Los hacktivistas ucranianos del equipo Cyber Resistance piratearon el correo electrónico del teniente coronel Sergei Aleksandrovich Morgachev, oficial de la Dirección Principal de Inteligencia de Rusia (GU GSh Fuerzas Armadas de la Federación Rusa), supervisor del grupo de piratas informáticos ruso APT 28, formado por oficiales del Centro General del Servicio Especial GRU número 85, unidad militar 26165. Los volcados de su correspondencia privada fueron proporcionados exclusivamente por los hacktivistas para su análisis por parte de los voluntarios de la comunidad de inteligencia internacional InformNapalm.
En este artículo revelaremos toda la información personal actual relevante sobre este oficial y hacker ruso buscado por el FBI. Al final de la publicación, contaremos cómo los activistas de hackeo ucranianos castigaron creativamente al hacker ruso utilizando el método de «humillación moral» mediante un pedido personalizado de productos en AlịExpress.
APT 28 y el teniente coronel Morgachev
APT 28 (también conocido como Fancy Bear y Pawn Storm) – es una de las más conocidas bandas de hackers rusos, acusada de muchos delitos cibernéticos en todo el mundo. Esta estructura está directamente subordinada a la inteligencia militar rusa. Han llevado a cabo numerosos ciberataques dirigidos a objetivos gubernamentales y no gubernamentales en los Estados Unidos, Alemania, Italia, Letonia, Estonia, la República Checa, Polonia, Noruega, los Países Bajos, Ucrania y otros países. En julio de 2018, el Departamento de Justicia de los Estados Unidos presentó cargos oficiales contra 12 miembros del GRU por el pirateo de los servidores del Partido Demócrata de los Estados Unidos e intento de interferencia en las elecciones estadounidenses. Se ha establecido que los miembros de la estructura son empleados del GRU que sirven en las unidades militares número 26165 y número 74455. Entre las 12 personas mencionadas en los cargos también se encuentra el teniente coronel Sergei Morgachev.
En cuanto a esto, en el correo electrónico de Morgachev mor_s@mail.ru se encontró un correo de la compañía Apple del año 2018, en el que se le informa acerca de una solicitud de datos de su cuenta recibida por la Oficina Federal de Investigaciones de los Estados Unidos en relación con su búsqueda.
Gracias al hackeo por parte de los hacktivistas de su correo electrónico, se logró descubrir muchos detalles interesantes sobre la vida personal de Morgachev, así como su ubicación actual y servicio en 2023.
También se obtuvieron numerosas fotografías junto con escaneos de documentos personales de Morgachev y de personas relacionadas con él.
Sergei Alexandrovich Morgachev nació el 22/05/1977 en Kiev, Ucrania. Estudió en la Academia FSB en Moscú desde 1994 hasta 1999. Sirvió en la unidad militar 26165 desde 1999 hasta 2022. Para conocer su ubicación actual en 2023, lea más en el artículo.
Es ciudadano de la Federación Rusa. Su nuevo pasaporte es 4622 608349, emitido por el Departamento de Asuntos Internos de Moscú el 12/07/2022. Está registrado y vive en la dirección: Oblast de Moscú, ciudad de Korolev, calle Dekabristov, casa 6/8, apartamento 249.
Posee un auto Toyota RAV4, número estatal: P778CB750, licencia de conducir: 9902 449278.
Documentación del apartamento
A partir del correo del día 29/06/2020, también fue posible confirmar el lugar de residencia de Morgachev y examinar los documentos sobre la adquisición de un apartamento por su parte.
- Pasaporte técnico del apartamento (PDF)
Formulario
Según los datos encontrados en el correo electrónico de Sergey Morgachev, una copia escaneada del formulario «Forma 4», que se completa para obtener acceso a secretos de Estado, indica que desde agosto de 1999 hasta agosto de 2022, sirvió en la unidad militar 26165 mencionada anteriormente. Antes de ser transferido a otro lugar de servicio, ocupó el puesto de «Subdirector del Departamento – Jefe del Departamento de la unidad militar 26165». Desde agosto de 2022 hasta la actualidad, ocupa el puesto de «Ingeniero programador de primera categoría» en la LLC «CENTRO TECNOLÓGICO ESPECIAL». La dirección real del lugar de servicio también se indica en el formulario: calle Gzhatskaya, casa 21, apartamento 53, San Petersburgo.
La LLC «Centro Tecnológico Especial» (CTE) (archivo) – es una empresa que desempeña un papel importante en el suministro de la agresión armada de la Federación de Rusia contra Ucrania. Según el sitio web oficial del Registro Nacional de Declaraciones de Ucrania, esta organización ya ha sido sancionada por Estados Unidos, Reino Unido, Canadá, Suiza, Japón, países de la UE y Ucrania.
La correspondencia de Morgachev con el departamento de personal confirma que está sirviendo en CTE.
Entre los documentos de Morgachev se encuentra un certificado médico reciente (fechado el 13 de diciembre de 2022) que establece que no existen contraindicaciones para trabajar con documentos que contienen secretos de Estado.
Entre los archivos de la encuesta también se encontraron información sobre el cargo y la actividad específica durante el servicio en el Ministerio de Defensa de Rusia, así como la cantidad deseada de salario que Morgachev quisiera recibir en un nuevo lugar de servicio.
El currículum vitae de Sergei Morgachev, redactado el 5 de agosto de 2022, antes de su traslado a un nuevo lugar de servicio. En su currículum, señaló que desde 1999 hasta la actualidad ha estado en servicio en una unidad militar del Ministerio de Defensa de Rusia. Dirigía el departamento de desarrollo de software especial. Sus responsabilidades incluían la selección y control del trabajo del personal del departamento, la asignación de tareas y la interacción con otras unidades. (Es decir, el currículum confirma indirectamente que Morgachev lideraba un grupo de hackers militares en la GRU). Es interesante que en su currículum indicó que «no está listo para mudarse«, pero está dispuesto a viajar por trabajo si no es de forma demasiado frecuente.
Según el extracto de ingresos, a finales de 2022 el salario de Morgachev era de 250-300 mil rublos al mes.
El hackeo de una cuenta personal en el sitio web de los Servicios Estatales de la Federación Rusa
Gracias a la obtención del acceso a la cuenta personal de Sergey Morgachev en el sitio web de servicios estatales de la Federación Rusa, los hacktivistas también lograron precisar los datos obtenidos anteriormente de las copias escaneadas de documentos, así como confirmar el lugar actual de servicio y la dirección de residencia.
Estado civil: casado, tiene dos hijos menores de edad.
Esposa: Ekaterina Viktorovna Morgacheva, nació el 22 de julio de 1988.
En la foto: Morgachev Ekaterina y Sergei.
En general, los montones de chats de Morgachev contienen bastante información interesante y variada: desde fotos de vacaciones y cumpleaños de sus colegas hasta documentación técnica
Cobalt Strike 4.0
De los documentos técnicos relativamente recientes encontrados en el correo de Morgachev, hay archivos con entradas sobre parches para Cobalt Strike, una plataforma utilizada, en particular, por piratas informáticos para ataques cibernéticos:
La venganza se sirve fría. El último «acto de humillación moral»
Antes de pasar a la parte final del artículo, es importante mencionar la historia previa: el primer encuentro entre InformNapalm y Fancy Bear.
Durante la primera semana después de la invasión a gran escala de Rusia en Ucrania el 2 de marzo de 2022, Raphael Satter, periodista de la agencia internacional Associated Press que escribe sobre ciberseguridad, publicó en su cuenta de Twitter una serie de tweets con una interesante historia sobre cómo un ataque masivo de los hackers rusos APT 28 fue desenmascarado gracias a un mensaje enviado avisando del peligro en abril de 2015 por un voluntario administrador del sitio web InformNapalm.
En 2015-2016, los hackers rusos de APT 28 intentaron varias veces enviar correos electrónicos de phishing a los voluntarios-administradores del sitio de la comunidad de inteligencia internacional InformNapalm. Sin embargo, según sus propias marcas en la tabla de estadísticas, ningún enlace de phishing corto de Bitly fue abierto. Sin embargo, estos intentos fallidos de atacar a InformNapalm llevaron a la revelación de una amplia red de objetivos y ataques por parte de los hackers rusos. El ataque más sonado fue el hackeo de los servidores de correo electrónico del Partido Demócrata de los Estados Unidos y el intento de interferir en las elecciones estadounidenses de 2016.
En marzo de 2023, el organizador de este grupo de hackers rusos, el teniente coronel Sergey Morgachev, fue hackeado por activistas ucranianos que, después de acceder a sus conversaciones privadas, llevaron a cabo un acto simbólico de humillación moral.
Al principio, los activistas hackearon sus cuentas anónimas en redes sociales y publicaron allí copias escaneadas de sus pasaportes. Aquí, por ejemplo, hay una captura de pantalla que muestra su cuenta de Twitter después del hackeo.
Habiendo obtenido también acceso a la cuenta AlịExpress de Morgachev, los hacktivistas ordenaron varias docenas de artículos de diversos bienes desde su dirección vinculada a la cuenta, incluidos recuerdos con el logotipo del FBI (que lo está buscando), así como un gran lote de juguetes para adultos, que pagaron con su tarjeta.
Teniendo en cuenta que el FBI busca a Sergey Morgachev, envía paquetes de AlịExpress a su correo mor_s@mail.ru a nombre de su esposa.
Aquí está uno de los correos electrónicos recientes que indica que uno de sus pedidos en AliExpress para marzo ya está en camino y se dirige a la dirección postal en el centro comercial de la ciudad de Korolev, calle Stroiteley, 15.
Esto también confirma adicionalmente que la familia de Morgachev vive en la dirección de registro indicada en los documentos en la ciudad de Korolev, calle Dekabristov, casa 6/8, apartamento 249. Desde su casa hasta la oficina de correos donde recibe su pedido de AliExpress, hay solo 140 metros.
Volcado completo
Los hacktivistas ucranianos del equipo «Resistencia cibernética» entregaron un volcado completo de la correspondencia y los archivos personales de Morgachev para su publicación para que todas las partes interesadas: desde el FBI hasta periodistas, expertos y todos los ciudadanos honestos pudieran familiarizarse de forma independiente con los hechos establecidos en la publicación. También, que puedan encontrar información adicional que podría ser útil y prometedora para la investigación (agregaremos un enlace al volcado de correo electrónico en un futuro cercano junto con las traducciones del artículo a otras versiones de idiomas).
P.S. La comunidad de inteligencia internacional InformNapalm agradece a los activistas de «Cyber Resistance» por la oportunidad exclusiva de participar en esta interesante historia y trabajar juntos en ella. Invitamos a los lectores a suscribirse a nuestros canales de Telegram, donde publicamos mucha más información de la que se encuentra en el sitio web.
Lea otras publicaciones basadas en datos que obtuvieron los hacktivistas de «Cyber Resistance»:
- Hackeo de un criminal de guerra ruso, comandante adjunto de la policía antidisturbios OMON de la región de Krasnoyarsk de Rusia
- Hackeo del criminal de guerra ruso, comandante de la unidad militar 75387, del 960º Regimiento de Aviación de Asalto
- El hackeo de un Z-voluntario, Mikhail Luchin, quien en lugar de drones para el ejército ruso, ordenó juguetes sexuales por valor de $25000.
- Hackeo al exdiputado de la Duma Estatal de la Federación Rusa Semyon Bagdasarov. Gambito iraní