Украинските хактивисти от Кибер Съпротива хакнаха имейла на подполковник Сергей Александрович Моргачев, офицер от Главно разузнавателно управление на Русия (ГУ на ГЩ на ВС на РФ), куратор на руската хакерска група APT 28, състояща се от офицери от 85-ти главен център на специалната служба на ГРУ, в/п 26165. Хактивистите предоставиха ексклузивно дъмповете на неговата частна кореспонденция за анализ на доброволците от международната разследваща общност InformNapalm.
В тази статия разкриваме цялата актуална лична информация за този руски офицер и хакер, издирван от ФБР. В края на публикацията ще ви разкажем как украинските хактивисти креативно наказаха руския хакер, използвайки метода на „морално унижение“, поръчвайки от негово име стоки в AlịExpress.
APT 28 и подполковник Моргачев
APT 28 (други често срещани имена са Fancy Bear, Pawn Storm) е една от най-известните руски хакерски групи, обвинявана в множество киберпрестъпления по света. Тази структура е пряко подчинена на руското военно разузнаване. Тя организира множество кибератаки, насочени към правителствени и неправителствени обекти в САЩ, Германия, Италия, Латвия, Естония, Чехия, Полша, Норвегия, Нидерландия, Украйна и други страни. През юли 2018 г. Министерство на правосъдието на САЩ публикува официално обвинение срещу 12 служители на ГРУ за хакване на сървърите на Демократическата партия на САЩ и опит за намеса в изборите в страната. Установено е, че в тази структура влизат офицери от ГРУ, служещи във военни поделения №26165 и №74455. Сред 12-те имена в обвинителния акт фигурира и подполковник Сергей Моргачев.
Между другото, на пощата на Моргачев mor_s@mail.ru е намерено писмо от Apple от 2018 г., в което го информират за постъпило искане за данни за неговия акаунт, получено от Федералното бюро за разследване на САЩ във връзка с обявяването му за издирване.
Благодарение на хакването на електронната му поща от хактивистите успяхме да разберем много интересни подробности както за личния живот на Моргачев, така и за текущото му място на пребиваване и служба през 2023 г.
Успяхме да се сдобием и с многобройни снимки със сканирани лични документи на Моргачев и свързани с него лица.
Моргачев Сергей Александрович, роден на 22 май 1977 г. в Киев, Украйна. От 1994 до 1999 г. учи в Академията на ФСБ в Москва. От 1999 г. до 2022 г. служи във военно поделение 26165. Повече за настоящото му място на служба през 2023 г. прочетете по-нататък в статията.
Гражданин на Руската Федерация. Нов паспорт: 4622 608349, издаден от Главна дирекция на МВР на РФ за Московска област на 12.07.2022 г. Регистриран и живее на адрес: Московска област, гр. Королев, ул. „Декабристи“ №6/8, ап. 249.
Притежава лек автомобил Toyota RAV4, държавен номер: P778CB750, шофьорска книжка: 9902 449278.
Документи за жилището
От писмо от 29.06.2020 г. успяхме отново да потвърдим мястото на пребиваване на Моргачев и да разгледаме документите за придобиване на жилището му.
- Технически паспорт на жилището (PDF)
Анкета
Според данните от намерено в пощата на Сергей Моргачев сканирано копие на анкета „Формуляр 4“, който се попълва за допускане до държавна тайна, от август 1999 г. до август 2022 г. той е служил в посоченото по-горе в/п 26165. Преди да бъде преместен на друга служба, той работи като „Заместник-началник на управление – началник отдел на в/п 26165”. От август 2022 г. до момента заема длъжността „Инженер-програмист 1-ва категория“ в СПЕЦИАЛЕН ТЕХНОЛОГИЧЕН ЦЕНТЪР ООД. В анкетата е посочен и фактическият адрес на мястото му на служба: гр. Санкт Петербург, ул. Гжатская №21, ап. 53.
СПЕЦИАЛЕН ТЕХНОЛОГИЧЕН ЦЕНТЪР ООД (СТЦ) (архив) – дружеството играе важна роля в осигуряването на въоръжената агресия на Руската Федерация срещу Украйна. По данни от официалния сайт на НАЗК на Украйна (Националната агенция за превенция на корупцията), на дружеството са наложени санкции от страна на САЩ, Великобритания, Канада, Швейцария, Япония, страните от ЕС и Украйна.
Фактът, че Моргачев служи в СТЦ, се потвърждава и от кореспонденцията му с отдел „Личен състав“.
Сред документите на Моргачев има и съвсем прясно (от 13 декември 2022 г.) медицинско свидетелство, че няма противопоказания за работа с документи, съдържащи държавна тайна.
Сред файловете с попълнени въпросници е открита информация и за длъжността и спецификата на дейността му по време на службата му в МО на РФ, както и желаният размер на заплатата, която Моргачев иска да получава на новото си място на служба.
CV на Сергей Моргачев, съставено на 5 август 2022 г., точно преди преместването му на новото работно място. В автобиографията си той отбелязва, че от 1999 г. до днес е служил във военно поделение на Министерство на отбраната на РФ. Ръководил отдел за разработка на специален софтуер. В неговите задължения влиза подбор и контрол на работата на личния състава на отдела, разпределение на задачите, взаимодействие с други подразделения. (Тоест, автобиографията косвено потвърждава, че Моргачев ръководи група военни хакери в състава на ГРУ). Интересно е, че той посочва в автобиографията си, че „не е готов на преместване„, но е готов за командировки, ако те не са много чести.
Според извлечение за доходите му, заплатата на Моргачев в края на 2022 г. е била 250-300 хиляди рубли на месец.
Хакване на личния му акаунт на уебсайта на държавните услуги на РФ
Благодарение на получения достъп до личния акаунт на Сергей Моргачев на уебсайта на държавните услуги на РФ, хактивистите успяха да уточнят данните, получени преди това от сканирани копия на документи, както и да потвърдят текущото му място на работа и адрес на пребиваване.
Семейно положение: женен, има две непълнолетни деца.
Съпруга: Моргачева Екатерина Викторовна, 22.07.1988.
На снимката: Екатерина и Сергей Моргачеви.
Като цяло в дъмповете на кореспонденцията на Моргачев има много интересна и разнообразна информация: от снимки на празници и рождени дни на колеги до техническа документация.
Cobalt Strike 4.0
Сред сравнително скорошните технически документи, намерени в пощата на Моргачев, има файлове със записи относно пачове за Cobalt Strike, платформа, използвана и от хакери за кибератаки:
Отмъщението се сервира студено. Завършващият „акт на морално унижение“
Преди да преминем към финалната част на статията, си струва да споменем предисторията: първото запознанство на InformNapalm с Fancy Bear.
През първата седмица след пълномащабното нахлуване на Русия в Украйна, на 2 март 2022 г., Рафаел Сътър, журналист от Reuters, който пише за киберсигурността, публикува в профила си в Twitter цяла нишка от туитове с интересен разказ как е била разобличена мащабна атака от руските хакери от APT 28, благодарение на съобщение за опасност, изпратено през април 2015 г. от доброволецът – администратор на сайта InformNapalm.
The story starts with @oxana_tinko of @InformNapalm, an OSINT-focused group created in the aftermath of Russia’s 2014 intervention in Crimea and eastern Ukraine.
— Raphael Satter (@razhael) March 2, 2022
През 2015-2016 г. руските хакери от APT 28 многократно се опитваха да изпратят фишинг имейли на доброволците администратори на сайта на международната разследваща общност InformNapalm. Обаче, както се вижда от техните собствени бележки в таблицата им със статистически данни, не е отворена нито една фишингова връзка с Bitly. Неуспешните им опити да атакуват InformNapalm, обаче, доведоха до разкриването на голяма мрежа от цели за атаки от страна на руските хакери. Най-известната от тези атаки беше разбиването на пощенските сървъри на Демократическата партия на САЩ и опитът за намеса в американските избори през 2016 година.
През март 2023 г. организаторът на тази руска хакерска група, подполковник Сергей Моргачев, беше хакнат от украински хактивисти, които след като получиха достъп до личната му кореспонденция, извършиха символичен акт на морално унижение.
Първо, хактивистите разбиха анонимните му акаунти в социалните медии и публикуваха там сканирани копия на паспортите му. Ето, например, екранна снимка на акаунта му в Twitter след взлома.
След като получиха достъп и до акаунта на Моргачев в AlịExpress, хактивистите поръчаха няколко десетки различни стоки на неговия адрес, включително сувенири с логото на ФБР (което го издирва), както и голяма партида играчки за възрастни , заплатени с неговата карта.
Като се има предвид, че Сергей Моргачев е издирван от ФБР, той оформя поръчките си от AlịExpress от своята поща mor_s@mail.ru на името на съпругата си.
Ето един от последните имейли в пощата му, според който една от последните му поръчки в AlịExpress през март вече е на път и отива на пощенски адрес в търговския център на гр. Королев, ул. „Строители“15.
Това потвърждава допълнително, че семейство Моргачеви живее на посочения в документите адрес на регистрация в гр. Королев, ул. „Декабристи“ 6/8, ап. 249. От дома му до пощенското отделение, в което получава поръчката от Alị Express са само 140 метра.
Дъмповете
Украинските хактивисти от екипа на „Кибер Съпротива“ предадоха пълният дъмп от кореспонденцията и личните файлове на Моргачев за публикуване, така че всички заинтересовани страни: от ФБР до журналисти, експерти и всички честни граждани да могат лично да се запознаят с фактите изложени в публикацията, и да намерят друга информация, която може да бъде полезна и перспективна за разследване (ще добавим линк към дъмпа от електронната поща в близко бъдеще заедно с преводите на статията на различни езици).
P.S: Международната разследваща общност InformNapalm благодари на хактивистите от “Кибер Съпротива“, за ексклузивната възможност да вземат участие в този интересна история, и заедно да ядоработят за публикуване. Канич читателите да се абонират за нашите телеграм канали, на които ежедневно публикуваме значително повече информация от тази, която попада в сайта ни.
Други публикации InformNapalm, базирани на данни, предоставени от хактивистите от „Кибер Съпротива“:
- Хакната кореспонденция на руски военен престъпник, заместник командир на Красноярския ОМОН
- Хакната кореспонденция на командира на руския 960-ти самолетен щурмови полк, бомбардирал Мариупол
- BagdasarovLeaks: Хакерски взлом на бившия депутат от Държавната дума на РФ Семьон Багдасаров. Ирански гамбит
- Списък на личния състав на руския 3-ти ешелон на 2-ра БТГр в Херсонско направление
- Взлом на руския Z-волонтер Михаил Лучин, който вместо дронове за руската армия поръчал секс играчки за $25000
No Responses to “Хакнат: издирван от ФБР руски офицер от ГРУ, лидер на хакерската група APT 28”