Почту Аркадия Бабченко могли взломать люди из ДНР, снимавшие фейки о боевиках ИГ

  • Андрей Сошников
  • Би-би-си
Аркадий Бабченко

Автор фото, Reuters

Подпись к фото, Аркадий Бабченко (в центре) известен как радикальный критик Кремля

В сентябре аккаунт российского оппозиционного журналиста Аркадия Бабченко в "Твиттере" был взломан. От лица журналиста хакеры опубликовали сообщение о его якобы готовящемся задержании, а также письмо с раскаянием. Би-би-си попыталась выяснить, кто это мог сделать. Следы привели в ДНР.

В мае 2018 года мировые СМИ облетели кадры с пресс-конференции в Киеве. На них запечатлены трое. В камуфляже - глава Службы безопасности Украины (СБУ) Василий Грицак. В синем деловом костюме - генпрокурор Украины Юрий Луценко.

В черной толстовке с надписью Journey ("путешествие") между ними стоял российский оппозиционный журналист и публицист Аркадий Бабченко. Киев - уже третья его остановка в эмиграции после Чехии и Израиля.

Журналистам объяснили, что три ночных выстрела из пистолета Макарова и фото окровавленного Бабченко на пороге его квартиры - инсценировка, а человек, пытавшийся заказать убийство журналиста, задержан и обвиняется в связях с российскими спецслужбами. Это украинский бизнесмен Борис Герман.

На суде Герман дал показания против еще одного бизнесмена - Вячеслава Пивоварника, который предположительно скрывается в России.

Расследование дела о покушении на Аркадия Бабченко официально закончилось 13 сентября.

Этому предшествовало два странных события.

12 сентября в интернете появилось видеообращение Пивоварника: вслед за Германом он назвал себя бывшим внештатным агентом СБУ, а также обвинил украинскую спецслужбу во взрыве в доме его родителей в закарпатском городе Чоп.

А 11 сентября хакеры взломали электронный почтовый ящик Бабченко на Mail.Ru и связанные с этим адресом аккаунты в соцсетях.

В "Твиттере" Бабченко появилось сообщение: "Сегодня меня хотят незаконно задержать по вымышленному обвинению в шпионаже. Всех неравнодушных прошу срочно прийти к моему дому…"

На странице Бабченко в "Живом журнале" от его имени было опубликовано "покаяние": он якобы признавался, что по заданию СБУ руководил "специальной группой блогеров, занимавшейся вбросами разных фальсификатов".

Как взломали аккаунты Бабченко

Пропустить контент из YouTube, 1
Разрешить контент Google YouTube?

Этот материал содержит контент, предоставленный Google YouTube. Мы просим вашего разрешения до загрузки, потому что он может использовать кукис и другие технологии. Вы можете ознакомиться с правилами кукис и политикой личных данных Google YouTube, прежде чем дать согласие. Чтобы увидеть этот контент, выберите “Согласиться и продолжить”.

Внимание: Контент других сайтов может содержать рекламу.

Контент из YouTube окончен, 1

Пропустить Реклама подкастов и продолжить чтение.
Что это было?

Мы быстро, просто и понятно объясняем, что случилось, почему это важно и что будет дальше.

эпизоды

Конец истории Реклама подкастов

Журналист рассказал Русской службе Би-би-си, что хакерам удалось подобрать сложный пароль примерно из 12 символов. В его аккаунтах в "Скайпе" и "Живом журнале" отобразились сетевые адреса злоумышленников, арендованные в Польше и Словакии.

В тот же день, когда были взломаны "Твиттер", "Живой журнал" и другие аккаунты Бабченко, на одной из страниц в соцсети "ВКонтакте" появился видеоотчет о взломе от имени хакеров "Киберберкут".

Сразу после этого отчет хакеров переопубликовали в группе "Сводки от ополчения Новороссии" во "ВКонтакте" - эта группа известна тем, что именно в ней 17 июля 2014 года появилось сообщение об "очередном птичкопаде", когда над Донбассом был сбит малайзийский "Боинг" MH17. Анонимный автор считал, что был сбит украинский военно-транспортный самолет Ан-26.

Чтобы войти в аккаунт Бабченко, хакеры привязали к нему свой номер телефона, следовало из отчета. На видео номер заретуширован, но меньше чем на секунду эта заплатка исчезает (дефект мог появиться при импорте файла).

Первым это заметил консультант Школы цифровой безопасности DSS380 в Киеве Павел Белоусов.

+380713001743

Остановив видео в нужном месте, можно разглядеть номер телефона хакера: +380713001743. Этот номер из сети мобильного оператора "Феникс", который работает на территории, подконтрольной самопровозглашенной Донецкой народной республике (ДНР).

Два источника, знакомые с ситуацией в ДНР, сказали Би-би-си, что номера с сочетанием "071300" часто встречаются у представителей силовых служб ДНР: "министерств" обороны, безопасности, внутренних дел, чрезвычайных ситуаций, а также у личной охраны главы этого образования.

Номер телефона
Подпись к фото, Стоп-кадр из видео про взлом почты Бабченко: ввести телефон хакеру удалось не с первого раза

Би-би-си нашла этому подтверждение: номер телефона пресс-секретаря "министерства обороны" ДНР Даниила Безсонова отличается от номера хакера лишь на одну из последних цифр. И это, скорее всего, не случайно.

  • 34-летний уроженец Киева Даниил Безсонов также известен под именем Даниил Галицкий и позывным "Гудвин". Безсонов участвовал в боестолкновениях с украинской армией и выкладывал в соцсетях свои фото на фоне пленных. До войны он был сотрудником милиции, затем адвокатом. До замены паспорта его звали Руслан Баклан. В 2013 году бывшие клиенты обвинили Баклана в мошенничестве, а квалификационно-дисциплинарная комиссия адвокатуры Киевской области лишила его статуса.

Безсонов отказался отвечать на наши вопросы, сославшись на отсутствие у Би-би-си аккредитации СМИ в ДНР.

Забыл удалить файл

Номер телефона - не единственная улика, оставленная хакерами.

В видеоотчете хакеры показывали, как они якобы находят в облачном хранилище Бабченко файл под названием project с "перепиской журналиста с сотрудником СБУ", в которой тот будто бы требовал от спецслужбы 20 тысяч долларов за инсценировку убийства.

Взломщики утверждали, что Бабченко скопировал ее из мессенджера в облачное хранилище Mail.Ru.

Россия 24
Подпись к фото, Государственная "Россия 24" уделила обсуждению фальшивки почти семь минут

После взлома Бабченко связался с компанией Mail.Ru, которая помогла восстановить доступ к аккаунтам. В корзине облачного хранилища лежал тот самый файл project. Хакер удалил его после записи видеоотчета, но, судя по всему, забыл или не успел очистить корзину.

В свойствах файла Би-би-си нашла псевдоним автора - Fess Hally. В интернете им пользуется только один человек, причем уже 15 лет. Это 34-летний Павел Коренев из "министерства обороны" ДНР.

В 2005 году Коренев использовал этот ник на форуме судебных медиков, где просил копию бланка медицинского освидетельствования для съемок телепередачи. Он тогда работал на ВГТРК.

  • Коренев (настоящая фамилия - Елизаров) увлекался страйкболом, много путешествовал по странам СНГ, а начало конфликта на востоке Украины встретил в Донецке. На фото в соцсетях Коренев позирует то с автоматом, то с видеокамерой. Пару лет назад Коренев провел ревизию своих фото во "ВКонтакте", наложив везде, где видно его лицо, стикер Censored.

Группа Безсонова

В соцсетях можно найти около десятка совместных фото Коренева и Безсонова. Также на этих фотографиях запечатлены их общие коллеги - Дэн Леви и Далиант Максимус.

  • 23-летний Дэн Леви (настоящее имя - Даниил Богдан) недавно переехал в Москву. Он называет себя бывшим сотрудником пресс-службы "минобороны ДНР". Леви - автор большинства совместных фото группы.
  • Би-би-си уже писала о 30-летнем создателе "Центра стратегических инициатив Новороссии" Далианте Максимусе. Его настоящее имя - Иван Борозенный. Как и Безсонов, Максимус раньше работал следователем и какое-то время жил в Днепре. Любимый жанр Максимуса - видеообращения к украинским силовикам.
Слева направо: Безсонов, Коренев, Леви, Максимус

Автор фото, DAN LEVY

Подпись к фото, Слева направо: Безсонов, Коренев, Леви, Максимус

С помощью фальшивых инфоповодов и видеороликов эти люди пытаются дискредитировать власти Украины и украинских военнослужащих.

Как уже писала Би-би-си, они снимают постановочные видео, привлекая массовку из числа донецких силовиков.

Человек в шлеме

Вот неполный список проектов группы Безсонова с 2014 года:

  • Публикация видеороликов от имени "Киберберкута", герой которых изображает рыцаря с мечом и набедренной кобурой. Он одет в рыцарский шлем и черную форму. По данным Би-би-си, такой же редкий шлем, стилизованный под средневековье, Далиант Максимус приобрел в 2014 году.
  • Далиант Максимус позировал и в другом видео, где призывал украинских военных сдаваться - уже без шлема, но в такой же форме и с такой же кобурой.
Maximus
  • "Русское освободительное движение" (РОД). Фальшивая террористическая организация, якобы составленная из "русских неоязычников" и "бандеровцев", брала на себя ответственность за поджог жилого квартала в Ростове-на-Дону в августе 2017 года и взрыв в магазине "Перекресток" в Петербурге в декабре того же года. По данном следствия, к пожару в Ростове привела халатность, в Петербурге за взрыв был задержан человек с психическим расстройством.
  • "Пророссийские партизаны", якобы действующие в нескольких городах Украины. В видеообращениях "партизан" можно разглядеть тех же людей, что и в видео РОД. В одном из роликов "днепропетровских партизан" мог сняться сам Безсонов.
Пропустить контент из YouTube, 2

Контент недоступен

Смотреть еще в YouTubeБи-би-си не несёт ответственности за содержание других сайтов.

Контент из YouTube окончен, 2

Bezsonov

Хакер из видеоотчета о взломе Бабченко носит тот же рыцарский шлем, как в видеороликах от имени "Киберберкута".

Ранее Далиант Максимус не отвечал на вопросы Би-би-си о постановочных видео, а после публикации написал: "РОД - это откровенная провокация, не подтвержденная фактами, которую на уши не натянешь!"

После взлома Бабченко связаться с Далиантом Максимусом не удалось.

Кино об ИГ

В 2016 году Би-би-си писала о серии фото и видео, на которых были изображены якобы боевики группировки "Исламское государство" (ИГ, запрещена в России) в рядах украинского батальона "Азов". "Киберберкут" утверждал, что это были материалы со смартфона человека, воевавшего на стороне Украины.

Фальшивку подхватили российские федеральные каналы "Звезда" и "ТВ Центр".

Изучив фото Коренева, Би-би-си нашла у него такие же очки и штаны, как у фальшивых боевиков ИГ. На штанах - камуфляжный рисунок "мультикам". Предметы одежды с "мультикамом" похожи друг на друга, но две пары штанов с одинаковыми узорами в одних и тех же местах - довольно редкое явление.

Korenev

В роли террориста мог сняться не Коренев, а другой человек, но в его вещах.

Сценой для ролика выбрали бывший цех в Донецке: до войны в нем размещался музей современного искусства "Изоляция", после ее начала - лагерь "министерства госбезопасности" ДНР.

Как рассказал Би-би-си один из бывших пленных из этого лагеря Дмитрий Потехин, в цеху среди прочего держали похищенные автомобили.

Вскоре после появления ролика, в феврале 2016 года, Дэн Леви выложил у себя во "ВКонтакте" фото из этого ангара. На нем - квадрокоптер, которым Леви управлял для съемок рекламного ролика "министерства госбезопасности" ДНР. Леви выложил фото из цеха вскоре после того, как появился ролик с "боевиками" ИГ.

Леви сказал Би-би-си, что, по его мнению, на фото изображены разные цеха, но отказался развить эту мысль.

Levi

Петербургский след

В 2016 году расследователи из Bellingcat разоблачили фальшивые видеоролики, в котором шестеро с автоматами от имени "Азова" угрожают терактами жителям Нидерландов, если те не поддержат на референдуме договор об ассоциации между Украиной и Евросоюзом.

В Bellingcat считали, что за этими роликами стоит петербургская "фабрика троллей". Ее власти США связывают с Евгением Пригожиным - бизнесменом, которого СМИ называли "поваром Путина".

В понедельник, 1 октября, Бабченко рассказал в "Фейсбуке", почему считает Пригожина возможным заказчиком покушения на себя. Со стороны Пригожина комментариев не последовало.

Как считают в Bellingcat, одним из авторов мог быть 32-летний петербуржец Юрий Горчаков (тот отвергает подозрения в свой адрес). Горчаков состоял в крымском отделении "Национально-освободительного движения" одновременно с Далиантом Максимусом в 2014 году и увлекался страйкболом, как и Павел Коренев.

У всех роликов был и общий механизм распространения - через сеть фальшивых аккаунтов в соцсетях.

Безсонов отказался от комментариев, назвав вопросы Би-би-си провокационными. Коренев запретил публиковать свои комментарии.

"Распяли и сожгли"

В сети много других похожих видео с людьми в масках. Би-би-си пока не удалось установить их связь с группой Безсонова. Вот как они появлялись:

  • Февраль 2015 года Украинский батальон "Донбасс" якобы расстрелял ополченцев. Единственная четкая деталь на видео - украинский флаг на автомобиле УАЗ.
  • Июль 2015 Серия фото, на которых неизвестные в масках готовятся к сожжению икон, иллюстрирующая фальшивую историю о "разграблении храма боевиками "Азова".
  • Апрель 2015 Видео, на котором "украинские каратели распяли и сожгли ополченца". Прерывается в момент, когда факел подносят к кресту.
  • Май 2015 Видео, на котором "украинские каратели повесили в лесу ополченца и его беременную жену (сопровождалось пресс-конференцией "министерства обороны" ДНР и даже публикацией на американском правом сайте Infowars).
  • Июнь 2016 "Украинские каратели заживо закапывают ополченца".
  • Март 2018 Люди в масках от лица "бандеровцев" угрожают перенести войну на территории Венгрии и Польши и сжигают флаги этих стран.

Что такое "Киберберкут"

Под этим брендом работает несколько групп хакеров. Связаны ли они друг с другом, достоверно неизвестно.

Хакерская группа, ныне известная как "Киберберкут", появилась в феврале 2014 года под брендом Anonymous Ukraine и объявила своей целью "борьбу с нацизмом и фашизмом".

Группа размещала списки сайтов для хакерских атак на "Кибегерилье" - главном сайте международного движения Anonymous. Среди целей преобладали польские сайты.

В марте 2014 года на сайте "Киберберкута" появился призыв вступать в киберармию на восьми языках. Би-би-си известна история несовершеннолетнего австралийского хакера, помогавшего взламывать "сайты нацистов". Он отказался отвечать на вопросы Би-би-си.

Среди мишеней "Киберберкута" - сайты НАТО, немецкий бундестаг, частные военные компании США, ЦИК Украины.

Группа регулярно отчитывается о взломе конфиденциальной переписки украинских и западных политиков, но вместо массивов писем публикует лишь отдельные документы, достоверность которых проверить невозможно.

Основной ресурс "Киберберкута" - сайт в доменной зоне org. Там появляются отчеты о взломах и фальшивые документы.

Донецкий филиал "Киберберкута" публикует фальшивые видеоролики и фальшивые документы в своем аккаунте в соцсети "ВКонтакте".

По Бабченко работал именно филиал. Проделки группы Безсонова смахивают на самодеятельность. Бабченко же считает, что "заказчик" его убийства - человек, гораздо более могущественный, чем четверо информационных активистов с большим запасом военного реквизита.

.