Cyber Resistance grubundan Ukraynalı hacktivistler, bir GRU subayı olan Yarbay Sergey Aleksandroviç Morgaçev’in e-postalarını hacklediler ve materyali analiz için özel olarak İnformNapalm’a teslim ettiler.
Morgaçev, GRU’nun 85. Özel Merkezi, Birim 26165’ten memurlardan oluşan Rus hacker grubu APT 28’in lideri olan Rusya Genelkurmay İstihbarat Müdürlüğü’nün bir subayıdır.
Hacker grubu APT 28 ve GRU görevlisi Morgaçev
Bu makalede, İnformNapalm, FBI tarafından aranan bu Rus GRU subayı hakkındaki ilgili tüm kişisel bilgileri açıklamaktadır. Bu makaleyi, bu Rus hacker grubunun liderinin kendisinin Ukraynalı hacktivistler tarafından nasıl hacklendiğini anlatarak bitireceğiz. Kişisel yazışmalarına girip bir AliExpress siparişini değiştirdikten sonra sembolik bir degradasyon eylemi gerçekleştirdiler.
Yaygın olarak Fancy Bear, Pawn Storm olarak da bilinen APT 28, en ünlü Rus hacker gruplarından biridir. Grup, dünya çapında birçok siber suçla itham ediliyor. Bu yapı doğrudan Rus askeri istihbarat servisine bağlıdır. Grup, ABD, Almanya, İtalya, Letonya, Estonya, Çek Cumhuriyeti, Polonya, Norveç, Hollanda, Ukrayna ve diğer ülkelerde hükümet ve hükümet dışı hedeflere yönelik çok sayıda siber saldırı gerçekleştirdi.
FBI tarafından aranıyor
Temmuz 2018’de ABD Adalet Bakanlığı, 12 GRU çalışanı hakkında Demokratik Ulusal Komite sunucularına girmek ve ABD seçimlerine müdahale etmeye çalışmakla ilgili resmi bir iddianame yayınladı. Yapıda 26165 ve 74455 askeri birliklerinde görev yapan GRU personelinin de yer aldığı belirlendi. GRU subayı Sergey Morgaçev de suçlanan 12 kişi arasında yer alıyor.
Morgaçev’in postası (mor_s@mail.ru) arasında Apple’dan bir mesaj bulundu. 2018 tarihli mesaj, suç bağlantılı olarak FBI’dan hesap verilerinin talep edildiğini bildirdi.
Hacktivistler, Morgaçev’in e-postalarından birçok ilginç ayrıntı topladı. 2023 yılında hem kişisel hayatı hem de şu anki ikamet yeri ve işi hakkında.
Veri ihlali, Morgaçev’in kişisel belgelerine ve onunla bağlantılı kişilerin verilerine erişmeyi de mümkün kıldı.
Sergey Aleksandroviç Morgaçev, 22 Mayıs 1977’de Ukrayna’nın Kyiv kentinde doğdu. 1994’ten 1999’a kadar Moskova’daki FSB Akademisi’nde okudu. 1999-2022 yılları arasında 26165 askeri birliğinde görev yaptı.
Morgaçev, Rusya vatandaşı ve Moskova Bölgesi Rusya İçişleri Bakanlığı tarafından 12 Temmuz 2022 tarihinde verilen 4622 608349 numaralı pasaport sahibidir. Kayıtlı olduğu yer: Pr. Dekabristov, bina 6/8, daire 249, Korolev, Moskova bölgesi.
Sergey Morgaçev’in P778CB750 kayıt numaralı bir Toyota RAV4’ü var. 9902 449278 numaralı ehliyete sahiptir.
Daire için mülkiyet belgesi
29 Haziran 2020 tarihli bir mesajdan Morgaçev’in şu anki ikamet yerini de teyit edebildik (PDF).
Personel belgeleri
Postasında bulunan Morgaçev’in “form-4”ünün taranmış bir kopyasına göre (devlet sırlarına erişimin değerlendirilmesi için doldurulmuş), Ağustos 1999’dan Ağustos 2022’ye kadar yukarıda bahsedilen 26165 askeri birliğinde görev yaptı. Daha sonra 26165 askeri birliğinde bölüm başkan yardımcısı oldu. Ağustos 2022’den bugüne Özel Teknoloji Merkezi’nde “birinci kategori programlama mühendisi” görevini yürütmektedir. “Form-4” aynı zamanda mevcut işyerinin gerçek adresini de gösterir: Ul. Gjatskaya 21/53, Sankt Petersburg, Rusya.
Özel Teknoloji Merkezi (arşiv), Rusya’nın Ukrayna’ya karşı savaşını sağlamada önemli rol oynuyor. Ukrayna Ulusal Yolsuzlukla Mücadele Ajansı’nın resmi internet sitesine göre, bu kuruluşa ABD, İngiltere, Kanada, İsviçre, Japonya, AB ülkeleri ve Ukrayna tarafından şimdiden yaptırımlar uygulandı. Morgaçev’in şirkette hizmet verdiği, personel departmanıyla yaptığı yazışmalarla da doğrulandı.
Elde edilen belgeler arasında, devlet sırlarıyla çalışmak için güvenlik izni için gerekli olan 13 Aralık 2022 tarihli yeni bir sağlık raporu da yer alıyor.
Form ayrıca, Rusya Savunma Bakanlığı’nda görev yaparken yaptığı faaliyetlerin konumu ve ayrıntıları ile Morgaçev’in yeni görev istasyonunda almak istediği maaş hakkında bilgiler içerir.
Sergey Morgaçev’in özgeçmişi
Morgaçev’in özgeçmişi, 5 Ağustos 2022’de, yeni bir işyerine geçişten hemen önce derlendi. Özgeçmişinde, 1999’dan bu yana askeri bir birimde yazılım geliştirme özel departmanının başında görev yaptığı belirtiliyor. Morgaçev’in görevleri arasında personel alımı ve departmanın çalışmalarının kontrolü, görev dağılımı ve diğer birimlerle iş birliği yer alıyordu. Özgeçmiş dolaylı olarak, bu GRU memurunun bir grup askeri GRU korsanına liderlik ettiğini doğrular. İlginç bir şekilde, özgeçmişinde yer değiştirmeye hazır olmadığını, ancak sık olmasalar iş gezileri yapmaya istekli olacağını belirtmişti.
Bir maaş spesifikasyonuna göre Morgaçev’in 2022 sonundaki aylık maaşı 250.000 ila 300.000 ruble arasındaydı.
Morgaçev, Rus devlet hizmeti portalında hacklendi
Hacktivistler, Morgaçev’in Rus hükümeti hizmet portalındaki kişisel hesabına erişim sağladılar ve mevcut görevinin ve ikamet adresinin yanı sıra önceki belge taramalarından elde edilen bilgileri doğruladılar.
Morgaçev, 22 Temmuz 1988’den beri Yekaterina Viktorovna Morgaçeva ile evli. Çiftin iki küçük çocuğu var.
Fotoğrafta Yekaterina Morgaçeva ve GRU subayı Sergey Morgaçev görülüyor.
Genel olarak Morgaçev’in yazışmalarında, meslektaşlarıyla tatil ve doğum günü fotoğraflarından teknik belgelere kadar pek çok ilginç ve çeşitli bilgi var.
Cobalt Strike 4.0
Morgaçev’in e-postalarında bulunan nispeten yeni teknik belgelerden bazıları, bilgisayar korsanları tarafından siber saldırılar için kullanılan bir platform olan Cobalt Strike için yama notlarını içeren dosyaları içeriyor:
Tatlı soğuk servis edilmelidir
Bu makaleyi bitirmeden önce, İnformNapalm ile Fancy Bear arasındaki ilk temastan bahsetmekte fayda var.
Rusya’nın 2 Mart 2022’de Ukrayna’yı geniş çaplı işgalinden sonraki ilk haftada Reuters siber güvenlik muhabiri Rafael Sutter bir dizi tweet attı. Bunların arasında Nisan 2015’te ilginç bir rapor vardı. Rus APT 28’den bilgisayar korsanları tarafından yapılan büyük bir saldırı, tehdit hakkında bir uyarı paylaşan site yöneticisi İnformNapalm sayesinde önlendi.
The story starts with @oxana_tinko of @InformNapalm, an OSINT-focused group created in the aftermath of Russia’s 2014 intervention in Crimea and eastern Ukraine.
— Raphael Satter (@razhael) March 2, 2022.
2015 ve 2016’da APT 28’den Rus bilgisayar korsanları, İnformNapalm web sitesinin yöneticilerine birkaç kimlik avı e-postası gönderdi. Ancak, kendi istatistiklerinin gösterdiği gibi, tek bir Bitly bağlantısı açılmadı. Ancak, İnformNapalm’a yönelik bu başarısız saldırı girişimleri, çeşitli ağların keşfedilmesine ve Rus bilgisayar korsanlarının saldırılarına yol açtı. Bu saldırıların en yüksek profili, Demokratik Ulusal Komite’nin e-posta sunucusunun hacklenmesi ve 2016 ABD seçimlerine müdahale girişimiydi.
Sembolik bir ahlaki bozulma eylemi
Mart 2023’te, bu Rus hacker grubunun lideri Yarbay Sergey Morgaçev’in kendisi Ukraynalı bilgisayar korsanları tarafından saldırıya uğradı. Kişisel yazışmalarına girdikten sonra sembolik bir ahlaki aşağılama eylemi gerçekleştirdiler.
İlk olarak, bilgisayar korsanları onun anonim sosyal medya hesaplarına erişim sağladılar ve pasaportunun taramalarını orada yayınladılar. Örneğin, hack’ten sonra Twitter hesabının bir ekran görüntüsü burada.
Morgaçev’in AliExpress hesabına da erişim sağlayan bilgisayar korsanları, hesabına bağlı adrese FBI logolu hediyelik eşyalar ve büyük bir yetişkin oyuncakları sevkiyatı dahil olmak üzere birkaç düzine farklı öğe sipariş ettiler ve hepsini yarbayın kredi kartıyla ödedi.
Morgaçev, FBI tarafından arandığından, AliExpress hesabından eşinin adına sipariş onayları alır.
Yukarıdaki resim, mart ayında verdiği en son AliExpress siparişlerinden birinin Korolev şehrinde, ul Stroitelej 15 adresindeki bir alışveriş merkezine gitmekte olduğunu belirten en son e-postalardan birini gösteriyor.
Bu aynı zamanda Morgaçev’in aslında belgelerde belirtilen kayıt adresinde yaşadığını da doğrulamaktadır. Yaşadığı yer ile AliExpress’ten paket aldığı postane arasındaki mesafe sadece 140 metredir.
İndirilen e-posta dökümleri
Cyber Resistance grubundan Ukraynalı bilgisayar korsanları, Morgaçev’in yazışmalarının ve kişisel dosyalarının tüm e-posta dökümünü yayınlanmak üzere aktardı. Bunun nedeni, FBI’dan gazetecilere, uzmanlara ve kamuoyuna kadar ilgili tüm tarafların bu yayında ortaya konan gerçekleri bağımsız olarak araştırma fırsatına sahip olmaları gerektiğidir. E-posta dökümü bağlantıları gibi daha fazla araştırma için yararlı olabilecek ek bilgiler yakın gelecekte herkese açık hale getirilecektir.
İnformNapalm, Cyber Resistance grubuna bu araştırma üzerinde iş birliği yapma ve bu hikâyeyi herkese açık hale getirme fırsatı verdikleri için teşekkür eder. Okurları, İnformNapalm web sitesinde yayınlanandan çok daha fazla bilgi yayınladığımız Telegram kanalımıza abone olmaya davet ediyoruz.
İnformNapalm’dan diğer makaleleri okuyun
- Krasnoyarsk’taki OMON çevik kuvvet polisinin komutan yardımcısında veri ihlali
- Rusya Devlet Dumasının eski üyesi Semyon Bagdasarov’un hacklenmesi
- 960’ıncı Avcı Havacılık Alayından bir Rus savaş suçlusunun hacklenmesi
Kaynağa link atarak paylaşırsanız seviniriz! Creative Commons – Attribution 4.0 International – CC BY 4.0. Facebook, Twitter ve Telegram’da InformNapalm’ın sayfalarını takip edin. InformNapalm’a nasıl destek verebileceğiniz hakkında okuyun.