Журналісти викрили команду хакерів «ГРУ» через незахищений сервер

Журналісти змогли викрити команду хакерів, які належать до військової частини 29155 Головного управління Генерального штабу ЗС РФ (яка більше відома під старою абревіатурою «ГРУ»), яка відома спробою отруєння «Новичком» Сергія Скрипаля.

Розслідування опублікувало видання The Insider.

Як зазначає видання, підрозділ «ГРУ» 29155 відомий невдалими отруєннями Скрипаля в Солсбері та Омеляна Гебрева в Болгарії. Також його пов’язують із вибухами складів у Болгарії та Чехії. До недавнього часу про хакерську діяльність підрозділу майже нічого не було відомо.

Через те, що сервер хакерів виявився практично не захищеним, The Insider вдалося отримати до нього доступ. Це дозволило виявити повний список мішеней «ГРУ» — від українських держкомпаній до об’єктів інфраструктури в Європі, катарського банку і навіть медичних клінік по всьому світу.

Дослідивши дзвінки, перельоти та листування, журналісти ідентифікували десятки учасників групи. Серед них були судимі хакери-кардери, недавні випускники та ветерани диверсій «ГРУ» без досвіду в ІТ.

Як зазначає видання, більшість хакерських та інформаційно-диверсійних операцій 29155 провалилися через низьку мотивацію працівників та корупцію керівництва.

Діяльність групи

Ідея створити хакерську групу за 29155 виникла ще приблизно 10 років тому. Серед тих, кому керівник в/ч 29155 Андрій Авер’янов довірив займатися цим проєктом, були його досвідчені підлеглі Роман Пунтус та Юрій Денисов, які не мали жодних спеціальних комп’ютерних знань, але були випробувані в різних спецопераціях «ГРУ» в Європі, і новий член підрозділу — Тім Стігал.

Попри хакерський формат групи, більшість операцій Стігала були провокаціями. Наприклад, він створив акаунт Anonymous Poland і приписав витік карткових даних Bellingcat.

Так, наприклад, одна з операцій була спрямована на дискредитацію Bellingcat: Стігал зареєстрував Twitter-акаунт, нібито пов’язаний з Bellingcat, під назвою Anonymous Poland. Через цей обліковий запис команда Стігала злила вкрадені дані кредитних карток, приписавши цей витік «хакерам» Bellingcat.

Крім того, хакери Стігала оприлюднили імена та фотографії дітей українських солдатів, які тоді служили на передовій на Донбасі, знову ж таки приписавши злом Bellingcat. Bellingcat неодноразово попереджав Twitter про цю діяльність, але платформа вирішила, що це не порушує її правил.

Деякі провокації мали скромні успіхи. Наприклад, через акаунт, який нібито належав «Правому сектору», Стігал публікував зламані дані польських чиновників, супроводжуючи це образами — і деякі з них справді повелися на провокацію.

Одним із небагатьох «успішних» зломів став QNB — найбільший банк Катару. У травні 2016 року хакери викрали 1,5 ГБ даних, включно з банківською інформацією клієнтів. Для прикриття, відповідальність у соцмережах узяла на себе турецька фашистська група @bozkurthackers.

Окрім того, Стігалу також вдалося залучити до поширення інформації болгарську журналістку Діляну Гайтанджиєву. Зокрема, у 2018 році вона вирушила до Грузії, щоб зробити репортаж про неіснуючі «американські біолабораторії», які нібито працюють на території посольства США в Тбілісі. Її репортаж, опублікований на пов’язаному із сирійським урядом супутниковому телеканалі, став першим із серії конспірологічних публікацій про «американські біолабораторії». Згодом ці публікації стали одним з наріжних каменів російської держпропаганди.

Однією з головних ідей було налаштувати українських націоналістів проти Володимира Зеленського. Стігал завербував десятки агентів дрібного калібру, які мали видавати себе за членів батальйону «Азов» та організовувати провокації. Серед файлів на сервері хакерів можна виявити папку «Графіті в містах», яка містить фотозвіти про тисячі образливих написів на адресу Зеленського.

До цієї операції було підключено і Діляну. У 2022 році вона опублікувала (а потім видалила) матеріал, у якому розповідалося про конфлікт «Азову» з ГУР, причому подавалось це так, ніби гроші азовці отримували від кадировців.

У листопаді–грудні 2021 року мішенями хакерів стали державні українські сайти, зокрема пов’язані з енергетичною інфраструктурою.

Крім того, хакери шукали вразливості сайтів державних відомств та об’єктів інфраструктури Узбекистану, Грузії, Чехії, Словаччини, Естонії, Польщі, Молдови та Вірменії. Цікаво, що третина із сотні відомих мішеней хакерів 29155 — чеські сайти.

Особливо багато серед мішеней компаній, що так чи інакше пов’язані з медициною, зокрема виробники медичної техніки, клініка в Азербайджані та Ташкентська медична академія.