今天,我们与调查合作伙伴CNN,Der Spiegel和The Insider一起,确定了一项长期运行的FSB行动,以追赶俄罗斯反对派人物Alexey Navalny,其中包括许多参与Novichok研究与开发的化学武器专家。我们如何找到所有这些信息,以及如何验证信息?我们将在这里详细介绍我们的调查方法,并就俄罗斯数据市场进行讨论,对数据进行交叉引用以确保其准确性,以及其他主题。
贝灵猫此前曾调查过俄罗斯政府管理的科研机构链在为GRU的海外暗杀计划提供神经制剂研究和制造方面的作用,包括2018年3月的谢尔盖(Sergey)和尤利娅·斯克里帕尔(Yulia Skripal)的Novichok中毒以及保加利亚武器制造商的较早中毒Emilian Gebrev。
在Belingcat对俄罗斯更新的化学武器项目进行调查的过程中,我们分析了SC Signal两位高管所使用的电话元数据的呼叫元数据。神经毒剂。我们观察到,在阿列克谢·纳瓦尼中毒之前的几个月中,这两位高管Arur Zhirov和Victor Taranchenko都与Stanislav Makshakov进行了交流,而很少与FSB上级领导人Kirill Vasilyev和Vladimir Bogdanov进行交流。此外,我们观察到这组FSB操作人员之间的沟通激增
在贝灵猫开始对纳瓦尔尼中毒进行调查时,我们调查了在托木斯克纳瓦尔尼中毒发生之前,SC Signal高管和与GRU相关的研究所之间是否出现过类似的激增。我们没有找到这样的模式。于2020年7月6日打了一次Signal-GRU(谢尔盖·彻普尔)电话。但是,我们的确看到了SC Signal和FSB链接号码之间的激增。尤其是,第一次此类激增出现在2020年6月29日至2020年7月7日之间,并于2020年7月6日达到高峰。7月6日,SC Signal的首席执行官Artur Zhirov接到了与犯罪学研究所有联系的四名FSB雇员的电话,包括斯坦尼斯拉夫·马克沙科夫上校和弗拉基米尔·博格达诺夫将军。另外,Zhirov还收到了FSB安全通讯部门的固定电话打来的电话。
有了这些信息,我们开始搜索,最终找到了自2017年以来一直落后于Alexey Navalny的FSB官员和化学武器专家团队。
我们用于调查的许多信息在大多数西方国家都无法找到,但在俄罗斯,可以免费或以相当低的费用获得。此外,俄罗斯的电子邮件提供商(例如Mail.ru和Rambler)和社交网络(例如Vkontakte)与西方国家的电子邮件提供商相比,安全性和隐私保护性要差得多,从而导致频繁的数据泄漏和强大的搜索功能。
由于俄罗斯数据保护措施的漏洞,仅需使用一些具有创意的Google搜索(或Yandexing)和价值几百欧元的加密货币,即可获取包含地理位置数据,旅客舱单和住宅数据的电话记录。对于尚未通过torrent网络在Internet上浮动的数千兆字节的数据库文件中包含的记录,存在买卖数据的繁荣的黑市。手动获取此数据的人员通常是银行,电话公司和警察部门的底层员工。通常,这些向经销商提供数据或直接向客户提供数据的数据商人被捕,并面临刑事指控。对于其他批次的记录,在网站内或通过Telegram消息传递服务上的漫游器提供了自动化服务,这些服务完全避免了人工渠道提供敏感个人数据的必要性。
例如,要查找Anatoliy Chepiga(涉及Sergey Skripal和他的女儿中毒的两名GRU警察之一)的大量个人信息,我们只需要使用Telegram机器人和大约10欧元。在输入Chepiga的全名并通过Google Pay或Yandex Money之类的付款服务提供信用卡后的2-3分钟内,流行的Telegram机器人将为我们提供Chepiga的出生日期,护照号码,法院记录,车牌号,VIN数量,以前的车辆拥有记录,交通违规以及莫斯科经常停车的地点。可以在下面看到提供的基准信息的示例,并检查了关键的个人详细信息。
有关俄罗斯数据黑市的更多信息,请参阅Andrey Zakharov对BBC俄罗斯服务部(英文缩写版)的调查,记者在其中对这些数据市场进行了测试,以了解其准确性和交付方式。他能够从在线论坛上的数据销售商处以大约2,000卢布(约合22.50欧元)的价格购买自己的护照档案。在与另一个匿名的数据经纪人交谈之后,他们将自己称为“侦探社”,扎哈罗夫花了“不到10,000卢布”(约合110欧元)购买了自己和家人的电话记录。数据是准确的,并且包括最近一段时间内他本人及其家人的精确位置。
尽管该数据市场对隐私有着明显而可怕的影响,但显而易见的是,这种小规模腐败和政府执法松懈的环境可以如何针对俄罗斯的安全服务官员。几百欧元可以而且确实为您提供了FSB或GRU官员的数月电话数据,使调查人员能够追踪情报部门的运作,确定研究目标的同事并跟踪整个俄罗斯间谍的实际踪迹和国外。
揭露参与Navalny行动的FSB军官的身份涉及上述俄罗斯泄漏数据信息系统的一些工作,以及更传统的开源调查。我们将详细介绍如何找到,寻找,跟踪和扩展最初线索的工作流程,以找到新的数据点并建立对所获取数据准确性的信心。重要的是要注意,对于我们找到的每个数据源,我们都将确保与其他数据源进行核对和证实。可以与其他来源交叉引用一个人的姓名,出生日期,车牌,护照号码和其他数据点,以确保不会污染单个数据源。此外,几乎所有泄漏源都被保留下来,这与泄漏时一样—这意味着,如果某人在2020年成为不当行为的头条新闻,则2016年以来泄漏的数据库将不受俄罗斯政府和其他人的操纵。
在过去的几年中,Bellingcat已收购了数十个泄漏的数据库,从而为我们提供了大量数据点,以供相互参考和验证所获取的任何新数据。如果FSB军官在爆炸性新档案中的出生日期与2013年的莫斯科州车辆注册数据库的出生日期不匹配,那么就有些不对劲-但我们很少遇到此类问题,并且在此没有任何矛盾调查。
出发点是查看与纳瓦尼乘坐的平行航班的乘客舱单。我们的假设是,任何潜在的特工都不太可能像纳瓦尼一样乘坐相同的航班,而是宁愿乘坐较早的飞机飞往相同的目的地,然后不久再返回莫斯科。纳瓦尼的行程-可以访问预订记录的政府雇员或数据经纪人很清楚-是在8月14日将Aeroflot 1460从莫斯科带到新西伯利亚,然后在8月20日从托木斯克返回莫斯科。
考虑到这一点,我们考察了8月14日Navalny抵达或前一天飞往新西伯利亚的其他航班。我们将这些乘客与那些在8月20日或21日从托木斯克到莫斯科的机票相匹配的乘客进行了交叉引用,以匹配Navalny的行程。这些参数使我们找到了1980年出生的俄罗斯人Aleksey Frolov,他于8月13日从莫斯科飞往新西伯利亚(Aeroflot 1460,与纳瓦尔尼相同),并于8月21日从托木斯克飞往莫斯科。在托木斯克-莫斯科机票上,他从未登机-与纳瓦尔尼在回程航班上遭受毒药影响后被改航到鄂木斯克的情况相符。
如果这听起来像是一个遥不可及的事情,请记住Frolov的旅行行程的特殊性,以及由于COVID-19大流行而导致的内部航班乘客人数减少。
弗洛洛夫返回莫斯科的有趣之处在于,他被列为与另外两名男子的共同旅行者,这表明他们的机票是在集体行动中购买的(即,一个人一起购买了全部三张机票)。这两个人是弗拉基米尔·潘亚耶夫(Vladimir Panyaev)和伊万·斯皮里多诺夫(Ivan Spiridonov)。
现在,我们有了三个可疑男子的名字-一个名叫弗罗洛夫的男子,其行程与纳瓦尼完全相同,除了一天后到达和离开外,还有另外两个与他一起回莫斯科的男子。弗洛洛夫(Frolov)和斯皮里多诺夫(Spiridonov)都是鬼,身上带有假冒人物的所有标记:没有纳税人号码(INN),没有车辆拥有的历史,没有注册的住所,但他们在俄罗斯各地旅行了多年。但是,潘雅耶夫(Panyaev)使用的是他的真实姓名。在GetContact应用程序中搜索Panyaev的电话号码时,该应用程序众包了给定号码的通讯录条目,我们发现他在某人的电话簿中被列为“ FSB Vladimir Alexandrovich Panyaev”。
一个人在电话中将某人列为“ FSB”并不能最终证明他们确实是FSB的特工,但与任何打算深入从托木斯克一起旅行到三人的三人组一样,它的优势也很明显。莫斯科:Panyaev,Frolov和Spiridonov。
在检查Panyaev的旅行记录时,信息大坝破裂了:他与Frolov于2020年7月共同前往加里宁格勒旅行-与Navalny的行程相符。他们还一起前往2017年4月的阿斯特拉罕(Astrakhan),纳瓦尼(Navalny)被安排在那里探望,随后遭到塞伦卡(Helenka)袭击将他送往医院。就在2017年4月阿斯特拉罕(Astrakhan)旅行之前,他们一起前往车里雅宾斯克(Chelyabinsk),纳瓦尼(Navalny)也在同一时间参观了该车。
Panyaev还是与一位名叫Aleksey Alexandrov的人的共同旅行者,于2017年9月从鄂木斯克飞往莫斯科的航班上,再次与Navalny在俄罗斯各地的活动保持一致。
显然,这要么是宇宙的巧合,要么是Panyaev和他的同事们落后于Navalny。虽然我们无法从弗洛洛夫的旅行记录中找到任何东西,但帕尼亚耶夫与鄂木斯克的共同旅行者亚历山大·亚历山德罗夫(Aleksey Alexandrov)似乎很熟悉。 Aleksey Alexandrovich Alexandrov于1981年6月16日出生,而Aleksey Andreevich Frolov于1980年6月16日出生。经审查社交媒体后确定,Alexandrov的妻子的姓氏是Frolova。搜索Aleksandrov的住所历史后,我们发现他先前被登记居住在Michurinsky 25(这是Michurinsky 70公路旁的供FSB学院的学生常用的住宅楼)。
查看了亚历山德罗夫的电话记录后,情况变得很清楚:虽然亚历山德罗夫没有在纳瓦尔尼中毒之前从他在莫斯科的家中预定任何旅行,但弗罗洛夫做了。然而,他电话记录中的元数据显示,8月14日,当纳瓦尼到达新西伯利亚时,亚历山德罗夫的电话在纳瓦尼所住的酒店附近的一个手机发射塔上发出了声响。后来,他在8月21日午夜之后打开手机,显示他可能在中毒发生几小时后到了位于纳瓦尼酒店附近的托木斯克。就像“弗洛洛夫”一样,亚历山德罗夫在8月14日前往新西伯利亚和8月20日在托木斯克时也落后于纳瓦尔尼。在“弗洛洛夫”和亚历山德罗夫的旅行记录相匹配的其他地方也可以看到这种模式。 Frolov不是真实的人,而是Alexandrov的掩盖身份。
从这里,我们可以建立谁与谁交谈,他们旅行的地点等等的整个时间表。让我们逐步了解建立FSB运营团队的一些研究方法。
8月15日至16日,在纳瓦尔尼中毒前几天,亚历山大·弗罗洛夫(Alexandrov / Frolov)经常与以-58结尾的莫斯科电话进行交流。在一个受欢迎的Telegram机器人上搜索此号码后发现,该号码属于一个叫Mikhail Shvets的男人,他出生于1977年。Shvets在2019年将他的车辆注册到一个地址:Balashikha的Trubetskaya 116。
在Google Maps上查看此地址时,显然不是居民楼,除非Shvets是一个非常富有的寡头,外面有大量的管家人员。位于Trubetskaya 116上的建筑物并不是任何人实际居住的地址,而是Shvets的工作地址-FSB特种作战中心。
在泄漏的莫斯科车辆注册数据库中搜索该地址,发现有191人(连同Shvets)已向Trubetskaya 116注册车辆。这些注册均未列出公寓号,这些人中的每个人都出生于1970年至2000年之间。 1997年(23至50岁),在191人中,有161人(占84%)是男性。这种行为反映了GRU其他行动不便的情况,GRU的官员经常在车辆登记中列出其工作地址。
在纳瓦尔尼中毒几天后的8月25日,亚历山大·弗罗洛夫(Alexandrov / Frolov)与一个以-49结尾的莫斯科号码进行了通讯。当在流行的Telegram机器人上搜索该号码时,该机器会追踪车辆信息,我们发现有人用这个电话号码为莫斯科的一次汽车停车付款了数百次。
这辆车(通过搜索车牌)和电话号码都与一个名叫Stanislav Valentinovich Makshakov的人绑在一起。
马克沙科夫的注册地址是莫斯科的Brigadirsky pereulok 13,这是俄罗斯国防部第27军事科学中心的官方注册地址。正如我们在先前的调查中透露的那样,该中心参与了化学武器的开发和测试,并且在准备使用化学武器进行海外暗杀任务期间,一名GRU关键官员访问了该地点。
马克沙科夫(Makshakov)被列为与使用化学药品训练士兵接触芥子气有关的专利持有人-该专利由位于萨拉托夫州的科学/医学部队俄罗斯武装部队的军事部门61469申请。对马克沙科夫电话记录的进一步调查将显示,他是该行动的监督者,并且是受过培训的科学家,他曾在萨拉托夫州的希坎尼工作,那里是诺维乔克的所在地,也是第61469部队的所在地。
进一步挖掘电话记录和旅行记录将充实整个操作并透露FSB特工的干部。例如,亚历山德罗夫(Alexandrov)于2014年10月与一名名叫奥列格·塔亚金(Oleg Tayakin)的男子一起飞行。
在搜寻Tayakin的护照号码时,我们可以看到他在2015年与一个名叫Konstantin Kudryavtsev的男人一起旅行。
在圆上,我们可以看到亚历山德罗夫(Alexandrov)在2014年与同一位库德里亚夫采夫一起旅行。
所有这些人都在对方的电话联系日志中,并且与上述的Makshakov,Panyaev和Spiridonov(真实姓名Ivan Osipov)进行通信并进行旅行,其中包括参与Aleksey Navalny中毒的其他人员。
FSB通常为他们的操作员创建备用自我的算法很容易找出:相同的名字,相同的出生日期/月份(年份向上或向下移动一个或多个)以及姓氏通常与操作员的妻子或女友的姓氏匹配。例如:
Aleksey Alexandrovich Alexandrov(生于1981年6月16日)成为Aleksey Andreevich Frolov(生于1980年6月16日)
伊万·弗拉基米罗维奇·奥西波夫(生于1976年8月21日)成为伊万·瓦西里耶维奇·斯皮里多诺夫(生于1975年8月21日)
Konstantin Borisovich Kudryavtsev(1980年4月28日出生)成为Konstantin Yevgenievich Sokolov(1979年4月28日出生)。
奥列格·鲍里索维奇·塔亚金(Oleg Borisovich Tayakin)(1980年12月6日出生)恰好六个月大,成为奥列格·瓦西里耶维奇·塔拉索夫(Oleg Vasilievich Tarasov)(1980年6月6日出生)。
拖曳一个线程将解开整个交叉引用的数据,最终揭示了化学武器专家和FSB操作人员团队计划和实施Navalny的中毒事件。由于俄罗斯政府的疏忽,许多数据都是可用的-很难想象整个城市的车辆登记数据库(包括护照号码,地址,车牌号码和其他数据)每年都会在线泄漏给任何人在德国或德国找到。加拿大-以及安全部门本身的草率行为。
FSB和GRU的野心勃勃,就像他们在运营中所面临的危险一样,但是对于他们的运营安全实践却不能一概而论。您无需寻找公园中的死滴或通过小巷拖曳人员来发现间谍的掩盖身份,而只需要敏锐的眼睛,耐心和知道在哪里寻找可用的泄漏数据源的感觉即可。