Сьогодні німецькі ЗМІ повідомили про те, що прокуратура Німеччини виписала ордер на арешт головного підозрюваного в кібератаці на німецький Бундестаг, у ході якого хакери з групи APT28 (Fancy Bear/Pawn Storm) отримали доступ до пошти депутатів і парламентського офісу Ангели Меркель. Головним підозрюваним виявився росіянин Дмитро Бадін, якого вже раніше вже оголошувала в розшук ФБР за злом серверів Демпартії США. The Insider і Bellingcat вдалося не тільки підтвердити причетність Бадіна до ГРУ, але і його особисту причетність до створення шкідливого коду, що використовується практично у всіх атаках ГРУшных хакерів.
Злом Бундестагу
У квітні 2015 року депутати Бундестагу та їх співробітники офісів отримали лист, нібито відправлений з ООН (у видимій частині листа значився адресу, що закінчується на @un.org). Темою листа значилося «Конфлікт України з Росією зруйнував її економіку». У листі містився шкідливий код, який завантажувався на комп’ютер, крав паролі і поширювався по внутрішній мережі. Вірус вразив всю IT-інфраструктуру Бундестагу і зробив його сервіси недоступними. Приблизно 16 ГБ даних було скачено хакерами — документи і листи депутатів та їх офісів. За даними Der Spiegel, документи офісу Ангели Меркель також витекли до хакерів. Вже тоді організаціям, що працюють в сфері кібер-безпеки, стало відомо, що атака була проведена російської угрупованням APT28 — також відомої як Fancy Bear і Pawn Storm. У 2017 році The Insider вдалося довести, що ця група складається з співробітників ГРУ. Через рік ці дані підтвердив Мін’юст США офіційно висунувши звинувачення в ряд групи хакерів, серед яких був і Дмитро Бадін.
Серед інших цілей цього угруповання хакерів з ГРУ були Білий дім (і ряд інших цілей у США), МЗС Чехії, Польщі, Німеччини, Італії, Латвії, Естонії, України, Норвегії, Нідерландів та інших країн, Міноборони Данії, Італії та Німеччини, Бундестаг, НАТО, ОБСЄ, МОК, WADA, JIT, ряд редакцій іноземних ЗМІ (в тому числі і TV5Monde Аль-Джазіра). Ця ж група хакерів атакувала десятки російських опозиціонерів і членів НКО і журналістів (у тому числі і співробітників The Insider, що незалежно один від одного підтвердили чотири компанії, що працюють в області інформаційної безпеки).
Хто такий Дмитро Бадін?
Згідно з німецькими ЗМІ, прокуратура Німеччини вважає ключовою фігурою, яка стояла за атакою на Бундестаг, саме Дмитра Бадіна, співробітника військової частини 26165 — тієї самої частини, яка засвітилася в розслідуванні The Insider ще в 2015 році. Чому саме його — не пояснюється. ФБР, що раніше оголосила Бадіна в розшук, також називає його співробітником військової частини 26165. Крім того, ФБР уточнює, що Бадін народився в Курську 15 листопада 1990 року.
The Insider і Bellingcat вдалося підтвердити цю інформацію. По-перше, в соціальній мережі «ВКонтакте» нам вдалося виявити акаунт його дружини з його фотографіями:
По-друге, в даних по реєстрації автомобілів, які можна знайти в мережі, є відомості про Дмитра Сергійовича Бадине, який народився 15 листопада 1990 року, який придбав у червні 2018 року автомобіль KIA PS. У цій же базі є і дані його паспорта, випущеного в Санкт-Петербурзі, і адресу його реєстрації. Як мінімум до червня 2018 року Бадін був зареєстрований за адресою Комсомольський проспект, 20 — це адреса тій самій військовій частині 26165.
Scaramouche, Scaramoush!
Вивчивши інформацію про автомобілі Бадіна, через сервіс Avinfo ми виявили, що він постійно паркується поруч з гуртожитком Військової академії, розташованої за адресою Велика Пироговська 51. Він також використовував при парковці два мобільних телефони, один з яких прив’язаний до додатка Viber, зареєстрованому під ім’ям Gregor Eisenhorn (персонаж комп’ютерної гри Warhammer 40,000), а другий з’являється в додатках і під його справжнім ім’ям і під ніком «Нікола Тесла».
Також один з номерів прив’язаний до нині віддаленого запису «ВКонтакте», який в різний час існував під іменами «Дмитро Макаров», Нікола Тесла, а ще раніше — Scaramouche. Причому нік Scaramouche Бадін мав у «Вконтакте», коли ще жив у Курську, тобто до 2014 року, коли він переїхав у Петербург.
Також один з мобільних телефонів Бадіна прив’язаний до скайп-аккаунту Scaramoush777. Спочатку Скарамуш або Скарамучча — це клоун з італійських комедій 16 століття, але в Росії це слово відоме з пісні Queen «Богемська рапсодія». Ця кличка добре відома мисливцям за російськими хакерами. У березні 2017 року компанія SecureWorks опублікувала доповідь про атаки APT28, де стверджується, що в коді програм, які повинні викрадати паролі і робити скріншоти, виявлений юзернейм Scaramouche. Ця програма використовувалася у великій кількості атак APT28 починаючи з зломів російських опозиціонерів і НКО, закінчуючи Бундестагом і західними журналістами. Судячи з того, що нік «Скарамуш» використовувався Бадиным ще до того, як він переїхав на навчання в Петербург, цей юзернейм належить особисто йому, а значить особисто він брав участь у створенні цього вредонсного коду.