„Când ucizi o persoană, simți entuziasmul vânătorii”. Cum fură criptomonede luptătorii neonaziști ruși prin intermediul site-urilor ucrainene de caritate

Corespondentul special Meduza, Lilia Iapparova, explică modul în care supremația rusă a albilor a folosit blockchain-ul Ethereum pentru a sifona bani de la o fundație de caritate ucraineană – și cum au încurajat alți luptători ruși să folosească cripto pentru a extorca bani de la familiile prizonierilor de război uciși.

Mercenari deveniți hackeri

Logo-ul fundației caritabile ucrainene Happy New Life înfățișează două mâini care se deschid spre cer, din care crește un „copac al vieții”. Pe site-ul său, donatorii pot trimite bani pentru a sprijini forțele armate ucrainene, pentru a oferi ajutor refugiaților și chiar pentru a ajuta victimele în cazul „contaminării cu radiații în Europa” – o potențială consecință a ocupării de către Rusia a centralei nucleare din Zaporijia, explică site-ul.

Fundația creată în iunie 2022 a fost rezultatul unei inițiative de voluntariat din Dnipro, a declarat pentru Meduza directorul acesteia, Daniel Ovciarenko. Și pentru a da organizației „cel puțin un fel de față [online]”, a spus el, creatorii ei au făcut un site „foarte ieftin” pentru ea. Site-ul prezintă imagini cu copii și soldați ucraineni, împreună cu un apel la acțiune: „Astăzi, luptăm împotriva unui stat terorist. Iar victoria noastră va fi victoria întregii lumi civilizate… Uneori, aprinderea unei lumânări este suficientă pentru a învinge întunericul”. Cealaltă jumătate a ecranului prezintă un buton mare „Donează”.

Însă Meduza a aflat că cel puțin o parte din banii donați prin intermediul site-ului nu au mers către cauze ucrainene, ci către grupul paramilitar rus Rusici – un detașament de neonaziști care luptă în Ucraina de partea armatei ruse. Cel puțin, acesta este proprietarul portofelului de criptomonede listat ca metodă de donație pe site-ul Happy New Life, potrivit investigatorului financiar Artem Irgebaev, care a examinat în detaliu rețeaua de conturi criptografice a lui Rusici.

Rusici este cunoscut pentru brutalitatea sa. Liderul său, neonazistul Alexei Milciakov, a fost fotografiat alături de cadavrele mutilate ale soldaților ucraineni, iar canalul Telegram al detașamentului a cerut torturarea prizonierilor de război ucraineni și uciderea civililor.

Fondatorul Happy New Life, Daniel Ovciarenko, nu știe cum a ajuns adresa portofelului criptografic al lui Rusici pe site-ul fundației. Potrivit acestuia, un link către propriul portofel caritabil se afla în același loc pe pagina de pornire.

„Am obținut portofelul pe care îl folosește fundația de la MetaMask și este complet diferit, cu excepția faptului că primele trei caractere sunt aceleași [cu adresa portofelului lui Rusici]”, a declarat Ovciarenko pentru Meduza. El a recunoscut că a avut o implicare foarte mică în legătură cu site-ul și că „nu a verificat de două ori cifrele din adresa [listată pe pagina sa de start]”.

La un moment dat, Rusici a reușit să intre pe site-ul Happy New Life și să schimbe link-ul portofelului criptografic, a declarat Irgebaev pentru Meduza.

„Un lucru similar s-a întâmplat cu un site care vindea servere proxy, unde una dintre metodele de plată era cripto. Un atacator a înlocuit adresa proprietarului site-ului [portofelului cripto] cu adresa sa, iar site-ul a funcționat apoi așa timp de două zile: oamenii au trimis bani nu persoanei care vindea servere, ci hackerului”, a explicat el. „Escrocii de pe internet fac acest lucru în mod regulat. Iar Rusici, asta devine clar, este un grup cu «talente» foarte variate – au atât mercenari, cât și hackeri.”

Portofelul criptografic Rusici legat pe site-ul Happy New Life primește în continuare depozite. Potrivit Etherscan.io, un site care cataloghează tranzacțiile din blockchain-ul Ethereum, portofelul conține peste 7.000 de dolari la cursul de schimb actual.

Finanțarea de veste antiglonț prin infracțiuni cibernetice

La sfârșitul lunii iulie, investigatorul financiar Artem Irgebaev a descărcat un joc numit Synthetik: Legion Rising de pe un site de torrente.

„Eu și prietenii mei am descărcat acest joc antic cu împușături [n.r.: jocul a apărut în 2018] care avea 700 de megaocteți și am observat că [după ce fișierul torrent s-a descărcat pe computerele noastre, acestea au început să prezinte] acest tip de comportament nesănătos”, a declarat Irgebaev. „Am închis internetul și am început să facem săpături pentru a afla ce fel de malware era și ce făcea.”

Programul nu a furat nicio parolă și nici nu a încercat să le deturneze conturile. Dar, la o inspecție mai atentă, Irgebaev „a găsit mai multe adrese de portofele criptografice direct în cod binar”. A devenit clar că dispozitivul său fusese infectat de ceva numit malware pentru clipboard, creat pentru a fura criptomonede:

„Iată cum arată pentru victimă. Să presupunem că vrei să trimiți bani prietenului tău. Introducerea adresei de 32 de caractere a portofelului său criptografic este o sarcină plictisitoare, așa că pur și simplu o copiați din notițe [pentru a o lipi] direct în portofel sau în contul de schimb. Adresa intră în clipboard-ul dvs. și, în acel moment, malware-ul o înlocuiește cu adresa atacatorilor. Apoi, în loc să ajungă la persoana dorită de utilizator, banii ajung la escroci.”

Irgebaev a oferit Meduza adresele găsite în codul malware-ului. Ambele apar pe listele de adrese asociate cu malware pentru clipboard de pe site-urile Bitcoinabuse.com și Checkbitcoinaddress.com, unde oamenii pot posta plângeri despre portofele criptografice folosite de hackeri și șantajiști.

Neonaziști în dark web

Programul malware folosit de Rusici a infectat calculatorul lui Irgebaev după ce acesta a descărcat un fișier torrent. Acest lucru înseamnă că grupul paramilitar trebuie să fi avut abilitățile necesare nu doar pentru a construi programul în sine, ci și pentru a-l încorpora în fișier – cu alte cuvinte, grupul a reușit să obțină acces la site-ul cu catalogul de torrente.

Cu toate acestea, a declarat Irgebaev pentru Meduza, este posibil ca plantarea malware-ului pe site să nu fi necesitat deloc multă expertiză tehnică: cea mai probabilă explicație este că neonaziștii au plătit infractori cibernetici profesioniști pentru a face treaba în locul lor.

Acest lucru se numește criminalitate informatică: fiecare etapă a infracțiunii constă într-un serviciu care poate fi achiziționat.

Mai întâi, cumperi accesul la programul de care ai nevoie pe un forum din internetul întunecat. Malware-ul este, de obicei, ceva ce oamenii închiriază – de exemplu, 200 de dolari pentru un abonament lunar.

Iar pentru a te asigura că potențialele victime instalează programul, poți plăti pur și simplu proprietarul catalogului de torrente pentru a adăuga codul malițios la torrentele lor.

Pe dark web, Rusici a stabilit relații nu doar cu hackerii, ci și cu traficanții de droguri – și, potrivit portofelelor criptografice ale grupului, au făcut afaceri și cu aceștia.

„Între iulie și octombrie 2022, grupul a primit 1.787 de dolari de la trei piețe obscure pentru droguri”, a declarat Irgebaev.

Este posibil ca vânzătorii sau administratorii acestor platforme dark web să fi căzut, de asemenea, victime ale malware-ului distribuit de Rusici – sau este posibil ca aceștia să fi plătit pur și simplu pentru serviciile grupului, potrivit lui Irgebaev. Meduza nu a găsit dovezi că luptătorii Rusich au fost angajați de acești traficanți.

Dar mai există și o altă posibilitate: este posibil ca entitățile care au trimis bani către Rusici să fi folosit piețele de droguri pentru a-și anonimiza tranzacțiile.

„Magazinele din internetul întunecat acționează ca mari [scheme] de spălare [de bani]”, a explicat Irgebaev. „La înregistrare, utilizatorii primesc conturi personale în care pot depune bani – dar în interiorul magazinului, tranzacțiile nu se fac cu criptomonede, ci cu moneda internă a platformei. Așadar, tranzacțiile în sine dintre clienți și vânzători nu sunt vizibile în blockchain; se poate stabili că banii au intrat în piață, dar este imposibil de urmărit unde au plecat de acolo.”

Acesta este motivul pentru care Irgebaev cunoaște sumele pe care Rusici le-a primit de la magazinele din dark web, dar nu și cine a trimis banii.

Rusici însuși a făcut, de asemenea, achiziții pe dark web, deși nu unele mari. „O ofrandă pentru demonul mefedronei, probabil”, a spus Irgebaev.

160.000 de dolari din „donații”

Sume mari de bani trec în mod constant prin portofelele criptografice ale Rusici. Potrivit lui Irgebaev, grupul paramilitar a primit aproximativ 1.100 de dolari din mineritul de criptomonede, deși nu este clar dacă criptografia a fost extrasă cu ajutorul unor servere care aparțin chiar neo-naziștilor sau cu ajutorul unui software de minerit plantat pe computerele aparținând victimelor malware-ului.

Rusici a primit mai mult de 160.000 de dolari prin tranzacții directe în portofelele sale criptografice. În anunțurile sale oficiale de strângere de fonduri, grupul împărtășește adresele acelorași portofele pe care le folosește pentru hacking. Cu toate acestea, potrivit lui Irgebaev, este foarte posibil ca toți banii să fi provenit din malware și că niciunul dintre ei nu a fost donat de bunăvoie. Aceasta include:

• un total de 27,895704431 ETH (mai mult de 45.000 de dolari) a fost trimis în portofelul Rusici pe blockchain-ul Ethereum pe parcursul a 146 de tranzacții, cu o „donație” medie de peste 300 de dolari;
• un total de 2,26113377 BTC (peste 47.000 de dolari) a fost trimis în portofelul Rusici pe blockchain Bitcoin pe parcursul a 433 de tranzacții, cu o „donație” medie de aproximativ 108 dolari;
• 51,811099906 ETC (aproximativ 1 228 de dolari) au fost trimiși în portofelul Rusici pe blockchain-ul Ethereum Classic, cu o „donație” medie de aproximativ 1 228 de dolari;
• 20.142,378595 USDC (peste 20.000 USD) au fost trimise în portofelul Rusici pe blockchain-ul USD Coin, cu o „donație” medie de 5.000 USD;
• și 51.000 USDT (aproximativ 51.000 USD) au fost trimiși în portofelul Rusici pe blockchain-ul Ethereum pe parcursul a 49 de tranzacții, cu o „donație”medie de peste 1.000 de dolari.

Amploarea acestor tranzacții și, mai ales, dimensiunile depozitelor individuale medii, l-au determinat pe Irgebaev să suspecteze că nu au fost doar contribuții ocazionale din partea utilizatorilor Telegram care încurajau strângerile de fonduri ale Rusici de pe canalele „patriotice”.

„Pentru mine, «donațiile» de 0,1 bitcoin – ceea ce înseamnă puțin peste 2.000 de dolari – de la adrese care și-au golit conturile par destul de dubioase”, a declarat el pentru Meduza. „Cu alte cuvinte, toate soldurile acestor portofele au fost trimise către Rusici. Iar portofelele nu au mai fost folosite de atunci.”

Meduza l-a întrebat pe liderul Rusici, Alexei Milciakov, despre toate acestea: banii care au intrat, afacerile cu piețele online de droguri, piratarea fundației ucrainene de caritate și malware-ul care a fost folosit pentru a fura criptomonede. Acesta a confirmat totul:

„Avem propriile noastre departamente IT și financiar care efectuează într-adevăr operațiunile despre care ați întrebat. Da, capacitățile departamentului nostru IT includ piratarea site-urilor web și a altor resurse de internet aparținând inamicului, precum și alte activități subversive în sfera informațională, inclusiv activități nu numai împotriva fostei așa-numite «Ucraina» (activitatea noastră este mult mai amplă). Iar piratarea resursei pe care ați menționat-o [și anume site-ul de caritate ucrainean] este doar vârful icebergului. Iar angajații departamentului care au un impact direct asupra morții celui mai mare număr de oameni în fiecare lună, apropo, sunt premiați foarte generos.

Departamentul financiar se ocupă de operațiunile legate de criptomonede, pietre prețioase, spălare de bani (doar în afara Rusiei: respectăm legile țării noastre) și de transportul de numerar, inclusiv de deplasările frecvente la oamenii de afaceri de pe piața neagră interesați să devină sponsori importanți (Mexic, Hong Kong, Somalia etc.). Proiectul nostru beneficiază de un sprijin uriaș (în opinia noastră) din partea bandelor, cartelurilor și sindicatelor care sunt nemulțumite de hegemonia planetară a SUA.”

Milciakov a adăugat că rușii care luptă în Ucraina ca parte a Rusici pot primi donații de la traficanții de droguri online, inclusiv sub formă de analgezice. În opinia lui Milciakov, piețele darknet sunt „adevărații patrioți ai Rusiei”.

„Eu personal nu primesc și nu stochez banii diviziei”, a subliniat el. „Eu doar decid cum sunt cheltuiți”.

„Vă bucurați de strigătele lor”

Rusich cheltuiește fondurile criptografice pe care le strânge pe tratamentul medical pentru luptătorii răniți, precum și pe echipamentul de care are nevoie pentru a continua să lupte în război: walkie-talkie-uri Motorola, căști, dispozitive de bruiaj pentru drone, generatoare diesel, uniforme de iarnă, saci de dormit, lunete pentru lansatoare de grenade antitanc, sobe și multe altele.

Dar, de la începutul războiului de amploare din Ucraina, pe lângă utilizarea blockchain-ului în scopuri proprii, Rusich a început să promoveze cripto în rândul altor soldați ruși care luptă în Ucraina. În septembrie 2022, grupul a propus ca alte formațiuni rusești să folosească bitcoin pentru a extorca bani de la rudele prizonierilor de război ucraineni.

„Nu renunțați pur și simplu […] la trupurile prizonierilor de război [după ce îi ucideți]”, a îndemnat grupul pe canalul său Telegram. „Faceți o fotografie în care să se vadă fața și oferiți-vă să le permiteți rudelor să cumpere informații despre locul de înmormântare a fiului sau soțului lor pentru o sumă cuprinsă între 2.000 și 5.000 de dolari. Banii pot fi trimiși într-un portofel Bitcoin.”

Acesta este doar un mic extras din sfaturile grupului pentru interogarea soldaților ucraineni. De asemenea, aceștia i-au instruit pe luptătorii ruși să folosească tortura atunci când este necesar pentru a extrage informații de la prizonierii de război, care pot fi folosite ulterior pentru a viza familiile acestora. „Tăiați-le degetele, tăiați-le o ureche, loviți-i în zona inghinală sau în jurul articulațiilor, [sau] introduceți ace sub unghiile lor”, au scris ei pe rețelele de socializare. „Nu vă fie frică să ucideți prizonieri!”.

Luptătorii Rusich au pledat pentru uciderea civililor, de asemenea – de exemplu, dacă au fost martori ai unor soldați ruși care „au dat-o în bară”. Neonaziștii au cerut, de asemenea, purificarea etnică pe teritoriile ocupate. „Întreaga populație non-albă […] ar trebui să fie distrusă fizic (unii dintre ei prin experimente științifice)”, au scris reprezentanții detașamentului pe Telegram. (Postarea a fost ulterior ștearsă).

Liderii de la Rusici nu au făcut niciun secret din faptul că nu au avut niciodată de gând să respecte dreptul umanitar internațional. „Când ucizi un purceluș – toată lumea știe la cine mă refer prin «purceluș» – te bucuri de faptul că soția lui devine văduvă”, a declarat Evgheni Rasskazov, membru al Rusici, într-un interviu acordat în luna august. „Te delectezi cu modul în care își strigă întreaga familie, cum se va întoarce acasă într-un sicriu. Și ai o erecție”.

„Când ucizi o persoană, simți entuziasmul vânătorii. Dacă nu ați vânat, încercați”, a declarat liderul Rusici, Alexei Milciakov într-un interviu publicat în decembrie 2020. Un an și trei luni mai târziu, Rusia lansa invadarea la scară largă a Ucrainei.