Введение
28 марта 2020 года в США был задержан гражданин России Максим Бойко, которого на родине знают как трэп-исполнителя под псевдонимом Plinofficial.
11 мая 2020 года началось рассмотрение дела рэпера, на котором следствие предъявило обвинения в отмывании денежных средств, похищенных группировкой QQAAZZ с банковских счетов по всему миру. За предъявленные обвинения суд может дать Максиму до 10 лет тюрьмы.
Позже в октябре 2020 года были задержаны остальные участники группировки QQAAZZ в ходе международной операции "2BAGoldMule". В данный момент ведется следствие по делу.
Бойко своей вины не признал.
Биография и творчество
Plinofficial (настоящее имя Максим Бойко) родился 16 мая 1990 года в Ямало-Ненецком автономном округе на севере России в горде Муравленко. Является исполнителем в жанре трэп, участником объединения "Smells Weed Music", а также бывшим участником группы "Swagga Music".
Лейбл "Smells Weed Music" образован в 2013 году тремя артистами: MaxBallа, HIWAY и Plinofficial.
Бойко рассказывал, что его родители — «обычные люди из рабочего класса». Отец рэпера прошел путь по карьерной лестнице от электромонтера до начальника производства в одной из дочерних организаций «Газпрома» на севере России.
В старших классах Бойко открыл «независимый хип-хоп лейбл» и вместе с друзьями по секции брейк-данса начал выступать на городских фестивалях в Муравленко и соседнем Ноябрьске. Билеты стоили от 30 рублей, иногда концерты переносили из-за погоды: средняя температура зимой в этом регионе -25 градусов.
«Пока несешь баклаху с пивом до подъезда, где с пацанами зависаешь, она успевает охладиться», — рассказывал рэпер.
В 17 лет Бойко переехал в Челябинск и поступил на журфак Южно-Уральского государственного университета. Но уже на втором курсе писал во «ВКонтакте»:
«Ученье — свет, а не ученье — куча свободного времени, алкоголя и тёлок».
Лето 2010 года Бойко провел в Нью-Йорке по туристической визе. Потратив за неделю все свои деньги, рэпер устроился грузчиком за 12, потом за 17 долларов в час. Вернувшись, окончательно бросил учебу и переехал в Санкт-Петербург, где уже бывал проездом и который начал называть своим домом.
В Санкт-Петербурге он стал участником коллектива Swagga Music и местной трэп-сцены.
Осенью того же года Бойко с приятелем отправились в Париж, после чего жизнь его изменилась радикально.
На сайтах по поиску работы Максим писал следующие сообщение:
Мы двое молодых и здоровых парней (21 и 22 года) в поисках работы на территории Евросоюза. В данный момент находимся во Франции, но готовы прибыть не замедлительно туда, где есть достойное предложение. Без вредных превычек. Открыты к любым предложениям по трудоустройству.
Через несколько месяцев Бойко оказался в Гуанчжоу — китайском центре легкой промышленности и финансовых услуг. Именно там он начал публиковать в Instagram первые фото с большим количеством денег.
«Многие спрашивают меня: чем я занимаюсь в Китае и откуда столько денег», — писал Бойко во «ВКонтакте». И отвечал — он стал торговым представителем компании Bizazia, которая за комиссию в 10% от стоимости доставляла товары из Китая в Россию. Эти 10%, утверждал Бойко, и были источником его неограниченного и легального «хастла».
Тогда он смог позволить себе красивый жест, который сам Бойко назвал «первым мужским поступком». Находясь в Китае, он попросил гостившего в Петербурге отца встретиться с «типом» по имени Альберт и забрать у него пакет. История от Максима в видео на 25 минуте:
Это единственный раз, когда Бойко публично упоминал бизнес-партнера по имени Альберт. Не удалось найти «типа» и в соцсетях рэпера.
Два года спустя рэпер вернулся в Петербург и перестал искать клиентов на китайские товары. Но хастлить он не бросил.
25 июля 2017 года Plinofficial анонсировал выход своего дебютного альбома Goldy — до этого Бойко записывал лишь сборники с другими артистами.
На одну из песен рэпер снял клип с ночными гонками по Петербургу. По сюжету, хакер похищает BMW с подземной парковки, введя пару команд на ноутбуке. Тот самый клип:
ФБР считает, что вскоре после возвращения в Петербург Бойко занялся компьютерным и банковским мошенничеством. Рэпер, который жаловался в соцсетях, что периодически забывает выйти из своих аккаунтов на чужих компьютерах, превратился, по версии американских властей, в «значительного киберпреступника».
QQAAZZ
Беспрецедентная международная правоохранительная операция с участием 16 стран привела к аресту 20 человек, подозреваемых в принадлежности к преступной группировке QQAAZZ, которая пыталась отмыть десятки миллионов евро от имени ведущих киберпреступников мира.
Около 40 обысков было проведено в домах по всей европе (Латвия, Болгария, Великобритания, Испания и Италия) при этом уголовные дела были возбуждены в отношении арестованных в Соединенных Штатах, Португалии, Великобритании и Испании. Наибольшее количество обысков по делу было проведено в Латвии в рамках операций, проводимых Латвийской государственной полицией (Latvijas Valsts Policija). Оборудование для майнинга биткойнов также было изъято в Болгарии.
Эта международная проверка следует за сложным расследованием, проводимым португальской судебной полицией (Polícia Judiciária) вместе с прокуратурой США в Западном округе Пенсильвании и полевым офисом ФБР в Питтсбурге, а также испанской национальной полицией (Policia Nacional) и региональной каталонской полиция (Mossos D'esquadra) и правоохранительные органы Великобритании, Латвии, Болгарии, Грузии, Италии, Германии, Швейцарии, Польши, Чехии, Австралии, Швеции, Австрии и Бельгии при координации усилий под руководством Европола.
Как QQAAZZ занималась отмывом денег
В заключениях, предъявленных обвинителями в Питтсбурге, США, излагаются утверждения о том, как действовала эта преступная сеть. По оценкам, с 2016 года сеть QQAAZZ отмыла или пыталась отмыть десятки миллионов евро украденных средств.
Сеть QQAAZZ, состоящая из нескольких главенствующих участников (координаторов) и их подчиненных, в основном из Латвии, Грузии, Болгарии, Румынии и Бельгии, открыла и обслуживала сотни корпоративных и личных банковских счетов в финансовых учреждениях по всему миру для получения денег от киберпреступников, которые украли их со счетов жертв. Затем средства переводились на другие банковские счета, контролируемые QQAAZZ, и иногда конвертировались в криптовалюту с использованием сервисов «миксеров», предназначенных для сокрытия первоначального источника средств. Группировка получала до 50 процентов комиссии, после чего QQAAZZ переводили остаток украденных средств своим клиентам.
Члены QQAAZZ обеспечили безопасность этих банковских счетов, используя как законные, так и поддельные польские и болгарские документы, удостоверяющие личность, для создания и регистрации десятков фиктивных компаний, которые не вели законную коммерческую деятельность. Используя эти регистрационные документы, члены QQAAZZ затем открыли корпоративные банковские счета на имена подставных компаний в многочисленных финансовых учреждениях в каждой стране, тем самым создав сотни контролируемых QQAAZZ банковских счетов, доступных для получения украденных средств от кибер-воров.
QQAAZZ рекламировали свои услуги как «услугу по предоставлению дропов под обнал мирового масштаба» на русскоязычных онлайн-форумах киберпреступников. Преступные группировки, стоящие за некоторыми из самых вредоносных ПО в мире (например, Dridex, Trickbot, GozNym и т. д.), входят в число тех, кто воспользовался услугами QQAAZZ.
Почему Plinoficial попал в поле зрения ФБР?
Исходя из расследования ФБР, которое находится в открытом доступе, Максим Бойко пересек границу и попал на территорию Соединенных Штатов через Майами, штат Флорида, со своей женой 19 января 2020 года.
Поскольку он въехал в страну с 20000 долларов в валюте США, Бойко был проинтервьюирован Службой таможенного и пограничного контроля США. В интервью Бойко заявил, что его доход состоит из инвестиций в биткойны и полученных средств от сдачи в аренду недвижимости в России.
Но у ФБР появились веские основания полагать, что вопреки этим утверждениям, Бойко является крупным киберпреступником, который отмывает деньги для других киберпреступников через банковские счета фирм-однодневок и подставных лиц. Денежные средства при это похищены с банковских счетов жертв через онлайн-банкинг и переведены в криптовалюту.
Улики против рэпера
Помимо въезда в США с 20 тысячами долларов США 19 января 2020 г., в социальных сетях Instagram, а также Apple iCloud Бойко есть фотографии, на которых изображен Максим со значительными суммами в американской и другими валютами, от 2015 года. Ниже представлены фотографии, которые выделили сотрудники ФБР в качестве доказательства вины, так как они свидетельствуют о необъяснимом богатстве рэпера.
Фотография Бойко (идентифицировали личность по его руке с татуировкой) с крупной суммой в валюте США, которая была размещена в Instagram 13 мая 2017 года:
Еще одна фотография Бойко, которая была опубликована в его аккаунте в Instagram в марте 24 2016:
И еще одна фотография опубликованная в его аккаунте в Instagram 17 декабря 2015:
Еще одно фото от 28 мая 2017 года, но оно было обнаружено в результате доступа к учетной записи Apple iCloud Бойко:
При просмотре iCloud сотрудниками была обнаружена еще одна фотография от 14 мая 2019 года:
Кроме того, у сотрудников есть основания полагать, что Бойко отмывал часть украденных средств через банковские счета в Китае. Следствие опирается на фотографию в Instagram от 25 августа 2015 года:
Помимо фотографий сотрудники провели работу по поиску и соотношению учетных записей подозреваемого. Следователи выяснили, что Бойко использует в сети прозвище «GangAss» (бандитская жопа) при обсуждении и совершении преступной деятельности.
Чтобы скрыть его общение с клиентами-киберпреступниками, он использовал безопасный и зашифрованный Jabber на сервере «exploit.im», который используется в основном киберпреступниками.
Поиск в базах данных ФБР показал, что адрес электронной почты plinofficial@me.com был использован для регистрации аккаунта на BTC-e.
BTC-e был веб-сайтом обмена криптовалюты, который был заблокирован правоохранительными органами в 2017 году в связи с причастностью сайта к обмену денежными средствами, полученных преступным путем. Аккаунт, использовавший этот адрес электронной почты, содержал имя «Maksim Boiko» и никнейм пользователя «gangass». Данные с BTC-e показали, что на счет Бойко поступил депозит на сумму 387 964 долларов и он снял около 136 биткойнов.
t.im. У следствия есть веская причина полагать, что под ником gangass@exploit.im скрывается Бойко.
Кроме того, есть основания полагать, что Бойко способствовал отмыванию денег для крупного киберпреступника, известного как «Moneybooster», предоставив ему счет в иностранном банке с целью получения средств, которые пытались украсть у граждан США.
Примерно 20 марта 2017 г. «Moneybooster» побеседовал с gangass@exploit.im. Moneybooster запросил у «бандитской жопы» корпоративный аккаунт, который мог принять перевод примерно в «200-300к». Через несколько минут gangass@exploit.im ответил, предоставив следующие данные:
Название компании: Arco Technology (Hongkong) Limited;
Адрес компании: Unit 2103, 21/F., Sino Centre, 582-592 Nathan Road, Mongkok, Kowloon
Название банка: Bank of China (Hong Kong) Limited;
Адрес банка: 213 Queens Road East, Wan. Chai, Hong Kong;
Номер счета: 012-899-0-800722-9 (USD).
Получив информацию, киберпреступник прислал сообщение gangass@exploit.im:
«я отправил около 300 тысяч».
gangass@exploit.im ответил:
«понял тебя, братан!».
Спустя несколько дней киберпреступник сообщил гангстеру, что перевод заблокирован и не прошел. В ответ gangass@exploit.im сказал:
«Ну, в любом случае, я уже знал, что это не сработает. Главное, ты как думаешь, реквизиты компании скомпрометированы или мы сможем продолжить их использовать ».
Moneybooster, в частности, написал:
«Это не убьет вашу реквизиты... но тот же банк мне не подойдет, потому что он находится в черном списке Чейза».
Во время того же разговора gangass@exploit.im сказал Moneybooster:
«У меня есть для тебя еще 1».
27 марта 2017 года Gangass написал Moneybooster через «OTRv2». Переключение на зашифрованную связь помогло скрыть данные от сотрудников ФБР.
Документы, хранящиеся в JPMC(Chase Bank), показали, что в тот же день, что и в переписке, был осуществлен перевод на сумму 276 300 долларов США на счет в Гонконге (722-9), который предоставил gangass. JPMC отклонила перевод (по wire) из-за подозрения в мошенничестве. При этом ни предприятие, ни сам банк не понесли никаких убытков.
Взлом электронной почты Бойко amgcls32@gmail.com по решению суда, выявили прямые доказательства того, что Бойко принадлежал банковский счет в Гонконге (722-9), использовавшийся в вышеупомянутой транзакции и доказательство того, что он на самом деле и есть gangass@exploit.im. В учетной записи Бойко найдено полученое письмо, отправленное с адреса margaritebymhu@seznam.cz 29 марта 2017 года, которое содержало заявку на международный перевод от Bankwest в Австралии. Сумма перевода составила около 47 000 австралийских долларов на счет Arco Technology LTD. Это тот же аккаунт, который Бойко прислал Moneybooster за неделю до. Также найдено письмо от Jabber от 2 февраля 2016 г., подтверждающее регистрацию «gangass@jabber.at».
Также на доказательства причастности Максим повлиял арест других членов группы. После взлома аккаунтов iCloud и Google Drive участников группировки, были найдены переписки в WhatsApp и папки с бухгалтерскими документами (записи исходящих и входящих транзакций по странам). Часть транзакций была принята Бойко, а также его личный номер телефона был упомянут в переписке между участниками.
По словам знакомых Максима, он отлично себя чувствует в тюрьме. Он завел друзей, которым воспризводит рэп в устной форме. Также он подчеркнул, что пользуется авторитетом среди заключенных, так как ему предъявлены обвинения «по серьезным статьям».
