Лондонские приключения ГРУ: этюд в телефонных звонках

В предыдущих расследованиях команда Bellingcat и российское издание The Insider установили двух ключевых подозреваемых в отравлении «Новичком» Сергея и Юлии Скрипалей и последующей гибели Дон Стерджесс от отравления тем же веществом. Мы установили двоих подозреваемых, путешествовавших под подставными личностями Александра Петрова и Руслана Боширова. Оказалось, что это офицеры российской военной разведки (ГРУ/ГУ ГШ ВС РФ) Анатолий Чепига и Александр Мишкин, оба в звании полковников, оба — кавалеры ордена Героя России.

Впоследствии команда Bellingcat установила и третьего офицера ГРУ, который ездил в Лондон во время солсберийской операции под подставной личностью Сергея Федотова. Мы установили, что его настоящее имя — Денис Сергеев, а его звание — не ниже полковника, возможно — генерал-майора или генерал-лейтенанта. Мы не знали, какую именно роль играл в операции Сергеев, однако, принимая во внимание его возраст и предыдущие зарубежные операции, в которых он принимал участие, мы предположили, что он был рангом выше Чепиги и Мишкина и, вероятно, занимался координацией операции в Солсбери.

В ходе дальнейших расследований в сотрудничестве с международными СМИ мы попытались узнать подробности о роли Сергеева в различных зарубежных операциях ГРУ.

Первая часть этого расследования была проведена в сотрудничестве с программой Newsnight телерадиокомпании BBC.

Полученная нами информация о метаданных телефонных звонков с телефонного номера, зарегистрированного на имя (подставного лица) «Сергея Федотова» позволила нам проанализировать использование Денисом Сергеевым своего телефона (в том числе звонки и подключения к интернету) в период с мая 2017 г по май 2019 г. Эти данные (в особенности метаданные сотовых вышек, которые нам удалось перевести в геопривязку) позволили нам восстановить картину передвижений Сергеева. Сергеев перемещался как по России, так и за рубежом. Мы также проанализировали характер его коммуникаций в ходе зарубежных операций. Команда Bellingcat получила метаданные телефонных звонков от источника, работающего на одного из российских мобильных операторов. Источник уверен, что не нарушил законов о защите персональных данных, поскольку лица, на которое был зарегистрирован этот номер («Сергей Федотов»), не существует.

Анализ перемещений телефона Сергеева по Москве позволил нам установить, что он ежедневно ездит со своего места жительства на различные объекты, где работают подразделения ГРУ. В частности, это штаб-квартира ГРУ по адресу Хорошевское шоссе, 67Б, а также академия ГРУ по адресу Народного ополчения, 50.

В частности, характер поездок Сергеева на эти объекты ГРУ не менялся с 2017 г до конца 2018 г, что подтверждает нашу гипотезу, что на момент отравления Скрипалей он работал в ГРУ.

Телефонные метаданные также позволили нам получить неожиданное подтверждение того, что под подставной личностью «Сергея Федотова» скрывался, как мы и предполагали, Денис Сергеев. Этим доказательством оказался телефонный звонок с номера, зарегистрированного на имя жены Дениса Сергеева, на номер, зарегистрированный на «Сергея Федотова».

Наши партнеры в BBC по собственным источникам установили, что Денис Сергеев имеет звание генерал-майора. Это, как и наша более ранняя оценка, что он был выше по рангу, чем Мишкин и Чепига, а также данные о пользовании телефоном во время его поездки в Лондон (представлены ниже) подтверждают наше предположение, что он выполнял задачу по надзору и координации операции по отравлению Скрипалей: он поддерживал коммуникации с Москвой, в то время как предполагаемая команда исполнителей (Мишкин и Чепига) работали в оперативной «клетке Фарадея».

Импульсивное путешествие

Утром четверга 1-го марта 2018 г Денис Сергеев работал в своей новой квартире, в 7 минутах ходьбы от Академии ГРУ, где он проработал (и прожил с семьей в общежитии) почти 10 лет. Его новая квартира, в некоторое нарушение конспирации, находилась на улице Рихарда Зорге — советского разведчика, работавшего в Японии и передававшего информацию о планах Гитлера напасть на СССР.

В 10:51 Сергеев, воспользовавшись телефоном, зарегистрированным на его подставную личность, позвонил на номер, зарегистрированный на еще одну несуществующую личность — «Тимура Агафонова». Разговор оказался коротким — Сергеев повесил трубку всего через 9 секунд. Остаток дня Сергеев провел дома, сидя в интернете и чего-то ожидая.

Чуть позже 18:00 Денис Сергеев наконец получил подтверждение, которого он ожидал: ему предстояло провести выходные в Лондоне. Однако это не была романтичная поездка с женой. Он отправился туда не под своим настоящим именем, а под именем «Сергея Федотова» — начальника отдела в курьерской компании, выступающей ширмой для ГРУ. Протокол оперативной безопасности требовал, чтобы он сам забронировал билет — так в системе бронирования не должно было остаться следов его реального работодателя, то есть ГРУ.

Сергеев позвонил в пару туристических агентств в поисках билета в Лондон на следующее утро. По неизвестной причине (возможно, билеты были распроданы) бронирование было подтверждено лишь некоторое время спустя. Только в 20:09 ему перезвонил туристический агент, который находился примерно в 2 километрах от его дома, подтвердив бронирование билета на следующее утро.

Сергеев набрал на своем телефоне *100#, чтобы проверить баланс. Денег на счету оказалось достаточно, однако он понял, что для поездки придется активировать роуминг, так как ему понадобится отправлять и принимать много данных. Однако он оставил эту операцию на утро — ему предстояло успеть на ранний вылет.

На следующее утро Сергеев прибыл в аэропорт Шереметьево чуть раньше 6:00. Его рейс «Аэрофлота» должен был вылететь в 8:15, однако он приехал в аэропорт заранее, чтобы сдать багаж. К его разочарованию, примерно в 7:30 «Аэрофлот» прислал ему СМС, сообщив, что его рейс задерживается на час. Час спустя пришло еще одно сообщение: рейс задерживался уже на два часа.

Ожидая рейса, Сергеев отправил несколько сообщений и скачал несколько крупных файлов. В течение двух часов, которые ему пришлось потратить на ожидание, он обменялся несколькими сообщениями через мессенджеры Telegram, Viber, WhatsApp и Facebook, а также скачал 3 крупных файла. В 9:15 ему позвонил «Амир», с которым они проговорили около 3 минут. 45 минут спустя, прежде чем наконец сесть на свой самолет Airbus A321, он снова позвонил Амиру и сообщил ему, что скоро наконец-то вылетит. В течение следующих трех дней он неоднократно разговаривал с Амиром — и только с ним.

Скучающий турист

И данные авиакомпании, и метаданные телефона подтверждают, что Сергеев приземлился в лондонском аэропорту Хитроу в 10:33 утра по местному времени. Спустя чуть больше часа он выдвинулся из 4-го терминала Хитроу в центр Лондона. По телефонным метаданным, он покинул Хитроу не ранее 11:50, после чего за 37 минут добрался до Кенсингтона, а еще через 15 минут — до пункта назначения (отеля в районе вокзала Паддингтон).

Во время его пути из аэропорта его телефон неоднократно подключался к сети, что говорит о том, что он не стал пользоваться метро, где обычно нет подключения к интернету. Маршрут и время в пути указывают на то, что он, вероятнее всего, ехал на автомобиле. Он заселился в гостиницу примерно в 12:35. Площадь покрытия сотовых вышек не позволяет установить, в какой именно гостинице он остановился. Однако практически очевидно, что эта гостиница находилась всего в нескольких кварталах от вокзала Паддингтон.

В течение следующих двух дней до отбытия из Лондона воскресным утром Сергеев практически не выходил из номера, за исключением небольшой прогулки утром субботы.

Телефонная зависимость

Хотя Сергеев не проявлял интереса к достопримечательностям Лондона, он провел довольно много времени в разговорах по телефону и в сети. Судя по данным о трафике телефона, по-видимому, он не доверял местному Wi-Fi и подключался к интернету с телефона через 3G/4G. Всего за 48 часов пребывания в Лондоне он израсходовал более 1 Гб трафика.

Из-за особенностей логирования данных в роуминге отличить различные формы использования трафика невозможно — поэтому мы не знаем, сколько времени в онлайне Сергеев провел в зашифрованных мессенджерах, а сколько — скачивая или загружая файлы или просматривая сайты через браузер. Однако, судя по использованию им мессенджеров в Москве, мы можем предположить, что по крайней мере часть времени, которое он провел в сети, он общался через один или несколько мессенджеров — Telegram, Fiber, Whatsapp и/или Facebook Messenger.

По крайней мере некоторые случаи использования Сергеевым мобильных данных можно определить как передачу крупных файлов, судя по объему переданных данных и времени, которое потребовалось на передачу. Размер некоторых переданных данных соответствовал типичному размеру фотографии в высоком разрешении, тогда как другие данные скорее соответствовали типичному размеру видеофайлов.

Сергеев продолжал использовать мобильный интернет в течение всего пребывания в Лондоне, что говорит о том, что его телефон все время был при нем, и что он не ходил на (длительные) прогулки, которые можно было бы отследить по подключению к телефонным вышкам. Например, в ночь со 2-го на 3-е марта в период с 3:00 по 4:00 по лондонскому времени можно заметить использование значительных объемов данных, а с 4:30 по 6:00 — передачу крупных файлов (или видеозвонки/связь по VOIP). Учитывая разницу во времени между Лондоном и Москвой, которая в марте составляет 3 часа, этот период времени соответствует началу рабочего дня в Москве.

«Амир Москва»

Во время своей поездки Сергеев регулярно звонил только на один телефонный номер и принимал звонки с этого же номера. Именно на этот номер он позвонил непосредственно перед отлетом из Москвы. Всего во время поездки в Лондон он связывался с этим контактом 11 раз.

На момент публикации этого материала этот номер был «незарегистрирован», то есть соответствовал предоплаченной сим-карте без задокументированного владельца. Однако, учитывая, что российские мобильные операторы имеют право активировать сим-карты, только связанные с конкретными лицами (или компаниями), а по состоянию на июнь 2018 года требуется идентификация владельцев номеров по паспорту, этот номер представляется нестандартным. Кроме того, судя по логам метаданных, этот номер не оставляет «следов», характерных для обычных номеров: так, для этого номера отсутствуют идентификаторы сотовых вышек и логи IMEI/IMSI. Соответственно, вероятно, что этот номер принадлежит к специальной серии, используемой российскими спецслужбами и, возможно, не связан с физическим телефоном (а, например, с телекоммуникационным шлюзом).

Этот номер присутствует в популярном в России приложении-телефонном справочнике под именем «Амир Москва».

В первый раз Сергеев позвонил на этот номер 2 марта, вскоре после того, как заселился в отель у вокзала Паддингтон. Часом позже у него состоялся еще один короткий разговор с «Амиром», а затем, в 20:49 — более долгий разговор продолжительностью 9 минут.

Суббота, 3 марта

На следующее утро, вскоре после 9:00, Сергеев принял два телефонных звонка с того же номера, а после 15:45 — еще два звонка.

В промежутке между этими двумя звонками Сергеев по крайней мере один раз выходил из отеля. Между 11:30 и 12:00 его телефон был по крайней мере один раз зарегистрирован сотовой вышкой у перекрестка Оксфорд-стрит и Риджент-стрит. Затем, в период с полудня примерно до 13:30, его телефон несколько раз подключался с набережной на западном берегу Темзы.

Следует отметить, что по версии британской полиции, Чепига и Мишкин прибыли из своей гостиницы на вокзал Ватерлоо примерно в 11:45 того же дня. Их поезд на Солсбери должен был отправиться в 12:50. Вокзал Ватерлоо находится примерно в 10 минутах ходьбы от набережной. Таким образом, если Сергееву было необходимо встретиться с Чепигой и Мишкиным, чтобы передать финальные указания или некий предмет, то им было бы удобно встретиться в районе между набережной и вокзалом Ватерлоо. Для этого наверняка хватило бы часа, который прошел между их прибытием на станцию и отправлением поезда.

Прогулка Сергеева до перекрестка может быть важной (а может и не быть). В растасканном на мемы интервью RT Чепига и Мишкин, выдавая себя за туристов Боширова и Петрова, утверждали, что 3 марта заходили в магазин на Оксфорд-стрит. Однако они говорили, что заходили за кроссовками после возвращения из Солсбери, тогда как Сергеев ходил на Оксфорд-стрит утром перед их отъездом. Однако, возможно, Оксфорд-стрит использовалась для кратких встреч или в качестве запасного варианта.

Хронология передвижений Мишкина и Чепиги по версии британской полиции.

2018-3-2 15:00 Прибытие в аэропорт Гатвик 2018-3-2 17:40 Вокзал Виктория 2018-3-2 18:00 Вокзал Ватерлоо 2018-3-2 19:00 Вокзал Ватерлоо 2018-3-2 19:00 Гостиница CityStay 2018-3-3 11:45 Вокзал Ватерлоо *отправление с вокзала Ватерлоо — 12:50 2018-3-3 14:25 Вокзал Солсбери 2018-3-3 16:10 Вокзал Солсбери 2018-3-3 20:05 Гостиница CityStay 2018-3-4 8:05 Вокзал Ватерлоо *отправление с вокзала Ватерлоо — 10:20 2018-3-4 11:48 Вокзал Солсбери 2018-3-4 11:58 Дом Скрипалей 2018-3-4 13:05 Фишермен-стрит, Солсбери 2018-3-4 13:50 Вокзал Солсбери *отправление — 15:10 2018-3-4 16:45 Вокзал Ватерлоо 2018-3-4 18:30 На метро в аэропорт Хитроу 2018-3-4 19:28 Паспортный контроль

Just after 6 pm, Sergeev received two more calls from “Amir”, totaling about 4 minutes. Based on the police timeline, suggesting Chepiga and Mishkin left Salisbiry just after 4 pm, by the time of the call the pair would have just returned from their first trip to Salisbury.

Сразу после 18:00 Сергеев принял еще два звонка от «Амира», которые суммарно продолжались около 4 минут. Согласно полицейской хронологии, Мишкин и Чепига выехали из Солсбери чуть позже 16:00, то есть на момент звонка уже должны были вернуться из поездки в Солсбери.

Воскресенье, 4 марта. День отравления

Утром 4 марта Сергеев несколько раз подключался к интернету из своего отеля у вокзала Паддингтон. В 9:03 он принял звонок и проговорил с «Амиром» около минуты. В 10:20 он отправил или принял файл размером 8 мегабайт, что соответствует размеру фотографии. Следует отметить, что именно в этот момент Чепига и Мишкин отправились на поезде в Солсбери с вокзала Ватерлоо.

В 10:40 Сергеев последний раз позвонил «Амиру» и проговорил с ним около 2 минут. Он продолжал пользоваться интернетом до 11:00, а после этого покинул отель. У него был забронирован билет на рейс из Хитроу в 13:30, на который он уже опаздывал.

В 11:20 Сергеев вышел из сети и вновь объявился 30 минут спустя в районе Саутолл по дороге в аэропорт Хитроу. Этот маршрут и время в пути соответствуют поездке на Хитроу-экспрессе, который отправился в 11:25 с вокзала Паддингтон. Он прибыл в Терминал 4 аэропорта Хитроу незадолго до 12:00. К счастью для него, рейс «Аэрофлота» снова задерживался. Он успел на самолет в Москву, который взлетел в 14:15.

В 20:51, когда самолет Сергеева уже собирался садиться, «Амир» попытался позвонить ему, а когда не смог с ним связаться, отправил ему СМС. Сергеев приземлился в Москве в 21:00, проверил свои мессенджеры и отправился домой на автомобиле. В 22:35, прибыв домой, он сделал короткий 10-секундный звонок «Амиру». После этого он сидел в интернете до 4 утра.

Важность новых данных

Обнародованные нами новые данные подтверждают, что на момент солсберийской операции Сергеев являлся действующим сотрудником ГРУ, а не офицером в отставке, действовавшим в частном порядке. Они также проливают свет на вероятную цепочку командования этой и других зарубежных операций ГРУ: один старший офицер-координатор поддерживает связь со штабом в Москве, в то время как работающая «на земле» команда не получает или практически не получает новых указаний. Такая схема может быть связана с соображениями оперативной безопасности и необходимостью максимального сокращения использования оперативниками поддающихся отслеживанию средств коммуникации. Данные, полученные нами о других зарубежных операциях с участием той же команды, говорят о том, что это постоянная оперативная модель ГРУ.

Новые телефонные метаданные также содержат ответ на вопрос, который нам не удалось разрешить в нашем предыдущем расследовании: зачем Сергеев зарегистрировался, а затем снялся с регистрации своего рейса? Учитывая, что он поздно выехал из гостиницы и поэтому поздно прибыл в Хитроу, возможно, что к тому времени, как он прошел контроль, авиакомпания уже исключила Сергеева из списка пассажиров. Если у него был на телефоне электронный посадочный талон, возможно, он сумел добраться до выхода на посадку и, с учетом задержки рейса, «напроситься» обратно в список пассажиров. Тем не менее, остается открытым вопрос, почему по прибытии в Москву он заявил пограничникам, что прилетел из Рима, а не из Лондона. Последнее может объясняться осторожностью ввиду деликатного характера операции.

Хотя объективные источники не позволяют нам проверить информацию наших партнеров BBC Newsnight о том, что Денис Сергеев носит звание генерал-майора, это соответствует нашей собственной оценке, учитывая его возраст и военные заслуги. В свою очередь, участие в операции генерал-майора ГРУ говорит об ее особой важности.