Ukrainske hacktivister fra gruppen Cyber Resistance har hacket e-poster som tilhører en GRU-offiser, oberstløytnant Sergei Alexandrovitsj Morgatsjev, og har eksklusivt overlevert materialet til InformNapalm for analyse.
Morgatsjev er en GRU-offiser i den russiske generalstabens etterretningsdirektorat, lederen for den russiske hackergruppen APT 28, som består av offiserer fra GRUs 85. spesialsenter, militærenhet 26165.
Hackergruppen APT 28 og GRU-offiser Morgatsjev
I denne artikkelen avslører InformNapalm all relevant personlig informasjon om denne FBI-etterlyste russiske GRU-offiseren. Vi vil runde av denne artikkelen med å fortelle hvordan lederen av denne russiske hackergruppen selv ble hacket av ukrainske hacktivister. De utførte en symbolsk handling av “moralsk degradering” etter å ha brutt seg inn i hans personlige korrespondanse og endret en AliExpress-ordre.
APT 28, også kjent som Fancy Bear, Pawn Storm, er en av de mest beryktede russiske hackergruppene. Gruppen er anklaget for en rekke nettkriminalitet over hele verden. Denne strukturen er direkte underlagt den russiske militære etterretningstjenesten. Gruppen har utført en rekke cyberangrep mot statlige og ikke-statlige mål i USA, Tyskland, Italia, Latvia, Estland, Tsjekkia, Polen, Norge, Nederland, Ukraina og andre land.
GRU-offiser ettersøkt av FBI
I juli 2018 siktet det amerikanske justisdepartementet formelt 12 GRU-ansatte for å ha hacket den demokratiske nasjonale komiteens server og forsøkt å blande seg inn i det amerikanske valget. Strukturen ble funnet å inkludere GRU-personell som tjenestegjorde i militære enheter 26165 og 74455. GRU-offiser Sergei Morgatsjev er også blant de 12 siktede.
En melding fra Apple ble funnet under Morgatsjevs e-post: mor_s@mail.ru. Meldingen fra 2018 informerte ham om en forespørsel fra FBI om hans kontoinformasjon relatert til etterlysningen.
Hacktivistene hentet mange interessante detaljer fra Morgatsjevs e-poster. Både om hans privatliv og om hans nåværende bosted og stilling for 2023.
Databruddet gjorde det også mulig å få tilgang til Morgatsjevs personlige dokumenter og informasjon om personer tilknyttet ham.
Sergei Alexandrovitsj Morgatsjev ble født 22. mai 1977 i Kyiv, Ukraina. Fra 1994 til 1999 studerte han ved FSB-akademiet i Moskva. Han tjenestegjorde i militær enhet 26165 mellom 1999 og 2022.
GRU-offiser Morgatsjev er statsborger i Russland og innehaver av pass 4622 608349 utstedt 12. juli 2022 av Russlands innenriksdepartement, Moskva-regionen. Han er registrert på følgende adresse: Pr Dekabristov, bygning 6/8, leilighet 249, Korolev, Moskva-regionen.
Sergei Morgatsjev eier en Toyota RAV4 med registreringsnummer P778CB750. Han har førerkort med nummer 9902 449278.
Eierskap til leiligheten
Fra en melding datert 29. juni 2020 kunne vi også bekrefte Morgatsjevs nåværende bolig (PDF).
Arbeidsdokument
Ifølge en skannet kopi av Morgatsjevs “form-4” funnet i posten hans (fylt ut for vurdering av tilgang til statshemmeligheter), tjenestegjorde han i den nevnte militære enheten 26165 fra august 1999 til august 2022. Etter det ble han overført til en annen avdeling som nestleder i militærenhet 26165 Fra august 2022 til i dag har han stillingen som “programmeringsingeniør av første kategori” ved Spesialteknologisenteret. “Form-4” indikerer også den faktiske adressen til hans nåværende arbeidsplass: Ul. Gzjatskaja 21/53, St. Petersburg, Russland.
Spesialteknologisenter (arkiv) spiller en viktig rolle i å sikre Russlands krig mot Ukraina. Ifølge Ukrainas nasjonale anti-korrupsjonsbyrå er det allerede ilagt sanksjoner mot denne organisasjonen av USA, Storbritannia, Canada, Sveits, Japan, EU-land og Ukraina. At Morgatsjev tjenestegjør i selskapet bekreftes også av hans korrespondanse med personalavdelingen.
Blant dokumentene som er innhentet er en fersk medisinsk rapport datert 13. desember 2022, som kreves for at sikkerhetsklarering vedrørende tilgang til statshemmeligheter skal kunne gjennomføres.
Skjemaet inneholder også informasjon om stillingen og detaljer om Morgatsjevs aktiviteter mens han tjenestegjorde i det russiske forsvarsdepartementet, samt ønsket lønn som han ønsker å motta i sin nye stilling.
Sergei Morgatsjevs CV
GRU-offiserens CV ble utarbeidet 5. august 2022, rett før overgang til ny arbeidsplass. I CV-en hans er det bemerket at han fra 1999 til i dag tjenestegjorde i en militærenhet, hvor han ledet den spesielle programvareutviklingsavdelingen. Morgatsjevs oppgaver omfattet blant annet personalrekruttering og kontroll av avdelingens arbeid, fordeling av oppgaver og samarbeid med andre enheter. CV-en bekrefter indirekte at denne GRU-offiseren ledet en gruppe militære GRU-hackere. Interessant nok indikerte han på CV-en at han ikke var villig til å flytte, men ville være villig til å reise på forretningsreise hvis de ikke var hyppige.
Ifølge lønnsspesifikasjoner var Morgatsjevs månedslønn ved utgangen av 2022 mellom 250 000 og 300 000 rubler.
Hacket på den russiske tjenesteportalen
Ved å få tilgang til Morgatsjevs personlige konto på den russiske statstjenesteportalen, bekreftet hacktivistene også informasjonen som tidligere ble innhentet fra dokumentskanning, samt adressene til hans nåværende arbeidssted og bostedsadresse.
Morgatsjev har vært gift med Ekaterina Viktorovna Morgatsjeva siden 22. juli 1988. Paret har to mindreårige barn.
Bildet viser Ekaterina Morgatsjeva og GRU-offiser Sergei Morgatsjev.
Generelt er det mye interessant og variert informasjon i Morgatsjevs korrespondanse, fra ferie- og bursdagsbilder med kolleger til teknisk dokumentasjon.
Cobalt Strike 4.0
Noen av de relativt nye tekniske dokumentene som finnes i Morgatsjevs e-poster inkluderer filer med oppdateringsnotater for Cobalt Strike, en plattform som brukes av hackere for nettangrep:
En dessert skal serveres kjølt
Før vi avslutter denne artikkelen, er det viktig å nevne den første kontakten mellom InformNapalm og Fancy Bear.
I den første uken etter invasjonen av Ukraina 2. mars 2022 publiserte Reuters cybersikkerhetsjournalist Raphael Satter en serie tweets. Disse inkluderte en interessant rapport om hvordan et massivt angrep fra russiske APT 28-hackere ble avslørt takket være en nettstedsadministrator hos InformNapalm som delte et trusselvarsel i april 2015.
The story starts with @oxana_tinko of @InformNapalm, an OSINT-focused group created in the aftermath of Russia’s 2014 intervention in Crimea and eastern Ukraine.
— Raphael Satter (@razhael) March 2, 2022.
I 2015 og 2016 sendte russiske hackere fra APT 28 flere phishing-e-poster til administratorer på InformNapalms nettsted. Men som deres egen statistikk viser, ble ikke en eneste Bitly-lenke åpnet. Disse mislykkede forsøkene på å angripe InformNapalm førte imidlertid til oppdagelsen av flere nettverk og angrep fra russiske hackere. Det mest høyprofilerte av disse angrepene var hackingen av Den demokratiske nasjonale komiteens epostserver og forsøket på å blande seg inn i det amerikanske valget i 2016.
En symbolsk handling av moralsk degradering
I mars 2023 ble lederen av denne russiske hackergruppen, oberstløytnant Sergei Morgatsjev, selv hacket av ukrainske hacktivister. De utførte en symbolsk handling av moralsk degradering etter å ha brutt seg inn i hans personlige korrespondanse.
Først fikk hacktivistene tilgang til hans anonyme sosiale mediekontoer og la ut skanninger av passet hans der. Bildet nedenfor viser et skjermbilde av Twitter-kontoen hans tatt etter hacket.
Etter å ha fått tilgang til Morgatsjevs AliExpress-konto, bestilte hacktivistene flere dusin forskjellige gjenstander til adressen knyttet til kontoen hans, inkludert suvenirer med en FBI-logo (som han er ettersøkt av). De bestilte også en stor sending voksenleketøy, som de betalte for med debetkortet hans.
Ettersom Morgatsjev er etterlyst av FBI, mottar han ordrebekreftelser fra sin AliExpress-konto i konas navn.
Bildet ovenfor viser en av de siste e-postene som indikerer at en av hans siste AliExpress-bestillinger gjort i mars allerede er på vei til et kjøpesenter på ul. Stroitelej 15 i byen Korolev.
Dette bekrefter også at Morgatsjev faktisk bor på adressen som er oppført i dokumentene. Avstanden fra hans bolig til postleveringskontoret hvor han mottar forsendelser fra AliExpress er bare 140 meter.
Det nedlastede e-postmaterialet
Ukrainske hacktivister fra gruppen Cyber Resistance har sendt inn en komplett e-postdump av Morgatsjevs korrespondanse og personlige filer for publisering. Begrunnelsen er at alle interesserte parter, fra FBI til journalister, eksperter og offentligheten, bør ha mulighet til uavhengig å undersøke fakta som presenteres i denne publikasjonen. Ytterligere informasjon som kan være nyttig for videre undersøkelser, for eksempel lenker til e-postdumpen, vil bli publisert i nær fremtid.
InformNapalm takker hacktivistene fra Cyber Resistance for den eksklusive muligheten til å delta i denne etterforskningen og publisere denne historien. Alle lesere oppfordres til å besøke vår Telegram-kanal hvor vi publiserer mer informasjon enn på nettsiden.
Andre artikler av InformNapalm
- Datalekkasje hos nestlederen for opprørspolitiet OMON i Krasnojarsk
- Hacking av en russisk krigsforbryter fra det 960. jagerflyregimentet
- Forventet levetid for mobiliserte russere
Distribusjon og opptrykk med henvisning til kilden er velkommen! Creative Commons – Attribution 4.0 International – CC BY 4.0. Følg oss på Facebook og Twitter. Les mer om hvordan Du støtter InformNapalm.