The Insider, Роман Доброхотов,Христо Грозев, Майкл Вайс:
Подразделение ГРУ 29155 прославилось на весь мир неудачными отравлениями «Новичком» Скрипаля в Солсбери и Емельяна Гебрева в Болгарии, а также взрывами военных складов в Болгарии и Чехии, но до последнего времени мало кто знал об их хакерской деятельности. Из-за того что сервер хакеров оказался практически не защищен, The Insider удалось получить к нему доступ и обнаружить полный список мишеней ГРУ: от украинских госкомпаний, до объектов инфраструктуры в Европе, катарского банка и даже медицинских клиник по всему миру. Изучив звонки, перелеты и переписки хакеров, The Insider идентифицировал несколько десятков участников группы, среди которых обнаружились судимые хакеры-кардеры, едва выпустившиеся из института студенты и ветераны операций ГРУ по отравлениям и диверсиям, не имеющие никакого опыта в IT. Большая часть хакерских и информационно-диверсионных операций 29155 провалились, и это не удивительно, учитывая то, что руководители хакерского отдела публично рассказывали о своей низкой мотивации, пользовались личностями прикрытия для встреч с любовницами и секс-работницами (выдавая тем самым свои персональные данные) и «распиливали» средства, предназначенные для диверсионной работы в Украине.
В сентябре 2024 года ФБР опубликовало обвинительное заключение в адрес группы хакеров, работавших на подразделение ГРУ 29155 — ту самую войсковую часть, прославившуюся отравлением Скрипаля в Солсбери. То, что в ГРУ работают подразделения хакеров, было известно давно, первым это доказал The Insider еще в 2017 году, и тогда речь шла о войсковой части 26165, известной как Fancy bear или APT28 и прославившейся взломом Хиллари Клинтон, Эммануэля Макрона и различных международных организаций. Позже выяснилось, что под крышей ГРУ работает и другая группа, известная как Sandworm (в/ч 74455), создавшая самый разрушительный вирус NotPetya, отключавшая электростанции в Украине и атаковавшая военные объекты НАТО. Но то, что и у подразделения 29155, занимавшегося убийствами и саботажем, есть свои хакеры, звучало странно и удивительно.
The Insider удалось получить доступ к кэшу журнала сервера этой группы хакеров, который (узнается почерк ГРУ!) оказался незащищен. Сопоставив это с данными из социальных сетей и утекших в открытый доступ баз, а также поговорив с некоторыми источниками, The Insider восстановил картину деятельности этой группы во всех ее подробностях.
Мошенники-кардеры и чеченец-нашист из ФСБ
Идея создать хакерскую группу при 29155 возникла еще при прошлом руководителе ГРУ Игоре Сергуне примерно 10 лет назад. Среди тех, кому руководитель в/ч 29155 Андрей Аверьянов доверил заниматься этим проектом, были его опытные подчиненные Роман Пунтус и Юрий Денисов, не имевшие никаких специальных компьютерных знаний, но испытанные в различных спецоперациях ГРУ в Европе, и новый член подразделения Тим Стигал, этнический чеченец с интересной биографией. Стигал был блогером, живущим в Дагестане, и к тому моменту успел опубликовать книгу о торговле на рынке Форекс в соответствии с исламом, параллельно сочиняя романтическую поэзию. В 2011 году он пожаловался в реплаях к твиту тогда еще президента Дмитрия Медведева на поборы в размере $300 тысяч, которые якобы берут в окружении Владислава Суркова за организацию встречи с ним. Стигал просил Медведева «взять его в свою команду», так как он «полон идей». Вскоре после этого обращения Стигал написал: «Только что звонил Владислав Юрьевич. Разговором доволен. Со встречей определились, после выборов».
Еще одно фото с того же мероприятия
Паспортные фото Тима Стигала (слева) и «Данилы Магомедова» (справа)
В следующем году Стигал основал дагестанское отделение доживающего свои последние дни движения «Наши» и организовал флешмоб, лоббируя переименование центральной площади в столице Дагестана в площадь Путина. К тому моменту Стигал уже тесно сотрудничал с Департаментом военной контрразведки ФСБ и не позднее 2014-го попал в команду Аверьянова. Возможно, именно ДВКР ФСБ и прикомандировало его к гэрэушникам из 29155: часть действующих сотрудников ГРУ параллельно работают в военной контрразведке ФСБ, таким образом чекисты присматривают за министерством обороны. Так или иначе, в 2014 году Стигал получает паспорт на имя «Данила Магомедов» из того же диапазона номеров, что и паспорта отравителей Скрипаля «Петрова» и «Боширова» .
Неудивительно, что Аверьянов направил Стигала именно на хакерское направление: у ФСБ в целом и у ДВКР в частности были очень хорошие контакты с хакерами-мошенниками, занимавшимися кардингом и другими видами финансовых киберпреступлений. Среди прочих Стигалу удалось привлечь к работе Алексея Строганова, по прозвищу «Флинт», Евгения Башева и Игоря Ворошилова.
Хакер Строганов в 2006 году уже привлекался к уголовной ответственности за карточные мошенничества и получил 6 лет, но вышел уже через 2 года — судя по всему, именно по протекции ДВКР ФСБ, с которой потом тесно сотрудничал. Когда в 2021 году его арестуют снова, он сам заявит в суде о своей работе на спецслужбы и даже предъявит грамоту за подписью директора ФСБ. И действительно, после освобождения в 2008-м Алексей Строганов стал крупным «экспертом в области кибербезопасности», защищал от хакерских атак банки и платежные системы, про него было снято несколько фильмов и написана книга, а губернатор Санкт-Петербурга Беглов с гордостью фотографировался с Флинтом при вручении ему грамоты.
Кардер «Флинт» с губернатором Бегловым
Все это совершенно не мешало Флинту под чутким руководством ДВКР ФСБ продолжить мошенническую деятельность. По версии следственного департамента МВД, группировка Флинта действовала с 2014 по март 2020 года, похищая данные банковских карт не только в России, но и в Евросоюзе и США.
После ареста этой группы хакеров (всего по уголовному делу проходит 26 человек), выяснилось, что ключевой подельник Флинта является действующим сотрудником ДВКР ФСБ, и это даже стало процессуальной проблемой, потому что это означает, что дело должен расследовать не СКР, а МВД (правда, 235-й гарнизонный военный суд Москвы решил, что это не столь существенное нарушение, и помехой это не стало).
Именно за руководство этой группой мошенников Стигал и сам оказался в обвинительном заключении США, но о том, что он параллельно работает и на 29155, американские правоохранители, видимо, не знали и до сих пор.
Провокации против Польши, США и WADA
Любопытно, что, несмотря на все тесные связи с хакерами, большинство операций, которые Стигал организовывал в интересах ГРУ, были не столько хакерскими, сколько провокаторскими.
Так, например, одна из операций была направлена на дискредитацию Bellingcat: Стигал зарегистрировал принадлежащий хакерам Twitter-аккаунт под названием Anonymous Poland, якобы связанный с Bellingcat. Через этот аккаунт команда Стигала слила украденные данные кредитных карт, приписав эту утечку «хакерам» Bellingcat (хотя у Bellingcat никогда никаких хакеров не было). Кроме того, хакеры Стигала слили имена и фотографии детей украинских солдат, которые тогда служили на передовой на Донбассе, опять же приписав взлом Bellingcat (Bellingcat неоднократно предупреждал Twitter об этой деятельности, но платформа решила, что это не нарушает ее правил).
Наконец, хакеры 29155 составили список целей, связанных с настоящим Bellingcat, разделив их на «руководителей», «расследователей» и «сочувствующих», имея в виду сотрудников Bellingcat и различные аккаунты в социальных сетях, поддерживающие работу издания. Несколько человек из этого списка подтвердили The Insider, что подверглись фишинговым кампаниям примерно в одно и то же время.
Некоторые провокации имели свои скромные успехи. К примеру, через аккаунт, якобы принадлежащий «Правому сектору», он публиковал взломанные данные польских чиновников, сопровождая это оскорблениями, и некоторые из них действительно повелись на провокацию.
В то время как аккаунты @pravysektor и @pravsector были быстро идентифицированы как мошеннические и удалены администрацией Twitter, аккаунты @anonpl и @anon_pl20 оставались активными в течение многих лет, и команда Стигала использовала их еще неоднократно. Некоторые из сливов, осуществленных через эти аккаунты, ранее приписывались другим хакерским подразделениям ГРУ, таким как FancyBear, что дает основания подозревать, что в/ч 29155 сотрудничала с FancyBear (в/ч 26165). Архивная страница аккаунта @anpoland показывает некоторые сливы, обнародованные в сентябре 2016 года. Они включают «файлы полицейского управления Детройта» (содержащие хештеги #StopFBI #Revolution), «документы стратегического авиационного командования и Boeing KC-10», паралимпийской сборной США и Всемирного антидопингового агентства (WADA), которые разоблачили «систематический государственный саботаж процесса тестирования на наркотики до, во время и после зимних Олимпийских игр в Сочи 2014 года». Независимый отчет, опубликованный WADA в июле 2016 года, привел к отстранению сотен российских спортсменов от последующих международных спортивных соревнований. Напомним, ФБР обвинили во взломе WADA в 2016 году семь сотрудников ГРУ из в/ч 26165.
Пожалуй, самой успешной операцией хакеров 29155 стал взлом QNB, крупнейшего банка Катара, в мае 2016 года. Взлом позволил выгрузить массив размером 1,5 Гб с данными клиентов, содержащих банковские учетные данные, номера телефонов, данные платежных карт и даты рождения. Утечка была структурирована таким образом, чтобы привлечь внимание к финансовым операциям правящей семьи Катара и операциям разведки. Ответственность за взлом взяла на себя в социальных сетях турецкая фашистская группа @bozkurthackers. В действительности же этим аккаунтом управляла команда Тима Стигала, о чем свидетельствуют скриншоты отчетов об этой операции и журналы взлома, обнаруженные на сервере ГРУ. Эта операция была особенно успешной, поскольку ее так никто и не связал с Россией…
![[object Object]](https://theins.ru/images/oty0XHJBxnyjCS-tqJsDgcBjlENamQro6aTCWcf5lFg/rs:auto:0:0:0:0/dpr:1/q:80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQxODAv/ZmlsZS1jZDhlZTkz/NzVmZjgxYjA1M2Ix/OWNmODc1ZTM4MGY0/OC5qcGc.jpg)
![[object Object]](https://theins.ru/images/t-KOL6xqRo_2Qld8Tk2UZUK2tyDoddPIq1Wc1qws5gQ/rs:auto:0:0:0:0/dpr:1/q:80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQxMzcv/ZmlsZS03ODNlZTY4/ZTY4ZWY5Y2EzNWEz/YmEwY2NjODRkYzJm/ZS5wbmc.jpg)
![[object Object]](https://theins.ru/images/AL6wZxXk2KrXpi_3U6gunxr-ZhMxitRqOlVX-XI6Nug/rs:auto:0:0:0:0/dpr:1/q:80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQxMzYv/ZmlsZS1lZjg1ZDQ1/YTdlYzFlM2Y1ZWI1/Mzc4N2EwYTJhMThm/Mi5wbmc.jpg)
