Husársky kúsok ukrajinských hacktivistov. Hackli e-mail riadiaceho dôstojníka ruskej vojenskej rozviedky

Ilustračná snímka. Zdroj FOTO: pixabay.com

Ukrajinským hacktivistom z KiberSprotiv (Cyber Resistance, Kyber Odpor) v spolupráci s medzinárodnou spravodajskou komunitou InformNapalm sa podaril skutočne husársky kúsok. Dostali sa k pošte riadiaceho dôstojníka ruskej vojenskej skupiny a poriadne si z neho vystrelili.

Ukrajinskí hacktivisti z tímu Cyber ​​​​Resistance hackli e-mail podplukovníka Sergeja Aleksandroviča Morgacheva, dôstojníka GRU (teraz GU GŠ OS RF), riadiaceho dôstojníka ruskej hackerskej skupiny APT 28 (známa tiež ako Fancy Bear alebo Pawn Storm), ktorá pozostáva z dôstojníkov 85. Strediska špeciálnej služby GRU, vojenská jednotka 26165. Zložky jeho súkromnej korešpondencie poskytli hacktivisti výhradne na analýzu dobrovoľníkom medzinárodnej spravodajskej komunity InformNapalm. V tomto článku odhalili všetky relevantné osobné informácie týkajúce sa spomínaného ruského dôstojníka a hackera, ktorého hľadá FBI, a napokon ho kreatívne potrestali metódou „morálneho poníženia“ pomocou osobnej objednávky tovaru na AlịExpresse.

APT 28 a podplukovník Morgachev

APT 28 je jedna z najznámejších ruských hackerských skupín, ktorá je obvinená z mnohých kyberzločinov po celom svete. Táto štruktúra je priamo podriadená ruskej vojenskej rozviedke. Zorganizovala početné kybernetické útoky na vládne a mimovládne zariadenia v Spojených štátoch, Nemecku, Taliansku, Lotyšsku, Estónsku, Českej republike, Poľsku, Nórsku, Holandsku, na Ukrajine a v ďalších krajinách. V júli 2018 zverejnilo americké ministerstvo spravodlivosti oficiálne obvinenie proti 12 zamestnancom GRU z hackovania serverov Demokratickej strany USA a pokusu o zasahovanie do volieb v USA. Zistilo sa, že táto štruktúra zahŕňa dôstojníkov GRU slúžiacich vo vojenských jednotkách č. 26165 a č. 74455. Medzi 12 menami uvedenými v obžalobe figuruje aj podplukovník Sergej Morgachev.

Sergej Morgachev. Zdroj FOTO: InformNapalm.org

Mimochodom, na Morgachevovej e-mailovej adrese sa našiel list od spoločnosti Apple z roku 2018, v ktorom bol informovaný o žiadosti o údaje k svojmu účtu, ktorú dostal od amerického Federálneho úradu pre vyšetrovanie v súvislosti s jeho predvedením na zoznam hľadaných.

Čo odhalili uniknuté informácie z e-mailov?

Vďaka hacknutiu jeho e-mailu hacktivistami sa v roku 2023 podarilo zistiť veľa zaujímavých detailov o Morgachevovom osobnom živote, ako aj o jeho súčasnom mieste bydliska a využívaní služieb. Podarilo sa získať aj množstvo fotografií so skenmi osobných dokladov Morgacheva a osôb s ním spojených.

Morgachev Sergey Aleksandrovich sa narodil v roku 1977 v Kyjeve na Ukrajine. V rokoch 1994 až 1999 študoval na Akadémii FSB v Moskve. V rokoch 1999 až 2022 slúžil vo vojenskom útvare 26165. Občan Ruskej federácie. Býva v Moskovskom regióne, Korolev. Vlastní auto Toyota RAV4. Nový pas mu vydalo Hlavné riaditeľstvo Ministerstva vnútra Ruskej federácie pre Moskovský región v decembri 2022.

Podľa kópie dotazníka „Formulár 4“ (z e-mailu S. Morgacheva), ktorý je vyplnený k žiadosti o prístup k štátnemu tajomstvu, od augusta 1999 do augusta 2022 slúžil v spomínanej vojenskej jednotke 26165. Pred preložením do inej jednotky, zastával funkciu Zástupcu vedúceho katedry – vedúci katedry vojenského útvaru 26165. Od augusta 2022 do súčasnosti zastáva pozíciu softvérového inžiniera kategórie 1 v SPECIAL TECHNOLOGICAL CENTER LLC (dotazník obsahuje aj skutočnú adresu pracoviska). ŠPECIÁLNE TECHNOLOGICKÉ CENTRUM LLC (STC, ŠTK) je pritom inštitúciou, ktorá zohráva dôležitú úlohu pri zabezpečovaní ozbrojenej agresie Ruskej federácie proti Ukrajine. Podľa oficiálnej stránky NAZK Ukrajiny už túto organizáciu sankcionovali USA, Veľká Británia, Kanada, Švajčiarsko, Japonsko, krajiny EÚ a Ukrajina. To, že Morgachev slúži v ŠTK, potvrdzuje aj jeho korešpondencia s personálnym oddelením.

Ilustračná snímka. Zdroj FOTO: pixabay.com

Podľa uniknutého životopisu od roku 1999 až do súčasnosti slúžil vo vojenskom útvare Ministerstva obrany RF. Riadil oddelenie vývoja špeciálneho softvéru. Medzi jeho povinnosti patril výber a kontrola práce personálu oddelenia, rozdelenie úloh, súčinnosť s ostatnými jednotkami (tieto kompetencie nepriamo potvrdzujú, že Morgachev viedol skupinu vojenských hackerov ako súčasť GRU). Je zaujímavé, že vo svojom životopise uviedol, že „nie je pripravený na presun“, ale je pripravený na služobné cesty, ak nie sú príliš časté. Podľa výkazu ziskov a strát bol Morgachevov plat na konci roka 2022 v sume 250 až 300-tis. rubľov (mes.).

Z relatívne nedávnych technických dokumentov nájdených v Morgachevovej pošte sú súbory so záznamami o záplatách pre Cobalt Strike, platformu používanú najmä hackermi na kybernetické útoky.

Pomsta je sladká

Prvý týždeň po rozsiahlej ruskej invázii na Ukrajinu, 2. marca 2022, Rafael Sutter, novinár pre kybernetickú bezpečnosť Reuters, zverejnil na svojom Twitteri celé vlákno tweetov so zaujímavým príbehom o tom, ako bol realizovaný rozsiahly útok, no hackeri APT 28 boli odhalení vďaka správe o nebezpečenstve, ktorú v apríli 2015 poslal administrátor webovej stránky InformNapalm.

V rokoch 2015-2016 sa ruskí hackeri z APT 28 opakovane pokúšali posielať phishingové e-maily dobrovoľným správcom webovej stránky medzinárodnej spravodajskej komunity InformNapalm. Ako však dokazujú ich vlastné značky v tabuľke štatistík, nebol otvorený ani jeden phishingový krátky odkaz od Bitly. Tieto neúspešné pokusy o útok na InformNapalm však viedli k odhaleniu veľkej siete cieľov a útokom na ne týmito ruskými hackermi. Najznámejším z týchto útokov bolo hacknutie poštových serverov Demokratickej strany USA a pokus o zasahovanie do volieb v USA v roku 2016.

V marci 2023 bol organizátor tejto ruskej hackerskej skupiny, podplukovník Sergej Morgachev, napadnutý ukrajinskými hacktivistami, ktorí po hacknutí jeho osobnej korešpondencie vykonali symbolický akt morálneho poníženia. Najprv sa hacktivisti nabúrali do jeho anonymných účtov na sociálnych sieťach a zverejnili tam naskenované kópie jeho pasov.

Po získaní prístupu k Morgachevovmu účtu na AlịExpress si hacktivisti objednali niekoľko desiatok položiek rôzneho tovaru z jeho adresy prepojenej s účtom vrátane suvenírov s logom FBI (ktorý ho hľadá), ako aj veľké množstvo hračiek pre dospelých, ktorú zaplatili jeho kartou.

Autor: bob

Zdroj: www.informnapalm.org