Лондонские приключения ГРУ: этюд в телефонных звонках

В предыдущих расследованиях команда Bellingcat и российское издание The Insider установили двух ключевых подозреваемых в отравлении «Новичком» Сергея и Юлии Скрипалей и последующей гибели Дон Стерджесс от отравления тем же веществом. Мы установили двоих подозреваемых, путешествовавших под подставными личностями Александра Петрова и Руслана Боширова. Оказалось, что это офицеры российской военной разведки (ГРУ/ГУ ГШ ВС РФ) Анатолий Чепига и Александр Мишкин, оба в звании полковников, оба — кавалеры ордена Героя России.

Впоследствии команда Bellingcat установила и третьего офицера ГРУ, который ездил в Лондон во время солсберийской операции под подставной личностью Сергея Федотова. Мы установили, что его настоящее имя — Денис Сергеев, а его звание — не ниже полковника, возможно — генерал-майора или генерал-лейтенанта. Мы не знали, какую именно роль играл в операции Сергеев, однако, принимая во внимание его возраст и предыдущие зарубежные операции, в которых он принимал участие, мы предположили, что он был рангом выше Чепиги и Мишкина и, вероятно, занимался координацией операции в Солсбери.

В ходе дальнейших расследований в сотрудничестве с международными СМИ мы попытались узнать подробности о роли Сергеева в различных зарубежных операциях ГРУ.

Первая часть этого расследования была проведена в сотрудничестве с программой Newsnight телерадиокомпании BBC.

Полученная нами информация о метаданных телефонных звонков с телефонного номера, зарегистрированного на имя (подставного лица) «Сергея Федотова» позволила нам проанализировать использование Денисом Сергеевым своего телефона (в том числе звонки и подключения к интернету) в период с мая 2017 г по май 2019 г. Эти данные (в особенности метаданные сотовых вышек, которые нам удалось перевести в геопривязку) позволили нам восстановить картину передвижений Сергеева. Сергеев перемещался как по России, так и за рубежом. Мы также проанализировали характер его коммуникаций в ходе зарубежных операций. Команда Bellingcat получила метаданные телефонных звонков от источника, работающего на одного из российских мобильных операторов. Источник уверен, что не нарушил законов о защите персональных данных, поскольку лица, на которое был зарегистрирован этот номер («Сергей Федотов»), не существует.

  • Анализ перемещений телефона Сергеева по Москве позволил нам установить, что он ежедневно ездит со своего места жительства на различные объекты, где работают подразделения ГРУ. В частности, это штаб-квартира ГРУ по адресу Хорошевское шоссе, 67Б, а также академия ГРУ по адресу Народного ополчения, 50.
  • В частности, характер поездок Сергеева на эти объекты ГРУ не менялся с 2017 г до конца 2018 г, что подтверждает нашу гипотезу, что на момент отравления Скрипалей он работал в ГРУ.
  • Телефонные метаданные также позволили нам получить неожиданное подтверждение того, что под подставной личностью «Сергея Федотова» скрывался, как мы и предполагали, Денис Сергеев. Этим доказательством оказался телефонный звонок с номера, зарегистрированного на имя жены Дениса Сергеева, на номер, зарегистрированный на «Сергея Федотова».
  • Наши партнеры в BBC по собственным источникам установили, что Денис Сергеев имеет звание генерал-майора. Это, как и наша более ранняя оценка, что он был выше по рангу, чем Мишкин и Чепига, а также данные о пользовании телефоном во время его поездки в Лондон (представлены ниже) подтверждают наше предположение, что он выполнял задачу по надзору и координации операции по отравлению Скрипалей: он поддерживал коммуникации с Москвой, в то время как предполагаемая команда исполнителей (Мишкин и Чепига) работали в оперативной «клетке Фарадея».

Карта активности Дениса Сергеева в Москве в 2018 году

Импульсивное путешествие

Утром четверга 1-го марта 2018 г Денис Сергеев работал в своей новой квартире, в 7 минутах ходьбы от Академии ГРУ, где он проработал (и прожил с семьей в общежитии) почти 10 лет. Его новая квартира, в некоторое нарушение конспирации, находилась на улице Рихарда Зорге — советского разведчика, работавшего в Японии и передававшего информацию о планах Гитлера напасть на СССР.

В 10:51 Сергеев, воспользовавшись телефоном, зарегистрированным на его подставную личность, позвонил на номер, зарегистрированный на еще одну несуществующую личность — «Тимура Агафонова». Разговор оказался коротким — Сергеев повесил трубку всего через 9 секунд. Остаток дня Сергеев провел дома, сидя в интернете и чего-то ожидая.

Чуть позже 18:00 Денис Сергеев наконец получил подтверждение, которого он ожидал: ему предстояло провести выходные в Лондоне. Однако это не была романтичная поездка с женой. Он отправился туда не под своим настоящим именем, а под именем «Сергея Федотова» — начальника отдела в курьерской компании, выступающей ширмой для ГРУ. Протокол оперативной безопасности требовал, чтобы он сам забронировал билет — так в системе бронирования не должно было остаться следов его реального работодателя, то есть ГРУ.

Сергеев позвонил в пару туристических агентств в поисках билета в Лондон на следующее утро. По неизвестной причине (возможно, билеты были распроданы) бронирование было подтверждено лишь некоторое время спустя. Только в 20:09 ему перезвонил туристический агент, который находился примерно в 2 километрах от его дома, подтвердив бронирование билета на следующее утро.

Сергеев набрал на своем телефоне *100#, чтобы проверить баланс. Денег на счету оказалось достаточно, однако он понял, что для поездки придется активировать роуминг, так как ему понадобится отправлять и принимать много данных. Однако он оставил эту операцию на утро — ему предстояло успеть на ранний вылет.

На следующее утро Сергеев прибыл в аэропорт Шереметьево чуть раньше 6:00. Его рейс «Аэрофлота» должен был вылететь в 8:15, однако он приехал в аэропорт заранее, чтобы сдать багаж. К его разочарованию, примерно в 7:30 «Аэрофлот» прислал ему СМС, сообщив, что его рейс задерживается на час. Час спустя пришло еще одно сообщение: рейс задерживался уже на два часа.

Ожидая рейса, Сергеев отправил несколько сообщений и скачал несколько крупных файлов. В течение двух часов, которые ему пришлось потратить на ожидание, он обменялся несколькими сообщениями через мессенджеры Telegram, Viber, WhatsApp и Facebook, а также скачал 3 крупных файла. В 9:15 ему позвонил «Амир», с которым они проговорили около 3 минут. 45 минут спустя, прежде чем наконец сесть на свой самолет Airbus A321, он снова позвонил Амиру и сообщил ему, что скоро наконец-то вылетит. В течение следующих трех дней он неоднократно разговаривал с Амиром — и только с ним.

Скучающий турист

И данные авиакомпании, и метаданные телефона подтверждают, что Сергеев приземлился в лондонском аэропорту Хитроу в 10:33 утра по местному времени. Спустя чуть больше часа он выдвинулся из 4-го терминала Хитроу в центр Лондона. По телефонным метаданным, он покинул Хитроу не ранее 11:50, после чего за 37 минут добрался до Кенсингтона, а еще через 15 минут — до пункта назначения (отеля в районе вокзала Паддингтон).

Хронология перемещений Сергеева 2 марта согласно подключениям к телефонным вышкам. Цифрами внутри кружков обозначена последовательность подключений, цифрами рядом с кружками — количество подключений.

Во время его пути из аэропорта его телефон неоднократно подключался к сети, что говорит о том, что он не стал пользоваться метро, где обычно нет подключения к интернету. Маршрут и время в пути указывают на то, что он, вероятнее всего, ехал на автомобиле. Он заселился в гостиницу примерно в 12:35. Площадь покрытия сотовых вышек не позволяет установить, в какой именно гостинице он остановился. Однако практически очевидно, что эта гостиница находилась всего в нескольких кварталах от вокзала Паддингтон.

В течение следующих двух дней до отбытия из Лондона воскресным утром Сергеев практически не выходил из номера, за исключением небольшой прогулки утром субботы.

Телефонная зависимость

Хотя Сергеев не проявлял интереса к достопримечательностям Лондона, он провел довольно много времени в разговорах по телефону и в сети. Судя по данным о трафике телефона, по-видимому, он не доверял местному Wi-Fi и подключался к интернету с телефона через 3G/4G. Всего за 48 часов пребывания в Лондоне он израсходовал более 1 Гб трафика.

Из-за особенностей логирования данных в роуминге отличить различные формы использования трафика невозможно — поэтому мы не знаем, сколько времени в онлайне Сергеев провел в зашифрованных мессенджерах, а сколько — скачивая или загружая файлы или просматривая сайты через браузер. Однако, судя по использованию им мессенджеров в Москве, мы можем предположить, что по крайней мере часть времени, которое он провел в сети, он общался через один или несколько мессенджеров — Telegram, Fiber, Whatsapp и/или Facebook Messenger.

По крайней мере некоторые случаи использования Сергеевым мобильных данных можно определить как передачу крупных файлов, судя по объему переданных данных и времени, которое потребовалось на передачу. Размер некоторых переданных данных соответствовал типичному размеру фотографии в высоком разрешении, тогда как другие данные скорее соответствовали типичному размеру видеофайлов.

Сергеев продолжал использовать мобильный интернет в течение всего пребывания в Лондоне, что говорит о том, что его телефон все время был при нем, и что он не ходил на (длительные) прогулки, которые можно было бы отследить по подключению к телефонным вышкам.  Например, в ночь со 2-го на 3-е марта в период с 3:00 по 4:00 по лондонскому времени можно заметить использование значительных объемов данных, а с 4:30 по 6:00 — передачу крупных файлов (или видеозвонки/связь по VOIP). Учитывая разницу во времени между Лондоном и Москвой, которая в марте составляет 3 часа, этот период времени соответствует началу рабочего дня в Москве.

«Амир Москва»

Во время своей поездки Сергеев регулярно звонил только на один телефонный номер и принимал звонки с этого же номера. Именно на этот номер он позвонил непосредственно перед отлетом из Москвы. Всего во время поездки в Лондон он связывался с этим контактом 11 раз.

На момент публикации этого материала этот номер был «незарегистрирован», то есть соответствовал предоплаченной сим-карте без задокументированного владельца. Однако, учитывая, что российские мобильные операторы имеют право активировать сим-карты, только связанные с конкретными лицами (или компаниями), а по состоянию на июнь 2018 года требуется идентификация владельцев номеров по паспорту, этот номер представляется нестандартным. Кроме того, судя по логам метаданных, этот номер не оставляет «следов», характерных для обычных номеров: так, для этого номера отсутствуют идентификаторы сотовых вышек и логи IMEI/IMSI. Соответственно, вероятно, что этот номер принадлежит к специальной серии, используемой российскими спецслужбами и, возможно, не связан с физическим телефоном (а, например, с телекоммуникационным шлюзом).

Этот номер присутствует в популярном в России приложении-телефонном справочнике под именем «Амир Москва».

Скриншот популярного приложения-справочника GetContact

В первый раз Сергеев позвонил на этот номер 2 марта, вскоре после того, как заселился в отель у вокзала Паддингтон. Часом позже у него состоялся еще один короткий разговор с «Амиром», а затем, в 20:49 — более долгий разговор продолжительностью 9 минут.

Суббота, 3 марта

На следующее утро, вскоре после 9:00, Сергеев принял два телефонных звонка с того же номера, а после 15:45 — еще два звонка.

В промежутке между этими двумя звонками Сергеев по крайней мере один раз выходил из отеля. Между 11:30 и 12:00 его телефон был по крайней мере один раз зарегистрирован сотовой вышкой у перекрестка Оксфорд-стрит и Риджент-стрит. Затем, в период с полудня примерно до 13:30, его телефон несколько раз подключался с набережной на западном берегу Темзы.

Следует отметить, что по версии британской полиции, Чепига и Мишкин прибыли из своей гостиницы на вокзал Ватерлоо примерно в 11:45 того же дня. Их поезд на Солсбери должен был отправиться в 12:50. Вокзал Ватерлоо находится примерно в 10 минутах ходьбы от набережной. Таким образом, если Сергееву было необходимо встретиться с Чепигой и Мишкиным, чтобы передать финальные указания или некий предмет, то им было бы удобно встретиться в районе между набережной и вокзалом Ватерлоо. Для этого наверняка хватило бы часа, который прошел между их прибытием на станцию и отправлением поезда.

Передвижения Сергеева 3 марта. Он провел большую часть дня в отеле (271 подключение), за исключением небольшой прогулки до перекрестка Оксфорд-стрит и Риджент-стрит и более длительного пребывания на набережной Темзы. Синей линией обозначен пеший маршрут между набережной и вокзалом Ватерлоо

Прогулка Сергеева до перекрестка может быть важной (а может и не быть). В растасканном на мемы интервью RT Чепига и Мишкин, выдавая себя за туристов Боширова и Петрова, утверждали, что 3 марта заходили в магазин на Оксфорд-стрит. Однако они говорили, что заходили за кроссовками после возвращения из Солсбери, тогда как Сергеев ходил на Оксфорд-стрит утром перед их отъездом. Однако, возможно, Оксфорд-стрит использовалась для кратких встреч или в качестве запасного варианта.

 Хронология передвижений Мишкина и Чепиги по версии британской полиции.

2018-3-2 15:00 Прибытие в аэропорт Гатвик
2018-3-2 17:40 Вокзал Виктория
2018-3-2 18:00 Вокзал Ватерлоо
2018-3-2 19:00 Вокзал Ватерлоо
2018-3-2 19:00 Гостиница CityStay
2018-3-3 11:45 Вокзал Ватерлоо *отправление с вокзала Ватерлоо — 12:50
2018-3-3 14:25 Вокзал Солсбери
2018-3-3 16:10 Вокзал Солсбери
2018-3-3 20:05 Гостиница CityStay
2018-3-4 8:05 Вокзал Ватерлоо *отправление с вокзала Ватерлоо — 10:20
2018-3-4 11:48 Вокзал Солсбери
2018-3-4 11:58 Дом Скрипалей
2018-3-4 13:05 Фишермен-стрит, Солсбери
2018-3-4 13:50 Вокзал Солсбери *отправление — 15:10
2018-3-4 16:45 Вокзал Ватерлоо
2018-3-4 18:30 На метро в аэропорт Хитроу
2018-3-4 19:28 Паспортный контроль

Just after 6 pm, Sergeev received two more calls from “Amir”, totaling about 4 minutes. Based on the police timeline, suggesting Chepiga and Mishkin left Salisbiry just after 4 pm, by the time of the call the pair would have just returned from their first trip to Salisbury.

Сразу после 18:00 Сергеев принял еще два звонка от «Амира», которые суммарно продолжались около 4 минут. Согласно полицейской хронологии, Мишкин и Чепига выехали из Солсбери чуть позже 16:00, то есть на момент звонка уже должны были вернуться из поездки в Солсбери.

Воскресенье, 4 марта. День отравления

Утром 4 марта Сергеев несколько раз подключался к интернету из своего отеля у вокзала Паддингтон.  В 9:03 он принял звонок и проговорил с «Амиром» около минуты. В 10:20 он отправил или принял файл размером 8 мегабайт, что соответствует размеру фотографии.  Следует отметить, что именно в этот момент Чепига и Мишкин отправились на поезде в Солсбери с вокзала Ватерлоо.

В 10:40 Сергеев последний раз позвонил «Амиру» и проговорил с ним около 2 минут. Он продолжал пользоваться интернетом до 11:00, а после этого покинул отель.  У него был забронирован билет на рейс из Хитроу в 13:30, на который он уже опаздывал.

В 11:20 Сергеев вышел из сети и вновь объявился 30 минут спустя в районе Саутолл по дороге в аэропорт Хитроу. Этот маршрут и время в пути соответствуют поездке на Хитроу-экспрессе, который отправился в 11:25 с вокзала Паддингтон. Он прибыл в Терминал 4 аэропорта Хитроу незадолго до 12:00. К счастью для него, рейс «Аэрофлота» снова задерживался. Он успел на самолет в Москву, который взлетел в 14:15.

В 20:51, когда самолет Сергеева уже собирался садиться, «Амир» попытался позвонить ему, а когда не смог с ним связаться, отправил ему СМС. Сергеев приземлился в Москве в 21:00, проверил свои мессенджеры и отправился домой на автомобиле. В 22:35, прибыв домой, он сделал короткий 10-секундный звонок «Амиру». После этого он сидел в интернете до 4 утра.

Важность новых данных

Обнародованные нами новые данные подтверждают, что на момент солсберийской операции Сергеев являлся действующим сотрудником ГРУ, а не офицером в отставке, действовавшим в частном порядке. Они также проливают свет на вероятную цепочку командования этой и других зарубежных операций ГРУ: один старший офицер-координатор поддерживает связь со штабом в Москве, в то время как работающая «на земле» команда не получает или практически не получает новых указаний. Такая схема может быть связана с соображениями оперативной безопасности и необходимостью максимального сокращения использования оперативниками поддающихся отслеживанию средств коммуникации. Данные, полученные нами о других зарубежных операциях с участием той же команды, говорят о том, что это постоянная оперативная модель ГРУ.

Новые телефонные метаданные также содержат ответ на вопрос, который нам не удалось разрешить в нашем предыдущем расследовании: зачем Сергеев зарегистрировался, а затем снялся с регистрации своего рейса? Учитывая, что он поздно выехал из гостиницы и поэтому поздно прибыл в Хитроу, возможно, что к тому времени, как он прошел контроль, авиакомпания уже исключила Сергеева из списка пассажиров. Если у него был на телефоне электронный посадочный талон, возможно, он сумел добраться до выхода на посадку и, с учетом задержки рейса, «напроситься» обратно в список пассажиров. Тем не менее, остается открытым вопрос, почему по прибытии в Москву он заявил пограничникам, что прилетел из Рима, а не из Лондона. Последнее может объясняться осторожностью ввиду деликатного характера операции.

Хотя объективные источники не позволяют нам проверить информацию наших партнеров BBC Newsnight о том, что Денис Сергеев носит звание генерал-майора, это соответствует нашей собственной оценке, учитывая его возраст и военные заслуги. В свою очередь, участие в операции генерал-майора ГРУ говорит об ее особой важности.