Ukrainske hacktivister fra gruppen Cyber Resistance har hacket e-mails fra en GRU-officer, oberstløjtnant Sergei Alexandrovitj Morgatjev, og har udelukkende overdraget materialet til InformNapalm til analyse.

Morgatjev er en GRU-officer i efterretningsdirektoratet for den russiske generalstab, lederen af den russiske hackergruppe APT 28, som består af officerer fra GRU’s 85. specialcenter, enhed 26165.

Hackergruppen APT 28 og GRU-officer Morgatjev

I denne artikel afslører InformNapalm alle relevante personlige oplysninger om denne FBI-eftersøgte russiske GRU-officer. Vi vil runde denne artikel af med at fortælle, hvordan lederen af denne russiske hackergruppe selv blev hacket af ukrainske hacktivister. De udførte en symbolsk handling af “moralsk ydmygelse” efter at have brudt ind i hans personlige korrespondance og ændret en AliExpress-bestilling.

APT 28, også kendt som Fancy Bear, Pawn Storm, er en af de mest berygtede russiske hackergrupper. Gruppen er anklaget for adskillige cyberforbrydelser verden over. Denne struktur er direkte underlagt den russiske militære efterretningstjeneste. Gruppen har udført adskillige cyberangreb mod statslige og ikke-statslige mål i USA, Tyskland, Italien, Letland, Estland, Tjekkiet, Polen, Norge, Holland, Ukraine og andre lande.

GRU-officer eftersøgt af FBI

I juli 2018 anklagede det amerikanske justitsministerium formelt 12 GRU-ansatte for at hacke serverne til Den Demokratiske Nationalkomité og forsøge at blande sig i det amerikanske valg. Strukturen viste sig at omfatte GRU-personel, der tjente i militærenheder 26165 og 74455. GRU-officer Sergei Morgatjev er også blandt de 12 anklagede.

En besked fra Apple blev fundet under Morgatjevs mail (mor_s@mail.ru). Meddelelsen fra 2018 informerede ham om en anmodning fra FBI om hans kontooplysninger relateret til arrestordren.

Hacktivisterne hentede mange interessante detaljer fra Morgatjevs e-mails. Både om hans privatliv og om hans nuværende bopæl og stilling for 2023.

Databruddet gjorde det også muligt at få adgang til Morgatjevs personlige dokumenter og oplysninger om personer med tilknytning til ham.

Sergei Alexandrovitj Morgatjev blev født den 22. maj 1977 i Kyiv, Ukraine. Fra 1994 til 1999 studerede han på FSB-akademiet i Moskva. Han tjente i militærenhed 26165 mellem 1999 og 2022.

Morgatjev er statsborger i Rusland og indehaver af pas 4622 608349 udstedt den 12. juli 2022 af Ruslands indenrigsministerium, Moskva-regionen. Han er registreret på følgende adresse: Pr. Dekabristov, bygning 6/8, lejlighed 249, Korolev, Moskva-regionen.

Sergei Morgatjev ejer en Toyota RAV4 med registreringsnummer P778CB750. Han har et kørekort med nummer 9902 449278.

Ejendomsret på lejligheden

Fra en meddelelse dateret den 29. juni 2020 kunne vi også bekræfte Morgatjevs nuværende bopæl (PDF).

Personaleformular

Ifølge en scannet kopi af Morgatjevs “form-4” fundet i hans post (udfyldt til vurdering af adgang til statshemmeligheder) tjente han i den førnævnte militærenhed 26165 fra august 1999 til august 2022. Herefter var han overgået til anden afdeling som viceafdelingschef i militærenhed 26165. Fra august 2022 til i dag varetager han stillingen som “programmeringsingeniør af første kategori” ved Specialteknologisk Center. “Form-4” angiver også den faktiske adresse på hans nuværende arbejdsplads: Ul. Gzjatskaja 21/53, Sankt Petersborg, Rusland.

Specialteknologisk Center (arkiv) spiller en vigtig rolle i at sikre Ruslands krig mod Ukraine. Ifølge den officielle hjemmeside for Ukraines Nationale Anti-Korruptionsagentur er der allerede blevet pålagt sanktioner mod denne organisation af USA, Storbritannien, Canada, Schweiz, Japan, EU-lande og Ukraine. Det faktum, at Morgatjev tjener i virksomheden, bekræftes også af hans korrespondance med personaleafdelingen.

Blandt de modtagne dokumenter er en nylig lægeattest dateret den 13. december 2022, som kræves for sikkerhedsgodkendelse for at arbejde med statshemmeligheder.

Formularen indeholder også oplysninger om stillingen og detaljerne om hans aktiviteter, mens han tjente i det russiske forsvarsministerium, samt den ønskede løn, som Morgatjev gerne vil modtage i sin nye stilling.

Sergei Morgatjevs CV

GRU-officerens CV blev udarbejdet den 5. august 2022, lige før overgangen til en ny arbejdsplads. I hans CV er det noteret, at han fra 1999 til i dag har tjent i en militær enhed, hvor han ledede den særlige softwareudviklingsafdeling. Morgatjevs opgaver omfattede personalerekruttering og kontrol af afdelingens arbejde, fordeling af opgaver og samarbejde med andre enheder. CV’et bekræfter indirekte, at denne GRU-officer ledede en gruppe militære GRU-hackere. Interessant nok angav han på sit CV, at han ikke var parat til at flytte, men ville være villig til at rejse på forretningsrejser, hvis de ikke var hyppige.

Ifølge lønspecifikationer var Morgatjevs månedlige løn ved udgangen af 2022 mellem 250.000 og 300.000 rubler.

Hacket på den russiske statstjenestes portal

Ved at få adgang til Morgatjevs personlige konto på den russiske statstjenesteportal bekræftede hacktivisterne også de oplysninger, der tidligere er opnået fra dokumentscanninger, samt adresserne på hans nuværende tjenestested og bopælsadresse.

Morgatjev har været gift med Ekaterina Viktorovna Morgatjeva siden 22. juli 1988. Parret har to mindreårige børn.

Billedet viser Ekaterina Morgatjeva og GRU-officer Sergei Morgatjev.

Generelt er der en masse interessant og varieret information i Morgatjevs korrespondance, fra ferie- og fødselsdagsbilleder med kolleger til teknisk dokumentation.

Cobalt Strike 4.0

Nogle af de relativt nye tekniske dokumenter, der findes i Morgatjevs e-mails, inkluderer filer med patch-noter til Cobalt Strike, en platform, der bruges af hackere til cyberangreb:

• Patch Cobalt Strike 4.0 (PDF)
• Patch Cobalt Strike 4.0 Stage X64 Bugs (PDF)

En dessert skal serveres afkølet

Før vi afslutter denne artikel, er det vigtigt at nævne den indledende kontakt mellem InformNapalm og Fancy Bear.

I den første uge efter fuldskalainvasionen af Ukraine den 2. marts 2022 offentliggjorde Reuters cybersikkerhedsjournalist Raphael Satter en række tweets. Disse inkluderede en interessant rapport om, hvordan et massivt angreb fra russiske APT 28-hackere blev afsløret takket være en InformNapalm-webstedsadministrator, der delte en trusselalarm i april 2015.

The story starts with @oxana_tinko of @InformNapalm, an OSINT-focused group created in the aftermath of Russia’s 2014 intervention in Crimea and eastern Ukraine.

— Raphael Satter (@razhael) March 2, 2022.

I 2015 og 2016 sendte russiske hackere fra APT 28 adskillige phishing-e-mails til administratorer af InformNapalms websted. Men som det fremgår af deres egen statistik, blev der ikke åbnet et eneste Bitly-link. Disse mislykkede forsøg på at angribe InformNapalm førte dog til opdagelsen af adskillige netværk og angreb fra russiske hackere. Det mest højprofilerede af disse angreb var hackingen af Den Demokratiske Nationalkomités e-mail-server og forsøget på at blande sig i det amerikanske valg i 2016.

En symbolsk handling af moralsk nedbrydning

I marts 2023 blev lederen af denne russiske hackergruppe, oberstløjtnant Sergei Morgatjev, selv hacket af ukrainske hacktivister. De udførte en symbolsk handling af moralsk nedbrydning efter at have brudt ind i hans personlige korrespondance.

Først fik hacktivisterne adgang til hans anonyme sociale mediekonti og lagde scanninger af hans pas op der. Billedet nedenfor viser et skærmbillede af hans Twitter-konto taget efter hacket.

Efter også at have fået adgang til Morgatjevs AliExpress-konto, bestilte hacktivisterne flere dusin forskellige genstande til den adresse, der var knyttet til hans konto, inklusive souvenirs med et FBI-logo (som han efterlyses af). De bestilte også en stor sending voksenlegetøj, som de betalte for med hans betalingskort.

Da Morgatjev er efterlyst af FBI, modtager han ordrebekræftelser fra sin AliExpress-konto i sin kones navn.

Billedet ovenfor viser en af de seneste e-mails, der indikerer, at en af hans seneste AliExpress-bestilling lavet i marts allerede er på vej til et indkøbscenter på ul. Stroitelej 15 i byen Korolev.

Dette bekræfter også, at Morgatjev faktisk bor på den adresse, der er angivet i dokumenterne. Afstanden fra hans bopæl til postudleveringskontoret, hvor han modtager forsendelser fra AliExpress, er kun 140 meter.

Det downloadede e-mailmateriale

Ukrainske hacktivister fra gruppen Cyber Resistance har indsendt et komplet e-mail-dump af Morgatjevs korrespondance og personlige filer til offentliggørelse. Årsagen er, at alle interesserede parter, fra FBI til journalister, eksperter og offentligheden, bør have mulighed for selvstændigt at undersøge de fakta, der er fremsat i denne publikation. Yderligere oplysninger, der kan være nyttige til yderligere undersøgelser, såsom links til e-mail-dumpen, vil blive offentliggjort i den nærmeste fremtid.

InformNapalm takker hacktivisterne fra Cyber Resistance for den eksklusive mulighed for at deltage i denne undersøgelse og offentliggøre denne historie. Alle læsere opfordres til at besøge vores Telegram-kanal, hvor vi offentliggør mere information end på hjemmesiden.

Yderligere artikler af InformNapalm

• Hacking af en russisk krigsforbryder fra 960. jagerflyregiment
• Databrud hos næstkommanderende for uropolitiet OMON i Krasnojarsk
• Ruslands krig mod Ukraine er intet andet end uønsket kolonialisme

Distribution og genoptryk med henvisning til kilden er velkommen! Creative Commons – Attribution 4.0 International – CC BY 4.0. Følg os på Facebook og Twitter. Læs mere om hvordan Du støtter InformNapalm.