Злам офіцера ГРУ РФ, куратора хакерського угруповання APT 28, якого розшукує ФБР 10.04.2023 14:01 Укрінформ Українські хактивісти команди “Кібер Спротив” зламали електронну пошту підполковника Моргачева Сергія Олександровича
Офіцера російського Головного розвідувального управління (ГУ ГШ ЗС РФ), куратора російського хакерського угруповання APT 28, що складається з офіцерів 85-го головного центру спеціальної служби ГРУ, в/ч 26165. Дампи його приватних листувань хактивісти ексклюзивно надали для аналізу волонтерам міжнародної розвідувальної спільноти InformNapalm.
В цій статті ми розкриємо всю актуальну персональну інформацію цього російського офіцера та хакера, якого розшукує ФБР. Наприкінці публікації розповімо, як українські хактивісти креативно покарали російського хакера методом “морального приниження” через замовлення на AlịExpress.
APT 28 та підполковник Моргачев
APT 28 (інші поширені назви – Fancy Bear, Pawn Storm) – це одна з найвідоміших російських хакерських груп, яку звинувачують у багатьох кіберзлочинах по всьому світу. Ця структура прямо підпорядкована російській воєнній розвідці. Вона влаштовувала численні кібератаки, спрямовані на урядові та неурядові об’єкти в США, Німеччині, Італії, Латвії, Естонії, Чехії, Польщі, Норвегії, Нідерландах, Україні та інших країнах. В липні 2018 року Мін’юст США опублікував офіційне обвинувачення на адресу 12 співробітників ГРУ, яких звинувачують у зламі серверів Демократичної партії США та спробі втручання в американські вибори. Встановлено, що до цієї структури входять співробітники ГРУ, що проходять службу у військових частинах №26165 і №74455. Серед 12 прізвищ, вказаних в обвинуваченні, фігурує також підполковник Сергій Моргачев.
До слова, на пошті Моргачева [email protected] знайдено лист від компанії Apple за 2018 рік, в якому його інформують про запит даних його акаунту, що надійшов від Федерального бюро розслідувань США, у зв’язку з оголошенням його у розшук.
Завдяки зламу хактивістами його електронної пошти, вдалося дізнатись багато цікавих подробиць як про особисте життя Моргачева, так і про його поточне місце проживання та служби у 2023 році.
Також вдалося отримати чисельні фото зі сканами особистих документів Моргачева та пов’язаних з ним осіб.
Моргачев Сергій Олександрович (рос. Моргачев Сергей Александрович), народився 22.05.1977 в м.Київ, Україна. З 1994 по 1999 рік навчався в Академії ФСБ у Москві. З 1999 по 2022-й проходив службу у в/ч 26165. Про його актуальне місце служби в 2023 році – читайте далі в статті.
Громадянин Російської Федерації. Новий паспорт: 4622 608349, виданий ГУМВД РФ по Московській області 12.07.2022. Прописаний і проживає за адресою: Московська область, м. Корольов, вул. Декабристів, буд. 6/8, кв. 249.
Має авто Toyota RAV4, державний номер: Р778CB750, посвідчення водія: 9902 449278.
Документи на квартиру
З листа за 29.06.2020 вдалося також підтвердити місце проживання Моргачева, зазирнути в документи щодо придбання ним квартири.
- Технічний паспорт квартири (PDF)
Анкета
Відповідно до даних знайденої в пошті Сергія Моргачева скан-копії анкети “Форма 4“, яка заповнюється для допуску до державної таємниці, з серпня 1999 по серпень 2022 року він проходив службу у вищезгаданій в/ч 26165. Перед переведенням на інше місце служби він обіймав посаду “Заступник начальника Управління – Начальник відділу в/ч 26165“. З серпня 2022 року по теперішній час він перебуває на посаді “Інженер-програміст 1 категорії” в ТОО “СПЕЦИАЛЬНЫЙ ТЕХНОЛОГИЧЕСКИЙ ЦЕНТР”. В анкеті вказана також фактична адреса місця служби: м.Санкт-Петербург, вул. Гжатська, буд. 21, кв. 53.
ТОВ “СПЕЦІАЛЬНИЙ ТЕХНОЛОГІЧНИЙ ЦЕНТР” (СТЦ) (архів) – це підприємство, яке відіграє важливу роль у забезпеченні збройної агресії РФ проти України. За даними офіційного сайту НАЗК України, на цю організацію вже накладені санкції США, Великої Британії, Канади, Швейцарії, Японії, країн ЄС та України.
Те, що Моргачев проходить службу в СТЦ підтверджує і його листування з відділом кадрів.
Серед документів Моргачева – свіжа (від 13 грудня 2022 року) медична довідка щодо відсутності протипоказань для роботи з документами, що містять державну таємницю.
Також серед файлів анкетування знайдені відомості про посаду та специфіку діяльності під час проходження служби в МО РФ, а також вказана бажана сума зарплатні, яку Моргачев бажав отримувати на новому місці служби.
Резюме Сергія Моргачева, складене 5 серпня 2022 року напередодні переходу на нове місце служби. В резюме він зазначив, що з 1999 по поточний час проходив службу у військовій частині МО РФ. Керував відділом розробки спеціального програмного забезпечення. В його обов’язки входив: підбір та контроль роботи особового складу відділу, розподілення задач, взаємодія з іншими підрозділами. (Тобто резюме опосередковано підтверджує, що Моргачев керував групою військових хакерів у складі ГРУ). Цікаво, що він вказав у резюме, що “не готовий до переїзду“, але готовий до відряджень, якщо вони будуть не дуже частими.
Згідно із випискою про доходи, зарплатня Моргачева наприкінці 2022 року становила 250-300 тисяч рублів на місяць.
Злам особистого кабінету на сайті Державних послуг РФ
Завдяки отриманню доступу до особистого кабінету Сергія Моргачева на сайті державних послуг РФ хактивістам вдалося також уточнити дані, раніше отримані зі скан-копій документів, та підтвердити поточне місце служби та адресу проживання фігуранта.
Родинний стан: одружений, має двох неповнолітніх дітей.
Дружина: Моргачева Катерина Вікторівна, 22.07.1988.
На фото: Моргачеви Катерина та Сергій.
Загалом в дампах листувань Моргачева досить багато цікавої різноманітної інформації: від фото відпочинку та днів народження колег, до технічної документації.
Cobalt Strike 4.0
З відносно свіжих технічних документів, які знайдені на пошті Моргачева, є файли з нотатками стосовно патчів для Cobalt Strike, платформи, що використовується, зокрема, хакерами для кібератак:
- Патч Cobalt Strike 4.0 (PDF)
- Патч Cobalt Strike 4.0 Stage X64 Bugs (PDF)
Помсту подають холодною, Або завершальний “Акт морального приниження”
Перш ніж перейти до завершальної частини статті, варто згадати передісторію: перше знайомство InformNapalm та Fancy Bear.
Ще не минув тиждень з часу повномасштабного вторгнення РФ в Україну, як 2 березня журналіст міжнародної агенції Associated Press Рафаель Саттер, який займається темами кібербезпеки, виклав на своєму акаунті у Twitter цілу гілку з твітів з цікавою розповіддю про те, як масштабна атака російських хакерів з угруповання APT 28 була викрита завдяки повідомленню про небезпеку, надісланому в квітні 2015 року волонтером-адміністратором сайту InformNapalm.
У 2015-2016 роках російські хакери з APT 28 неодноразово намагалися розсилати фішингові листи волонтерам-адміністраторам сайту міжнародної розвідувальної спільноти InformNapalm. Проте, як свідчать їх власні помітки в таблиці ведення статистики, жодне фішингове коротке посилання з Bitly не було відкрите. Проте ці невдалі спроби атакувати InformNapalm врешті призвели до розкриття масштабної мережі цілей та атак, на які були націлені російські хакери. Найбільш резонансною з цих атак був злам серверів Демократичної партії США та спроба втручання в американські вибори 2016 року.
Врешті, в березні 2023 року сам організатор цієї російської хакерської групи підполковник Сергій Моргачев був зламаний вже українськими хактивістами, які після отримання доступу до його особистих листувань здійснили символічний акт морального приниження.
Спочатку хактивісти зламали його анонімні акаунти в соцмережах і виклали там скан-копії його паспортів. Ось, до прикладу, скріншот з фіксацією його акаунту у твіттер після зламу.
Отримавши також доступ до акаунту Моргачева на AlịExpress, хактивісти замовили на його адресу, що була прив’язана до акаунту, декілька десятків одиниць різних товарів, серед яких сувеніри з логотипом ФБР (яке його розшукує), а також велику партію іграшок для дорослих, яку оплатили з його картки.
Враховуючи, що Сергій Моргачев у розшуку ФБР, то посилки з AlịExpress на свою пошту [email protected] він оформлює на ім’я дружини.
Ось один зі свіжих листів з пошти вказує на те, що одне з його нещодавніх замовлень на AlịExpress за березень, вже в дорозі та прямує на поштову адресу в торгівельному центрі м.Королев, вул.Строителей, 15.
Це також додатково підтверджує, що родина Моргачева мешкає за вказаною у документах адресою прописки у м.Королев, вул. Декабристів, буд. 6/8, кв. 249. Від його будинку до поштового відділення, з якого він отримує замовлення з AlịExpress, всього 140 метрів.
Дамп
Українські хактивісти команди “Кібер Спротив” передали повний дамп листувань та особистих файлів Моргачева для публікації, аби всі зацікавлені особи: від ФБР до журналістів, експертів та всіх чесних громадян могли самостійно ознайомитись з фактами, викладеними в публікації, та знайти іншу інформацію, що може бути корисною та перспективною для досліджень.
InformNapalm
Источник: www.ukrinform.ua
