Ukrainska hacktivister från gruppen Cyber Resistance har hackat e-postmeddelanden från en GRU-officer, överstelöjtnant Sergei Alexandrovitj Morgatjev, och har exklusivt överlämnat materialet till InformNapalm för analys.
Morgatjev är officer vid underrättelsedirektoratet för den ryska generalstaben (GRU), ledare för den ryska hackergruppen APT 28, som består av officerare från GRU:s 85:e specialcenter, enhet 26165.
Hackergruppen APT 28 och GRU-officer Morgatjev
I den här artikeln avslöjar InformNapalm all relevant personlig information om denna FBI-eftersökta ryska GRU-officer. Vi kommer att avsluta den här artikeln med att berätta hur ledaren för denna ryska hackergrupp själv blev hackad av ukrainska hacktivister. De utförde en symbolisk handling av “moralisk förnedring” efter att ha brutit sig in i hans personliga korrespondens och ändrat en AliExpress-order.
APT 28, även allmänt känd som Fancy Bear, Pawn Storm, är en av de mest ökända ryska hackergrupperna. Gruppen anklagas för många cyberbrott runt om i världen. Denna struktur är direkt underordnad den ryska militära underrättelsetjänsten. Gruppen har genomfört ett flertal cyberattacker mot statliga och icke-statliga mål i USA, Tyskland, Italien, Lettland, Estland, Tjeckien, Polen, Norge, Nederländerna, Ukraina och andra länder.
GRU-officer efterlyst av FBI
I juli 2018 utfärdade det amerikanska justitiedepartementet ett formellt åtal mot 12 GRU-anställda för att ha hackat sig in på servrarna för Den demokratiska nationella kommittén och försökt att blanda sig i det amerikanska valet. Det konstaterades att strukturen inkluderade GRU-personal som tjänstgjorde i de militära enheterna 26165 och 74455. GRU-officer Sergei Morgatjev är också med bland de 12 åtalade.
Bland Morgatjevs mail (mor_s@mail.ru) hittades ett meddelande från Apple. Meddelandet som var daterat 2018 informerade honom om en begäran om hans kontodata från FBI i samband med hans efterlysning.
Hacktivisterna hämtade många intressanta detaljer från Morgatjevs e-postmeddelanden. Både om hans personliga liv och hans nuvarande bostadsort och tjänst för 2023.
Dataintrånget gjorde det också möjligt att få tillgång till Morgatjevs personliga dokument och data om personer associerade med honom.
Sergei Alexandrovitj Morgatjev föddes 22 maj 1977 i Kyiv, Ukraina. Från 1994 till 1999 studerade han vid FSB-akademin i Moskva. Mellan 1999 och 2022 tjänstgjorde han i militärenheten 26165.
Morgatjev är medborgare i Ryssland och innehavare av pass 4622 608349 utfärdat den 12 juli 2022 av Rysslands inrikesministerium, Moskva-regionen. Han är dessutom folkbokförd på följande adress: Pr. Dekabristov, byggnad 6/8, lägenhet 249, Korolev, Moskva-regionen.
Sergei Morgatjev har en Toyota RAV4 med registreringsnummer P778CB750. Han har ett körkort med nummer 9902 449278.
Lagfart för lägenheten
Från ett meddelande daterat den 29 juni 2020 kunde vi också bekräfta Morgatjevs nuvarande bostadsort (PDF).
Personalhandlingar
Enligt en skannad kopia av Morgatjevs “formulär-4” som hittades i hans post (ifylld för bedömning av tillgång till statshemligheter), tjänstgjorde han i den ovan nämnda militära enheten 26165 från augusti 1999 till augusti 2022. Därefter förflyttades han till en annan avdelning som biträdande avdelningschef i militär enhet 26165. Från augusti 2022 till idag innehar han tjänsten som “första kategorins programmeringsingenjör” vid Specialteknologiskt Centrum. “Formulär-4” anger också den faktiska adressen till hans nuvarande arbetsplats: Ul. Gzjatskaja 21/53, Sankt Petersburg, Ryssland.
Specialteknologiskt Centrum (arkiv) spelar en viktig roll för att säkerställa Rysslands krig mot Ukraina. Enligt den officiella webbplatsen för Ukrainas nationella organ för förebyggande av korruption har sanktioner redan införts mot denna organisation av USA, Storbritannien, Kanada, Schweiz, Japan, EU-länder och Ukraina. Det faktum att Morgatjev tjänstgör i företaget bekräftas också av hans korrespondens med personalavdelningen.
Bland de inhämtade dokumenten finns ett färskt läkarintyg daterat den 13 december 2022, som behövs för säkerhetsprövning för arbete med statshemligheter.
Formuläret innehåller också information om ställningen och detaljerna för hans verksamhet när han tjänstgjorde vid det ryska försvarsministeriet, samt den önskade lönen som Morgatjev skulle vilja få på sin nya tjänstgöringsort.
Sergei Morgatjevs CV
GRU-officerens CV sammanställdes den 5 augusti 2022, strax före övergången till en ny arbetsplats. I hans CV noteras att han från 1999 till idag har tjänstgjort i en militär enhet där han ledde den särskilda avdelningen för mjukvaruutveckling. I Morgatjevs arbetsuppgifter ingick personalrekrytering och kontroll av avdelningens arbete, fördelning av uppgifter och samarbete med andra enheter. CV:t bekräftar indirekt att denne GRU-officer ledde en grupp militära GRU-hackare. Intressant nog angav han på sitt CV att han inte var beredd att flytta, men skulle vara villig att göra tjänsteresor om de inte var frekventa.
Enligt en inkomstredovisning var Morgatjevs månadslön i slutet av 2022 mellan 250 000 och 300 000 rubel.
Hackad på den ryska statliga serviceportalen
Genom att få tillgång till Morgatjevs personliga konto på den ryska statliga tjänsteportalen bekräftade hacktivisterna också de uppgifter som tidigare erhållits från dokumentskanningar, samt adresserna till hans nuvarande tjänstgöringsort och bostadsadress.
Morgatjev är gift med Jekaterina Viktorovna Morgatjeva sedan 22 juli 1988. Paret har två minderåriga barn.
Bilden visar Jekaterina Morgatjeva och GRU-officer Sergei Morgatjev.
I allmänhet finns det mycket intressant och varierad information i Morgatjevs korrespondens, från semester- och födelsedagsbilder med kollegor till teknisk dokumentation.
Cobalt Strike 4.0
Några av de relativt nya tekniska dokumenten som hittats i Morgatjevs e-postmeddelanden inkluderar filer med patch-anteckningar för Cobalt Strike, en plattform som används av hackare för cyberattacker:
En efterrätt ska serveras kall
Innan vi avrundar den här artikeln är det värt att nämna det första mötet mellan InformNapalm och Fancy Bear.
Under den första veckan efter Rysslands fullskaliga invasion av Ukraina den 2 mars 2022, publicerade Reuters cybersäkerhetsjournalist Raphael Satter en serie tweets. Dessa innehöll en intressant redogörelse för hur en massiv attack av ryska hackare från APT 28 avslöjades tack vare en administratör på InformNapalms webbplats, som i april 2015 delade en varning om ett hot.
The story starts with @oxana_tinko of @InformNapalm, an OSINT-focused group created in the aftermath of Russia’s 2014 intervention in Crimea and eastern Ukraine.
— Raphael Satter (@razhael) March 2, 2022.
Under 2015 och 2016 skickade ryska hackare från APT 28 flera nätfiskemeddelanden till administratörer av InformNapalms webbplats. Men, som framgår av deras egen statistik, öppnades inte en enda Bitly-länk. Dessa misslyckade försök att attackera InformNapalm ledde dock till upptäckten av flera nätverk och attacker från ryska hackare. Den mest uppmärksammade av dessa attacker var hackningen av den demokratiska nationella kommitténs e-postserver och försöket att ingripa i det amerikanska valet 2016.
En symbolisk handling av moralisk förnedring
I mars 2023 blev ledaren för denna ryska hackergrupp, överstelöjtnant Sergei Morgatjev, själv hackad av ukrainska hacktivister. De utförde en symbolisk handling av moralisk förnedring efter att ha brutit sig in i hans personliga korrespondens.
Först fick hacktivisterna tillgång till hans anonyma sociala mediekonton och lade upp skanningar av hans pass där. Här är till exempel en skärmdump av hans Twitter-konto gjord efter hackningen.
Efter att även ha fått tillgång till Morgatjevs AlịExpress-konto beställde hacktivisterna flera dussin olika föremål till adressen kopplad till hans konto, inklusive souvenirer med en FBI-logotyp (av vilken han eftersöks), samt en stor sändning vuxenleksaker, som de betalade för med hans betalkort.
Eftersom Morgatjev är efterlyst av FBI, får han orderbekräftelser från sitt AlịExpress-konto i sin frus namn.
Bilden ovan visar ett av de senaste e-postmeddelandena som indikerar att en av hans senaste AliExpress-beställningar som gjordes i mars redan är på väg till ett köpcentrum på ul. Stroitelej 15 i staden Korolev.
Detta bekräftar också att Morgatjev faktiskt bor på den registreringsadress som anges i dokumenten. Avståndet från hans bostad till postkontoret där han tar emot försändelser från AliExpress är bara 140 meter.
Den hämtade e-postdumpen
Ukrainska hacktivister från gruppen Cyber Resistance har lämnat in en fullständig e-postdump av Morgatjevs korrespondens och personliga filer för publicering. Anledningen är att alla berörda parter, från FBI till journalister, experter och allmänheten, bör ha möjlighet att självständigt undersöka fakta som anges i denna publikation. Ytterligare information som kan vara användbar för vidare utredning, såsom länkar till e-postdumpen, kommer att offentliggöras inom en snar framtid.
InformNapalm tackar hacktivisterna på Cyber Resistance för den exklusiva möjligheten att samarbeta i denna utredning och göra den här historien offentlig. Vi inbjuder läsare att prenumerera på vår Telegram-kanal, där vi publicerar mycket mer information än vad som publiceras på InformNapalms webbplats.
Ytterligare artiklar av InformNapalm
- Europadomstolen tar ett beslut som påskyndar en process mot Ryssland
- Kreml börjar dela ut tapperhetsmedaljer till rysk kanonföda
- Förväntad livslängd för en mobiliserad ryss
Distribution och eftertryck med hänvisning till källan välkomnas! Creative Commons – Attribution 4.0 International – CC BY 4.0. Följ oss på Facebook och Twitter.
InformNapalm har inget ekonomiskt stöd från någon regering eller sponsor. Våra enda sponsorer är individuella volontärer och läsare. Du kan också stödja InformNapalm genom att göra månatliga minidonationer genom Buymeacoffee.