Украинские хактивисты команды Кибер Сопротивление взломали электронную почту подполковника Моргачева Сергея Александровича, офицера российского Главного разведывательного управления (ГУ ГШ ВС РФ), куратора российской хакерской группировки APT 28, состоящей из офицеров 85-го главного центра специальной службы ГРУ, в/ч 26165. Дампы его частных переписок хактивисты эксклюзивно предоставили для анализа волонтерам международного разведывательного сообщества InformNapalm.

В этой статье мы раскроем всю актуальную личную информацию относительно этого российского офицера и хакера, разыскиваемого ФБР. В конце публикации расскажем, как украинские хактивисты креативно наказали российского хакера методом «морального унижения» с помощью персонального заказа товаров на AlịExpress.

APT 28 и подполковник Моргачев

APT 28 (другие распространенные названия – Fancy Bear, Pawn Storm) – это одна из самых известных российских хакерских групп, обвиняемая во многих киберпреступлениях по всему миру. Эта структура прямо подчинена российской военной разведке. Она устраивала многочисленные кибератаки, направленные на правительственные и неправительственные объекты в США, Германии, Италии, Латвии, Эстонии, Чехии, Польше, Норвегии, Нидерландах, Украине и других странах. В июле 2018 года Минюст США опубликовал официальное обвинение в адрес 12 сотрудников ГРУ во изломе серверов Демократической партии США и попытке вмешательства в американские выборы. Установлено, что в эту структуру входят сотрудники ГРУ, проходящие службу в воинских частях №26165 и №74455. Среди 12 фамилий, указанных в обвинении, фигурирует также подполковник Сергей Моргачев.

К слову, на почте Моргачева [email protected] найдено письмо от компании Apple за 2018 год, в котором его информируют о запросе данных его аккаунта, поступившем от Федерального бюро расследований США, в связи с объявлением его в розыск.

Благодаря взлому хактивистами его электронной почты удалось узнать много интересных подробностей как о личной жизни Моргачева, так и о текущем месте жительства и службы в 2023 году.

Также удалось получить многочисленные фотографии со сканами личных документов Моргачева и связанных с ним лиц.

Моргачев Сергей Александрович, родился 22.05.1977 в г. Киев, Украина. С 1994 по 1999 год учился в Академии ФСБ в Москве. С 1999 по 2022 годы проходил службу в в/ч 26165. О текущем месте его службы в 2023 году читайте дальше в статье.

Гражданин Российской Федерации. Новый паспорт: 4622 608349, выдан ГУМВД РФ по Московской области 12.07.2022. Прописан и проживает по адресу: Московская область, г. Королев, ул. Декабристов, дом. 6/8, кв. 249.

Имеет автомобиль Toyota RAV4, государственный номер: Р778CB750, водительское удостоверение: 9902 449278.

Документы на квартиру

Из письма от 29.06.2020 удалось также подтвердить место жительства Моргачева и заглянуть в документы о приобретении им квартиры.

• Технический паспорт квартиры (PDF)

Анкета

Согласно данным найденной в почте Сергея Моргачева скан-копии анкеты «Форма 4», которая заполняется для допуска к государственной тайне, с августа 1999 по август 2022 он проходил службу в вышеупомянутой в/ч 26165. Перед переводом на другое место службы он занимал должность «Заместителя начальника Управления — начальника отдела в/ч 26165«. С августа 2022 года по настоящее время он занимает должность «Инженера-программиста 1 категории» в ООО «СПЕЦИАЛЬНЫЙ ТЕХНОЛОГИЧЕСКИЙ ЦЕНТР». В анкете указан также фактический адрес места службы: г. Санкт-Петербург, ул. Гжатская, дом. 21, кв. 53.

ООО «СПЕЦИАЛЬНЫЙ ТЕХНОЛОГИЧЕСКИЙ ЦЕНТР» (СТЦ) (архив) – это предприятие играет важную роль в обеспечении вооруженной агрессии РФ против Украины. По данным официального сайта НАЗК Украины на эту организацию уже наложены санкции США, Великобритании, Канады, Швейцарии, Японии, стран ЕС и Украины.

То, что Моргачев проходит службу в СТЦ подтверждает и его переписка с отделом кадров.

Среди документов Моргачева – свежая (от 13 декабря 2022) медицинская справка об отсутствии противопоказаний для работы с документами, содержащими государственную тайну.

Также среди файлов анкетирования найдены сведения о должности и специфике деятельности при прохождении службы в МО РФ, а также указана желаемая сумма зарплаты, которую Моргачев хотел бы получить на новом месте службы.

Резюме Сергея Моргачева, составленное 5 августа 2022 накануне перехода на новое место службы. В резюме он отметил, что с 1999 по настоящее время проходил службу в воинской части МО РФ. Руководил отделом разработки специального программного обеспечения. В его обязанности входил подбор и контроль работы личного состава отдела, распределение задач, взаимодействие с другими подразделениями. (Т.е. резюме косвенно подтверждает, что Моргачев руководил группой военных хакеров в составе ГРУ). Интересно, что он указал в резюме, что «не готов к переезду«, но готов к командировкам, если они будут не очень частыми.

Согласно выписке о доходах, зарплата Моргачева в конце 2022 года составляла 250-300 тысяч рублей в месяц.

Взлом личного кабинета на сайте Государственных услуг РФ

Благодаря получению доступа к личному кабинету Сергея Моргачева на сайте государственных услуг РФ, хактивистам удалось также уточнить данные, ранее полученные из скан-копий документов, а также подтвердить текущее место службы и адрес проживания.

Семейное положение: женат, имеет двоих несовершеннолетних детей.
Жена: Моргачева Екатерина Викторовна, 22.07.1988.

На фото: Моргачевы Екатерина и Сергей.

В общем, в дампах переписок Моргачева достаточно много интересной и разнообразной информации: от фото отдыха и дней рождения коллег до технической документации.

Cobalt Strike 4.0

Из относительно свежих технических документов, найденных в почте Моргачева, есть файлы с записями относительно патчей для Cobalt Strike, платформы, используемой, в частности, и хакерами для кибератак:

• Патч Cobalt Strike 4.0 (PDF)
• Патч Cobalt Strike 4.0 Stage X64 Bugs (PDF)

Месть подают холодной. Завершающий «акт морального унижения»

Прежде чем перейти к заключительной части статьи, следует упомянуть предысторию: первое знакомство InformNapalm и Fancy Bear.

В первую неделю после полномасштабного вторжения РФ в Украину, 2 марта 2022 года, Рафаэль Саттер, журналист международного агентства Associated Press, который пишет о кибербезопасности, опубликовал в своем аккаунте в Twitter целую ветвь из твитов с интересным рассказом о том, как масштабная атака российских хакеров APT 28 была разоблачена благодаря сообщению об опасности, посланному в апреле 2015 года волонтером-администратором сайта InformNapalm.

The story starts with @oxana_tinko of @InformNapalm, an OSINT-focused group created in the aftermath of Russia’s 2014 intervention in Crimea and eastern Ukraine.

— Raphael Satter (@razhael) March 2, 2022

В 2015-2016 годах российские хакеры из APT 28 неоднократно пытались рассылать фишинговые письма волонтерам-администраторам сайта международного разведывательного сообщества InformNapalm. Однако, как свидетельствовуют их собственные отметки из таблицы ведения статистики, ни одна фишинговая краткая ссылка с Bitly не была открыта. Однако эти неудачные попытки атаковать InformNapalm привели к раскрытию масштабной сети целей и атак на них со стороны российских хакеров. Самой громкой из этих атак был взлом почтовых серверов Демократической партии США и попытка вмешательства в американские выборы 2016 года.

В марте 2023 года сам организатор этой российской хакерской группы подполковник Сергей Моргачев был взломан украинскими хактивистами, которые после взлома его личных переписок реализовали символический акт морального унижения.

Сначала хактивисты взломали его анонимные аккаунты в соцсетях и выложили там скан-копии его паспортов. Вот, например, скриншот с фиксацией его аккаунта в твиттере после взлома.

Получив также доступ к аккаунту Моргачева на AlịExpress, хактивисты заказали по его адресу, привязанному к аккаунту, несколько десятков единиц различных товаров, среди которых сувениры с логотипом ФБР (которое его розыскивает), а также большую партию игрушек для взрослых, которую оплатили с его карты.

Учитывая, что Сергей Моргачев в розыске ФБР, посылки с AlịExpress на свою почту [email protected] он оформляет на имя жены.

Вот одно из свежих писем из почты указывает на то, что один из его недавних заказов на AlịExpress за март, уже в пути и направляется по почтовому адресу в торговом центре г. Королев, ул.Строителей, 15.

Это также дополнительно подтверждает, что семья Моргачева проживает по указанному в документах адресу прописки в г. Королев, ул. Декабристов, дом. 6/8, кв. 249. От его дома до почтового отделения, на которое он получает заказ от AlịExpress, всего 140 метров.

Дамп

Украинские хактивисты команды «Кибер Сопротивление» передали полный дамп переписок и личных файлов Моргачева для публикации, чтобы все заинтересованные лица: от ФБР до журналистов, экспертов и всех честных граждан могли самостоятельно ознакомиться с фактами, изложенными в публикации, и найти другую информацию, которая может быть полезной и перспективной для исследований (ссылку на дамп электронной почты добавим в ближайшее время вместе с переводами статьи на другие языковые версии ).

P.S. Международное разведывательное сообщество InformNapalm благодарит хактивистов «Кибер Сопротивления » за эксклюзивную возможность принять участие в этой интересной истории и вместе доработать ее. Приглашаем читателей подписываться на наши телеграмм-каналы, на которых мы публикуем гораздо больше информации, чем попадает на сайт.

Читайте другие публикации на основе данных от хактивистов «Кибер Сопротивление»

• Взлом российского военного преступника, заместителя командира ОМОН Красноярского края РФ
• Взлом российского военного преступника, командира в/ч 75387, 960-го штурмового авиационного полка
• Взлом российского Z-волонтёра Михаила Лучина, который вместо дронов для российской армии заказал секс-игрушки на $25000 .
• BagdasarovLeaks: Взлом экс-депутата Госдумы РФ Семена Багдасарова. Иранский гамбит

Распространение и перепечатка со ссылкой на источник приветствуется. (Creative Commons — Attribution 4.0 International — CC BY 4.0) Подписывайтесь на страницы сообщества InformNapalm в соцсетях Facebook / Тwitter / Telegram  / Slate (Sl8).

InformNapalm не получает финансовой поддержки от правительств или доноров. Обеспечивать работу сайта помогают только волонтеры сообщества и наши читатели. Вы можете стать одним из волонтёров сообщества. Также просим вас поддержать развитие уникального волонтерского разведывательного ресурса InformNapalm.