A equipa “hacktivista” ucraniana Cyber Resistance hackeou o e-mail do tenente-coronel Sergey Alexandrovich Morgachev, oficial do Diretório Principal de Inteligência Russa do Estado-Maior do Exército Russo (GRU), líder do grupo hacker russo APT 28, composto por oficiais do 85º Centro do Serviço Principal do GRU, unidade militar nº 26165. Depósitos da sua correspondência privada foram fornecidos exclusivamente pelos hacktivistas aos voluntários da Comunidade Internacional Voluntária de Informação InformNapalm para análise.
Neste artigo, divulgaremos todas as informações pessoais relevantes sobre esse oficial de inteligência russo procurado pelo FBI. Terminaremos com a história de uma criativa punição através de “humilhação moral” do hacker russo por hacktivistas ucranianos com um pedido no AlịExpress.
APT 28 e tenente-coronel Morgachev
APT 28 (também conhecido como Fancy Bear, Pawn Storm) é um dos mais notórios grupos de hackers russos acusados de muitos crimes cibernéticos em todo o mundo. Essa estrutura está directamente subordinada à agência de inteligência militar russa. O grupo realizou vários ataques cibernéticos contra alvos governamentais e não governamentais nos Estados Unidos, Alemanha, Itália, Letónia, Estónia, República Checa, Polónia, Noruega, Holanda, Ucrânia e outros países. Em Julho de 2018, o Departamento de Justiça dos EUA emitiu uma acusação formal de 12 funcionários do GRU por invadir os servidores do Comité Nacional Democrata (DNC) e tentar interferir nas eleições dos EUA. Constatou-se que a estrutura incluía o pessoal do GRU a servir nas unidades militares nº 26165 e nº 74455. Entre os 12 nomes mencionados na acusação, há uma entrada sobre o tenente-coronel Sergey Morgachev.
A propósito, no e-mail de Morgachev, encontrámos uma mensagem da Apple datada de 2018 informando-o sobre uma solicitação de dados da sua conta por parte do Federal Bureau of Investigation dos EUA ligado ao seu recém-adquirido estatuto de procurado.
Os hacktivistas recuperaram muitos detalhes interessantes dos e-mails de Morgachev, tanto sobre a sua vida pessoal como sobre o seu actual local de residência e serviço em 2023.
Conseguiram igualmente obter inúmeras imagens com digitalizações de documentos pessoais de Morgachev e pessoas associadas a este.
Sergey Aleksandrovich Morgachev nasceu em 22 de Maio de 1977 em Kyiv, na União Soviética, agora Ucrânia. De 1994 a 1999, estudou na Academia do FSB em Moscovo. De 1999 a 2022, serviu na unidade militar nº 26165. Leiam abaixo sobre o seu actual posto de serviço em 2023.
É um cidadão russo. Novo passaporte: nº 4622 608349, emitido a 12.07.2022 pelo Diretório Principal do Ministério de Assuntos Internos da Federação Russa no Oblast de Moscovo Registado e residente em: Rua Dekabristov, 6/8, ap. 249, cidade de Korolev, Oblast de Moscovo, Rússia.
Ele tem um carro Toyota RAV4, placa: Р778CB750, carta de condução: #9902 449278.
Documentos de título do apartamento
Através da mensagem datada de 29 de Junho de 2020, também pudemos confirmar o local de residência actual de Morgachev e examinar os documentos de aquisição do seu apartamento.
- Folha de especificações do apartamento (PDF)
Ficheiros pessoais
Segundo a cópia digitalizada do “Formulário 4” de Morgachev encontrada no seu correio (preenchido para receber autorização de segurança para segredos de estado), este serviu na unidade militar nº 26165 acima mencionada de Agosto de 1999 a Agosto de 2022. Antes de sua transferência para outro posto de serviço, ocupou o cargo de “Chefe Adjunto da Direcção – Chefe de Departamento na unidade militar nº 26165”. De Agosto de 2022 até o presente, trabalha como “Engenheiro de Programação de Categoria 1” no CENTRO ESPECIAL DE TECNOLOGIA RL (sociedade de responsabilidade limitada) [Rus.: ООО “СПЕЦИАЛЬНЫЙ ТЕХНОЛОГИЧЕСКИЙ ЦЕНТР”]. O questionário também indica o endereço real do seu posto de trabalho actual: Rua Gzhatskaya, 21, ap. 53, São Petersburgo, Rússia.
O CENTRO ESPECIAL DE TECNOLOGIA RL (arquivo) desempenha um papel importante no apoio à agressão armada da Federação Russa contra a Ucrânia. De acordo com o site oficial da Agência Nacional de Prevenção da Corrupção da Ucrânia), já foram impostas sanções a esta organização pelos Estados Unidos, Grã-Bretanha, Canadá, Suíça, Japão, países membros da UE e Ucrânia.
O facto de Morgachev estar a servir no CENTRO também é confirmado pela sua correspondência com o departamento de pessoal.
Entre os documentos recuperados, está um atestado médico recente (de 13 de Dezembro de 2022) necessário para que a credencial de segurança funcione com documentos sigilosos.
Os ficheiros do questionário também contêm informações sobre o cargo e as especificidades de suas actividades enquanto serviu no Ministério da Defesa da Rússia, bem como o salário desejado que Morgachev gostaria de receber no novo posto de serviço.
O currículo de Sergey Morgachev foi compilado a 5 de Agosto de 2022, na véspera da transferência para um novo posto de serviço. No seu currículo, este observou que, de 1999 até o presente, serviu numa unidade militar do Ministério da Defesa da Rússia. Geriu o departamento especial de desenvolvimento de software. As suas funções incluíam a seleção de pessoal e controle do trabalho do departamento, distribuição de tarefas, interacção com outras unidades. Ou seja, o CV confirma indirectamente que Morgachev liderava um grupo de hackers militares no GRU. Curiosamente, indicou no seu currículo que “não estava preparado para se mudar”, mas estaria disposto a fazer viagens de serviço se não fossem muito frequentes.
Segundo a declaração de rendimentos, o salário mensal de Morgachev no final de 2022 era de 250 a 300 mil rublos.
Invadir uma conta pessoal no portal de serviços do estado russo
Ao obter acesso à conta pessoal de Morgachev no portal de serviços do governo russo, os hacktivistas também confirmaram os dados obtidos anteriormente nas digitalizações de documentos, bem como os endereços do seu actual local de serviço e residência.
Estado civil: casado, com dois filhos menores.
Esposa: Yekaterina Viktorovna Morgacheva, 22 de Julho de 1988.
Fotografia: Yekaterina Morgacheva e Sergey Morgachev.
Em geral, há muitas informações interessantes e variadas nos depósitos de correspondência de Morgachev: desde fotografias de férias e aniversários com colegas até documentação técnica.
Cobalt Strike 4.0
Alguns dos documentos técnicos relativamente recentes encontrados no e-mail de Morgachev incluem ficheiros com notas sobre actualizações para o Cobalt Strike, uma plataforma usada por hackers para ataques cibernéticos:
”A vingança é um prato servido frio, ou o “acto final de humilhação moral”
Antes de encerrar este artigo, vale a pena mencionar a velha história do primeiro encontro da InformNapalm e do Fancy Bear.
Na primeira semana após a invasão em grande escala da Ucrânia pela Rússia, a 2 de Março de 2022, o jornalista de segurança cibernética da Reuters Raphael Satter publicou uns tweets com um relato interessante de como um ataque massivo de hackers russos do APT 28 foi exposto graças a um aviso de ameaça compartilhado em Abril de 2015 por um administrador voluntário do site InformNapalm.
The story starts with @oxana_tinko of @InformNapalm, an OSINT-focused group created in the aftermath of Russia’s 2014 intervention in Crimea and eastern Ukraine.
— Raphael Satter (@razhael) March 2, 2022
Em 2015 e 2016, hackers russos do APT 28 enviaram vários e-mails de phishing para os administradores voluntários do site InformNapalm. No entanto, como evidenciado pela sua própria tabela de estatísticas, nenhum link encurtado de phishing foi aberto. No entanto, essas tentativas mal sucedidas de atacar a InformNapalm levaram à descoberta de uma grande rede de alvos e ataques levados a cabo por hackers russos. O mais importante desses ataques foi a invasão do servidor de correio do Comité Nacional Democrata (DNC) e uma tentativa de interferir nas eleições de 2016 nos Estados Unidos.
Em Março de 2023, o líder desse grupo hacker russo, tenente-coronel Sergey Morgachev, foi ele próprio hackeado por hacktivistas ucranianos, que realizaram um acto simbólico de humilhação moral após invadir a sua correspondência pessoal.
Primeiro, os hacktivistas obtiveram acesso às suas contas anónimas nas redes sociais e publicaram digitalizações dos seus passaportes lá. Aqui, por exemplo, está uma captura de tela da sua conta no Twitter feita após o hack.
Tendo também obtido acesso à conta AlịExpress de Morgachev, os hacktivistas encomendaram várias dezenas de itens diferentes para o endereço vinculado à sua conta, incluindo lembranças com o logotipo do FBI (pelo qual ele é procurado), bem como uma grande remessa de brinquedos para adultos, que pagaram com o seu cartão.
Como Morgachev é procurado pelo FBI, este recebe encomendas da sua conta AlịExpress mor_s@mail.ru em nome de sua esposa.
Aqui está um dos novos e-mails do depósito de informação indicando que um dos seus pedidos recentes do AlịExpress feito em Março já está a caminho e está a ser enviado para o endereço postal num centro comercial na cidade de Korolev, na rua Stroiteley, 15.
Isso também confirma adicionalmente que a família de Morgachev realmente reside no endereço de registo indicado nos documentos: Rua Dekabristov 6/8, ap. 249, cidade de Korolev, Oblast de Moscovo, Rússia. A distância da sua casa até os correios onde recebe os pedidos da Alị Express é de apenas 140 metros.
Depósito completo da correspondência
Os hacktivistas ucranianos da equipa de resistência cibernética entregaram um depósito completo da correspondência e arquivos pessoais de Morgachev para publicação, para que todas as partes interessadas, do FBI a jornalistas, especialistas e membros do público, pudessem investigar de forma independente os factos apresentados nesta publicação, e encontrem outras informações que possam vir a ser úteis para futuras investigações (links para o depósito do e-mail serão adicionados num futuro próximo, juntamente com traduções do artigo noutros idiomas).
PS. Agradecemos aos nossos amigos hacktivistas da Cyber Resistance pela oportunidade exclusiva de trabalhar em conjunto nesta investigação e tornar esta história pública. Convidamos os leitores a inscreverem-se nos nossos canais de Telegram, onde publicamos muito mais informações do que no site InformNapalm
Ler mais publicações baseadas em dados de Cyber Resistance hacktivists
- Hacking a Russian war criminal, deputy commander of the OMON of the Krasnoyarsk Krai.
- Hackeo de un criminal de guerra ruso, comandante adjunto de la policía antidisturbios OMON de la región de Krasnoyarsk de Rusia
- Hacking a Russian war criminal, commander of 960th Assault Aviation Regiment.
- Hacking Russian Z-volunteer Mikhail Luchin who ordered sex toys for $25,000 instead of drones for the Russian army..
- BagdasarovLeaks: hacking ex-member of the Russian State Duma Semyon Bagdasarov. Iranian gambit.
- Hackeo del criminal de guerra ruso, co
No Responses to “Hackeado: oficial do GRU russo procurado pelo FBI, líder do grupo de hackers APT 28”