Ukrajinští hacktivisté z týmu Cyber Odboj nabourali e-mailovou schránku podplukovníka Sergeje Alexandroviče Morgačeva, důstojníka ruského Hlavního rozvědného úřadu (Hlavní úřad Generálního štábu Ozbrojených sil RF), kurátora ruské hackerské skupiny APT 28, kterou tvoří důstojníci 85. hlavního centra speciální služby GRU, vojenský útvar č. 26165. Dumpy jeho soukromé komunikace hacktivisté exkluzivně poskytli k vyhodnocení dobrovolníkům z mezinárodní zpravodajské komunity InformNapalm.
V tomto článku odhalíme veškeré aktuální osobní informace k osobě tohoto ruského důstojníka a hackera, který je v pátrání FBI. Na konci publikace povíme, jak ukrajinští hackeři kreativně potrestali ruského hackera metodou „mravního ponížení“ pomocí osobní objednávky zboží na AliExpressu.
APT 28 a podplukovník Morgačev
APT 28 (další rozšířené názvy: Fancy Bear, Pawn Storm) patří mezi nejznámější ruské hackerské skupiny, jíž se dává za vinu mnoho kybernetických zločinů po celém světě. Tato struktura přímo podléhá ruské vojenské rozvědce. Byla strůjcem mnoha kyberútoků proti vládním a nevládním objektům v USA, Německu, Itálii, Lotyšsku, Estonsku, Česku, Polsku, Norsku, Nizozemsku, Ukrajině a dalších zemích. V červenci 2018 zveřejnilo Ministerstvo spravedlnosti USA oficiální obvinění proti 12 příslušníkům GRU z nabourání serverů Demokratické strany USA a z pokusu o ovlivnění amerických voleb. Bylo zjištěno, že do této struktury patří příslušníci GRU, kteří slouží u vojenských útvarů č. 26165 a 74455. Mezi 12 jmény na obvinění figuruje také plukovník Sergej Morgačev.
Mimochodem na Morgačevově mailu mor_s@mail.ru se našla zpráva od společnosti Apple z roku 2018, kde je informován o došlém dotaze na údaje o jeho účtu od Federálního úřadu pro vyšetřování USA z důvodu vyhlášení pátrání po jeho osobě.
Nabourání jeho e-mailové schránky hacktivisty umožnilo zjistit mnoho zajímavých podrobností jak o Morgačevově osobním životě, tak o aktuálním místě jeho bydliště a výkonu služby v roce 2023.
Podařilo se také získat spoustu fotografií se skeny Morgačevových osobních dokladů a osob s ním spojených.
Sergej Alexandrovič Morgačev se narodil 22. 5. 1977 v Kyjevě, Ukrajina. V letech 1994 až 1999 studoval na Akademii FSB v Moskvě. V letech 1999 až 2022 sloužil u vojenského útvaru č. 26165. O aktuálním místě výkonu jeho služby v roce 2023 se dočtete v článku dále.
Je státním občanem Ruské federace. Má nový občanský průkaz č. 4622 608349, vystaven Hlavním ředitelstvím Ministerstva vnitra RF pro Moskevskou oblast dne 12. 7. 2022. Hlášen a zdržuje se na adrese Moskevská oblast, Koroljov, ul. Děkabristov 6/8, č. bytu 249.
Vlastní automobil Toyota RAV4, RZ Р778CB750, řidičský průkaz č. 9902 449278.
Doklady k bytu
Ze zprávy ze dne 29. 6. 2020 se podařilo také potvrdit místo Morgačevova bydliště a nahlédnout do nabývacích listin k jeho bytu.
- Technický průkaz bytu (PDF)
Dotazník
Dle údajů ze skenu dotazníku Formulář č. 4 vyplňovaného pro přístup ke státnímu tajemství, který se našel mezi maily Sergeje Morgačeva, v srpnu 1999 až srpnu 2022 dotyčný sloužil u shora uvedeného vojenského útvaru č. 26165. Před přeložením na jiné místo výkonu služby zastával pozici Zástupce náčelníka Úřadu – náčelníka oddělení vojenského útvaru č. 26165. Od srpnu 2022 dosud zastává funkci Inženýra programátora 1. třídy u OOO „SPECIALNYJ TĚCHNOLOGIČESKIJ CENTR“. Dotazník uvádí také fyzickou adresu místa výkonu služby: Petrohrad, ul. Gžatskaja 21, č. bytu 53.
OOO „SPECIALNYJ TĚCHNOLOGIČESKIJ CENTR“ (STC) (archiv) – tato korporace hraje významnou roli na zajištění ozbrojené agrese RF proti Ukrajině. Podle oficiálního webu Národní agentury Ukrajiny pro předcházení korupci na tuto organizaci již uvalily sankce USA, Velká Británie, Kanada, Švýcarsko, Japonsko, země EU a Ukrajina.
Skutečnost, že Morgačev slouží u STC, dokládá i jeho komunikace s personálním oddělením.
Mezi Morgačevovými dokumenty najdeme čerstvé (z 13. prosince 2022) lékařské potvrzení, že držitel nemá kontraindikace pro práci s listinami obsahujícími utajované skutečnosti.
Mezi anketovými soubory se dále našly údaje o funkci a specifikách činnosti při výkonu služby u Ministerstva obrany RF, jakož se uvádí i požadovaná výše platu, který by Morgačev chtěl na novém místě výkonu služby pobírat.
Zde máme stručný životopis Sergeje Morgačeva sepsaný 5. srpna 2022, krátce před přeložením na nové místo výkonu služby. V životopise dotyčný uvedl, že od roku 1999 dosud vykonával službu na vojenském útvaru Ministerstva obrany RF. Řídil oddělení vývoje speciálního softwaru. Mezi jeho povinnosti patřily výběr a kontrola práce personálu oddělení, rozdělování úkolů, interakce s dalšími útvary. (Tzn. životopis nepřímo potvrzuje, že Morgačev řídil skupinu vojenských hackerů v rámci GRU). Zajímavé je, že v životopise uvedl, že „není připraven na stěhování“, je však připraven na pracovní cesty, pokud nebudou příliš časté.
Dle výpisu příjmů činil Morgačevův plat koncem roku 2022 250 až 300 tisíc rublů měsíčně.
Nabourání osobní kanceláře na webu Státních služeb RF
Díky zpřístupnění osobní kanceláře Sergeje Morgačeva na webu státních služeb RF hacktivisté také dokázaly upřesnit údaje získané předtím ze skenů dokladů, jakož i potvrdit aktuální místo výkonu služby a adresu pobytu.
Osobní stav: je ženatý, má dvě nezletilé děti.
Manželka: Jekatěrina Viktorovna Morgačeva, nar. 22. 7. 1988.
Na fotce: Jekatěrina a Sergej Morgačevovi.
Zkrátka dumpy z Morgačevových mailů obsahují dost zajímavých a různorodých informací, od fotek z dovolené přes narozeniny kolegů až k technické dokumentaci.
Cobalt Strike 4.0
Z relativně čerstvých technických dokumentů, které se našly mezi Morgačevovými maily, nechybí soubory se záznamy týkajícími se patchů pro Cobalt Strike, platformy, kterou používají mj. hackeři ke kyberútokům:
Pomsta se servíruje studená. Závěrečný „akt mravního ponížení“
Než přejdeme k závěrečné části tohoto článku, nemůžeme opomenout prehistorii: první seznámení InformNapalmu a Fancy Bear.
První týden po totální invazi RF do Ukrajiny, 2. března 2022, zveřejnil Raphael Satter, redaktor mezinárodní agentury Reuters, který píše o kyberbezpečnosti, na svém twitterovém účtu celé vlákno tweetů se zajímavým pojednáním, jak byl rozsáhlý útok ruských hackerů APT 28 odhalen díky hlášení nebezpečí, které v dubnu 2015 odeslal dobrovolník, správce webu InformNapalm.
As digital nastiness erupts over Ukraine, I want to share the story of how a Russian cyberespionage campaign was exposed back in 2015-2017. It involves a Ukrainian activist, a German academic, a @Secureworks researcher & (eventually) me.
— Raphael Satter (@razhael) March 2, 2022
V letech 2015 až 2016 se ruští hackeři z APT 28 nejednou snažili rozesílat phishingové zprávy dobrovolníkům spravujícím web mezinárodní zpravodajské komunity InformNapalm. Jak však nasvědčují jejich vlastní poznámky z tabulky statistik, žádný phishingový krátký odkaz z Bitly otevřen nebyl. Tyto neúspěšné pokusy útočit na InformNapalm však vedly k odhalení rozsáhlé sítě cílů a útoků na ně ze strany ruských hackerů. Nejvěhlasnějším z těchto útoků bylo nabourání mailových serverů Demokratické strany USA a pokus o ovlivnění amerických voleb v roce 2016.
V březnu 2023 byl samotný organizátor této ruské hackerské skupiny podplukovník Sergej Morgačev nabourán ukrajinskými hacktivisty, kteří po hacknutí jeho osobní komunikace vykonali symbolický akt mravního ponížení.
Ze začátku hacktivisté nabourali jeho anonymní účty na sociálních sítích a sdíleli tu skeny jeho občanských průkazů. Zde je např. screenshot zachycující jeho twitterový účet po nabourání.
Poté, co hacktivisté získali přístup k Morgačevovu účtu na AliExpressu, objednali na jeho adresu spojenou s účtem několik desítek kusů různého zboží, zejména upomínkové předměty s logem FBI (která po něm pátrá) a velkou dodávku hraček pro dospělé, které zaplatili z jeho karty.
Vzhledem k tomu, že po Sergeji Morgačevovi pátrá FBI, zásilky z AliExpressu na svůj mail mor_s@mail.ru objednává na manželčino jméno.
Zde je jedna z čerstvých e-mailových zpráv ukazující na to, že jedna z jeho nedávných objednávek na AliExpressu za březen už je na cestě a byla odeslána na poštovní adresu v nákupním středisku v Koroljově, ulice Stroitělej 15.
Je to další potvrzení, že Morgačevova rodina fyzicky bydlí na adrese Koroljov, ul. Děkabristov 6/8, č. bytu 249, jak je uvedeno v dokladech o hlášení k pobytu. Jeho dům je vzdálen od pošty, kde převezme objednávku od AliExpressu, pouhých 140 metrů.
Dump
Ukrajinští hacktivisté z týmu Cyber Odboj předali kompletní dump Morgačevovy komunikace a osobních souborů ke zveřejnění, aby se všechny zainteresované osoby od FBI až po novináře, experty a všechny poctivé občany mohly samy seznámit s fakty uvedenými v publikaci a vyhledat další informace, které by mohly být pro výzkum užitečné a slibné (odkaz na dump e-mailových zpráv přidáme v nejbližší době společně s překladem článku do dalších jazyků).
P.S. Mezinárodní zpravodajská komunita InformNapalm děkuje hacktivistům z Cyber Odboje za exkluzivní příležitost se tohoto zajímavého příběhu zúčastnit a společně ho dopracovat. Zveme čtenáře, aby se přihlásili k odběru novinek na našich telegramových kanálech, na nichž zveřejňujeme mnohem víc informací, než se dostává na web.
Čtěte další publikace založené na údajích od hacktivistů z Cyber Odboje
- Nabourání ruského válečného zločince, zástupce velitele OMON Krasnojarského kraje RF
- Nabourání ruského válečného zločince, velitele vojenského útvaru č. 75387, 960. útočného leteckého pluku
- Nabourání ruského Z-dobrovolníka Michaila Lučina, který namísto dronů pro ruskou armádu objednal erotické hračky v hodnotě 25.000 USD
- BagdasarovLeaks: Nabourání exposlance Státní dumy RF Semjona Bagdasarova. Íránský gambit
Šíření nebo převzetí s odkazem na InformNapalm je vítáno. (Creative Commons — Attribution 4.0 International — CC BY 4.0). Česká stránka komunity InformNapalm na Facebooku: InformNapalm Česko.
InformNapalm nedostává žádnou finanční podporu od vlád ani od dárců. Zajišťovat provoz webu pomáhají pouze dobrovolníci pracující pro naši komunitu a naši čtenáři. Mezi dobrovolníky se můžete zapojit i vy. Také vás prosíme, abyste rozvoj jedinečného dobrovolnického zpravodajského média InformNapalm podpořili svými příspěvky na Patreonu.
Překlad: Svatoslav Ščyhol
Aktuální hlášení skupiny INFORM NAPALM