ElonmuskWHM. Как ФБР притворялось Илоном Маском и отмывало деньги для хакеров и драгдилеров

Это далеко не пер­вый слу­чай, ког­да аме­рикан­ские пра­воох­раните­ли при­бега­ют к подоб­ной так­тике и фак­тичес­ки пре­дос­тавля­ют прес­тупни­кам необ­ходимую инфраструк­туру или услу­ги, а сами наб­люда­ют за про­исхо­дящим и собира­ют дан­ные.

К при­меру, нес­коль­ко лет назад ФБР соз­дало и управля­ло плат­формой для зашиф­рован­ных ком­муника­ций Anom (она же An0m или Anøm — в отче­тах раз­ных ведомств наз­вание ука­зано по‑раз­ному), похожей на Encrochat и Phantom Secure. Это средс­тво свя­зи обре­ло огромную популяр­ность сре­ди прес­тупни­ков во всем мире, бла­года­ря чему пра­воох­раните­ли годами наб­людали за все­ми их ком­муника­циями. За годы работы Anom пра­воох­ранитель­ным орга­нам уда­лось рас­простра­нить сре­ди прес­тупни­ков более 12 000 «защищен­ных» устрой­ств более чем в 100 стра­нах мира.

Так­же в прош­лом году ста­ло извес­тно, что ФБР соз­дало собс­твен­ную крип­товалю­ту, которая пред­назна­чалась для рас­сле­дова­ния манипу­лиро­вания ценами на крип­торын­ках.

Крупнейший обнальщик WHM

Из­дание 404 Media рас­ска­зало о мас­штаб­ной опе­рации пра­воох­раните­лей, в рам­ках которой аген­ты ФБР на про­тяже­нии 11 месяцев выдава­ли себя за ElonmuskWHM и обна­личи­вали день­ги для нар­котор­говцев, хакеров и дру­гих прес­тупни­ков.

Су­дя по пуб­ликаци­ям на дар­кнет‑форуме Dread, где собира­лись и коор­диниро­вали свои дей­ствия кли­енты нар­котор­говцев, биз­нес ElonmuskWHM начал­ся при­мер­но в октябре 2020 года. Тог­да он начал рек­ламиро­вать свои услу­ги, пред­лагая «налич­ные по поч­те с эскроу и стоп­роцен­тной ано­ним­ностью».

Схе­ма была прос­та: кли­ент перево­дил свою крип­товалю­ту ElonmuskWHM через дар­кнет‑мар­кет­плейс (с его комис­сией), а ElonmuskWHM отправ­лял кли­енту налич­ные по поч­те, оставляя себе комис­сию в раз­мере 20%.

Ес­ли сна­чала поль­зовате­ли Dread обви­няли ElonmuskWHM в том, что он полицей­ский или мошен­ник, со вре­менем некото­рые все же поп­робова­ли перевес­ти ему крип­товалю­ту, пос­ле чего успешно получи­ли свои налич­ные.

Уже через месяц «Илон Маск» заявил, что через него прош­ло более 30 000 дол­ларов. К янва­рю 2021 года он осу­щес­твил более 200 сде­лок, затем 450, и в конеч­ном ито­ге стал называть себя круп­ней­шим пос­тавщи­ком налич­ных на дар­кнет‑мар­кет­плей­се White House Market (WHM), где тоже активно рек­ламиро­вал­ся.

Вско­ре ElonmuskWHM уже заяв­лял, что «перевел мил­лионы, работая на нес­коль­ких кон­тинен­тах». Он пред­лагал дос­тавку налич­ных в любую точ­ку Евро­пы и уве­рял, что за ночь может перевес­ти в США 100 000 дол­ларов.

Как отме­чает изда­ние, в США такие услу­ги всег­да вос­тре­бова­ны. Ведь ком­пании, поз­воля­ющие обме­нивать крип­товалю­ту на фиат­ные день­ги, дол­жны быть зарегис­три­рова­ны в госор­ганах и по закону обя­заны собирать иден­тифици­рующую информа­цию о сво­их поль­зовате­лях, как обыч­ные бан­ки. Невоз­можно поп­росту зарегис­три­ровать­ся на Binance или Coinbase и обна­личи­вать день­ги: бир­жи переда­дут всю информа­цию влас­тям, если им будет предъ­явлен судеб­ный ордер.

Внимание ФБР

Сог­ласно судеб­ным докумен­там, в апре­ле 2021 года сот­рудник ФБР впер­вые нат­кнул­ся на рек­ламу ElonmuskWHM на теневых сай­тах и заин­тересо­вал­ся про­исхо­дящим.

В августе того же года ФБР под­клю­чило к делу Служ­бу поч­товой инспек­ции США (USPIS), и ведомс­тва занялись сов­мес­тным рас­сле­дова­нием деятель­нос­ти ElonmuskWHM. В рам­ках этой опе­рации поч­товый инспек­тор США Джо­шуа Смит (Joshua Smith) открыл або­нент­ский ящик в шта­те Кен­тукки, и влас­ти ста­ли заказы­вать налич­ные у ElonmuskWHM, при­киды­ваясь нар­котор­говцам.

Все посыл­ки и перего­воры с прес­тупни­ком тща­тель­но изу­чались, в попыт­ках уста­новить его лич­ность. Заказы были отно­ситель­но неболь­шими: 1800 дол­ларов, 2000 дол­ларов налич­ными. Порой день­ги при­ходи­ли внут­ри раз­резан­ных книг, стра­ницы из которых были изъ­яты и замене­ны кон­верта­ми с налич­ными, пос­ле чего кни­ги скле­ива­лись по кра­ям.

ФБР мно­го месяцев заказы­вало у ElonmuskWHM день­ги и изу­чало схе­му его работы, но лан­дшафт дар­кне­та начал менять­ся. Сна­чала осенью 2021 года о зак­рытии объ­яви­ла адми­нис­тра­ция White House Market, а в фев­рале 2022 года зак­рылся и хак‑форум Dark0de Reborn, где ElonmuskWHM тоже был акти­вен. В резуль­тате пра­воох­раните­ли были вынуж­дены перей­ти к пря­мому обще­нию с прес­тупни­ком через Telegram и зашиф­рован­ный мес­сен­джер Wickr.

Во вре­мя раз­говоров в этих чатах ElonmuskWHM рас­ска­зывал, что боль­шинс­тво его кли­ентов зараба­тыва­ют день­ги про­дажей нар­котиков, но отме­чал, что самые богатые кли­енты — это хакеры. Некото­рые из этих хакеров, яко­бы были замеша­ны в круп­ных кра­жах крип­товалю­ты и взло­мах.

Так­же он пох­вастал­ся аген­там под прик­рыти­ем, что зарабо­тал око­ло 30 млн дол­ларов все­го за нес­коль­ко лет, и заявил, что может обна­личи­вать до 1 млн дол­ларов в неделю. Сог­ласно судеб­ным докумен­там, про­ана­лизи­ровав блок­чейн, сле­дова­тели приш­ли к выводу, что в общей слож­ности через сеть «Ило­на Мас­ка» прош­ло око­ло 90 млн дол­ларов в крип­товалю­те.

Со вре­менем в таких беседах ElonmuskWHM стал более откро­венен с пра­воох­раните­лями и начал делить­ся под­робнос­тями о себе. Так, в одном из чатов сот­рудник ФБР и прес­тупник обсужда­ли геог­рафичес­кие информа­цион­ные сис­темы (ГИС). Тог­да ElonmuskWHM  рас­ска­зал, что у него есть опыт работы в этой области, в том чис­ле с БПЛА, а в прош­лом он и вов­се был гла­вой ГИС‑ком­пании, но про­дал этот биз­нес око­ло трех лет назад.

В этом чате ElonmuskWHM отпра­вил сот­рудни­ку ФБР ссыл­ку на YouTube-ролик об AR-навига­ции в помеще­ниях для тор­говых цен­тров, аэро­пор­тов и роз­ничных магази­нов. Под­держи­вая раз­говор, федераль­ный агент отве­тил прес­тупни­ку парой дру­гих видео о кар­тогра­фиро­вании с помощью дро­нов (1, 2). На тот момент эти видео были прос­мотре­ны око­ло 2000 и 1400 раз.

По­нимая, что ElonmuskWHM, веро­ятно, пос­мотрел эти ролики, влас­ти США тай­но обра­тились к ком­пании Google с дер­зким тре­бова­нием: пре­дос­тавить все IP-адре­са, с которых в течение недели осу­щест­влял­ся дос­туп к этим видео. Затем, если выяс­нится, что какой‑то из этих IP свя­зан с акка­унтом Google, нуж­но было передать пра­воох­раните­лям имя это­го поль­зовате­ля, адрес, пла­теж­ную информа­цию, логи сооб­щений и информа­цию о любых дру­гих свя­зан­ных акка­унтах.

Поз­же об этом скан­даль­ном юри­дичес­ком тре­бова­нии писало изда­ние Forbes. Тог­да мно­гие экспер­ты называ­ли дей­ствия влас­тей некон­сти­туци­онны­ми, пос­коль­ку тысячи обыч­ных зри­телей YouTube прев­ратились в подоз­рева­емых прос­то из‑за того, что пос­мотре­ли кон­крет­ное видео. При этом оста­ется неяс­ным, пре­дос­тавила ли Google в ито­ге зап­рошен­ные дан­ные.

«Эрик»

К это­му момен­ту ФБР уже начало понимать, отку­да пос­тупа­ют день­ги, и кто может их отправ­лять. К при­меру, одна посыл­ка с налич­ными приш­ла из города Тар­рита­ун, штат Нью‑Йорк. Дру­гая была отправ­лена из Элм­сфор­да, тоже штат Нью‑Йорк. Затем при­шел еще один пакет из Тар­рита­уна и Ирвин­гто­на, сно­ва в Нью‑Йор­ке. То есть начала про­являть­ся законо­мер­ность: отпра­витель порой исполь­зовал одни и те же мес­та сно­ва и сно­ва.

В ито­ге ФБР отсле­дило посыл­ки до молодо­го муж­чины лет из окру­га Вес­тчес­тер, штат Нью‑Йорк (отсю­да были отправ­лены мно­гие пре­дыду­щие посыл­ки). Пос­коль­ку в ито­ге этот человек стал ано­ним­ным информа­тором и сот­рудни­чал с пра­воох­ранитель­ными орга­нами, его имя не рас­кры­вает­ся, и жур­налис­ты называ­ют его «Эри­ком».

Эрик был арес­тован в сво­ем доме, где жил с одним из родите­лей. Сле­дова­тели обна­ружи­ли в доме око­ло 600 000 дол­ларов налич­ными, и ста­ло ясно, что коман­да ElonmuskWHM опе­риру­ет огромны­ми сум­мами.

Как Эрик объ­яснил сле­дова­телям, при­мер­но три раза в неделю он встре­чал­ся с людь­ми, от которых каж­дый раз получал от 100 000 до 300 000 дол­ларов налич­ными для рас­сылки. Боль­шая часть денег в Нью‑Йор­ке пос­тупала от людей, которые вла­дели закон­ным биз­несом, нап­ример неболь­шими магази­нами, и хотели переп­равить день­ги обратно в Индию.

Та­кая под­поль­ная бан­ков­ская сис­тема извес­тна под араб­ским наз­вани­ем «ха­вала». Ее китай­ский экви­валент называ­ется fei-chien, а индий­ские вер­сии извес­тны как хун­ди или ан­гадия. Мно­гие кли­енты хавалы не явля­ются хакера­ми и нар­котор­говца­ми, хотя не сле­дуют стро­гим пра­вилам США в отно­шении услуг по перево­ду денег и тем самым наруша­ют закон.

Биз­нес ElonmuskWHM тес­но пересе­кал­ся с этой сис­темой и прив­лекал в нее день­ги прес­тупни­ков. В сущ­ности, ElonmuskWHM прос­то добавил крип­товалю­ту к это­му отла­жен­ному за мно­го веков про­цес­су, и теперь речь шла не о прос­том переме­щении налич­ных из одно­го мес­та в дру­гое, а об обме­не крип­товалю­ты на налич­ные.

Настоящая личность ElonmuskWHM

Пра­воох­раните­ли решили не прив­лекать Эри­ка к ответс­твен­ности сра­зу, а исполь­зовать его в инте­ресах следс­твия. Эрик сог­ласил­ся на сдел­ку и про­дол­жил занимать­ся при­емом и отправ­кой налич­ных, что­бы ФБР мог­ло луч­ше понять, как имен­но про­исхо­дит отмы­вание средств и выявить дру­гих учас­тни­ков груп­пиров­ки.

Сог­ласно судеб­ным докумен­там, Эрик совер­шил еще око­ло 80 опе­раций с налич­ными, фик­сируя все на скры­тую камеру, и за пери­од с фев­раля по сен­тябрь 2023 года перевел в общей слож­ности более 15 млн дол­ларов.

Он встре­чал­ся с муж­чинами индий­ско­го про­исхожде­ния в круг­лосуточ­ных магази­нах, на авто­зап­равках и пар­ковках, и эти люди при­носи­ли ему пол­ные пакеты налич­ных. Поз­же, исполь­зуя дан­ные с мобиль­ных телефо­нов, ФБР выяс­нило, что некото­рые из этих людей выез­жали за пре­делы шта­та: в Нью‑Джер­си, Джор­джию, Пен­силь­ванию, Мас­сачусетс и Южную Кароли­ну. То есть мулы ElonmuskWHM перед­вигались по всей стра­не.

В ито­ге, бла­года­ря мно­жес­тву орде­ров на получе­ние метадан­ных, судеб­ным пос­танов­лени­ям и орде­рам, нап­равлен­ным Apple, Binance и Uber, а так­же ана­лизу визовых анкет США, сле­дова­тели сумели свя­зать ElonmuskWHM с его мулами и уста­новить, что за этим ником скры­вает­ся Ану­раг Пра­мод Мурар­ка (Anurag Pramod Murarka) — житель Индии в воз­расте око­ло 30 лет.

Вы­ясни­лось, что ранее Мурар­ка не раз подавал заяв­ления на визу для въез­да в США, но они откло­нялись. Теперь влас­ти одоб­рили визу, что­бы пос­ле при­бытия в стра­ну ElonmuskWHM был арес­тован. При этом поз­же его адво­кат заявил, что его кли­ент при­ехал в США, что­бы прой­ти курс лечения ред­кого заболе­вания.

В начале 2025 года Мурар­ка был при­гово­рен к 121 месяцу (10 годам) тюрем­ного зак­лючения.

«Мурар­ка являлся осно­вате­лем и лидером мас­штаб­ного сго­вора, который охва­тывал Соеди­нен­ные Шта­ты, исхо­дил из Индии и соз­давал­ся как банк для прес­тупно­го мира, работа­ющий в дар­кне­те. При этом обви­няемый руково­дил одной из круп­ней­ших и наибо­лее успешных опе­раций по обме­ну крип­товалю­ты на налич­ные в дар­кне­те, отмыв более 24 млн дол­ларов в крип­товалю­те чуть мень­ше чем за два года», — заяви­ла про­курор Кэт­рин Дируф (Kathryn Dieruf).

ФБР отмывает деньги

Му­рар­ка был арес­тован 30 сен­тября 2023 года, и сра­зу пос­ле это­го ФБР при­няло решение самос­тоятель­но про­дол­жить его биз­нес.

Как сооб­щила изда­нию 404 Media спе­циалист по свя­зям с общес­твен­ностью в про­кура­туре США по Вос­точно­му окру­гу Кен­тукки, Габ­риэль Дад­жен (Gabrielle Dudgeon), ФБР кон­тро­лиро­вало все опе­рации ElonmuskWHM на про­тяже­нии при­мер­но 11 месяцев.

По ее сло­вам, влас­ти рас­сле­дова­ли «любого зло­умыш­ленни­ка, который исполь­зовал прес­тупные услу­ги ElonmuskWHM по отмы­ванию денег, вклю­чая нар­котор­говцев, хакеров и субъ­ектов, занима­ющих­ся дру­гой прес­тупной деятель­ностью».

Сог­ласно судеб­ным матери­алам, услу­ги ElonmuskWHM уда­лось свя­зать с тор­говлей нар­котика­ми, воору­жен­ным  ограбле­нием и мно­гочис­ленны­ми рас­сле­дова­ниями хакер­ских атак «вклю­чая те, которые при­нес­ли прес­тупни­кам доходы в раз­мере нес­коль­ко мил­лионов дол­ларов». При этом свя­зи уста­нав­ливались как до, так и пос­ле зах­вата лич­ности ElonmuskWHM.

Ин­терес­но, что одним из кли­ентов «Ило­на Мас­ка» ока­зал­ся 20-лет­ний хакер, учас­тник груп­пиров­ки Scattered Spider Ремин­гтон Гой Огл­три (Remington Goy Ogletree), так­же извес­тный в сети под ником remi, арес­тован­ный в кон­це прош­лого года.

Так, через два дня пос­ле того, как ФБР про­вело пер­вый обыск в доме Огл­три 23 фев­раля 2024 года, он свя­зал­ся с ElonmuskWHM через Telegram, так как уже не раз поль­зовал­ся услу­гами обналь­щика в 2023 году. «Оче­вид­но, что тог­да Огл­три не знал, что сер­вис по обна­личи­ванию явля­ется частью тай­ной опе­рации ФБР», — говорит­ся в судеб­ных докумен­тах.

Сна­чала Огл­три зап­росил 50 000 дол­ларов налич­ными, а затем уве­личил зап­рос до 75 000 дол­ларов. Пос­ле он отпра­вил аген­там под прик­рыти­ем крип­товалю­ту вмес­те с физичес­ким адре­сом для дос­тавки денег, которые в ито­ге были ему отправ­лены.

То есть в ходе этой опе­рации ФБР пре­дос­тавило 75 000 дол­ларов подоз­рева­емо­му, свя­зан­ному с извес­тной хак‑груп­пой Scattered Spider. При этом арест Огл­три был про­изве­ден лишь год спус­тя пос­ле этих событий, в нояб­ре 2024 года.

Дад­жен отка­залась ком­менти­ровать дело Огл­три, заявив, что «не может ком­менти­ровать про­дол­жающееся рас­сле­дова­ние». По этой же при­чине пред­ста­витель про­кура­туры отка­залась при­вес­ти при­меры дру­гих судеб­ных прес­ледова­ний, которые ста­ли воз­можны бла­года­ря тому, что ФБР поч­ти год прит­ворялось ElonmuskWHM.

«ФБР будет исполь­зовать все воз­можные пре­иму­щес­тва в борь­бе с прес­тупны­ми сетями, которые наносят ущерб населе­нию, что­бы задер­жать этих зло­умыш­ленни­ков, кон­фиско­вать доходы от их прес­тупле­ний и разоб­лачить их соучас­тни­ков», — заявил спе­циаль­ный агент ФБР Май­кл Э. Стэн­сбе­ри (Michael E. Stansbury).