#CyberMagazyn: Rosyjski wywiad płaci w Bitcoinach

Analitycy blockchain z Chainalysis opisują przypadki, w których FSB eksperymentalnie wykorzystywała pole OP_RETURN w transakcjach z udziałem Bitcoinów do zakodowania określonych instrukcji i sygnałów operacyjnych – rodzaj „cyfrowego rozkazu bojowego” osadzonego bezpośrednio w łańcuchu bloków. 

Taka taktyka pozwalała na bezpieczną dystrybucję zadań do agentów, wykorzystując jednocześnie pełną transparentność i niezmienność technologii Bitcoin. W efekcie możliwe było m.in. finansowanie kampanii dezinformacyjnych – wynika z raportu „Malign Interference and Crypto”.

Chainalysis podkreśla, że kryptowaluty, w tym Bitcoiny, są wykorzystywane do zasilania globalnych kampanii dezinformacyjnych, które obejmują m.in. zakup farm botów, opłacanie fałszywych kont w mediach społecznościowych oraz produkcję zmanipulowanych materiałów wideo. Transparentność transakcji umożliwia służbom precyzyjne śledzenie wydatków, jednocześnie utrudniając identyfikację rzeczywistych odbiorców środków.

Mieszanie środków i rola „Igora Czaiki”

Badanie think-tanku RUSI pokazuje, że rosyjskie służby posiłkują się mixerami, takimi jak Tornado Cash, by ukryć ścieżkę przepływu Bitcoinów. 

Przykładem może być Igor Czajka – rosyjski przedsiębiorca, który, według analizy Balkan Insight, miał pełnić funkcję „skarbnika” projektów FSB w Mołdawii, przekazując fundusze z zagranicy do lokalnych komórek operacyjnych.

Kampanie te łączą off-chainowe zakupy portfeli za gotówkę z on-chainowym mieszaniem i transferem na tzw. zimne portfele (rodzaj portfela kryptowaluty, który umożliwia udostępnianie pieniędzy bez konieczności dostępu do Internetu. Zimne klucze charakteryzują się wysokim poziomem bezpieczeństwa zasobów kryptograficznych użytkowników).

Empiryczne potwierdzenie przez naukowców

Opublikowane na konferencji IEEE International Conference on Blockchain and Cryptocurrency 2025 badania ujawniają, jak zidentyfikowano adresy powiązane z rosyjskimi służbami wywiadowczymi, które skonsolidowały i zlikwidowały co najmniej 7 BTC (ok. 300 000 USD) za pomocą sieci mixerów oraz powiązały te transakcje z grupą ransomware Conti. 

Autorzy odnotowują nietypowe operacje skryptowe oraz częste użycie usług mieszających jako dowód na systemowe wykorzystanie Bitcoina w służbach wywiadowczych.

Płatności dla najemników i influencerów

Serwis AInvest podaje, że od 2023 r. FSB i GRU przelewały Bitcoiny młodym rekrutom w Europie (m.in. w Polsce), a także obsługiwały płatności dla najemników walczących w Donbasie. 

Ponadto, wirtualne zasoby były wykorzystywane do przekupywania europejskich polityków i influencerów, by promowali prorosyjskie narracje. Transakcje te odbywały się głównie nocami w strefie CET, co ułatwiało powiązanie ich z operacją FSB.

Pranie pieniędzy i operacja „Destabilizar”

Brytyjska National Crime Agency w ramach tzw. „Operacji Destabilizar” rozbiła sieć firm Smart i TGR, przenoszącą setki milionów dolarów w kryptowalutach, w tym Bitcoinach, dla celów szpiegowskich. 

Śledztwo wykazało, że część środków trafiała bezpośrednio do kont powiązanych z GRU i FSB, służąc m.in. do finansowania sabotażu infrastruktury krytycznej w Europie.

FSB płaci nastoletnim rekrutom

W maju 2024 r. rosyjska Federalna Służba Bezpieczeństwa wysłała 17-letniemu Kanadyjczykowi Lakenowi Pavanowi pierwszą transzę w Bitcoinie o wartości około 130 USD. Następnie doszło do spotkania w Warszawie, gdzie chłopak ostatecznie sam zgłosił się na policję. 

Analiza sądowych dokumentów oraz danych z łańcucha bloków pozwoliła śledczym zidentyfikować jeden główny portfel, który od czerwca 2022 r. obsłużył transakcje na ponad 600 mln USD – prawdopodobnie służące do rozdzielania środków na mniejsze portfele pośredniczące i ostatecznie do płatności agentom FSB. Sprawę opisywała m.in. agencja Reutera.

Stałe finansowanie agentów i sabotażystów

Według raportu blockchainowego Recoveris, FSB i wojskowy wywiad GRU „ciągle finansują” swoje operacje za pomocą kryptowalut.

W 2023 r. zidentyfikowano grupę młodych Białorusinów i Ukraińców w Polsce, opłacanych Bitcoinem do instalacji kamer na trasie kolejowej, umieszczania propagandowych haseł czy podpaleń. 

Ponadto, część środków była przeznaczana na najemników walczących po stronie rosyjskiej w Donbasie oraz na łapówki dla europejskich polityków w celu szerzenia prorosyjskich narracji.

Blockchain analytics wykazały, że główny portfel używany przez FSB stosował złożone schematy prania: dzielenie dużych sum, mieszanie z innymi transakcjami i przekazywanie do tzw. „zimnych portfeli”. 

Większość operacji przeprowadzano w ciągu moskiewskich godzin pracy (6:00–18:00), co dodatkowo potwierdza powiązanie z rosyjską służbą. Część środków przepłynęła przez objęte sankcjami giełdy, m.in. Garantex.

Zalety i wyzwania dla służb

Wykorzystanie Bitcoinów pozwala rosyjskim służbom wywiadowczym na:

• błyskawiczne przekazywanie dużych kwot bez pośrednictwa banków i pomijanie blokad finansowych;
• monitorowanie wydatków agentów dzięki transparentności łańcucha bloków;
• utrudnianie śledztw przez warstwowanie transakcji i korzystanie z serwisów mieszających.

Jednocześnie rośnie presja na służby analityczne i organy ścigania, by rozwijać zaawansowane narzędzia do rozpoznawania i przerywania takich sieci finansowania 

Zgodnie z najnowszym raportem Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), aktorzy państwowi wykorzystują kryptowaluty do obejścia sankcji i finansowania działalności wywrotowej przeciwko instytucjom finansowym Unii Europejskiej. 

Dokument wskazuje na rosnące przypadki użycia Bitcoinów w operacjach wywiadowczych i dezinformacyjnych, wymierzonych w rynek finansowy UE.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].