Logo

InformNapalm på norsk
Navigation

Hacking av en GRU-offiser etterlyst av FBI, leder av hackergruppen APT 28

By | on 2023-04-13 | 0 Comment | Nyheter | OSINT | Russland Print This Post Print This Post
GRU-offiser ettersøkt av FBI, leder av hackergruppen APT 28

Ukrainske hacktivister fra gruppen Cyber Resistance har hacket e-poster som tilhører en GRU-offiser, oberstløytnant Sergei Alexandrovitsj Morgatsjev, og har eksklusivt overlevert materialet til InformNapalm for analyse.

Morgatsjev er en GRU-offiser i den russiske generalstabens etterretningsdirektorat, lederen for den russiske hackergruppen APT 28, som består av offiserer fra GRUs 85. spesialsenter, militærenhet 26165.

Hackergruppen APT 28 og GRU-offiser Morgatsjev

I denne artikkelen avslører InformNapalm all relevant personlig informasjon om denne FBI-etterlyste russiske GRU-offiseren. Vi vil runde av denne artikkelen med å fortelle hvordan lederen av denne russiske hackergruppen selv ble hacket av ukrainske hacktivister. De utførte en symbolsk handling av “moralsk degradering” etter å ha brutt seg inn i hans personlige korrespondanse og endret en AliExpress-ordre.

APT 28, også kjent som Fancy Bear, Pawn Storm, er en av de mest beryktede russiske hackergruppene. Gruppen er anklaget for en rekke nettkriminalitet over hele verden. Denne strukturen er direkte underlagt den russiske militære etterretningstjenesten. Gruppen har utført en rekke cyberangrep mot statlige og ikke-statlige mål i USA, Tyskland, Italia, Latvia, Estland, Tsjekkia, Polen, Norge, Nederland, Ukraina og andre land.

GRU-offiser ettersøkt av FBI

I juli 2018 siktet det amerikanske justisdepartementet formelt 12 GRU-ansatte for å ha hacket den demokratiske nasjonale komiteens server og forsøkt å blande seg inn i det amerikanske valget. Strukturen ble funnet å inkludere GRU-personell som tjenestegjorde i militære enheter 26165 og 74455. GRU-offiser Sergei Morgatsjev er også blant de 12 siktede.

GRU-offiser Sergei Morgatsjev, ettersøkt av FBIEn melding fra Apple ble funnet under Morgatsjevs e-post: mor_s@mail.ru. Meldingen fra 2018 informerte ham om en forespørsel fra FBI om hans kontoinformasjon relatert til etterlysningen.

GRU-offiser Sergei Morgatsjev, ettersøkt av FBIHacktivistene hentet mange interessante detaljer fra Morgatsjevs e-poster. Både om hans privatliv og om hans nåværende bosted og stilling for 2023.

Databruddet gjorde det også mulig å få tilgang til Morgatsjevs personlige dokumenter og informasjon om personer tilknyttet ham.

GRU-offiser Sergei Alexandrovitsj MorgatsjevSergei Alexandrovitsj Morgatsjev ble født 22. mai 1977 i Kyiv, Ukraina. Fra 1994 til 1999 studerte han ved FSB-akademiet i Moskva. Han tjenestegjorde i militær enhet 26165 mellom 1999 og 2022.

GRU-offiser Morgatsjev er statsborger i Russland og innehaver av pass 4622 608349 utstedt 12. juli 2022 av Russlands innenriksdepartement, Moskva-regionen. Han er registrert på følgende adresse: Pr Dekabristov, bygning 6/8, leilighet 249, Korolev, Moskva-regionen.

GRU-offiser Sergei Alexandrovitsj MorgatsjevGRU-offiser Sergei Alexandrovitsj MorgatsjevSergei Morgatsjev eier en Toyota RAV4 med registreringsnummer P778CB750. Han har førerkort med nummer 9902 449278.

Sergei Morgatsjev har førerkort 9902 449278Sergei Morgatsjev eier en Toyota RAV4 med reg nr P778CB750

Eierskap til leiligheten

Fra en melding datert 29. juni 2020 kunne vi også bekrefte Morgatsjevs nåværende bolig (PDF).

Sergei Morgatjaevs bolig

Arbeidsdokument

Ifølge en skannet kopi av Morgatsjevs “form-4” funnet i posten hans (fylt ut for vurdering av tilgang til statshemmeligheter), tjenestegjorde han i den nevnte militære enheten 26165 fra august 1999 til august 2022. Etter det ble han overført til en annen avdeling som nestleder i militærenhet 26165 Fra august 2022 til i dag har han stillingen som “programmeringsingeniør av første kategori” ved Spesialteknologisenteret. “Form-4” indikerer også den faktiske adressen til hans nåværende arbeidsplass: Ul. Gzjatskaja 21/53, St. Petersburg, Russland.

GRU-offiser Sergei Morgatsjev, leder av hackergruppen APT 28Spesialteknologisenter (arkiv) spiller en viktig rolle i å sikre Russlands krig mot Ukraina. Ifølge Ukrainas nasjonale anti-korrupsjonsbyrå er det allerede ilagt sanksjoner mot denne organisasjonen av USA, Storbritannia, Canada, Sveits, Japan, EU-land og Ukraina. At Morgatsjev tjenestegjør i selskapet bekreftes også av hans korrespondanse med personalavdelingen.

GRU-offiser Sergei MorgatsjevGRU-offiser Sergei Morgatsjevs aktiviteter
Blant dokumentene som er innhentet er en fersk medisinsk rapport datert 13. desember 2022, som kreves for at sikkerhetsklarering vedrørende tilgang til statshemmeligheter skal kunne gjennomføres.

GRU-offiser Sergei Morgatsjevs aktiviteterSkjemaet inneholder også informasjon om stillingen og detaljer om Morgatsjevs aktiviteter mens han tjenestegjorde i det russiske forsvarsdepartementet, samt ønsket lønn som han ønsker å motta i sin nye stilling.

Sergei Morgatsjevs CV

GRU-offiserens CV ble utarbeidet 5. august 2022, rett før overgang til ny arbeidsplass. I CV-en hans er det bemerket at han fra 1999 til i dag tjenestegjorde i en militærenhet, hvor han ledet den spesielle programvareutviklingsavdelingen. Morgatsjevs oppgaver omfattet blant annet personalrekruttering og kontroll av avdelingens arbeid, fordeling av oppgaver og samarbeid med andre enheter. CV-en bekrefter indirekte at denne GRU-offiseren ledet en gruppe militære GRU-hackere. Interessant nok indikerte han på CV-en at han ikke var villig til å flytte, men ville være villig til å reise på forretningsreise hvis de ikke var hyppige.

GRU-offiser Sergei Morgatsjevs CVIfølge lønnsspesifikasjoner var Morgatsjevs månedslønn ved utgangen av 2022 mellom 250 000 og 300 000 rubler.

GRU-offiser Sergei Morgatsjevs lønnsspesifikasjon

Hacket på den russiske tjenesteportalen

Ved å få tilgang til Morgatsjevs personlige konto på den russiske statstjenesteportalen, bekreftet hacktivistene også informasjonen som tidligere ble innhentet fra dokumentskanning, samt adressene til hans nåværende arbeidssted og bostedsadresse.

GRU-offiser Sergei Morgatsjev hacket på den russiske tjenesteportalenGRU-offiser hacket på den russiske tjenesteportalenGRU-offiser hacket på den russiske tjenesteportalenGRU-offiser hacket på den russiske tjenesteportalenGRU-offiser hacket på den russiske tjenesteportalenMorgatsjev har vært gift med Ekaterina Viktorovna Morgatsjeva siden 22. juli 1988. Paret har to mindreårige barn.

Ekaterina Morgatsjeva og GRU-offiser Sergei MorgatsjevBildet viser Ekaterina Morgatsjeva og GRU-offiser Sergei Morgatsjev.

Generelt er det mye interessant og variert informasjon i Morgatsjevs korrespondanse, fra ferie- og bursdagsbilder med kolleger til teknisk dokumentasjon.

Cobalt Strike 4.0

Noen av de relativt nye tekniske dokumentene som finnes i Morgatsjevs e-poster inkluderer filer med oppdateringsnotater for Cobalt Strike, en plattform som brukes av hackere for nettangrep:

  • Patch Cobalt Strike 4.0 (PDF)
  • Patch Cobalt Strike 4.0 Stage X64 Bugs (PDF)

En dessert skal serveres kjølt

Før vi avslutter denne artikkelen, er det viktig å nevne den første kontakten mellom InformNapalm og Fancy Bear.

I den første uken etter invasjonen av Ukraina 2. mars 2022 publiserte Reuters cybersikkerhetsjournalist Raphael Satter en serie tweets. Disse inkluderte en interessant rapport om hvordan et massivt angrep fra russiske APT 28-hackere ble avslørt takket være en nettstedsadministrator hos InformNapalm som delte et trusselvarsel i april 2015.

I 2015 og 2016 sendte russiske hackere fra APT 28 flere phishing-e-poster til administratorer på InformNapalms nettsted. Men som deres egen statistikk viser, ble ikke en eneste Bitly-lenke åpnet. Disse mislykkede forsøkene på å angripe InformNapalm førte imidlertid til oppdagelsen av flere nettverk og angrep fra russiske hackere. Det mest høyprofilerte av disse angrepene var hackingen av Den demokratiske nasjonale komiteens epostserver og forsøket på å blande seg inn i det amerikanske valget i 2016.

En symbolsk handling av moralsk degradering

I mars 2023 ble lederen av denne russiske hackergruppen, oberstløytnant Sergei Morgatsjev, selv hacket av ukrainske hacktivister. De utførte en symbolsk handling av moralsk degradering etter å ha brutt seg inn i hans personlige korrespondanse.

Først fikk hacktivistene tilgang til hans anonyme sosiale mediekontoer og la ut skanninger av passet hans der. Bildet nedenfor viser et skjermbilde av Twitter-kontoen hans tatt etter hacket.

Skjermbilde av Sergei Morgatsjevs Twitter-konto
Etter å ha fått tilgang til Morgatsjevs AliExpress-konto, bestilte hacktivistene flere dusin forskjellige gjenstander til adressen knyttet til kontoen hans, inkludert suvenirer med en FBI-logo (som han er ettersøkt av). De bestilte også en stor sending voksenleketøy, som de betalte for med debetkortet hans.

GRU-offiser Sergei Morgatsjevs AliExpress-konto GRU-offiser Sergei Morgatsjevs AliExpress-konto
Ettersom Morgatsjev er etterlyst av FBI, mottar han ordrebekreftelser fra sin AliExpress-konto i konas navn.

AliExpress-bestilling AliExpress-bestillingBildet ovenfor viser en av de siste e-postene som indikerer at en av hans siste AliExpress-bestillinger gjort i mars allerede er på vei til et kjøpesenter på ul. Stroitelej 15 i byen Korolev.

AliExpress-bestillingDette bekrefter også at Morgatsjev faktisk bor på adressen som er oppført i dokumentene. Avstanden fra hans bolig til postleveringskontoret hvor han mottar forsendelser fra AliExpress er bare 140 meter.

Ul Stroitelej 15 i byen Korolev

Det nedlastede e-postmaterialet

Ukrainske hacktivister fra gruppen Cyber Resistance har sendt inn en komplett e-postdump av Morgatsjevs korrespondanse og personlige filer for publisering. Begrunnelsen er at alle interesserte parter, fra FBI til journalister, eksperter og offentligheten, bør ha mulighet til uavhengig å undersøke fakta som presenteres i denne publikasjonen. Ytterligere informasjon som kan være nyttig for videre undersøkelser, for eksempel lenker til e-postdumpen, vil bli publisert i nær fremtid.

InformNapalm takker hacktivistene fra Cyber Resistance for den eksklusive muligheten til å delta i denne etterforskningen og publisere denne historien. Alle lesere oppfordres til å besøke vår Telegram-kanal hvor vi publiserer mer informasjon enn på nettsiden.

Andre artikler av InformNapalm

InformNapalm på norskDistribusjon og opptrykk med henvisning til kilden er velkommen! Creative Commons – Attribution 4.0 International – CC BY 4.0. Følg oss på Facebook og Twitter. Les mer om hvordan Du støtter InformNapalm.

Tags:

Recent Posts

Related Posts

Comments are closed.
Denys Ivashyn
Database over russiske militære enheter som deltar i invasjonen i full skala

Donbas i flammer

Utforsk boken “Donbas i flammer – Veileder til konfliktområdet”, utgitt av Prometheus-senteret. Denne verdifulle ressursen henvender seg til forskere, forsvarseksperter, journalister, diplomater og alle som ønsker en dypere forståelse av krigen i Øst-Ukraina.

Last ned gratis PDF

Nyheter fra Ukraina på norsk

InformNapalm er en etablert nettressurs som publiserer samlede fakta om Russlands krig mot Ukraina, detaljer om de russiske okkupantene og nyheter om russisk hybridkrigføring. I tillegg til den innsamlede informasjonen, behandles også videoer, bilder, satellittbilder og sosiale medier. Våre insiderkilder bak fiendens linjer spiller en viktig rolle i vårt arbeid. InformNapalm-frivillige har utviklet en unik interaktiv database over russiske våpentyper og militære enheter involvert i kampene i Ukraina. En viktig del av virksomheten består også av faktasjekking, verifisering, overvåking av media og motarbeidelse av russisk desinformasjon. I tillegg informerer InformNapalm verden om det russiske regimets virkelige rolle i de pågående hybridkonfliktene i Georgia, Syria, og andre land i Øst- og Sentral-Europa og Midtøsten. Les mer om hvordan du støtter InformNapalm.

CC BY 4.0 - Alt innhold er lisensiert under Creative Commons 4.0 International License med mindre annet er angitt i artikkelen.

© 2014-2015. «InformNapalm». All Rights Reserved.