
Hacktivisten der ukrainischen Gruppe Cyber Resistance haben E-Mails erhalten, die einem GRU-Offizier, Oberstleutnant Sergej Alexandrowitsch Morgatschew, gehören. Das Material wurde dann ausschließlich an InformNapalm zur Analyse übergeben.
Morgatschew ist ein Offizier der Geheimdienstdirektion des russischen Generalstabs (GRU), der Anführer der russischen Hackergruppe APT 28, die aus Offizieren des 85. Spezialzentrums der GRU, Einheit 26165, besteht.
GRU-Offizier Morgatschew und Hackergruppe APT 28
In diesem Artikel enthüllt InformNapalm alle relevanten persönlichen Informationen über diesen vom FBI gesuchten russischen GRU-Offizier. Wir werden diesen Artikel abrunden, indem wir Ihnen erzählen, wie der Anführer dieser russischen Hackergruppe selbst von ukrainischen Hacktivisten gehackt wurde. Sie führten einen symbolischen Akt der „moralischen Erniedrigung“ durch, nachdem sie in seine persönliche Korrespondenz eingebrochen waren und eine AliExpress-Bestellung geändert hatten.
APT 28, auch bekannt als Fancy Bear, Pawn Storm, ist eine der berüchtigtsten russischen Hackergruppen. Der Gruppe werden weltweit zahlreiche Cyberkriminalität vorgeworfen. Diese Struktur ist direkt dem russischen Militärgeheimdienst unterstellt. Die Gruppe hat zahlreiche Cyberangriffe gegen staatliche und nichtstaatliche Ziele in den Vereinigten Staaten, Deutschland, Italien, Lettland, Estland, der Tschechischen Republik, Polen, Norwegen, den Niederlanden, der Ukraine und anderen Ländern durchgeführt.
Vom FBI gesuchter GRU-Offizier
Im Juli 2018 beschuldigte das US-Justizministerium 12 GRU-Mitarbeiter offiziell, die Server des Democratic National Committee gehackt und versucht zu haben, sich in die US-Wahlen einzumischen. Es wurde festgestellt, dass die Struktur GRU-Personal umfasste, das in den Militäreinheiten 26165 und 74455 diente. GRU-Offizier Sergej Morgatschew ist auch unter den 12 Angeklagten.
Unter Morgatschews Post (mor_s@mail.ru) wurde eine Nachricht von Apple gefunden. Die Mitteilung von 2018 informierte ihn über eine Anfrage des FBI nach seinen Kontoinformationen im Zusammenhang mit dem Haftbefehl.
Die Hacktivisten entnahmen den E-Mails von Morgatschew viele interessante Details. Sowohl über sein Privatleben als auch über seinen aktuellen Wohnort und seine Position für 2023.
Die Datenschutzverletzung ermöglichte es auch, Zugang zu persönlichen Dokumenten von Morgatschew und Informationen über Personen zu erhalten, die mit ihm in Verbindung stehen.
Sergej Alexandrowitsch Morgatschew wurde am 22. Mai 1977 in Kyjiw, geboren. Von 1994 bis 1999 studierte er an der FSB-Akademie in Moskau. Er diente zwischen 1999 und 2022 in der Militäreinheit 26165.
Er ist russischer Staatsbürger und Inhaber des Reisepasses 4622 608349, der am 12. Juli 2022 vom Innenministerium Russlands, Region Moskau, ausgestellt wurde. Morgatschew ist registriert unter: Pr. Dekabristow, Gebäude 6/8, Wohnung 249, Korolew, Gebiet Moskau.
Sergej Morgatschew besitzt einen Toyota RAV4 mit der Registrierungsnummer P778CB750. Er hat einen Führerschein mit der Nummer 9902 449278.
Eigentumsurkunde für die Wohnung
Aus einer Mitteilung vom 29. Juni 2020 konnten wir auch den aktuellen Wohnort von Morgatschew bestätigen (PDF).
Personalformular
Laut einer gescannten Kopie von Morgatschews „Formular-4“, das in seiner Post gefunden wurde (ausgefüllt, um den Zugang zu Staatsgeheimnissen zu beurteilen), diente er von August 1999 bis August 2022 in der oben genannten Militäreinheit 26165. Anschließend wurde er als stellvertretender Abteilungsleiter in der Militäreinheit 26165 in eine andere Dienststelle versetzt. Von August 2022 bis heute bekleidet er die Position des „Programmieringenieurs erster Kategorie“ am Spezialtechnikzentrum. „Formular-4″ gibt auch die tatsächliche Adresse seines derzeitigen Arbeitsplatzes an: ul. Gschatskaja 21/53, Sankt Petersburg, Russland.
Spezialtechnikzentrum LLC (Archiv) spielt eine wichtige Rolle bei der Sicherstellung des Krieges Russlands gegen die Ukraine. Laut der offiziellen Website der Nationalen Antikorruptionsbehörde der Ukraine wurden gegen diese Organisation bereits Sanktionen von den Vereinigten Staaten, Großbritannien, Kanada, der Schweiz, Japan, EU-Ländern und der Ukraine verhängt. Die Tatsache, dass Morgatschew im Unternehmen tätig ist, wird auch durch seine Korrespondenz mit der Personalabteilung bestätigt.
Unter den erhaltenen Dokumenten befindet sich ein aktuelles ärztliches Attest vom 13. Dezember 2022, das für die Sicherheitsüberprüfung für die Arbeit mit Staatsgeheimnissen erforderlich ist.
Das Formular enthält auch Informationen über die Position und Einzelheiten seiner Tätigkeit während seines Dienstes im russischen Verteidigungsministerium sowie das gewünschte Gehalt, das Morgatschew an seinem neuen Dienstort erhalten möchte.
Lebenslauf von Sergej Morgatschew
Der Lebenslauf des GRU-Beauftragten wurde am 5. August 2022 kurz vor dem Wechsel an einen neuen Arbeitsplatz erstellt. In seinem Lebenslauf wird vermerkt, dass er von 1999 bis heute in einer Militäreinheit gedient hat, wo er die Sonderabteilung für Softwareentwicklung leitete. Zu Morgatschews Aufgaben gehörten die Personaleinstellung und die Kontrolle der Arbeit der Abteilung, die Aufgabenverteilung und die Zusammenarbeit mit anderen Einheiten. Der Lebenslauf bestätigt indirekt, dass dieser GRU-Offizier eine Gruppe militärischer GRU-Hacker anführte. Interessanterweise gab er in seinem Lebenslauf an, dass er nicht bereit sei, umzuziehen, aber bereit wäre, Dienstreisen zu unternehmen, wenn diese nicht häufig vorkämen.
Laut Gehaltsangaben lag Morgatschews Monatsgehalt Ende 2022 zwischen 250.000 und 300.000 Rubel.
Gehackt auf dem Portal des russischen Staatsdienstes
Durch den Zugang zu Morgatschews persönlichem Konto auf dem russischen Staatsdienstportal bestätigten die Hacktivisten auch die zuvor aus Dokumentenscans gewonnenen Informationen sowie die Adressen seines aktuellen Dienstorts und seiner Wohnadresse.
Morgatschew ist seit dem 22. Juli 1988 mit Jekaterina Wiktorowna Morgatschewa verheiratet. Das Paar hat zwei minderjährige Kinder.
Das Foto zeigt Jekaterina Morgatschewa und den GRU-Offizier Sergej Morgatschew.
Überhaupt gibt es in Morgatschews Korrespondenz viele interessante und abwechslungsreiche Informationen, von Urlaubs- und Geburtstagsfotos mit Kollegen bis hin zu technischen Dokumentationen.
Cobalt Strike 4.0
Några av de relativt nya tekniska dokumenten som hittats i Morgatjaevs e-postmeddelanden inkluderar filer med patch-anteckningar för Cobalt Strike, en plattform som används av hackare för cyberattacker:
Ein Dessert sollte gekühlt serviert werden
Bevor wir diesen Artikel abschließen, ist es wichtig, den ersten Kontakt zwischen InformNapalm und Fancy Bear zu erwähnen.
In der ersten Woche nach der umfassenden Invasion der Ukraine am 2. März 2022 veröffentlichte der Reuters-Cybersicherheitsjournalist Raphael Satter eine Reihe von Tweets. Dazu gehörte ein interessanter Bericht darüber, wie ein massiver Angriff russischer APT 28-Hacker dank eines Website-Administrators von InformNapalm aufgedeckt wurde, der im April 2015 eine Bedrohungswarnung geteilt hatte.
The story starts with @oxana_tinko of @InformNapalm, an OSINT-focused group created in the aftermath of Russia’s 2014 intervention in Crimea and eastern Ukraine.
— Raphael Satter (@razhael) March 2, 2022.
In den Jahren 2015 und 2016 schickten russische Hacker von APT 28 mehrere Phishing-E-Mails an Administratoren der Website von InformNapalm. Wie die eigenen Statistiken zeigen, wurde jedoch kein einziger Bitly-Link geöffnet. Diese gescheiterten Versuche, InformNapalm anzugreifen, führten jedoch zur Entdeckung mehrerer Netzwerke und zu Angriffen russischer Hacker. Die berüchtigtsten dieser Angriffe waren das Hacken des E-Mail-Servers des Demokratischen Nationalkomitees und der Versuch, sich in die US-Wahlen 2016 einzumischen.
Ein symbolischer Akt moralischer Erniedrigung
Im März 2023 wurde der Anführer dieser russischen Hackergruppe, Oberstleutnant Sergej Morgatschew, selbst von ukrainischen Hacktivisten gehackt. Sie führten einen symbolischen Akt der moralischen Erniedrigung durch, nachdem sie in seine persönliche Korrespondenz eingebrochen waren.
Zunächst verschafften sich die Hacktivisten Zugang zu seinen anonymen Social-Media-Konten und posteten dort Scans seines Reisepasses. Hier ist zum Beispiel ein Screenshot seines Twitter-Accounts, der nach dem Hack aufgenommen wurde.
Nachdem sie sich auch Zugang zu Morgatschews AliExpress-Konto verschafft hatten, bestellten die Hacktivisten mehrere Dutzend verschiedene Artikel an die mit seinem Konto verknüpfte Adresse, darunter Souvenirs mit einem FBI-Logo (die ihn auf die Fahndungsliste gesetzt hat) sowie eine große Lieferung von Spielzeuge für Erwachsene, die sie mit seiner Kundenkarte bezahlt.
Da Morgatschew vom FBI gesucht wird, erhält er Auftragsbestätigungen von seinem AliExpress-Konto an die E-Mail-Adresse seiner Frau.
Das Bild oben zeigt eine der neuesten E-Mails, die darauf hinweist, dass eine seiner letzten AliExpress-Bestellungen, die im März aufgegeben wurden, bereits auf dem Weg zu einem Einkaufszentrum an der Adresse ul. Stroitelej 15 in der Stadt Korolew.
Damit wird auch bestätigt, dass Morgatschew tatsächlich an der in den Dokumenten aufgeführten Meldeadresse wohnt. Die Entfernung von seinem Wohnort zum Postamt, wo er Bestellungen von AliExpress entgegennimmt, beträgt nur 140 Meter.
Der heruntergeladene E-Mail-Dump
Ukrainische Hacktivisten der Gruppe Cyber Resistance haben einen vollständigen E-Mail-Dump von Morgatschews Korrespondenz und persönlichen Dateien zur Veröffentlichung eingereicht. Der Grund dafür ist, dass alle interessierten Parteien, vom FBI bis hin zu Journalisten, Experten und der Öffentlichkeit, die Möglichkeit haben sollten, die in dieser Veröffentlichung dargelegten Fakten unabhängig zu untersuchen. Zusätzliche Informationen, die für weitere Untersuchungen nützlich sein könnten, wie z. B. Links zum E-Mail-Dump, werden in naher Zukunft veröffentlicht.
InformNapalm dankt den Hacktivisten von Cyber Resistance für die Möglichkeit, an dieser Untersuchung teilzunehmen und diese Geschichte öffentlich zu machen. Wir empfehlen den Lesern, unseren Telegram-Kanal zu besuchen, wo wir viel mehr Informationen veröffentlichen als auf der Website von InformNapalm.
Weitere Artikel von InformNapalm
- Der überraschende Ursprung des Begriffs reflexive Kontrolle
- Details von 116 Offizieren der russischen Luftwaffe, die syrische Zivilisten bombardieren
- Der Europäische Gerichtshof für Menschenrechte entscheidet über ein Verfahren gegen Russland
Es steht Ihnen frei, dieses Material zu teilen, aber fügen Sie bitte einen Link zur Quelle hinzu. Creative Commons – Attribution 4.0 International – CC BY 4.0. Folgen Sie uns auf Facebook und Twitter. Lesen Sie mehr darüber, wie Sie InformNapalm unterstützen.