«Клоун» из ГРУ. Кто взломал почту Ангелы Меркель

Сегодня немецкие СМИ сообщили о том, что прокуратура Германии выписала ордер на арест главного подозреваемого в кибератаке на немецкий Бундестаг, в ходе которого хакеры из группы APT28 (Fancy Bear/Pawn Storm) получили доступ к почте депутатов и парламентского офиса Ангелы Меркель. Главным подозреваемым оказался россиянин Дмитрий Бадин, которого уже ранее уже объявляло в розыск ФБР за взлом серверов Демпартии США. The Insider и Bellingcat удалось не только подтвердить причастность Бадина к ГРУ, но и его личную причастность к созданию вредоносного кода, используемого практически во всех атаках ГРУшных хакеров. 

 

Взлом Бундестага

В апреле 2015 года депутаты Бундестага и сотрудники их офисов получили письмо, якобы отправленное из ООН (в видимой части письма значился адрес, заканчивающийся на @un.org). Темой письма значилось «Конфликт Украины с Россией разрушил ее экономику». В письме содержался вредоносный код, который загружался на компьютер, воровал пароли и распространялся по внутренней сети. Вирус поразил всю IT-инфраструктуру Бундестага и сделал его сервисы недоступными. Примерно 16 ГБ данных было скачено хакерами — документы и письма депутатов и их офисов. По данным Der Spiegel, документы офиса Ангелы Меркель также утекли к хакерам. Уже тогда организациям, работающим в области кибер-безопасности, стало известно, что атака была произведена российской группировкой APT28 — также известной как Fancy Bear и Pawn Storm. В 2017 году The Insider удалось доказать, что эта группировка состоит из сотрудников ГРУ. Через год эти данные подтвердил Минюст США, официально выдвинув обвинения в ряд группы хакеров, среди которых был и Дмитрий Бадин.

Среди других целей этой группировки хакеров из ГРУ были Белый дом (и ряд других целей в США), МИД Чехии, Польши, Германии, Италии, Латвии, Эстонии, Украины, Норвегии, Нидерландов и других стран, Минобороны Дании, Италии и Германии, Бундестаг, НАТО, ОБСЕ, МОК, WADA, JIT, ряд редакций иностранных СМИ (в том числе TV5Monde и Аль-Джазира). Эта же группа хакеров атаковала десятки российских оппозиционеров и членов НКО и журналистов (в том числе и сотрудников The Insider, что независимо друг от друга подтвердили четыре компании, работающие в области информационной безопасности).

 

Кто такой Дмитрий Бадин?

Согласно немецким СМИ, прокуратура Германии считает ключевой фигурой, стоявшей за атакой на Бундестаг, именно Дмитрия Бадина, сотрудника войсковой части 26165 — той самой части, которая засветилась в расследовании The Insider еще в 2015 году. Почему именно его — не объясняется. ФБР, ранее объявившая Бадина в розыск, также называет его сотрудником войсковой части 26165. Кроме того, ФБР уточняет, что Бадин родился в Курске 15 ноября 1990 года.

«Клоун» из ГРУ. Кто взломал почту Ангелы Меркель

 

 

 

The Insider и Bellingcat удалось подтвердить эту информацию. Во-первых, в социальной сети «ВКонтакте» нам удалось обнаружить аккаунт его жены с его фотографиями:

«Клоун» из ГРУ. Кто взломал почту Ангелы Меркель

Во-вторых, в данных по регистрации автомобилей, которые можно найти в сети, есть сведения о Дмитрии Сергеевиче Бадине, родившемся 15 ноября 1990 года, который приобрел в июне 2018 года автомобиль KIA PS. В этой же базе есть и данные его паспорта, выпущенного в Санкт-Петербурге, и адрес его регистрации. Как минимум до июня 2018 года Бадин был зарегистрирован по адресу Комсомольский проспект, 20 — это адрес той самой войсковой части 26165.

«Клоун» из ГРУ. Кто взломал почту Ангелы Меркель

 

 

 

Scaramouche, Scaramoush!

Изучив информацию об автомобиле Бадина, через сервис Avinfo мы обнаружили, что он постоянно паркуется рядом с общежитием Военной академии, располагающейся по адресу Большая Пироговская 51. Он также использовал при парковке два своих мобильных телефона, один из которых привязан к приложению Viber, зарегистрированному под именем Gregor Eisenhorn (персонаж компьютерной игры Warhammer 40,000), а второй  появляется в приложениях и под его настоящим именем и под ником «Никола Тесла».

«Клоун» из ГРУ. Кто взломал почту Ангелы Меркель

Также один из номеров привязан к ныне удаленному аккаунту «ВКонтакте», который в разное время существовал под именами «Дмитрий Макаров», Никола Тесла, а еще раньше — Scaramouche. Причем ник Scaramouche Бадин имел во «Вконтакте», когда еще проживал в Курске, то есть до 2014 года, когда он переехал в Петербург.

«Клоун» из ГРУ. Кто взломал почту Ангелы Меркель

 

 

 

Также один из мобильных телефонов Бадина привязан к скайп-аккаунту Scaramoush777. Изначально Скарамуш или Скарамучча — это клоун из итальянских комедий 16 века, но в России это слово более известно из песни Queen «Богемская рапсодия». Эта кличка хорошо известна охотникам за российскими хакерами. В марте 2017 года компания SecureWorks опубликовала доклад об атаках APT28, где утверждается, что в коде программ, которые должны похищать пароли и делать скриншоты, обнаружен юзернейм Scaramouche. Эта программа использовалась в большом количестве атак APT28 начиная с взломов российских оппозиционеров и НКО, заканчивая Бундестагом и западными журналистами. Судя по тому, что ник «Скарамуш» использовался Бадиным еще до того, как он переехал на учебу в Петербург, этот юзернейм принадлежит лично ему, а значит лично он участвовал в создании этого вредонсного кода.

4.4kПерепосты
facebook sharing button 1.4k
vk sharing button
twitter sharing button 2.8k
odnoklassniki sharing button 6
livejournal sharing button 16
mailru sharing button
skype sharing button
whatsapp sharing button
telegram sharing button
Главная / Новости о фигурантах / «Клоун» из ГРУ. Кто взломал почту Ангелы Меркель