Тема выпуска — как финансировалось нападение ХАМАС на Израиль
Кровавое нападение ХАМАС на Израиль оказалось полной неожиданностью как для израильских спецслужб, так и для всего мира. Но отследить активность группировки можно было по всплескам платежей в криптовалютах, часть из которых шла через российские криптобиржи. Рассказываем, что известно о том, как боевики получали криптофинансирование, знали ли об этом власти Израиля и США и почему не смогли этому помешать.
Война, которую никто не ждал
Начавшаяся 7 октября война Израиля и ХАМАС стала самым значительным обострением на Ближнем Востоке с войны Судного дня 1973 года. Боевые действия начались с атак палестинскими боевиками подразделений Армии обороны Израиля на границе сектора Газа и одновременных массированных ракетных обстрелов территории Израиля. Одним из самых трагических эпизодов стало нападение ХАМАС на музыкальный фестиваль в паре километров от границы сектора Газа, в ходе которого погибли как минимум 260 человек.
Один из главных вопросов теперь — как разведки всего мира и самого Израиля могли пропустить подготовку такой масштабной атаки. ХАМАС целенаправленно создавала у Израиля уверенность, что не хочет войны, в то время как «Исламский джихад» и ливанская «Хезболла» отвлекали на себя внимание израильских спецслужб, писало со ссылкой на свои источники агентство Reuters. А NYT и WSJ называют в числе причин провала чрезмерную ставку Израиля на технологии. Электроника, предназначенная для наблюдения за границей (камеры и датчики), а также пулеметы с дистанционным управлением были выведены из строя за считанные минуты. Кроме того, ХАМАС атаковала дронами станции сотовой связи, лишив израильских военных возможности общаться между собой и передавать оперативную информацию в Тель-Авив.
Крипта для ХАМАС
Отдельный вопрос — кем и как эта атака спонсировалась. ХАМАС использовал разные варианты сбора денег на свои нужды, но не последнюю роль в финансировании группировки сыграли криптовалюты, напоминает WSJ.
По данным властей Израиля, за год до атаки три группировки — ХАМАС, ливанская «Хезболла» и запрещенный в России палестинский «Исламский джихад» — собрали с помощью криптовалют внушительный объем пожертвований. На криптокошельки, связанные с «Исламским джихадом», с августа 2021 года по июнь 2023-го поступило свыше $93 млн, следует из подсчетов аналитической фирмы Elliptic, исследующей криптовалютные переводы. А связанные с ХАМАС криптокошельки за то же время приняли переводов на $41 млн, считает тель-авивская BitOK. И это, скорее всего, лишь малая часть криптовалюты, которой в реальности распоряжались группировки: их поддерживают, как другие арабские страны, включая Иран и Саудовскую Аравию, так и частные доноры. Тем не менее, сам факт обнаружения этих переводов говорит о том, что отрезать от финансирования группировки, во многих странах признанные террористическими и исключенные из глобальной финансовой системы, Израилю и его союзникам не удалось.
Во вторник Национальное бюро по борьбе с финансированием терроризма (NBCTF) Израиля заявило, что заморозило кошельки, которые ХАМАС использовала для сбора пожертвований. Их адреса в открытую публиковались в соцсетях с первого дня войны, а платежи проходили через инфраструктуру крупнейших глобальных бирж Binance и Coinbase. Часть денег группировка получила и вовсе через российскую криптобиржу Garantex с офисом в печально известной в мире криптовалют башне «Федерация» в «Москва-Сити».
Эта операция NBCTF была частью работы по обнаружению «финансовой инфраструктуры в криптовалютах, используемых террористическими организациями для финансирования своей деятельности». Но идет эта работа, судя по всему, непросто.
В мае Reuters писало, что с 2021 года властям Израиля удалось арестовать 190 аккаунтов Binance, якобы связанных с ХАМАС и запрещенным в России «Исламским государством». Почти все они принадлежали трем крупным палестинским обменникам (Binance тогда заявляла, что Reuters «намеренно упускает важные факты» и что злоумышленники регистрировали аккаунты не на «имена преступных предприятий»).
Но Binance и раньше становилась участником скандалов, связанных с криптопереводами в адрес ХАМАС. Например, в судебных документах в рамках разбирательства биржи Комиссией по торговле товарными фьючерсами США (CFTC) был фрагмент внутренней переписки сотрудников от 2019 года. Из него следовало, что сотрудники были в курсе, что некоторые переводы через биржу шли в адрес ХАМАС, но предпочитали закрывать на это глаза, так как речь шла о скромных суммах. «На $600 даже АК-47 не купишь», — иронизировал в переписке один из сотрудников.
Только в июне 2023 года регулятору впервые удалось конфисковать криптокошельки, связанные с «Хезболлой» и иранским военным подразделением «Кудс». Речь шла об 1,7 млн USDT, отправленных c 40 разных адресов. После этого участвовавшие в расследовании аналитики Chainalysis заявили о «разрушении инфраструктуры финансирования терроризма на основе криптовалюты», которой вместе управляли две группировки.
История вопроса
ХАМАС, по данным Elliptic, всегда была одной из самых «плодовитых» группировок, успешно собиравших миллионы долларов в криптовалютах. Впервые использование криптовалют для сбора денег для нужд группировки аналитики заметили еще в 2019 году — тогда военное крыло ХАМАС начало кампанию по сбору криптодонатов через соцсети. Но речь шла о небольших криптотранзакциях — всего ХАМАС на старте удавалось собирать не больше нескольких тысяч долларов в месяц.
После этого криптовалюты для ХАМАС стали важной альтернативой другим способам сбора донатов, которые были сильно ограничены усилиями США и Израиля по борьбе с терроризмом. В 2020 году США закрыли сайт кампании и конфисковали криптосчета, но ХАМАС уже через месяц перезапустила его, пишет Elliptic.
Громкие атаки остаются для ХАМАС одним из важнейших источников дохода, а значит, переоценивать важность остающихся у группировки каналов сбора средств не приходится. Например, после очередного открытого конфликта ХАМАС и Израиля в 2021 году количество криптодонатов в пользу группировки резко возросло. Буквально за пару недель ей удалось собрать больше $7 млн, причем криптовалюту ХАМАС хранила не только в биткоинах, но и в Tether, Ether, Tron (TRX) и Dogecoin.
Судя по всему, финансировалась группировка не только за счет пожертвований. Например, индийская полиция в 2021 году расследовала кражу криптовалюты с кошелька одного из граждан, но не смогла понять, кому принадлежали криптокошельки, на которые выводилось похищенное. Впоследствии во время обмена информацией с Моссадом выяснилось, что владельцем кошельков было одно из крыльев ХАМАС, отвечающее за кибератаки.
Почему это работает
Криптовалютные схемы ХАМАС и других группировок не является для Израиля и аналитиков криптопереводов новостью. Уже тот факт, что первые цифры о собранных боевиками криптовалютах стали известны спустя три дня после нападения, говорит о том, что аналитики и спецслужбы были в курсе происходящего и внимательно за этим следили, объясняет аналитик рынка криптовалют Виктор Першиков.
«Надо понимать, что криптовалютные транзакции сегодня на самом деле — не очень-то анонимные», — объясняет эксперт. Многие пользователи переводят крипту через централизованные биржи, в которых требуется подтвердить личность документами. Но, даже если этого не происходит, есть другие способы деанонимизировать человека: IP, информация о браузере и другие сопутствующие данные. «Да, есть способы оставаться анонимным, но подавляющее большинство пользователей криптовалют им не следует», — говорит Першиков.
Криптопереводы в мире отслеживает несколько аналитических компаний, самые известные — это Elliptic и Chainalysis. Они анализируют транзакции, собирают информацию о криптокошельках и ищут способы идентифицировать тех, кто за ними стоит. А также сотрудничают с госорганами разных стран и с Интерполом в расследовании криптопреступлений. Специалисты внимательно следят и за всеми криптокошельками, связанными с разными террористическими группировками.
«Проблема в том, что сам факт финансового перевода не означает, что деньги будут потрачены на развязывание вооруженного конфликта. Выяснить, на что пошел конкретный криптоперевод — на закупку оружия или на покупку лекарств, — аналитики не могут. Это уже ответственность разведок разных стран», — объясняет Першиков.
Крупные криптобиржи сами тоже хорошо знают своих клиентов: об этом свидетельствует тот факт, что Binance знал, куда идут криптопереводы в случае со сборами донатов для ХАМАС. «Но если биржи будут запрещать все сомнительные транзакции, они просто не смогут работать», — говорит Першиков.
Тем не менее, сбор сотен миллионов долларов в криптовалюте боевиками перед нападением на Израиль обязательно ударит по централизованным криптобиржам. Когда наступит время для расследований причин произошедшего, к Binance и другим участвовавшим в этом игрокам появятся новые вопросы, а в расследованиях американских регуляторов прибавится страниц. И крипторынку, который и так переживает не лучшие времена, вряд ли станет от этого легче.
ОНЛАЙН-РАССЛЕДОВАНИЕ
Онлайн-расследование. Безопасно ли созваниваться в Zoom?
Взлетевший на фоне коронавирусных ограничений американский сервис видеоконференций Zoom в последнее время теряет популярность. В этом году Zoom сократил 1300 сотрудников, или 15% своего штата. Основатель и глава компании Эрик Юань назвал себя ответственным «за допущенные ошибки». В их числе были и уязвимости, которые привели к утечкам данных пользователей Zoom. Несмотря на падение показателей, сервис остается главной площадкой для дистанционного общения — как делового, так и личного. Специальный корреспондент The Bell Ирина Панкратова рассказывает, как повысить безопасность работы с Zoom.
БИГТЕХИ
Как Google невольно помогает российской пропаганде в смартфонах
После начала войны Google заблокировала российские провластные медиа в своих сервисах. Но спустя полтора года в персональной ленте рекомендаций Google Discover для пользователей смартфонов на Android (а их в России больше 80%) все еще попадаются ресурсы, пропагандирующие войну.
Проблема в том, что Google и так особо не тратится на модерацию контента в Discover, а после ухода из России и вовсе снизила внимание к региону, пишет Bloomberg. Как сейчас устроен механизм продвижения контента в России — неясно. Например, заблокированный «Царьград» продвигает себя через сеть веб-сайтов, которые полностью репостят его статьи с заголовком. Это малоизвестные издания, такие как, например, «Третья мировая война» и «Хакасское информационное агентство», которые тоже всплывают в ленте рекомендаций Google.
Сама Google между тем считает, что успешно справляется с информационными вбросами российских властей. «Google “сорвала” 1950 случаев активности российских ИО на своих платформах в 2022 году», — говорилось в докладе корпорации, опубликованном месяц назад.
Компания в некотором роде заложник своей жесткой позиции против российских госСМИ, говорят эксперты. Они в России занимают почти все информационное пространство, и пробел, образовавшийся после блокировок, нечем заполнять, говорит бывший глава «Яндекс.Новостей» и основатель альтернативного новостного агрегатора The True Story Лев Гершензон. К тому же выдача в Discover также зависит от действий пользователя, который вряд ли сможет сам открыть сайт независимого издания, чтобы потом получить его в рекомендациях, — ведь большая часть из них в России блокируется.
READ LATER
- The Insider выяснил, как устроены системы для фильтрации трафика, которые использует Роскомнадзор для новых блокировок по протоколу (и которыми в будущем, возможно, будет блокировать YouTube). А также — кто поставляет разработчикам иностранные комплектующие.
- История одного европейского консорциума, который тайно продает шпионский софт в разные страны.
- Как инфлюенсеры помогли сделать игру Valorant от Riot Games хитом у поколения Z.