором другой криптобиржи, BTC-e, серверы которая были обнаружены в Нью-Джерси. И, наконец, они пошли по следам биткойнов, чтобы установить личность основателя другого чёрного рынка AlphaBay, который был в 10 раз крупнее Silk Road.
На самом же деле, пока Левин сидел в Лондоне и разговаривал с агентом NCA за чашечкой чая, коалиция из полудюжины правоохранительных органов собиралась в Бангкоке, чтобы арестовать создателя AlphaBay, Александра Кейзеса. Его история заслуживает отдельного освещения, поскольку через несколько дней после ареста он нежданно-негаданно совершит самоубийство в собственной камере. Но об этом поговорим в следующий раз.
Левин, как всегда, с нетерпением ждал следующего крупного расследования Chainalysis. Пробежавшись с ним по нескольким открытым делам, агент NCA упомянул зловещий сайт в даркнете, который недавно попал в поле зрения агентства. Он назывался «Welcome to Video» (Добро пожаловать в видео).
Джонатан Левин был ошеломлен тем, что увидел: перед ним открылась целая сеть преступных платежей, которые должны были храниться в тайне.
Агентство NCA наткнулось на этот сайт в разгар расследования ужасного дела с участием преступника по имени Мэтью Фалдер. Ученый из Манчестера, Англия, Фалдер изображал из себя художника и выпрашивал обнаженные фотографии у незнакомцев в Интернете, а затем угрожал поделиться этими изображениями с семьей или друзьями жертвы, если те не станут снимать для него всё более унизительные и развратные фото. В конечном счете, он заставлял своих жертв совершать членовредительства и даже насиловать других на камеру. К моменту ареста в списке его жертв числилось более 50 человек, по крайней мере трое из которых пытались покончить жизнь самоубийством.
На компьютерах Фалдера NCA обнаружило, что он был зарегистрированным пользователем на сайте «Welcome to Video», преступного предприятия, которое своим масштабом затмило даже зверства Фалдера. Эта доказательная база затем перешла от группы NCA по расследованию эксплуатации детей к группе по компьютерным преступлениям, включая агента, занимающегося криптовалютами, за столом которого сейчас сидел Левин. «Welcome to Video», казалось, было одним из тех редких сайтов, которые продавали доступ к клипам сексуального насилия над детьми в обмен на биткойны. С первого взгляда было ясно, что его библиотека изображений и видео необычайно велика, и к ней обращалась — и часто добавляла совершенно новые материалы — огромная пользовательская база по всему миру.
Иногда известный как «детская порнография» класс изображений, которые распространялись на «Welcome to Video», все чаще стали называть «материалами сексуального насилия над детьми», чтобы развеять любые сомнения в том, что они связаны с актами насилия над детьми. Child sexual abuse material как его обычно сокращают CSAM, в течение многих лет представлял собой огромное скрытое течение даркнета, собрание тысяч веб-сайтов, защищенных анонимным программным обеспечением, таким как Tor и I2P. Эти инструменты анонимности, используемые миллионами людей во всем мире, стремящимися избежать онлайн-слежки, также стали служить теневой инфраструктурой для отвратительной сети злоупотреблений, которая очень часто мешала попыткам правоохранительных органов идентифицировать посетителей или администраторов сайтов с CSAM.
Агент NCA показал Левину биткойн-адрес, который, как определило агентство, был частью финансовой сети «Welcome to Video». Левин предложил загрузить его в программный инструмент крипто-отслеживания Chainalysis, известный как Reactor. Он поставил чашку чая, пододвинул стул к ноутбуку агента и начал составлять схему набора адресов сайта в блокчейне биткойнов, представляющих кошельки, на которые платформа «Welcome to Video» получала платежи от тысяч клиентов.
Левин был ошеломлен тем, что увидел: многие из пользователей этого сайта жестокого обращения с детьми — и, судя по всему, его администраторы — почти ничего не сделали, чтобы скрыть следы своих кошельков. Перед ним была раскрыта целая сеть преступных платежей, которые должны были храниться в тайне.
На протяжении многих лет Левин наблюдал, как некоторые операторы даркнета осваивали некоторые уловки, чтобы избежать отслеживания. Они проталкивали свои деньги через многочисленные промежуточные адреса или сервисы-миксеры, предназначенные для того, чтобы сбить с толку следователей, или использовали криптовалюту Monero, ориентированную на максимальную конфиденциальность транзакций. Но, взглянув в тот день на кластер «Welcome to Video» в офисе NCA, Левин сразу понял, что его пользователи гораздо наивнее. Многие просто покупали биткойны на биржах криптовалют, а затем отправили их прямо из своих кошельков в «Welcome to Video».
Содержимое кошельков веб-сайта, в свою очередь, было обработано всего на трёх биржах — Bithumb и Coinone в Южной Корее, и Huobi в Китае — где они были конвертированы обратно в традиционную валюту. Кто-то, казалось, постоянно использовал крупные транзакции с несколькими входами, чтобы вывести средства с сайта, а затем обналичить их. Это упростило работу Reactor’а по мгновенной и автоматической кластеризации тысяч адресов, определив, что все они принадлежат одной службе, которую Джонатан Левин теперь мог пометить в программном обеспечении как «Welcome to Video». Более того, Левин мог видеть, что созвездие бирж, окружающих этот кластер и подключенных к нему содержало данные, необходимые для идентификации широкого круга анонимных пользователей сайта — не только тех, кто обналичивал биткойны с сайта, но и тех, кто покупал биткойны для того, чтобы оплатить ими услуги, предоставляемые на этом сайте. Блокчейн-связь между «Welcome to Video» и ее клиентами была одной из самых явно инкриминирующих связей, свидетелем которых когда-либо был Левин.
Эти потребители сексуального насилия над детьми, казалось, были совершенно не готовы к современному состоянию финансовой криминалистики в блокчейне. Если взять за аналогию игру в кошки-мышки, в которую Левин играл годами, «Welcome to Video» походил на незадачливого грызуна, который никогда ранее не сталкивался с хищником.
Когда он сидел перед ноутбуком агента NCA, до Левина дошло, возможно, яснее, чем когда-либо прежде, что он живет в «золотой век» отслеживания криптовалюты — что исследователи блокчейнов, подобные Chainalysis, значительно опередили тех, на кого они были нацелены.
Увидев, что кто-то обналичивает большую часть доходов «Welcome to Video» через две биржи в Южной Корее, Левин уже догадался, что администратор сайта, скорее всего, находится в этой стране. Похоже, что многие пользователи сайта платили сайту напрямую с адресов, где они приобрели монеты, на таких биржах, как Coinbase и Circle, базирующихся в Соединенных Штатах. Для ликвидации этой глобальной сети жестокого обращения с детьми может потребоваться только привлечение другого правоохранительного органа в США или Корее, который может потребовать идентификационные данные от этих обменов. И Левин знал, куда нужно обратиться.
«У меня есть люди, которым это может быть интересно», — сказал он своему провожатому из NCA.
Но поначалу, собираясь уйти, Левин молча запомнил первые пять символов адреса «Welcome to Video», который ему показал агент. Программное обеспечение Chainalysis Reactor включало функцию, которая могла автоматически заполнять биткойн-адреса на основе их первых нескольких уникальных цифр или букв. Пяти знаков будет достаточно — это короткий пароль, который способен разблокировать живую карту глобального преступного заговора.