Майкл Шелдон із Bellingcat розповів, як розслідувачі шукають російських воєнних злочинців

Інколи бойовики самі спрощують роботу. Майкл Шелдон із Bellingcat — про OSINT-пошук російських воєнних злочинців

Вівторок, 23 Травня, 2023

Корисне, Продукт

Тетяна Боць

На воркшопах перед першою конференцією Bucha Journalism Conference OSINT-розслідувач зі спільноти Bellingcat Майкл Шелдон поділився, як тривав процес пошуку винуватця у вбивстві українського військового. Розповідаємо про хронологію OSINT-розслідування, а також використовувані ресурси та методики під час роботи з російськими бойовиками як джерелами.

Майкл Шелдон займається OSINT-розслідуваннями протягом тривалого часу, зокрема й щодо війни в Україні. Станом на 2014 рік, коли Росія окупувала Крим і Донбас, уже існувала спільнота досвідчених осінтерів, яка сформувалася ще за період «Арабської весни». Відтак добре підготовлена спільнота людей створювала методики, які застосовували вже у дослідженні про збиття рейсу MH17.

Майкл Шелдон, фото Дмитра Ларіна

OSINT — це коли користувач отримує інформацію з тих джерел, до яких однаково можуть мати доступ і слідчі, і звичайні люди. Це можуть бути вебсторінки та будь-яка інформація з мережі. Головне — це ідея прозорості цієї інформації, зазначає спікер. OSINT-розслідування допомагає в тих обставинах, куди не завжди можуть дістатися традиційні медіа.

Майкл Шелдон пояснив, які є плюси та мінуси використання відкритих джерел у розслідуванні діяльності російських військових. Насамперед ідеться про непрофесійних військовослужбовців і бойовиків терористичних угруповань.

Переваги

«Новіші та зеленіші» бойовики мають мало уявлення про OPSEC (пошук вразливостей у системі безпеки критичної інформації). Оскільки йдеться про непрофесійні підрозділи, час від часу вони мають щось публікувати, аби «рекрутити» нових людей. Це дає осінтерам непогані ресурси для роботи.

Перевага OSINT-розслідувань у тому, що такі матеріали легше публікувати з погляду захищеності джерел журналіста. З отриманою в мережі інформацією ви ніяк не загрожуєте цим джерелам. Водночас Шелдон зазначає, що завжди є винятки з правил.

Недоліки роботи з таким типом інформації:

Порядок роботи під час відстеження російських підрозділів

Коли Майкл Шелдон чує про певний підрозділ, то дивиться, звідки вони набирають людей. Звідти можна отримати багато корисної інформації. Як приклад — розслідування про спеціальний загін швидкого реагування «Ахмат», який базується у Чечні. 

Наприкінці липня 2022 року світ шокували кадри жорстокого сексуального насильства та вбивства українського військового, яке зафільмували російські невідомі бойовики. Відео певний час поширювали прокремлівські канали, утім потім видалили звідусіль. Проте інтернет, а особливо осінтери, пам’ятають усе. У Bellingcat вирішили дослідити, чи вдасться знайти винуватця цього звірства лише за кількома кадрами неякісного відеозапису.

Соцмережі

На старті Майкл Шелдон знайшов телефонні номери для вербування «Ахмату». Поміж іншого, загін публікує відео для вербування, звідки можна було отримати обличчя низки бойовиків та знайти їх через спеціальні програми розпізнавання. Далі — знайти їхні соцмережі.

Таким чином Шелдону вдалося знайти одне фото спецзагону, а потім вийти на його дислокацію біля Попасної. Знайшовши профілі людей на фотографії, можна відшукати решту, хто служить у цьому підрозділі. Деякі бійці, як уже згадувалося, мало знають про інформаційну безпеку. Тому сталося так, що один із них спростив розслідувачам роботу й на своїй сторінці у VK сам написав список людей, з якими працював, за іменами.

Геолокація

Після того, як розслідувач вийшов на профілі, починається пошук геолокації, де бійці зробили фото. Чітко визначена геолокація — це зіставлення наявних фото чи скриншотів із так званими еталонними фотографіями. Тобто із зображеннями потенційного місця перебування бойовиків, знайденими у кращій якості на картах чи в мережі.

Хтось зі списку бойовиків «Ахмату» зробив фото, як він стоїть на своїй базі. На фоні можна розрізнити зелень та промислові будівлі. Далі починається пошук схожих ландшафтів на Google Earth і зіставлення певних унікальних особливостей цього зображення. Наприклад, на обох фото на задньому плані є будівля, що нагадує сарай. Далі збирають усі фото знайдених бойовиків і починають ідентифікацію кожного з них. Усю зібрану інформацію дослідники Bellingcat збирають в окрему таблицю.

Після збору інформації про кожного окремого бійця реально вивчити, як рухається спецзагін. «Ахмат», як і багато інших добровольців, могли рухатися з Луганська до Попасної.

Пошук російського вбивці

Після того, як розслідувачі з Bellingcat побачили відео, де російський солдат вчинив сексуальне насилля та стратив військовополоненого українця, команда вирішила знайти злочинця. Запис мав дуже низьку роздільну здатність, тому чітко побачити його обличчя чи місце події не вдалося. Російський бойовик, який вчиняв звірство, носив доволі незвичайну панаму із пояском із мушель. Розслідувачі звернули на це увагу, адже тепер це визначальна риса вбивці, за якою його можна ідентифікувати на інших фото чи відео.

З відео зробили максимальну кількість скриншотів, аби зауважити навіть найменші деталі. Вбивцю уважно вивчили й помітили, що на ньому також є браслет зі срібними вставками, кросівки New Balance, а також польова форма одягу. Майкл Шелдон додає, що не завжди треба шукати винятково унікальні риси — вони радше мають допомагати зі встановленням особистості, але не визначати весь пошук. 

Раніше Bellingcat мав успіх в отриманні інформації через краудсорсинг. Люди надсилали у Twitter відео, де бачили цього «капелюшника» (прізвисько вбивці) на іншому відео біля фабрики в Сєвєродонецьку. Іноді краудсорсинг — це погано, каже Шелдон. Користувачі пишуть те, що хоче прочитати розслідувач, і надсилають відео чи фото з абсолютно іншими людьми. У такому разі пошук може гальмувати.

Утім, «капелюшника» таки знайшли на кадрах із новинного сюжету з хімічного заводу «Азот», що у Сєвєродонецьку. Російські пропагандисти звітували про його взяття та показали кадри із військовими, які тримають місцевість. На відео з’явився «капелюшник» у тому самому капелюсі. Це допомогло зрозуміти, що вбивця найімовірніше із групи «Ахмат».

Розпізнавання облич

Маючи факти про «Ахмат» і Сєвєродонецьк, розслідувачі врешті знайшли фото злочинця через програми розпізнавання облич. Поміж іншого, його допомогла ідентифікувати зелена стрічка, прив’язана до оптичного прицілу його зброї.

Пошук за обличчям може бути дуже ефективним для розслідувань. Утім, його використання в російських соцмережах не дуже добре справляється з людьми азійської зовнішності — застосунки чи боти підтягують будь-яку першу людину з відповідними рисами обличчя, а не шукає унікальні риси кожного. Не варто використовувати ці програми розпізнавання як доказ, а лише як інструмент для пошуку. Findclone — програма для пошуку людей за схожістю на сторінках російської VK. Саме нею користується Майкл Шелдон.

Програма пропонувала фото людей, які очевидно не були схожі на «капелюшника». Тому розслідувачі спробували інший популярний сайт search4faces, який шукає фотографії зі сторінок у різних соцмережах, зокрема у VK та «Однокласниках». Так вдалося отримати фото зі схожістю злочинця на приблизно 54 %. Утім, фото було старим, до того ж Шелдон зазначає, що можна вважати збіг одним із доказів, якщо є хоча б 60 % схожості обличчя. 

Тоді розслідувач вирішив шукати по людях, які були поруч. Так вдалося знайти обличчя, які теж були в пропагандистському відеорепортажі. У процесі Шелдон намагався знайти приблизно 50 людей, але з одним вийшов значний успіх. Так він знайшов Женю Зіброва на фото з його профілю та його мами у VK. На аватарці сторінки була літера Z без іншої детальної інформації. «Друг друга його друга», який теж був з «Ахмату», запостив хороше фото селфі зі всіма бійцями й людиною, схожою на «капелюшника». Через сервіс розпізнавання облич вдалося знайти й людину, яка робила селфі — командира підрозділу, у якому служив «капелюшник», з позивним «Бєлий». 

З цього селфі через Telegram-бот розслідувач знайшов дуже схожі на підозрюваного фото. Плюс бота в тому, що він бере інформацію також із видалених профілів. Профіль «капелюшника» був неактивний. Також Шелдон скористався’ ще однією програмою розпізнавання облич Pimeyes, і так вийшов на фото із заводу «Азот» та інші фотографії вбивці із його VK. Переважно програми, які використовує Bellingcat, платні, водночас вони ймовірніше знайдуть критичну інформацію, ніж пошук у безплатних сервісах. Pimeyes коштує $400 на рік, а доступ до деяких Telegram-ботів із розпізнавання облич і пошуку їх у соцмережах — $60 на пів року. 

Чи це вже доказ?

Станом на той момент розслідувачі вже знайшли достатньо інформації для підтвердження, що з високим ступенем схожості людина на ім’я Очур є розшукуваним «капелюшником» і що він служить у спецзагоні «Ахмат». Залишилося перевірити, чи «капелюшник» із відео з вбивством та людина в капелюсі у пропагандистському сюжеті — це одна й та ж особа, яка має безпосередній стосунок до «Ахмату», і що цей злочин вчинено в зоні дії спецзагону. 

Школа, завод чи щось інше

Для цього почали докладніше вивчати ландшафт. Виявилося, що збігаються зображення машини на відео вбивства із машиною, яка з’являється на відео з сюжету. На білому крилі машини намальована літера Z, це допомогло встановити авто.

Тоді розслідувачам вдалося зателефонувати підозрюваному, який під час розмови сам підтвердив, що працює в «Ахматі». Спочатку він заперечував, що брав участь у бойових діях і насправді був там лише із журналістами. А також кілька разів підкреслив, що не був саме у містечку Привілля, хоча до цього Привілля ніяк не фігурувало в розмові. Власне, так вдалося чіткіше ми розібралися з локацією.

На цьому етапі розглядали кілька варіантів точного місця подій: якась місцевість біля Привілля чи територія поруч із певним заводом. Шелдон та команда витягнули з відео зі звірством окремі кадри та склали їх в одне фото, аби отримати якнайповнішу картину та знайти особливі ознаки на місцевості. Однією із таких був білий бордюр і зона без нього, після чого видно канаву, а на фоні — двоповерхову будівлю, яка не виглядає заселеною. 

Особливі ознаки

Серед ймовірних варіантів був завод у Сєвєродонецьку, школа у Привіллі та водоочисна споруда в місті, яка дуже нагадувала місцевість на відео. У випадку з геолокацією, Шелдон наголошує, що часто можна знайти дуже круто підхожу картинку, але якщо на ній немає особливих ознак, які ви виділили для себе як важливі, треба продовжувати шукати.

Далі розслідувачі знайшли санаторій у Привіллі, який теж здавався схожим. Утім, супутникового фото було недостатньо для підтвердження. Це спонукало шукати інші відео від користувачів із цієї місцевості. Так Шелдон знайшов відео із велосипедистами, які знімали свій маршрут та проїжджали повз санаторій. У ньому чоловіки проїздять через ідентичне місце, яке потрапило у відео злочину. На ньому помітно дерево із роздвоєним стовбуром, дуже схоже на вихідне відео, а також каналізаційний люк. 

Також зійшлося місце, де нема бордюру на дорозі, а сам бордюр був дуже схожий за формою та кольором. І хоча Очур казав, що не був у цьому місці, команда знайшла фото, де він стоїть просто навпроти знаку «Санаторій-профілакторій Привілля».

То чи є це доказом?

Увесь процес пошуку ймовірного вбивці українського військового зайняв від 3 до 4 днів безперервної роботи. На цьому етапі команда була готова до публікації, але не мала конкретного імені та ідентифікованого документа. Спілкувалося зі злочинцем видання The Insider, яке через кілька програм знайшло його пост у VK, де чоловік просить телефонувати за номером, якщо хтось знайде його водійське посвідчення. 

Під час розмови Очур підтвердив, що був на відео пропагандистів, утім заперечував причетність до звірства, участі у війні, і стверджував, що приїхав туди з журналістами. Попри те, що його свідчення допомогли встановити місце вбивства та участь в «Ахматі», Шелдон зазначає — це досі не може бути неспростовним доказом, що злочин скоєний саме ним. Відео у Telegram-каналі було дуже низької якості, крім того, встановити його особу вдалося за капелюхом, а не обличчям у кадрі. Попри професійні методики пошуку та досвід, за словами Шелдона, точно встановити чиюсь особу під час розслідування вдається з шансами приблизно 50/50.

Читайте також: Швидше за ФБР. Як The New York Times і Bellingcat викрили особу, яка злила секретні документи про війну в Україні

Bellingcat | OSINT | Медіа