Жду новый пост

Серия «Welcome to Video»

ИСТОЧНИК

5. CODA

IRS и прокуратура США в округе Колумбия применили беспрецедентный подход, рассмотрев дело о массовом сексуальном насилии над детьми как финансовое расследование, и оно увенчалось успехом. Среди всей их детективной работы именно блокчейн Биткойнf послужил их истинной путеводной звездой, проведя их через это знаменательное дело. Фаруки утверждает, что без крипто-отслеживания им бы никогда не удалось составить карту и идентифицировать так много пользователей сайта.

«Это был единственный путь сквозь эту тьму, — говорит он. «Чем темнее становится даркнет, тем более явным становится денежный след».

Однако перебрасывание следователей по отмыванию денег в самую глубь интернет-выгребной ямы CSAM имело свои последствия. Почти у каждого члена команды были собственные дети, и почти все они говорят, что в результате своей работы они стали намного больше стараться защищать этих детей. Иногда это доходило до такой степени, что их доверие к некоторым членам собственных семей оказалось значительно подорвано.

Янчевски, который после этого случая переехал из округа Колумбия в Гранд-Рапидс, штат Мичиган, теперь не позволяет своим детям самостоятельно ездить в школу на велосипедах, как он любил сам делать в детстве. Даже кажущиеся невинными вещи — например, другой дружелюбный родитель, который предлагает понаблюдать за его детьми во время посещения бассейна, — теперь вызывают в его сознании красные сигналы тревоги. Юли Ли, другой следователь по этому делу, говорит, что не позволит своим детям ходить в общественные туалеты без сопровождения. Она также не позволит им играть в доме друга, если его родители не прошли соответствующую проверку.

Фаруки говорит, что около 15 видеороликов, которые он посмотрел в рамках расследования, остаются «непоправимо выжгли» его мозг и навсегда обострили его чувство опасностей, которые мир представляет для его детей. По его словам, он и его жена стали чаще ругаться из-за его склонности к чрезмерной опеке.

Жена Гамбаряна Юки говорит, что дело «Welcome to Video» было единственным случаем, когда ее суровый муж, родившийся в СССР, обсуждал с ней дело и признался, что оно задело его — что он эмоционально боролся с этим. Гамбарян говорит, что, в частности, ему до сих пор не дает покоя тот факт, что в злоупотреблениях на сайте принимали участие самые широкие слои общества.

«Я видел, что на это способны все: врачи, директора, сотрудники правоохранительные органов. Называйте это как хотите, злом или чем бы то ни было: оно есть в каждом — или почти в каждом».

В начале июля 2020 года Сон Чон У вышел из сеульской тюрьмы в черной футболке с длинными рукавами и с зеленым пластиковым пакетом со своими вещами. Из-за мягких законов Кореи о сексуальном насилии над детьми он провел за решеткой всего 18 месяцев.

Прокуроры США, в том числе Фаруки, утверждали, что его следует экстрадировать в Соединенные Штаты для предъявления обвинений в рамках американской системы правосудия, но Корея отклонила этот запрос. С 2020 года создатель и администратор «Welcome to Video», по меркам корейского уголовного кодекса, полностью искупил свою вину и теперь абсолютно чист перед законом.

Команда следователей из округа Колумбия, которая работала над делом «Welcome to Video», по-прежнему глубоко недовольна загадочно мягким приговором Сона за ведение крупнейшего в истории веб-сайта с материалами о сексуальном насилии над детьми. Но Янчевски говорит, что его утешает возмущение корейского общества по этому делу. Социальные сети страны взорвались гневом из-за быстрого освобождения Сона. Более 400 000 человек подписали петицию, чтобы судья по делу не мог претендовать на место в Верховном суде страны. Один корейский законодатель выдвинул законопроект, разрешающий обжалование решений об экстрадиции, а Национальное собрание страны представило новый закон, ужесточающий наказания за сексуальное насилие в Интернете и загрузку материалов о сексуальном насилии над детьми.

Тем временем в США волновые последствия этого дела продолжались годами. Янчевски, Байс и Саттенберг говорят, что им до сих пор звонят представители правоохранительных органов по собранным ими зацепкам. На компьютере первого подозреваемого из округа Колумбия — бывшего сотрудника Конгресса, покончившего жизнь самоубийством, — следователи нашли доказательства, расположенные на счете биржи криптовалюты, что подозреваемый также платил другому источнику материалов сексуального характера в даркнете. Они отслеживали эти платежи на сайте Dark Scandals (Тёмные скандалы), который оказался меньшим, но не менее тревожным хранилищем записей сексуального насилия в даркнете.

Янчевский, Гамбарян и та же группа прокуроров вели дело о «Dark Scandals» параллельно с завершением расследования «Welcome to Video». Точно так же отслеживание блокчейна позволило отследить выплаты на сайте. С помощью национальной полиции Нидерландов они арестовали предполагаемого администратора сайта в Нидерландах, человека по имени Майкл Рахим Мохаммад, который работал под ником «Mr. Dark» (Мистер Тёмный). Ему были предъявлены уголовные обвинения в США, и его дело продолжается.

С точки зрения агентов и прокуроров, работавших над делом «Welcome to Video», самый интересный из побочных эффектов этого дела связан с судьбой агента HSI (таможенной полиции), которого они арестовали в Техасе незадолго до их поездки в Корею. Техасец применил редкий подход к своей юридической защите: он признал себя виновным в хранении материалов о сексуальном насилии над детьми, но также обжаловал свой приговор. Он утверждал, что его дело должно быть прекращено, потому что агенты IRS (налогового управления) установили его личность, отслеживая его платежи в биткойнах — без ордера — что, как он утверждал, нарушало его право на неприкосновенность частной жизни согласно Четвертой поправке и косвенно представляло собой незаконный «обыск».

Коллегия судей апелляционной инстанции рассмотрела аргумент и отклонила его. В заключение, на девяти страницах они объяснили свое решение, создав прецедент, который в явной форме показал, насколько далекими от понятий частной жизни они считают транзакции Биткойна.

«Каждый пользователь биткойнов имеет доступ к общедоступной цепочке блоков биткойнов и может видеть каждый биткойн-адрес и соответствующие переводы. Благодаря этой огласке можно определить личности владельцев биткойн-адресов путем анализа цепочки блоков», — говорится в постановлении. «Нет никакого вторжения в конституционно защищенную область, потому что нет конституционного интереса к информации в блокчейне».

Для обыска требуется только ордер, если этот обыск затрагивает область, в которой обвиняемый имеет «разумные ожидания в отношении конфиденциальности». В постановлении судей утверждалось, что здесь не должно было существовать таких ожиданий: агент HSI не был пойман в момент нахождения на сайте «Welcome to Video», тогда бы агенты IRS нарушили его конфиденциальность. Его поймали потому что он ошибочно полагал, что его история биткойн-транзакции были защищёнными.

Крис Янчевски говорит, что в полной мере последствия дела «Welcome to Video» он не осознавал до октября 2019 года, когда о нем наконец было объявлено публично, а уведомление о закрытии было размещено на главной странице сайта. Тем утром Янчевски неожиданно позвонил сам комиссар IRS Чарльз Реттиг.

Реттиг сказал Янчевски, что это дело было «делом Аль Капоне наших дней» — что явилось возможно, лучшим комплиментом, который мог быть сделан в отделе уголовных расследований налогового управления США, где история об аресте Капоне за уклонение от уплаты налогов имеет почти мифический статус.

В тот же день Министерство юстиции провело пресс-конференцию, чтобы объявить результаты расследования. Американский прокурор Джесси Лю выступила перед толпой репортеров с речью о том, что представляло собой это дело — как слежка за деньгами позволила агентам одержать победу над «одной из худших форм зла, которые только можно себе представить».

Джонатан Левин из Chainalysis присутствовал в зале. После этого сотрудник IRS по имени Грег Монахан, который курировал Гамбаряна и Янчевски, подошел, чтобы поблагодарить Левина за его роль в деле. В конце концов, все началось с наводки Левина двум скучающим агентам IRS в аэропорту Бангкока. Монахан сказал Левину, что это было самое важное расследование в его карьере, что теперь он может выйти на пенсию, будучи уверенным, что работал над чем-то действительно стоящим.

Левин пожал руку начальнику отдела уголовных расследований налогового управления. В то время ни он, ни Монахан не могли знать о делах, которые им ещё предстоит раскрыть: что IRS и Chainalysis вместе продолжат препятствовать действиям северокорейских хакеров, кампаниям по финансированию терроризма и двум из крупнейших в мире служб по отмыванию биткойнов. Или что они отследят около 70 000 биткойнов, украденных с silk Road, и еще 120 000, украденных с биржи Bitfinex, на общую сумму более 7,5 миллиардов долларов по сегодняшнему обменному курсу, что является крупнейшей финансовой конфискацией — криптовалютной или иной — в истории департамента юстиции.

Но, отвечая Монахану, Левин снова подумал об изобилии доказательств блокчейна: о бесчисленных делах, которые ещё нужно раскрыть, о миллионах криптовалютных транзакций, которые никак не скрыть, и о золотом веке криминальной экспертизы, который он подарил любому следователю, готовому достать преступника из-под земли.

«Еще столько всего предстоит сделать, — сказал Левин. «Мы только начинаем».
ИСТОЧНИК

4. Корея

В начале января 2018 года следователи округа Колумбия получили известие от Томаса Тэмси, что он и его команда арестовали ещё одного сотрудника федеральных правоохранительных органов, который являлся пользователем «Welcome to Video. Этот второй агент, служивший в таможенной и иммиграционной полиции США, казалось бы, не был связан с уже арестованным агентом пограничной службы. Однако он тоже проживал в Техасе, менее чем в часе езды от дома человека, к которому они недавно приходили с обыском.

Помимо этого мрачного совпадения, известие об аресте агента таможенной полиции также означало, что первоначальный список высокоприоритетных подозреваемых, составленный командой следователей, наконец-то был закрыт. Они могли перейти к своей основной цели, Сону Чжон Ву, и серверу «Welcome to Video», находящемуся под его контролем.

К февралю начиналась часть операции, ориентированная на Корею. Перед арестами в Техасе Янчевски, Гамбарян, Фаруки и Тэмси прилетели в Сеул, чтобы встретиться с Корейским национальным полицейским агентством. На ужине, устроенном местным атташе таможенной полиции США, сам  начальник корейской полиции сказал Тэмси, известному поедателю осьминогов, что американцам поможет его «лучшая команда». Вскоре они взяли Сона Чжон Ву под постоянное наблюдение. Они знали, когда он приходил и уходил из своего дома, расположенного в двух с половиной часах езды к югу от Сеула в провинции Южный Чхунчхон.

Теперь, в разгар зимы на Корейском полуострове, всего через неделю после того, как Корея принимала Олимпийские игры в Пхенчхане, американские агенты снова прибыли в Сеул. Гамбаряну пришлось остаться на не вовремя организованную конференцию, на которой ему приказал выступить директор агентства. Но Янчевски и Фаруки взяли с собой в команду Аарона Байса и Юли Ли, корейско-американского прокурора по компьютерным преступлениям. К этому моменту вокруг этого дела также собрались растущие международные силы. Национальное агентство по борьбе с преступностью Великобритании, которое начало собственное расследование по делу «Welcome to Video» сразу после визита Левина в Лондон, направило двух агентов в Сеул, к коалиции присоединилась и федеральная полиция Германии. Выяснилось, что немцы преследовали администраторов сайта самостоятельно, еще до того, как узнали о расследовании налогового управления США, но им так и не удалось заручиться поддержкой Корейской национальной полиции.

В первые дни пребывания в Сеуле следственная группа неоднократно встречалась в отделениях Корейской национальной полиции, чтобы обсудить свои планы. Их отслеживание IP-адреса, основанное на случайном щелчке правой кнопкой мыши Гамбаряном, показало, что сервер сайта, как ни странно, находился не в центре обработки данных какой-либо хостинговой фирмы, а в собственной квартире Сона Чжон Ву — все доказательства с массовым сексуальным насилием над детьми располагались прямо в его доме. Это упрощало дело: им нужно было лишь арестовать его, отключить его сайт и использовать эти доказательства, чтобы осудить его. Команда разработала план, чтобы схватить администратора сайта в его квартире рано утром в понедельник.

Однако накануне в пятницу Янчевски простудился. Он провел большую часть выходных с прокурором Юли Ли, ошеломленно блуждая между рынками и магазинами в Сеуле, пытаясь произнести слово «гасыбги», корейское слово, обозначающее увлажнитель. В воскресенье вечером он принял дозу того, что, как он надеялся, было корейским эквивалентом Nyquil.

Именно тогда корейская полиция предупредила команду, что план изменился: Сон неожиданно поехал в Сеул на выходные. Теперь команда, следившая за его местонахождением, полагала, что он начал ночную поездку обратно в свой дом к югу от города.

Если бы полиции удалось подъехать к дому Сона той ночью и выследить его, возможно, они могли бы быть рядом, когда он вернется, готовые арестовать его у дверей. Таким образом, он не смог бы уничтожить улики или покончить жизнь самоубийством, что уже произошло с одним из фигурантов дела в Вашингтоне.

В тот вечер Фаруки находился в холле отеля. Затем он и Ли пошли в свои комнаты, чтобы лечь спать. Янчевски — больной, полусонный из-за лекарств от простуды и сжимавший подушку из своего гостиничного номера — вышел под проливной дождь и сел в машину со связным таможенной полиции HSI, чтобы начать долгую ночную поездку на юг. Агент HSI умолял Янчевски сесть за руль другой машины вместо пожилого корейца из его команды, который, по словам агента, был заведомо плохим водителем. Но Янчевски настаивал на том, что он был слишком накачан лекарствами, чтобы перемещаться по темным мокрым дорогам страны, находящейся в 11 000 км от его дома.

Через несколько часов группа прибыла на стоянку у квартиры Сона, расположенной в 10-этажной башне с несколькими небольшими зданиями с одной стороны и обширным пустынным сельским пейзажем — с другой, чтобы начать свою долгую разведку под дождем. Было далеко за полночь, когда они увидели, как машина Сона наконец въехала в гараж комплекса.

Там его ждала группа корейских агентов. Один особенно импозантный офицер, которого агенты HSI называли Смайли, потому что он никогда не улыбался, возглавлял группу полицейских в штатском, пробираясь в лифт рядом с Соном, когда тот входил внутрь. Агенты молча поднялись с ним на лифте на этаж Сона и вышли, когда вышел он. Они арестовали его, как только он подошел к входной двери. Он не оказал сопротивления.

На протяжении ареста и последовавшего за ним многочасового обыска в квартире Сона Янчевски и другие иностранцы застряли в своих машинах на залитой дождем стоянке. Только национальная полиция имела право захватить Сона и проникнуть в его дом. Когда корейские офицеры надели наручники на молодого администратора «Welcome to Video», они спросили его, не согласится ли он позволить войти Янчевски или кому-либо из американцев. Сон, что неудивительно, ответил отказом. Таким образом, Янчевски ограничился экскурсией через FaceTime по небольшой и ничем не примечательной квартире, которую Сон делил со своим разведенным отцом, мужчиной с грязными руками с той самой фотографии в начале расследования. Тем временем корейские агенты обыскивали квартиру в поисках улик и конфисковывали электронные устройства.

Корейский агент, ведущий трансляцию для Янчевски, в конце концов, направил камеру телефона на настольный компьютер на полу в спальне Сона. Это был дешёвый системный блок, одна часть корпуса которого была снята. Внутри компьютера обнаружились жесткие диски, которые Сон добавлял один за другим, поскольку каждый диск постепенно заполнялся терабайтами видео с изнасилованиями детей.

Это и был сервер «Welcome to Video».

«Я ожидал чего-то светящегося, зловещего, — вспоминает Янчевски, — а это был просто убогий компьютер. Это было так странно. Этот убогий компьютер, вызвавший столько хаоса во всем мире, стоял на полу у этого пацана».

На обратном пути Янчевски понял, почему представитель HSI хотел, чтобы он сел за руль другой машины. Пожилой сотрудник HSI за рулем другого автомобиля в их фургоне каким-то образом был настолько дезориентирован после бессонной ночи, что свернул не в ту сторону, съехал с шоссе, едва избежав столкновения на высокой скорости и напугав своего пассажира, Аарона Байса.

Едва предотвратив эту катастрофу, когда солнце начало всходить и дождь прекратился, группа остановилась на стоянке грузовиков вдоль шоссе, чтобы позавтракать раменом быстрого приготовления на заправочной станции. Янчевски, все еще больной и совершенно измученный, был поражен тем, насколько все это выглядело разочаровывающим. Его команда обнаружила и вытащила как администратора, так и сервер, находившиеся в эпицентре глобальной сети, которую они расследовали. Он ждал этого момента больше полугода. Но он не чувствовал восторга.

Не было ни восторгов, ни празднеств. Агенты вернулись в свои машины, чтобы продолжить долгий путь обратно в Сеул.

На следующий день, наконец, выспавшись, Янчевски сквозь тоску операции прошлой ночи, начал осознавать, насколько им повезло. От судебно-медицинских экспертов, исследовавших компьютеры Сон Чжон Ву, он узнал, что Сон не зашифровал свой сервер. Там было все: весь контент «welcome to Video», его пользовательская база данных и кошельки, которые обрабатывали все его биткойн-транзакции.

Масштаб видеоколлекции, теперь, когда они могли видеть ее полностью, был ошеломляющим. На сервере хранилось более 250 000 видео. Это была самая крупная коллекция материалов о сексуальном насилии над детьми в истории. Когда позже они поделились коллекцией с Национальным центром пропавших без вести и эксплуатируемых детей (NCMEC), который помогает каталогизировать, идентифицировать и удалять материалы CSAM в Интернете, центр обнаружил, что 45 процентов видео никогда ранее не проходили через их систему анализа. Система проверки уникальности и поощрения загрузки свежего контента «Welcome to Video выполнила свою задачу, открыв бесчисленное количество новых случаев жестокого обращения с детьми.

Однако настоящим призом для следователей стала информация о пользователях сайта. Корейская национальная полиция предоставила американской команде копию баз данных «Welcome to Video», и они приступили к работе в здании посольства США в Сеуле, реконструируя эти коллекции данных на своем сервере. Между тем, чтобы не предупреждать пользователей сайта об удалении, они быстро создали похожую домашнюю страницу «Welcome to Video» на своем собственном сервере, используя закрытый ключ, полученный с реального сервера, и дублировали его адрес в даркнете. Когда пользователи заходили на сайт, теперь на нем отображалось только сообщение о том, что он находится в разработке и скоро вернется с «обновлениями». Надписи намеренно сопровождались опечатками, присущими его бывшему корейскому администратору.

Байс потратил два дня, не поднимая головы, восстанавливая пользовательские данные сайта в форме, которую они могли легко запросить, а Янчевски и Фаруки стояли позади него, приставая к нему, с вопросами, готова ли система. Когда Байс закончил, у команды из США был полный каталог имён пользователей сайта. Теперь они могли связать каждый биткойн-платеж, который они изначально наметили в блокчейне, с этими именами пользователей и посмотреть, какое именно видео загрузил или скачал каждый из этих пользователей.

К тому времени, когда американцы были готовы вернуться домой в конце февраля, они интегрировали деанонимизированные личности из своих повесток в суд при обмене криптовалюты в доступную для поиска базу данных. В нем была представлена вся сеть «Welcome to Video» с реальными именами пользователей, фотографиями и — для тех, кто заплатил на сайте — отчетами об этих платежах и точными видео о насилии над детьми, к которым эти клиенты купили доступ. «Вы могли видеть всю картину, — говорит Янчевски. «Это было похоже на словарь, тезаурус и Википедию, вместе взятые».

Перед ними была выстроена полностью раскрытая структура глобальной сети эксплуатации детей «Welcome to Video» — сотни тщательно детализированных профилей потребителей, коллекционеров, дольщиков, производителей и непосредственных насильников. Теперь пришло время для проведения заключительной фазы этого беспрецедентного дела.

В течение последующих недель команда Томаса Тэмси в Колорадо начала рассылать свои досье «Welcome to Video» агентам HSI, местной полиции и иностранным полицейским агентствам по всему миру. Эти «целевые пакеты» включали описания подозреваемых, отчеты об их сделках, любые другие доказательства, которые они собрали о них, и — учитывая, что некоторые агенты правоохранительных органов никогда не участвовали в расследованиях, связанных с криптовалютой, — краткие инструкции о том, как работает Биткойн и его блокчейн.

Не будет скоординированного, глобального уничтожения, не будет попыток вызвать шок и трепет одновременными арестами. Обвиняемые по делу были слишком рассредоточены и интернациональны для такой синхронизированной операции. Вместо этого по всему миру начали проводиться обыски, аресты и допросы, в первую очередь тех людей, которые могли быть активными насильниками. Далее шли те, кто загружал видео, и уже в конце те, кто их скачивал. Постепенно, по мере того как пользователи «Welcome to Video» подвергались арестам, команда следователей начала получать отзывы о результатах своей работы — с мучительными, иногда обнадеживающими, часто трагическими последствиями.

Работник IT-отдела из Канзаса, чей арест был приоритетным, когда они обнаружили, что его жена руководила детским садом для младенцев и малышей, удалил со своего компьютера все свои видео с изнасилованиями детей до прибытия агентов. Прокуроры говорят, что позже он признался, когда остатки файлов в хранилище компьютера совпали с их записями с сервера «Welcome to Video».

Когда агенты пришли за двадцатилетним мужчиной в Нью-Йорке, его отец заблокировал дверь их квартиры, сначала подумав, что это взлом. Но когда агенты объяснили, за что был выдан ордер, мужчина впустил их. Сын, как позже выяснилось, изнасиловал дочь друга семьи и, по словам прокуроров, тайно записал другую девушку через ее веб-камеру.

Преступник из Вашингтона, округ Колумбия, пытался покончить жизнь самоубийством, когда команда HSI вошла в его дом; он спрятался в своей ванной и перерезал себе горло. Один из агентов, производивших арест, имел подготовку армейского медика. Ему удалось остановить кровотечение и сохранить мужчине жизнь. Позже они обнаружили на его компьютерах 450 000 часов видео с жестоким обращением с детьми, в том числе видеозаписи девочки из Техаса, загруженные агентом пограничной службы, который фигурировал в начале расследования.

Шли месяцы, истории продолжали накапливаться. Одним из преступников был пожилой мужчина семидесяти лет, загрузивший более 80 видео с жестоким обращением с детьми. Мужчина двадцати с небольшим лет с черепно-мозговой травмой, лечение которого усилило его сексуальные аппетиты и ослабило контроль над импульсами, и который, как считалось, имел тот же уровень когнитивного развития, что и подростки, любил смотреть такие видео. Сообщения другого мужчина из Нью-Джерси, содержали данные о его переговорах по поводу покупки ребенка для «собственного пользования».

Томас Тэмси, как ведущий агент HSI по этому делу, координировал больше арестов по делу «Welcome to Video», чем кто-либо другой — более 50,— и присутствовал при таком количестве из них, что они превратились в размытое пятно, в котором остались только самые резкие моменты, засевшие в его памяти. Одного почти голого подозреваемого он обнаружил в подвале. Другой подозреваемый сообщил ему, что был связан с бойскаутами и что «его всегда привлекали дети». Интересны были и реакции членов семьи и друзей преступников, которые до последнего верили, что их родственник или знакомый на такое не способен, а после резко менялись в лице после предоставления неопровержимых доказательств вины.

Преступления охватили весь земной шар, простираясь далеко за пределы США. Десятки пользователей «Welcome to Video» были арестованы в Чехии, Испании, Бразилии, Ирландии, Франции и Канаде. В Англии, где все дело началось с демонстрации Левину, Национальное агентство по борьбе с преступностью страны арестовало 26-летнего мужчину, предположительно изнасиловавшего двух детей — одного из которых они нашли обнаженным на кровати в его доме. Этот мужчина загрузил более 6000 файлов на сайт. В другом случае было обнаружено, что у посла Венгрии в Перу, который загружал контент с «Welcome to Video», на компьютере хранилось более 19 000 изображений CSAM. Его незаметно сняли с поста в Южной Америке, доставили в Венгрию и предъявили обвинение; он признал себя виновным.

Для команды следователей многие международные дела попали в своего рода черную дыру: один пользователь «Welcome to Video» из Саудовской Аравии вернулся в свою страну и был задержан правоохранительными органами этой страны. Фаруки и Янчевски говорят, что никогда не слышали, что случилось с этим человеком; он был предоставлен собственной системе правосудия Саудовской Аравии, которая приговаривает некоторых сексуальных преступников к основанным на шариате наказаниям в виде порки или даже обезглавливания. Когда агенты обыскали машину гражданина Китая, живущего недалеко от Сиэтла и работающего в Amazon, они нашли плюшевого мишку вместе с картой детских площадок в этом районе, несмотря на то, что у мужчины не было собственных детей. Впоследствии мужчина сбежал в Китай и, насколько известно прокуратуре, так и не был обнаружен.

В каждом из сотен пакетов, разосланных командой, контакт Криса Янчевски был указан как номер телефона, по которому можно было звонить с любыми вопросами. Янчевски поймал себя на том, что снова и снова объясняет блокчейн и его центральную роль в деле агентам HSI и местным полицейским в США и во всем мире, многие из которых никогда даже не слышали о Биткойне или даркнете.

В общей сложности Янчевски побывал в шести странах и поговорил с более чем 50 разными людьми, чтобы помочь им разобраться в этом деле, часто по нескольку раз каждому, включая одного американского прокурора и команду агентов, с которыми у него было более 20 бесед. Байс, руководивший восстановлением данных сервера, говорит, что разговаривал с еще большим количеством агентов и офицеров — по его подсчетам, их насчитывалось более сотни.

В конечном счете, с начала дела и в течение полутора лет, последовавших за конфискацией сервера, правоохранительные органы всего мира арестовали не менее 337 человек за причастность к делу «Welcome to Video». Они также изъяли 23 ребенка из сетей сексуальной эксплуатации.

Эти 337 арестов по-прежнему представляют собой лишь небольшую часть от общего числа зарегистрированных пользователей «Welcome to Video». Когда группа из США изучила свою копию данных сервера в Корее, они обнаружили на сайте тысячи учетных записей. Но подавляющее большинство из них никогда не переводили биткойны в кошельки сайта. Без денег след следователей обычно терялся.

Другими словами, если бы не криптовалюта и многолетняя ловушка, расставленная из-за ее предполагаемой невозможности отследить транзакции, большинство из 337 педофилов, арестованных по делу «WelcometoVideo», и их спасенные жертвы, вероятно, никогда бы не были обнаружены.

ИСТОЧНИК
ПРОДОЛЖЕНИЕ СЛЕДУЕТ...

ИСТОЧНИК

Всего через две недели после того, как Левин передал свою наводку, команда агентов отдела уголовных расследований Налогового управления США и прокуроров почти точно знала, где размещался сайт «Welcome to Video». Но они также знали, что им понадобится помощь, чтобы двигаться дальше. У них не было ни связей с Корейским национальным полицейским агентством, ни ресурсов для ареста, возможно, сотен пользователей сайта. А для этой операции потребовалось бы гораздо больше персонала, чем могло собрать Налоговое управление.

Фаруки предложил привлечь к этому делу Службу внутренней безопасности в партнерстве с неким местным отделением в Колорадо-Спрингс. Он выбрал это агентство и его отдаленный аванпост из-за конкретного агента, с которым он работал в прошлом, следователя по имени Томас Тэмси. Годом ранее Фаруки и Тэмси вместе раскрыли северокорейскую дело по торговле оружием, цель которой заключалась в контрабанде компонентов оружия через Южную Корею и Китай. В ходе этого расследования они прилетели в Сеул, чтобы встретиться с корейской национальной полицией. После успешно проведенной работы американские и корейские коллеги вместе выпивали в баре и пели в караоке.

В особенно памятный момент ночи корейские агенты подшучивали над американской командой за их предполагаемую диету из хот-догов и гамбургеров. Один агент упомянул саннакчи, своего рода маленького осьминога, которого некоторые корейцы едят не просто сырым, а живым и извивающимся. Тэмси мужественно ответил, что попробует это блюдо.

Через несколько минут пара корейских агентов принесла к столу живого осьминога размером с кулак, обмотанного вокруг палочки для еды. Тэмси положил извивающегося головоногого моллюска в рот целиком, прожевал и проглотил, даже когда его щупальца извивались между его губами и черные чернила капали с его лица на стол. «Это было просто ужасно, — вспоминает Тэмси.

Корейцы нашли это забавным. Тэмси приобрел почти легендарный статус в определенных кругах корейской национальной полиции, где впоследствии его называли «парнем-осьминогом».

Как и у большинства членов их группы, у Тэмси не было опыта работы с детьми. Он никогда даже не работал над расследованием криптовалютных преступлений. Но Фаруки настаивал на том, что для проникновения в Корею им нужен парень-осьминог.

Вскоре после этого Тэмси и еще один агент иммиграционной и таможенной полиции США (HSI), уполномоченный на секретные операции, вылетели в Вашингтон, округ Колумбия. Они арендовали конференц-зал в отеле, и на глазах у Янчевски агент под прикрытием зашел на сайт «Welcome to Video», заплатил сумму в биткойнах и начал скачивать гигабайты видео.

Странный выбор места — гостиница, а не правительственное учреждение — был обусловлен тем, чтобы лучше скрыть личность агента, на случай, если «Welcome to Video» каким-то образом сможет отслеживать своих пользователей, несмотря на защиту Tor, а также для того, чтобы, когда придет время для судебного преследования, Офис прокурора округа Колумбия был наделен юрисдикцией. (Агент иммиграционной полиции использовал точку доступа Wi-Fi для загрузки, чтобы не перекачивать наиболее опасный контент из Интернета через сеть отеля.)

Как только работа агента под прикрытием была завершена, они поделились файлами с Янчевски, который вместе с Линдси Саттенберг провел следующие недели за просмотром видеозаписей, каталогизируя любые улики, которые они могли найти для установления личности вовлеченных людей. Кроме того, они насыщали своим умы теми ужасами жестокого обращения с детьми, которые заполонят их кошмары до конца жизни.

Годы, проведенные Саттенберг на посту прокурора по делам об эксплуатации детей, несколько притупили её чувства; она обнаружила, что другие адвокаты в команде не могут даже слушать, как она описывает содержание видео, не говоря уже о том, чтобы смотреть их своими глазами. «Они просили меня замолчать, изложить это в письменной форме, — вспоминает она, — а потом говорили, что это было еще хуже».

Янчевски, как ведущему агенту по делу, было поручено составить показания под присягой, которые будут использованы в любом обвинительном документе, который они в конечном итоге смогут представить в суде. Это означало просмотр десятков видеороликов, поиск тех, которые представляли самые вопиющие материалы на сайте, а затем составление их описаний для жюри или судьи. Он сравнивает этот опыт со сценой из «Заводного апельсина»: бесконечный монтаж, от которого он постоянно хотел отвести взгляд, но ему не позволяли этого сделать.

В первые недели осени 2017 года команда, исследующая сеть «Welcome to Video», начала кропотливый процесс отслеживания всех возможных пользователей сайта в блокчейне и отправки сотен юридических запросов на биржи по всему миру. Чтобы помочь проанализировать каждый отросток кластера биткойн-адресов Welcome to Video в Reactor, они пригласили сотрудника Chainalysis по имени Арон Акбийикян, армяно-американского бывшего полицейского из Фресно, которого Гамбарян знал с детства и рекомендовал Левину.

Работа Акбийикяна заключалась в том, чтобы провести то, что он назвал «кластерным аудитом», — выжать все возможные следственные улики из следов криптовалюты на сайте. Это означало ручное отслеживание платежей с предыдущего адреса на последующий, пока он не найдёт биржу, где клиент «Welcome to Video» купил свои биткойны, и идентифицирующую информацию, которой биржа, вероятно, располагала. Множество пользователей «Welcome to Video» облегчили ему работу. «В Reactor была прекрасная кластеризация, — говорит Акбийикян. «Всё выглядело предельно ясно». В некоторых случаях он прослеживал цепочку платежей через несколько переходов, прежде чем деньги поступали на биржу. Но для сотен пользователей, по его словам, он мог видеть, как адреса кошельков получают деньги с бирж, а затем помещают средства непосредственно в кластер «Welcome to Video».

Когда начали поступать ответы от бирж с идентификационной информацией этих пользователей, команда начала процесс сбора более полных профилей своих целей. Они начали собирать имена, лица и фотографии сотен мужчин — почти все они были мужчинами — из всех слоев общества и со всего мира. Их описания пересекали границы расы, возраста, социального положения и национальности. Все, что у этих людей было общим, это их пол и их финансовая связь со всемирным скрытым тайником насилия над детьми.

К этому времени команда почувствовала, что с уверенностью определила корейского администратора сайта. Они получили ордер на обыск учетных записей Gmail Сон Чжон Ву и многих его обменных записей, и они могли видеть, что, похоже, только он один получал обналиченные доходы с сайта, но не его отец, который все больше казался невольным участником, человеком, чей сын похитил его личность, чтобы создать счета в криптовалюте. В электронных письмах Сон Чжон Ву они впервые нашли фотографии молодого человека — например, селфи, которые он сделал, чтобы показать друзьям, как он сломал зуб в автокатастрофе. Это был худощавый, ничем не примечательный молодой кореец с широко расставленными глазами и копной черных волос в стиле «Битлз».

Но по мере того, как формировался портрет этого администратора, формировались и профили сотен других мужчин, которые пользовались сайтом. Некоторые сразу привлекли внимание следственной группы: один подозреваемый, к ужасу Томаса Тэмси и его коллег из Национальной безопасности, был агентом иммиграционной и таможенной полиции в Техасе. Другой был заместителем директора средней школы в Джорджии. Администратор школы разместил в социальных сетях видео, на которых он поет дуэтом в караоке с девочками-подростками из своей школы. В любом другом случае видео можно было бы рассматривать как ничем не примечательные. Но, учитывая то, что они знали о сайтах, которые посещал этот человек, агенты, имевшие больший опыт работы с детьми, предупредили Янчевски, что видео могут отражать форму извращения.

Это были люди, занимавшие привилегированное положение во власти, с потенциальным доступом к жертвам. Следователи сразу поняли, что им нужно как можно быстрее арестовать некоторых пользователей «Welcome to Video», еще до того, как они смогут организовать демонтаж сайта. Эксперты по эксплуатации детей предупредили их, что у некоторых правонарушителей есть системы, предупреждающие других, если правоохранительные органы арестуют или скомпрометируют их подельников, — кодовые слова или так называемые переключатели мертвецов, которые отправляли предупреждения, если данные люди отсутствовали за своим компьютером в течение определенного периода времени. Тем не менее, следственная группа «Welcome to Video» чувствовала, что у них нет другого выбора, кроме как действовать быстро и идти на определённый риск.

Ещё один подозреваемый примерно в то же время попал в их поле зрения по другой причине: он жил в Вашингтоне, округ Колумбия. На самом деле дом этого человека находился через дорогу от офиса прокурора США, недалеко от столичного района Галерея-плейс. Он жил в том самом многоквартирном доме, из которого совсем недавно выехал один из прокуроров.

Они поняли, что это место может им пригодиться. Янчевски и Гамбарян могли легко обыскать дом этого человека и его компьютеры в качестве эксперимента. Если это докажет, что этот человек был клиентом «Welcome to Video», они смогут предъявить обвинение по всему делу в судебном округе округа Колумбия, преодолев ключевое юридическое препятствие.

Однако копнув глубже, они обнаружили, что этот человек был бывшим сотрудником Конгресса и занимал высокопоставленную должность в престижной экологической организации. Заставит ли арест или обыск дома жертвы с таким профилем вызвать общественный резонанс, что потопит их дело?

Однако, как только агенты сосредоточили свое внимание на этом подозреваемом, они обнаружили, что он подозрительно странно перестал появляться в социальных сетях. Кому-то из команды пришла в голову идея получить его записи о путешествиях. Они обнаружили, что он прилетел на Филиппины и собирался вылететь обратно в Вашингтон через Детройт.

Это открытие привело агентов и прокуроров к двум мыслям: во-первых, Филиппины были печально известным местом для секс-туризма, часто такого рода, где были замешаны дети — офис иммиграционной полиции в Маниле постоянно был занят делами об эксплуатации детей. Во-вторых, когда этот человек вылетел обратно в США, таможня и пограничная служба могли на законных основаниях задержать его и потребовать доступ к его устройствам для поиска улик — странное и противоречивое исключение из конституционной защиты американцев, которое в данном случае могло послужить на пользу.

Поднимет ли тревогу их подозреваемый из округа Колумбия и сорвет ли расследование в самом его начале?

«Да, все это могло сорвать наше дело», — говорит Янчевски. — Но нам нужно было действовать.

В конце октября сотрудники таможенно-пограничной службы в аэропорту Детройт Метрополитен остановили мужчину, высаживавшегося с рейса Филиппины – Вашингтон. Сотрудники отвели его в комнату вторичного досмотра. Несмотря на его яростные протесты, пограничники настояли на том, чтобы забрать его компьютер и телефон, прежде чем позволить ему уйти.

Несколько дней спустя, 25 октября, прокурор, который жил в том же многоквартирном доме округа Колумбия, что и подозреваемый, увидел электронное письмо от руководства ее старого дома; она осталась в списке рассылки, несмотря на то, что переехала. В электронном письме отмечалось, что пандус гаража в переулке позади дома будет закрыт этим утром. В сообщении поясняли, что неизвестный приземлился туда после того, как спрыгнул с балкона своей квартиры. Мужчина погиб.

Прокурор сложила два и два. Самоубийца был их тестовым подозреваемым-примером в деле «Welcome to Video». Янчевски и Гамбарян сразу поехали в многоквартирный дом и подтвердили руководству: самый первый объект их расследования только что покончил с собой.

Позже в тот же день два агента налогового управления вернулись на место смерти мужчины с ордером на обыск. Они поднялись на лифте на 11-й этаж вместе с управляющим, который был глубоко озадачен тем, почему в этом деле замешана налоговая служба, но молча открыл им дверь. За дверью их ожидала довольно грязная квартира с высокими потолками. Здесь же стояли еще не полностью распакованные чемоданы из поездки. Накануне вечером мужчина заказал пиццу, и часть ее оставалась несъеденной на столе.

Янчевски вспоминает, как чувствовал мрачную тишину пустого дома этого человека, представляя отчаянный выбор, с которым он столкнулся прошлой ночью. Глядя с балкона на 11 этажей вниз, агент видел место в переулке внизу, где тротуар недавно был вымыт из шланга.

Столичная полиция округа Колумбия предложила показать агентам видео с камеры наблюдения, на котором мужчина разбился насмерть. Они вежливо отказались. Тем временем Управление таможенной и пограничной службы в Детройте подтвердило, что они обыскали компьютер, изъятый у мужчины в аэропорту — часть его памяти была зашифрована, а часть — нет — и обнаружили видео изнасилования детей, а также тайно записанные видео секса взрослых. Их решение нацелиться на этого мужчину послужило своей цели: их выбор оказался верен.

Прокуратура округа Колумбия ненадолго приостановила свою работу, чтобы встретиться и признать сюрреалистический шок от смерти человека — их расследование сайта, размещенного на другом конце света, уже привело к тому, что кто-то покончил с собой всего в нескольких кварталах от их офиса. «Это было просто напоминание о том, насколько серьезным было то, что мы расследовали», — говорит Фаруки. Тем не менее группа согласилась: они не могут позволить этому самоубийству отвлечь их от работы.

Янчевски говорит, что он бы предпочел, чтобы этого человека арестовали и предъявили обвинения. Но к этому моменту он уже был вынужден час за часом смотреть видео с сексуальным насилием над детьми. Он отложил в сторону свои эмоции в начале этого дела, поэтому у него было мало сочувствия к потребителю этих материалов.

Следующим в их списке был помощник директора средней школы. Всего несколько дней спустя Янчевски прилетел в Джорджию и присоединился к тактической группе агентов таможенной полиции, которые проводили поиски. Впервые он столкнулся лицом к лицу с предполагаемым клиентом «Welcome to Video» в его собственном доме.

Несмотря на его стоицизм, второй случай затронул Янчевски больше, чем цель в Вашингтоне. Аккуратный, ухоженный кирпичный двухэтажный дом. Родителей допрашивали в разных комнатах. Дети того же возраста, что и дети Янчевски, смотрят «Клуб Микки Мауса».

Янчевский и агенты оставались в доме достаточно долго, чтобы обыскать его, допросить мужчину и изъять его электронные устройства для анализа. Фаруки говорит, что в дополнение к свидетельствам о том, что мужчина платил за материалы на сайте «Welcome to Video», он также признался в «неуместном прикосновении» к ученикам в своей школе. Позже мужчине будет предъявлено обвинение в сексуальном насилии над несовершеннолетними, хотя он так и не признает себя виновным.

По крайней мере, для Янчевски все последние сомнения, которые он испытывал после своей первой очной ставки с подозреваемым, основанной только на отслеживании криптовалюты, рассеялись за считанные часы. «В конце дня я чувствовал себя более уверенно», — говорит он. «Мы были правы». Блокчейн не лгал.

Команда усердно работала над своим коротким списком высокоприоритетных целей и тестовых примеров «Welcome to Video». Но в декабре 2017 года они наткнулись на другую зацепку, которая снова изменила их приоритеты.

Отслеживая финансовые следы «Welcome to Video», следователи позаботились о том, чтобы записать все содержимое страницы с чатом сайта, где пользователи по-прежнему оставляли постоянный поток комментариев на фоне спама и троллинга, типичных для любого анонимного веб-форума. Сайт, казалось, был полностью немодерируемым: нигде не было видно ни электронной почты администратора, ни контакта службы поддержки. Но Янчевски начал замечать повторяющиеся сообщения от одной учетной записи, которые отдалённо напоминали контакты службы поддержки: «Свяжитесь с администраторами, если вам нужна помощь в исправлении ошибки». Он включал адрес Torbox, электронной почты на основе Tor, ориентированной на конфиденциальность.

Когда Янчевски пытался расшифровать, кто стоял за этими сообщениями, он проверил имя пользователя перед знаком «@» в адресе Torbox, уникальную строку из шести символов, чтобы увидеть, соответствует ли оно пользователю в «Welcome to Video». Конечно же, он обнаружил, что кто-то с таким же ником загрузил более сотни видео.

Аарону Байсу из компании Excygent пришла в голову идея использовать этот адрес электронной почты Torbox в базе данных, изъятой из BTC-e во время расследования криптообмена налоговым управлением. Байс нашел совпадение: одна учетная запись на BTC-e была зарегистрирована с адресом электронной почты, который содержал ту же самую уникальную строку из шести символов. Это был не адрес электронной почты Torbox, а адрес другого почтового сервиса, ориентированного на конфиденциальность, под названием Sigaint.

Янчевски знал, что Torbox и Sigaint, обе службы даркнета, не будут отвечать на законные запросы о предоставлении информации о своих пользователях. Но данные BTC-e включали IP-адреса 10 прошлых входов на биржу одного и того же пользователя. В 9 случаях из 10 IP-адрес был скрыт с помощью VPN или Tor. Но во время десятого посещения BTC-e пользователь ошибся: он оставил открытым свой настоящий домашний IP-адрес.

Трассировка показала, что IP-адрес ведет к домашнему интернет-соединению — на этот раз не в Корее, а в Техасе. Был ли второй администратор «Welcome to Video», на этот раз из США? Янчевски и Байс продолжали дергать за верёвочки с нарастающей срочностью, запрашивая информацию об учетной записи пользователя у своего интернет-провайдера.

Было утро пятницы, начало декабря,  Янчевски пил кофе за своим столом в офисе налогового управления, когда он получил результаты повестки в суд. Он открыл письмо, чтобы найти имя и домашний адрес. Это был американец лет тридцати, живший в городке недалеко от Сан-Антонио. Но должность этого человека, когда Янчевски разобрался в присланных данных, поразила еще больше: он был еще одним сотрудником Министерства внутренней безопасности, на этот раз агентом пограничной службы.

Янчевски быстро начал собирать общедоступную информацию об этом агенте из своих аккаунтов в социальных сетях. Сначала он нашел страницу жены этого человека в соцсети, а затем учетную запись самого мужчины, где его имя было написано задом наперед. Байс также откопал его страницу на Amazon, где он оставил отзывы о сотнях продуктов и добавил другие в «список пожеланий», включая внешние устройства хранения, которые могут хранить терабайты видео, скрытые камеры и камеры, предназначенные для просовывания в небольшие узкие отверстия, например, просверленные в стене.

Наконец, с подкрадывающимся чувством страха, Янчевски выяснил, что у жены агента пограничной службы есть маленькая дочь, и что он создал краудфандинговую страницу на GoFundMe, чтобы собрать деньги для того, чтобы законно усыновить девочку. «Черт, — подумал Янчевски. «Он, что, загружал видео дочери?»

Янчевски переключился на «Welcome to Video» и обнаружил, что некоторые миниатюры видеороликов, загруженных человеком с этим именем пользователя, показывают сексуальное насилие над маленькой девочкой примерно того же возраста, что и дочь подозреваемого. Он понял, что теперь у него есть обязанность как можно скорее изолировать этого агента пограничной службы от его жертвы.

В течение следующих 10 дней Янчевски почти не покидал своего рабочего места. Он ехал домой, быстро обедал со своей семьей в их небольшом особняке в Арлингтоне, штат Вирджиния, а затем возвращался в офис, чтобы работать допоздна, часто звоня Байсу и Фаруки глубокой ночью.

Янчевски попросил их агента под прикрытием загрузить видео, которые были загружены подозреваемым агентом из Техаса, и начал изнурительный процесс просмотра их одного за другим. В нескольких видеороликах он заметил нечто, что встряхнуло подпрограммы сопоставления образов в его мозгу: в какой-то момент записи у девочки на видео была красная фланелевая рубашка, повязанная вокруг талии. Он оглянулся на фотографию девочки, размещенную на странице GoFundMe, и увидел ее: на ней была та же красная рубашка.

Был ли этот агент пограничной службы администратором сайта «Welcome to Video»? Модератором? Вряд ли это имело значение. Янчевски теперь считал, что нашел личность активного насильника детей, который жил со своей жертвой, записывал свои преступления и делился ими с тысячами других пользователей. Техасец занял первое место в их списке целей.

За две недели до Рождества, на 10-й день после того, как он опознал агента пограничной службы, Янчевски вылетел в южный Техас вместе с Томасом Тэмси из таможенной полиции и прокурором его команды, занимающимся вопросами эксплуатации детей, Линдси Саттенберг. Прохладным сухим вечером примерно в сотне миль от мексиканской границы Тэмси и группа полицейских штата Техас преследовали подозреваемого, когда тот ехал домой с работы. Позднее они остановили его. Вместе с группой агентов ФБР они доставили мужчину в ближайшую гостиницу для допроса.

Тем временем Янчевски и группа местных следователей из иммиграционной и таможенной полиции вошли в дом мужчины и начали искать улики. Двухэтажный дом был ветхим и грязным, вспоминает Янчевски, за исключением хорошо организованного кабинета мужчины на втором этаже, где они нашли его компьютер. По коридору из этого кабинета он прошёл к спальне девочки и сразу узнал в ней съёмочную площадку, где снимались видеоролики, загруженные мужчиной. На стене он заметил постер, который видел в записи, и на мгновение почувствовал, как будто провалился сквозь экран собственного компьютера в декорации фильма ужасов.

Агент налогового управления и прокурор привезли с собой агента ФБР с опытом в делах по эксплуатации детей. Он увёл девочку от агентов, обыскивающих её дом, в более безопасное место. В конце концов, девочка подробно рассказала ему о жестоком обращении, которому она подвергалась.

Вскоре после обыска дома подозревамеого Янчевски прибыл в номер отеля, где другие агенты допрашивали подозреваемого. Он впервые увидел цель своей одержимости последних полутора недель. Мужчина был высоким и крепким, он был одет в военную форму, его волосы уже начали редеть. Сначала он отказывался говорить о каком-либо физическом насилии, которое он мог совершить, но, в конце концов, он признался в хранении, распространении и, наконец, в создании видео с сексуальным насилием над детьми.

Янчевски поразило бесстрастное, почти клиническое описание человеком своих действий. Он дал следователям пароль к своему домашнему компьютеру, и агент, все еще находившийся у него дома, начал извлекать улики из компьютера и отправлять их Янчевски. Здесь были подробные электронные таблицы всех видео с сексуальной эксплуатацией детей, которые мужчина хранил на своих жестких дисках и, судя по всему, снимал у себя дома.

Другая таблица с компьютера мужчины содержала длинный список учетных данных других пользователей «Welcome to Video». На допросе мужчина объяснил свою схему: он выдавал себя за администратора в сообщениях, которые он размещал на странице чата сайта, а затем просил пользователей, которые попались на приманку, прислать ему свои логины и пароли, которые он использовал для входа в их учетные записи, чтобы получить доступ к видео этих пользователей.

Агент пограничной службы никогда не был администратором или модератором сайта «Welcome to Video», а был лишь особо коварным его посетителем, готовым обмануть таких же пользователей-извращенцев, чтобы удовлетворить собственные аппетиты.

После напряженных 10 дней агенты установили и арестовали еще одного предполагаемого растлителя детей и даже спасли его жертву. Но когда Янчевски летел обратно в Вашингтон, он знал, что гораздо более обширная сеть «Welcome to Video» осталась практически нетронутой. И пока они не закроют сам сайт, он будет продолжать показывать свои видео — в том числе те самые, которые агент пограничной службы загрузил из своего домашнего кабиента в Техасе — анонимной толпе потребителей, таких же, как он.

ИСТОЧНИК
ПРОДОЛЖЕНИЕ СЛЕДУЕТ...

ИСТОЧНИК

2. SERACH VIDEO

В Тайланде уже наступил вечер, когда Левин поговорил с Крисом Янчевски и Тиграном Гамбаряном. Той ночью в начале июля 2017 года два специальных агента Налогового управления США по уголовным расследованиям сидели в бангкокском аэропорту Суварнабхуми, переживая из-за разочарования, вызванного тем, что они оказались в стороне от крупнейшего в истории уничтожения даркнет-рынка.

К 2017 году IRS (налоговое управление США) стало обладателем одних из самых искусных отслеживателей криптовалюты в правительстве США. Именно Гамбарян отследил биткойны двух коррумпированных агентов в расследованиях Silk Road, а затем раскрыл дело об отмывании денег BTC-e. Работая с Левиным, Гамбарян даже отследил сервер AlphaBay, обнаружив его в центре обработке данных в Литве.

Тем не менее, когда Гамбарян и Янчевски прибыли в Бангкок для ареста администратора AlphaBay, франко-канадца Александра Казеса, они были в значительной степени исключены из ближайшего окружения агентов Управления по борьбе с наркотиками и ФБР, которые руководили операцией. Их не пригласили ни на место ареста Казеса, ни даже в офис, где другие агенты и прокуроры смотрели прямую трансляцию задержания.

Для Гамбаряна и Янчевски история была совершенно типичной. Агенты отдела уголовных преступлений налогового управления США занимались детективной работой, носили оружие и производили аресты, как и их коллеги из ФБР и Управления по борьбе с наркотиками. Но из-за безвкусного имиджа IRS они часто обнаруживали, что коллеги-агенты обращались с ними как с бухгалтерами. «Только не устраивайте нам аудит», — шутили их коллеги из других правоохранительных органов, когда их представляли на собраниях.

Находясь в Бангкоке, Гамбарян и Янчевски проводили большую часть своего времени, лениво размышляя о том, каким должно быть их следующее дело, просматривая программное обеспечение Reactor для отслеживания цепочки блоков Chainalysis, чтобы провести мозговой штурм. Рынки даркнета, такие как AlphaBay, похоже, превратились в руины благодаря операции в Таиланде, и им потребуются месяцы или даже годы, чтобы снова набрать обороты. Ведь рынки в даркнете ворочают миллиардами долларов, и от столь прибыльного бизнеса отказываться никто не собирался. Агенты рассматривали возможность захвата игорного сайта в даркнете. Но нелегальные онлайн-казино вряд ли стоили их внимания.

В день отъезда из Таиланда Гамбарян и Янчевски прибыли в аэропорт только для того, чтобы обнаружить, что их рейс в Вашингтон сильно задерживается. Застряв в терминале на несколько часов, они сидели в полудрёме и скучали, буквально уставившись в стену. Чтобы скоротать время, Гамбарян решил попробовать позвонить Левину из Chainalysis, чтобы обсудить следующие дела. Когда Левин поднял трубку, оказалось, что у него есть новости. Он искал веб-сайт, который не вписывался в число обычных целей Налогового управления, но надеялся, что агенты захотят его проверить. Этим сайтом был «Welcome to Video».

Случаи сексуальной эксплуатации детей традиционно находились в центре внимания расследований агентств ФБР и Службы внутренней безопасности, но никак не IRS (Налогового управления США). Отчасти это было связано с тем, что изображения и видео с сексуальным насилием над детьми чаще всего распространялись без использования перехода денег из рук в руки, что следователи назвали системой «торговли бейсбольными карточками», что выводило их за пределы сферы действия IRS. Но «Welcome to Video» отличался от них. Этот сайт имел денежный след, и этот след казался очень четким.

Вскоре после возвращения в округ Колумбия Гамбарян и Янчевски наняли технического аналитика по имени Аарон Байс из контрактной технологической фирмы Excygent, с которым они исследовали криптовалютную биржу BTC-e. Вместе они набросали утилиту «Welcome to Video» для работы в Reactor и увидели то, что Левин понял мгновенно: как ярко этот сайт представлял собой цель. Перед ними была раскрыта вся его финансовая анатомия, тысячи сгруппированных биткойн-адресов, многие из которых были с едва скрытыми платежами и выплатами на биржах, которые, как они знали, могли использовать для идентификации информации. Вскоре Янчевски передал дело Зии Фаруки, федеральному прокурору, который сразу же поддался идее взяться за «Welcome to Video» и официально начал расследование.

Гамбарян, Янчевски, Байс и Фаруки составили необычную команду, которая сосредоточилась на разоблачении масштабной сети эксплуатации детей. Янчевски был высоким агентом со Среднего Запада с квадратной челюстью. Он представлял собой симбиоз Эдварда Нортона и Криса Эванса. Он надевал очки в роговой оправе, когда смотрел на экран компьютера. Он был завербован в команду по компьютерным преступлениям округа Колумбия из офиса IRS в Индиане после того, как доказал свою храбрость в борьбе с терроризмом, торговлей наркотиками, коррупцией в правительстве и делами об уклонении от уплаты налогов. Байс был экспертом в области анализа данных и, по словам Янчевски, работал как машина. Фаруки был опытным помощником прокурора США с большим опытом судебного преследования в делах об угрозах национальной безопасности и отмывании денег. Он обладал почти маниакальной сосредоточенностью и интенсивностью, говорил комично быстро и, как казалось его коллегам, почти не спал. А еще в команде был Гамбарян, агент с взъерошенными волосами и аккуратно подстриженной бородой, который к 2017 году сделал себе имя специалиста по криптовалюте IRS и специалиста по даркнету. Фаруки называл его «Биткойн-Иисус».

Команда начала понимать, что, каким бы простым ни казалось это дело, на самом деле оно было ошеломляющим по своей сложности.

При этом ни один из них никогда ранее не занимался делом о сексуальной эксплуатации детей. У них не было опыта работы с изображениями и видео жестокого обращения с детьми, простое хранение которых обычными американцами уже представляло собой уголовное преступление. Они даже никогда не видели такого рода материалы, и у них не было эмоциональной или психологической подготовки к графическому характеру того, с чем им предстояло столкнуться.

Тем не менее, когда два агента показали Фаруки то, что они увидели в блокчейне, прокурора не смутила их коллективная неопытность в сфере эксплуатации детей. Как юрист, специализирующийся на делах об отмывании денег, он не видел причин, по которым, имея доказательства преступных платежей, которые ему передали Янчевски и Гамбарян, они не могли рассматривать «Welcome to Video» как, по сути, финансовое расследование.

Когда Янчевски и Гамбарян впервые скопировали громоздкий веб-адрес, содержащий бессвязные буквы и цифры, в свои браузеры Tor, их приветствовал ничем не примечательный сайт со словами «Welcome to Video (Добро пожаловать в видео)» и приглашением для входа в систему. Янчевски сравнил минимализм начальной страницы этого сайта со стартовой страницей Google. Каждый из членов команды зарегистрировал собственное имя пользователя и пароль и вошел.

За первой страницей приветствия на сайте отображалась обширная, казалось бы, бесконечная коллекция заголовков видео и их значков, выстроенных в квадраты по четыре кадра, по-видимому, автоматически набранных из кадров каждого файла. Эти маленькие изображения представляли собой каталог ужасов: сцена за сценой в них демонстрировалось сексуальное насилие над детьми.

Агенты мысленно настроились на то, чтобы увидеть эти изображения, но они все еще не были готовы к реальности. Янчевски помнит, какой шок он испытал, увидев один лишь миниатюры видео, и как его мозг почти отказывался воспринимать происходящее на экране. Он обнаружил, что на сайте есть страница поиска, написанная с ошибками: «Serach video» вместо «Search video». Под полем поиска были перечислены популярные ключевые слова, введенные пользователями. Самым популярным был запрос «годовалый». Вторым по популярности значился запрос «двухлетний».

Янчевски сначала подумал, что, должно быть, он что-то неправильно понял. Он ожидал увидеть записи сексуального насилия над подростками или, возможно, детьми, но среднего возраста. Однако, прокручивая страницу, он с нарастающим отвращением и негодованием обнаружил, что сайт переполнен видеороликами о жестоком обращении с малышами и даже младенцами.

«Это что, правда? Не может быть», — говорил Янчевски, оцепенело рассказывая о своей реакции, когда он впервые просматривал сайт. «Неужели здесь так много видео? Нет. Это не может быть правдой».

Два агента знали, что в какой-то момент им действительно придется посмотреть хотя бы некоторые из предлагаемых видео. Но, к счастью, при первом посещении сайта они не смогли получить к ним доступ; для этого им нужно было перечислить биткойны по адресу, который сайт предоставлял каждому зарегистрированному пользователю. За биткойны они могли приобрести «токены», которые затем можно обменять на загрузки. А поскольку они не были агентами под прикрытием, у них не было разрешения покупать эти токены, да они и не особо стремились к этому.

Внизу на нескольких страницах сайта была дата авторского права: 13 марта 2015 года. То есть сайт «Welcome to Video» был запущен уже более двух лет назад. Даже с первого взгляда было ясно, что он превратился в одно из самых больших хранилищ видео с сексуальным насилием над детьми, с которыми когда-либо сталкивались правоохранительные органы.

«Вы не можете прекратить изнасилования детей, просто пытаясь отключить сервер в Южной Корее». Простое отключение сайта не было их первоочередной задачей.

Когда Янчевски и Гамбарян проанализировали механику сайта, они увидели, что пользователи могли получать токены, не только оплатив их, но и загрузив собственные видео. Чем больше этих видео впоследствии скачивали другие пользователи, тем больше токенов зарабатывал загрузивший его человек. «Не загружайте порно со взрослыми», — гласила страница загрузки, последние два слова были выделены красным для большей выразительности. Страница также предупреждала, что загружаемые видео будут проверяться на уникальность; будут приниматься только новые материалы - функция, которая, по мнению агентов, была специально разработана для поощрения большего числа загрузок таких видео.

Гамбарян уже много лет охотился за преступниками всех мастей, от мелких мошенников до коррумпированных коллег из федеральных правоохранительных органов и киберпреступников. Обычно он чувствовал, что может в общих чертах понять их намерения. Иногда он даже сочувствовал им. «Я знавал торговцев наркотиками, которые, вероятно, были более достойными людьми, чем некоторые белые воротнички, уклоняющиеся от уплаты налогов», — размышлял он. «Я мог бы быть связан с некоторыми из этих преступников. Их мотивация — обыкновенная жадность».

Но теперь он попал в мир, где люди совершали зверства, природы которых он не понимал. Они движимы мотивами, которые были ему совершенно неведомы. После детства в раздираемой войной Армении и постсоветской России, а также карьеры, связанной с преступным миром, он считал себя знакомым с худшими проявлениями того, на что способны люди. Теперь он чувствовал, что был наивен: его первый взгляд на «Welcome to Video» обнажил и уничтожил скрытый остаток его идеализма в отношении человечества. «Это немного убило меня», — говорит Гамбарян.

Как только они воочию увидели, что на самом деле представляет собой «Welcome to Video», Гамбарян и Янчевски поняли, что дело требовало срочности, выходящей за рамки их обычного расследования в среде даркнета. Каждый день, проведенный сайтом онлайн, приводил к еще большему насилию над детьми.

Гамбарян и Янчевски знали, что их улики все еще лежат в блокчейне. Важно отметить, что на сайте, похоже, не было механизма, с помощью которого клиенты могли бы снимать деньги со своих счетов. На сайте был только адрес, по которому они могли оплатить токены; не было даже модератора, чтобы попросить возмещение. Это означало, что все деньги, которые они могли видеть утекающими с сайта — биткойны на сумму более 300 000 долларов на момент транзакций — почти наверняка принадлежали администраторам сайта.

Гамбарян начал связываться со своими знакомыми в биткойн-сообществе, ища сотрудников на биржах, которые могли бы знать руководителей двух корейских бирж, Bithumb и Coinone, на которые была обналичена большая часть денег с «Welcome to Video», а также одной американской биржи, на которую поступила небольшая часть всех средств. Он обнаружил, что простое упоминание об насилии над детьми испарило обычное сопротивление криптовалютной индустрии вмешательству правительства. Еще до того, как он отправил официальный юридический запрос или повестку в суд, сотрудники всех трех бирж были готовы помочь. Они пообещали, как только смогут, предоставить ему реквизиты счета для адресов, которые он вытащил из Reactor.

Тем временем Гамбарян продолжал исследовать сам сайт «Welcome to Video». Зарегистрировав учетную запись на сайте, он решил попробовать некую базовую проверку его защищённости. Он щелкнул правой кнопкой мыши по странице и в появившемся меню выбрал «Просмотреть исходный код страницы». Это дало бы ему возможность взглянуть на необработанный HTML-код сайта до того, как браузер Tor преобразовал его в графическую веб-страницу. Во всяком случае, смотреть на массивный блок кода лучше, чем смотреть на бесконечный клубок жалкой человеческой испорченности.

Он почти мгновенно заметил то, что искал: IP-адрес. IP-адрес – это уникальный цифровой адрес компьютера в сети. К удивлению Гамбаряна, каждое миниатюрное изображение на сайте отображало в HTML-коде сайта IP-адрес сервера, на котором оно было физически размещено: 121.185.153.64. Он скопировал эти 11 цифр в командную строку своего компьютера и запустил базовую утилиту traceroute, следуя по пути через Интернет обратно к местоположению исходного сервера.

К его удивлению, результаты показали, что этот компьютер вообще не был закрыт анонимной сетью Tor; Гамбарян смотрел на настоящий, незащищенный адрес сервера «Welcome to Video». Подтверждая первоначальную догадку Левина, сайт был размещен на домашнем соединении интернет-провайдера в Южной Корее, за пределами Сеула.

Администратор «Welcome to Video», похоже, совершил типичную ошибку новичка. Сам сайт был размещен в Tor, но эскизы изображений, которые он собрал на своей домашней странице, оказались взяты с того же компьютера за пределами маршрутизации соединения через Tor, возможно, в ошибочной попытке ускорить загрузку страницы.

Гамбарян не мог сдержаться: сидя перед экраном своего компьютера в своём кабинете в округе Колумбия, глядя на обнаруженное местонахождение администратора веб-сайта, чей арест, как он чувствовал, приближался, агент разразился смехом.

Янчевски находился на полигоне в Мэриленде, ожидая своей очереди на стрельбу, когда он получил электронное письмо от американской криптовалютной биржи, которую его команда вызвала в суд. В нем содержалась идентифицирующая информация о подозреваемом администраторе «Welcome to Video», который обналичивал там заработок с сайта.

Во вложениях к электронному письму был изображен кореец средних лет с адресом за пределами Сеула, что точно подтверждает IP-адрес, который нашел Гамбарян. В документах даже была фотография мужчины, держащего свое удостоверение личности, по-видимому, чтобы подтвердить свою личность при регистрации на американской бирже.

На мгновение Янчевски показалось, что он смотрит на администратора «Welcome to Video» лицом к лицу. Но он понимал, что здесь всё не так просто: у человека на фотографии были заметно грязные руки, с землей, застрявшей под ногтями. Он больше походил на сельскохозяйственного рабочего, чем на компьютерного гения, который администрирует один из самых мерзких сайтов в даркнете.

В течение следующих дней, пока другие биржи реагировали на повестки в суд, начал вырисовываться ответ. Одна корейская биржа, а затем другая отправили Гамбаряну документы о мужчинах, которые контролировали адреса обналичивания «Welcome to Video». Они назвали не только этого мужчину средних лет, но и гораздо более молодого, 21- летнего мужчину, по имени Сон Чжон Ву. Оба указали один и тот же адрес и одну и ту же фамилию. Являлись ли они отцом и сыном?

Агенты считали, что приближаются к администраторам сайта. Но они пришли к пониманию, что простое закрытие сайта или арест его администраторов вряд ли послужит интересам правосудия. Созвездие биткойн-адресов, которые «Welcome to Video» сгенерировало в блокчейне, представляет собой обширную, оживленную связь как потребителей, так и, что гораздо важнее, производителей материалов о сексуальном насилии над детьми.

К этому моменту прокурор Зия Фаруки привлек на помощь команду других прокуроров, в том числе Линдси Саттенберг, помощника прокурора США, специализирующуюся на делах, связанных с эксплуатацией детей. Она отметила, что даже отключение сайта не обязательно должно быть их первоочередной задачей. «Вы не можете позволить изнасиловать ребенка, пока пытаетесь отключить сервер в Южной Корее», — подытожил Фаруки ее доводы.

Команда начала понимать, что, каким бы простым ни казался этот случай поначалу, после простой идентификации администраторов сайта он на самом деле был ошеломляющим по своей сложности. Им нужно будет проследить за деньгами не только к одному или двум веб-администраторам в Корее, но и от этой центральной точки к сотням потенциальных подозреваемых — как активных злоумышленников, так и их соучастников — пособников — по всему миру.

Обнаружение Гамбаряном IP-адреса сайта и быстрое сотрудничество с криптовалютными биржами оказались удачей. Однако настоящая работа была еще впереди.

ИСТОЧНИК
ПРОДОЛЖЕНИЕ СЛЕДУЕТ...

ИСТОЧНИК

1. Волшебная палочка

Ранним осенним утром 2017 года в пригороде среднего класса на окраине Атланты Крис Янчевски стоял в одиночестве у дверей одного из домов. Он не был гостем в этом доме.

Несколькими мгновениями ранее вооруженные агенты службы внутренней безопасности, облачённые в бронежилеты, заняли позиции вокруг аккуратного двухэтажного кирпичного дома и постучали во входную дверь. А когда глава семьи, проживавший там, открыл ее, агенты ворвались внутрь. Янчевски, следователь по уголовным делам налоговой службы, тихо следовал за ними. Теперь он оказался в прихожей, в центре бурной деятельности, наблюдая, как агенты обыскивают помещение и изымают электронные устройства.

Они разделили семью, поместив отца, помощника директора местной средней школы и, по совместительству, объект своего расследования в одну комнату; его жену отвели в другую комнату; двух детей – в третью. Агент включил телевизор и поставил мультики «Клуб Микки Мауса», чтобы отвлечь детей от вторжения в их дом посторонних людей.

Янчевски участвовал в этом рейде только в качестве наблюдателя, гостя, прилетевшего из Вашингтона, округ Колумбия, чтобы смотреть и давать советы местной службе внутренней безопасности, пока её агенты выполняют свой приказ. Но именно расследование Янчевски привело агентов сюда, в этот самый обычный дом с ухоженным двором, расположенном среди других самых обычных домов, которые можно найти в любом месте Америки. Он привел их туда, основываясь на странной, зарождающейся форме улик. Янчевски следовал по звеньям блокчейна Биткойна, выстраивая эту цепочку до тех пор, пока она не соединила этот самый обычный дом с необычайно жестоким местом в Интернете, а затем соединила это место с сотнями других мужчин по всему миру. Все эти мужчины были замешаны в одном из самых громких и суровых киберпреступлений. Теперь все они находились в длинном списке целей Янчевски.

За последние несколько лет службы Янчевски, его напарник Тигран Гамбарян и небольшая группа следователей из растущего списка трехбуквенных американских агентств использовали новую технику расследования. Они отслеживали криптовалюту, которую когда-то представлялось невозможным отследить, чтобы начать раскрывать одно уголовное дело за другим. Ком уголовных дел достиг беспрецедентного, эпического масштаба. Но новые методы расследования никогда ранее не приводили их к делу, подобному этому, в котором судьбы стольких людей, как жертв, так и преступников, казалось, зависели от результатов этой новой формы судебной экспертизы. Утренние обыски в пригороде Атланты были первым этапом традиционного расследования Янчевски. Это было, как он позже выразился, «доказательством осуществимости концепции». Проверка концепции — это демонстрация практической осуществимости какого-либо метода, идеи, технологии, реализуемости с целью доказательства факта, что метод, идея или технология работают.

С того места, где Янчевски стоял перед домом, он мог слышать, как агенты национальной безопасности разговаривают с отцом семейства, который отвечал надтреснутым, смиренным голосом. В другой комнате он услышал, как агенты допрашивали жену этого человека; она отвечала, что да, она находила определенные изображения на компьютере своего мужа, но он сказал ей, что скачал их случайно, когда качал нелицензионную музыку. А в третьей комнате было слышно, как двое детей школьного возраста — детишки примерно такого же возраста, как и дети Янчевски — смотрят телевизор. Они попросили перекусить, по-видимому, не обращая внимания на трагедию, разворачивающуюся в их семье.

Янчевски помнит серьезность момента: их подозреваемым был администратор средней школы, муж и отец двоих детей. Был он виновен или невиновен, но обвинения, которые выдвигала против него группа агентов правоохранительных органов, — их простое присутствие в его доме — почти наверняка разрушили бы его жизнь.

Янчевски снова подумал о методе расследования, которое привело их в это место.  Оно было подобно цифровой лозе, обнажающей скрытый слой незаконных связей, лежащих в основе видимого мира. Он надеялся, что фактам и уликам не удастся сбить его с пути.

В летний день в Лондоне несколькими месяцами ранее технологический предприниматель британского происхождения по имени Джонатан Левин вошел в непритязательную кирпичную штаб-квартиру британского Национального агентства по борьбе с преступностью (National Crime Agency, NCA) — британского эквивалента ФБР — расположенного на южном берегу Темзы. Дружелюбный агент провел его на второй этаж здания и через офисную кухню, предложив ему чашку чая. Левин согласился, как всегда делал при посещении NCA, и по традиции не стал вынимать чайный пакетик из чашки.

Двое мужчин сидели с чашками в руках за столом агента в группе кабинок. Левин находился здесь в рамках обычного визита к клиенту, чтобы узнать, как агент и его коллеги используют программное обеспечение, созданное компанией, соучредителем которой выступал Левин. Эта компания, Chainalysis, была первой в мире технологической фирмой, которая сосредоточилась исключительно на задаче, которая несколько лет назад могла показаться оксюмороном: отслеживание криптовалюты. NCA являлось одним из десятков правоохранительных органов по всему миру, которые научились использовать программное обеспечение Chainalysis, чтобы превратить наиболее предпочтительное средство торговли в среде цифрового преступного мира в его ахиллесову пяту.

Для начала давайте немного погрузимся в теорию блокчейна. Когда Биткойн впервые вышел на мировой рынок в 2008 году, одним из фундаментальных обещаний криптовалюты была абсолютная анонимность. Криптовалюта якобы раскрывала только то, какие монеты на каких биткойн-адресах находятся. В роли адресов выступали длинные уникальные строки букв и цифр — без какой-либо идентифицирующей информации о владельцах этих монет. Этот слой запутывания создал у многих первых его сторонников впечатление, что Биткойн может быть полностью анонимной интернет-валютой, которую так долго ждали либертарианские шифропанки и криптоанархисты: новый финансовый мир, где цифровые портфели, полные немаркированных банкнот, могут мгновенно переходить из рук в руки по всему миру.

Сатоши Накамото, таинственный создатель Биткойна, зашел так далеко, что написал в одном из первых электронных писем, описывающих криптовалюту, что «участники могут сохранять анонимность». В пятницу, 31 октября 2008 года, в электронном письме он также писал: «Я работаю над новой системой электронных денег, полностью одноранговой, без доверенной третьей стороны».  И тысячи пользователей черных рынков темной паутины, таких как Silk Road, использовали биткойн в качестве своего центрального платежного механизма. Но парадоксальная правда о Биткойне, на которой Chainalysis построила свой бизнес, заключалась в следующем: каждый биткойн-платеж фиксируется в своей цепочке блоков, постоянной, неизменной и полностью общедоступной записи каждой транзакции в сети Биткойн. Блокчейн гарантирует, что монеты нельзя будет подделать, или потратить более одного раза. Однако это достигается за счет того, что все участники биткойн-экономики становятся свидетелями каждой транзакции. Каждый преступный платеж в некотором смысле оказывался на виду абсолютно у всех.

Через несколько лет после появления Биткойна академические исследователи безопасности, а затем и такие компании, как Chainalysis, начали отыскивать зияющие дыры в масках, разделяющих адреса пользователей Биткойна и их реальные личности. Они могли следить за биткойнами в блокчейне, перемещаясь с адреса на адрес, пока не находили тот, который можно было бы связать с известной личностью. В некоторых случаях следователь может узнать биткойн-адреса, совершив с ними транзакцию, подобно тому, как агент по борьбе с наркотиками, работающий под прикрытием, может провести контрольную закупку. В других случаях следователь может отследить монеты до учетной записи на бирже криптовалют, где финансовые правила требуют от пользователей подтверждения своей личности. Быстрый вызов в суд по поводу обмена от одного из клиентов Chainalysis в правоохранительных органах был достаточен, чтобы развеять любую иллюзию анонимности Биткойна.

Chainalysis объединил эти методы деанонимизации пользователей Биткойна с методами, которые позволили ему «кластерировать» адреса, показывая, что от десятков до миллионов адресов иногда принадлежали одному человеку или организации. Например, когда монеты с двух или более адресов были потрачены в одной транзакции, выяснилось, что тот, кто создал эту «многоходовую» транзакцию, должен иметь контроль над обоими адресами отправителя, что позволяет Chainalysis объединять их в одну транзакцию. В других случаях Chainalysis и ее пользователи могут исследовать «Peel Chain». Peel Chain — это метод отмывания крупных сумм криптовалюты посредством серии многочисленных транзакций. Украденные средства, как правило, распределяются злоумышленниками по двум отдельным адресам, каждый раз отнимая по небольшой сумме при последующем переводе. Этот процесс повторяется снова и снова, пока не достигнет пункта назначения.

Благодаря подобным уловкам Биткойн оказался практически противоположным тому, чем его позиционировали ранее: своего рода приманкой для крипто-преступников, которые годами добросовестно и нестираемо записывали доказательства своих грязных сделок. К 2017 году такие агентства, как ФБР, Управление по борьбе с наркотиками и отдел уголовных расследований налогового управления, отслеживали транзакции биткойнов для проведения одного успешного расследования за другим, очень часто при содействии Chainalysis.

Дела начинались с малого, а затем набирали бешеный размах. Следователи отследили операции двух коррумпированных федеральных агентов, чтобы показать, что до закрытия Silk Road, крупнейшего рынка в даркнете, в 2013 году один крал биткойны с этого рынка темной сети, а другой продавал данные правоохранительных органов создателю этого рынка Россу Ульбрихту. Затем они отследили биткойны на полмиллиарда долларов, украденные с онлайн-биржи Mt.Gox, и показали, что вырученные средства были отмыты российским администратором другой криптобиржи, BTC-e, серверы которая были обнаружены в Нью-Джерси. И, наконец, они пошли по следам биткойнов, чтобы установить личность основателя другого чёрного рынка AlphaBay, который был в 10 раз крупнее Silk Road.

На самом же деле, пока Левин сидел в Лондоне и разговаривал с агентом NCA за чашечкой чая, коалиция из полудюжины правоохранительных органов собиралась в Бангкоке, чтобы арестовать создателя AlphaBay, Александра Кейзеса. Его история заслуживает отдельного освещения, поскольку через несколько дней после ареста он нежданно-негаданно совершит самоубийство в собственной камере. Но об этом поговорим в следующий раз.

Левин, как всегда, с нетерпением ждал следующего крупного расследования Chainalysis. Пробежавшись с ним по нескольким открытым делам, агент NCA упомянул зловещий сайт в даркнете, который недавно попал в поле зрения агентства. Он назывался «Welcome to Video» (Добро пожаловать в видео).

Джонатан Левин был ошеломлен тем, что увидел: перед ним открылась целая сеть преступных платежей, которые должны были храниться в тайне.

Агентство NCA наткнулось на этот сайт в разгар расследования ужасного дела с участием преступника по имени Мэтью Фалдер. Ученый из Манчестера, Англия, Фалдер изображал из себя художника и выпрашивал обнаженные фотографии у незнакомцев в Интернете, а затем угрожал поделиться этими изображениями с семьей или друзьями жертвы, если те не станут снимать для него всё более унизительные и развратные фото. В конечном счете, он заставлял своих жертв совершать членовредительства и даже насиловать других на камеру. К моменту ареста в списке его жертв числилось более 50 человек, по крайней мере трое из которых пытались покончить жизнь самоубийством.

На компьютерах Фалдера NCA обнаружило, что он был зарегистрированным пользователем на сайте «Welcome to Video», преступного предприятия, которое своим масштабом затмило даже зверства Фалдера. Эта доказательная база затем перешла от группы NCA по расследованию эксплуатации детей к группе по компьютерным преступлениям, включая агента, занимающегося криптовалютами, за столом которого сейчас сидел Левин. «Welcome to Video», казалось, было одним из тех редких сайтов, которые продавали доступ к клипам сексуального насилия над детьми в обмен на биткойны. С первого взгляда было ясно, что его библиотека изображений и видео необычайно велика, и к ней обращалась — и часто добавляла совершенно новые материалы — огромная пользовательская база по всему миру.

Иногда известный как «детская порнография» класс изображений, которые распространялись на «Welcome to Video», все чаще стали называть «материалами сексуального насилия над детьми», чтобы развеять любые сомнения в том, что они связаны с актами насилия над детьми. Child sexual abuse material как его обычно сокращают CSAM, в течение многих лет представлял собой огромное скрытое течение даркнета, собрание тысяч веб-сайтов, защищенных анонимным программным обеспечением, таким как Tor и I2P. Эти инструменты анонимности, используемые миллионами людей во всем мире, стремящимися избежать онлайн-слежки, также стали служить теневой инфраструктурой для отвратительной сети злоупотреблений, которая очень часто мешала попыткам правоохранительных органов идентифицировать посетителей или администраторов сайтов с CSAM.

Агент NCA показал Левину биткойн-адрес, который, как определило агентство, был частью финансовой сети «Welcome to Video». Левин предложил загрузить его в программный инструмент крипто-отслеживания Chainalysis, известный как Reactor. Он поставил чашку чая, пододвинул стул к ноутбуку агента и начал составлять схему набора адресов сайта в блокчейне биткойнов, представляющих кошельки, на которые платформа «Welcome to Video» получала платежи от тысяч клиентов.

Левин был ошеломлен тем, что увидел: многие из пользователей этого сайта жестокого обращения с детьми — и, судя по всему, его администраторы — почти ничего не сделали, чтобы скрыть следы своих кошельков. Перед ним была раскрыта целая сеть преступных платежей, которые должны были храниться в тайне.

На протяжении многих лет Левин наблюдал, как некоторые операторы даркнета осваивали некоторые уловки, чтобы избежать отслеживания. Они проталкивали свои деньги через многочисленные промежуточные адреса или сервисы-миксеры, предназначенные для того, чтобы сбить с толку следователей, или использовали криптовалюту Monero, ориентированную на максимальную конфиденциальность транзакций. Но, взглянув в тот день на кластер «Welcome to Video» в офисе NCA, Левин сразу понял, что его пользователи гораздо наивнее. Многие просто покупали биткойны на биржах криптовалют, а затем отправили их прямо из своих кошельков в «Welcome to Video».

Содержимое кошельков веб-сайта, в свою очередь, было обработано всего на трёх биржах — Bithumb и Coinone в Южной Корее, и Huobi в Китае — где они были конвертированы обратно в традиционную валюту. Кто-то, казалось, постоянно использовал крупные транзакции с несколькими входами, чтобы вывести средства с сайта, а затем обналичить их. Это упростило работу Reactor’а по мгновенной и автоматической кластеризации тысяч адресов, определив, что все они принадлежат одной службе, которую Джонатан Левин теперь мог пометить в программном обеспечении как «Welcome to Video». Более того, Левин мог видеть, что созвездие бирж, окружающих этот кластер и подключенных к нему содержало данные, необходимые для идентификации широкого круга анонимных пользователей сайта — не только тех, кто обналичивал биткойны с сайта, но и тех, кто покупал биткойны для того, чтобы оплатить ими услуги, предоставляемые на этом сайте. Блокчейн-связь между «Welcome to Video» и ее клиентами была одной из самых явно инкриминирующих связей, свидетелем которых когда-либо был Левин.

Эти потребители сексуального насилия над детьми, казалось, были совершенно не готовы к современному состоянию финансовой криминалистики в блокчейне. Если взять за аналогию игру в кошки-мышки, в которую Левин играл годами, «Welcome to Video» походил на незадачливого грызуна, который никогда ранее не сталкивался с хищником.

Когда он сидел перед ноутбуком агента NCA, до Левина дошло, возможно, яснее, чем когда-либо прежде, что он живет в «золотой век» отслеживания криптовалюты — что исследователи блокчейнов, подобные Chainalysis, значительно опередили тех, на кого они были нацелены.

Увидев, что кто-то обналичивает большую часть доходов «Welcome to Video» через две биржи в Южной Корее, Левин уже догадался, что администратор сайта, скорее всего, находится в этой стране. Похоже, что многие пользователи сайта платили сайту напрямую с адресов, где они приобрели монеты, на таких биржах, как Coinbase и Circle, базирующихся в Соединенных Штатах. Для ликвидации этой глобальной сети жестокого обращения с детьми может потребоваться только привлечение другого правоохранительного органа в США или Корее, который может потребовать идентификационные данные от этих обменов. И Левин знал, куда нужно обратиться.

«У меня есть люди, которым это может быть интересно», — сказал он своему провожатому из NCA.

Но поначалу, собираясь уйти, Левин молча запомнил первые пять символов адреса «Welcome to Video», который ему показал агент. Программное обеспечение Chainalysis Reactor включало функцию, которая могла автоматически заполнять биткойн-адреса на основе их первых нескольких уникальных цифр или букв. Пяти знаков будет достаточно — это короткий пароль, который способен разблокировать живую карту глобального преступного заговора.

ИСТОЧНИК
ПРОДОЛЖЕНИЕ СЛЕДУЕТ...