Сегодня немецкие СМИ сообщили о том, что прокуратура Германии выписала ордер на арест главного подозреваемого в кибератаке на немецкий Бундестаг, в ходе которого хакеры из группы APT28 (Fancy Bear/Pawn Storm) получили доступ к почте депутатов и парламентского офиса Ангелы Меркель. Главным подозреваемым оказался россиянин Дмитрий Бадин, которого уже ранее уже объявляло в розыск ФБР за взлом серверов Демпартии США. The Insider и Bellingcat удалось не только подтвердить причастность Бадина к ГРУ, но и его личную причастность к созданию вредоносного кода, используемого практически во всех атаках ГРУшных хакеров.
Взлом Бундестага
В апреле 2015 года депутаты Бундестага и сотрудники их офисов получили письмо, якобы отправленное из ООН (в видимой части письма значился адрес, заканчивающийся на @un.org). Темой письма значилось «Конфликт Украины с Россией разрушил ее экономику». В письме содержался вредоносный код, который загружался на компьютер, воровал пароли и распространялся по внутренней сети. Вирус поразил всю IT-инфраструктуру Бундестага и сделал его сервисы недоступными. Примерно 16 ГБ данных было скачено хакерами — документы и письма депутатов и их офисов. По данным Der Spiegel, документы офиса Ангелы Меркель также утекли к хакерам. Уже тогда организациям, работающим в области кибер-безопасности, стало известно, что атака была произведена российской группировкой APT28 — также известной как Fancy Bear и Pawn Storm. В 2017 году The Insider удалось доказать, что эта группировка состоит из сотрудников ГРУ. Через год эти данные подтвердил Минюст США, официально выдвинув обвинения в ряд группы хакеров, среди которых был и Дмитрий Бадин.
Среди других целей этой группировки хакеров из ГРУ были Белый дом (и ряд других целей в США), МИД Чехии, Польши, Германии, Италии, Латвии, Эстонии, Украины, Норвегии, Нидерландов и других стран, Минобороны Дании, Италии и Германии, Бундестаг, НАТО, ОБСЕ, МОК, WADA, JIT, ряд редакций иностранных СМИ (в том числе TV5Monde и Аль-Джазира). Эта же группа хакеров атаковала десятки российских оппозиционеров и членов НКО и журналистов (в том числе и сотрудников The Insider, что независимо друг от друга подтвердили четыре компании, работающие в области информационной безопасности).
Кто такой Дмитрий Бадин?
Согласно немецким СМИ, прокуратура Германии считает ключевой фигурой, стоявшей за атакой на Бундестаг, именно Дмитрия Бадина, сотрудника войсковой части 26165 — той самой части, которая засветилась в расследовании The Insider еще в 2015 году. Почему именно его — не объясняется. ФБР, ранее объявившая Бадина в розыск, также называет его сотрудником войсковой части 26165. Кроме того, ФБР уточняет, что Бадин родился в Курске 15 ноября 1990 года.
The Insider и Bellingcat удалось подтвердить эту информацию. Во-первых, в социальной сети «ВКонтакте» нам удалось обнаружить аккаунт его жены с его фотографиями:
Во-вторых, в данных по регистрации автомобилей, которые можно найти в сети, есть сведения о Дмитрии Сергеевиче Бадине, родившемся 15 ноября 1990 года, который приобрел в июне 2018 года автомобиль KIA PS. В этой же базе есть и данные его паспорта, выпущенного в Санкт-Петербурге, и адрес его регистрации. Как минимум до июня 2018 года Бадин был зарегистрирован по адресу Комсомольский проспект, 20 — это адрес той самой войсковой части 26165.
Scaramouche, Scaramoush!
Изучив информацию об автомобиле Бадина, через сервис Avinfo мы обнаружили, что он постоянно паркуется рядом с общежитием Военной академии, располагающейся по адресу Большая Пироговская 51. Он также использовал при парковке два своих мобильных телефона, один из которых привязан к приложению Viber, зарегистрированному под именем Gregor Eisenhorn (персонаж компьютерной игры Warhammer 40,000), а второй появляется в приложениях и под его настоящим именем и под ником «Никола Тесла».
Также один из номеров привязан к ныне удаленному аккаунту «ВКонтакте», который в разное время существовал под именами «Дмитрий Макаров», Никола Тесла, а еще раньше — Scaramouche. Причем ник Scaramouche Бадин имел во «Вконтакте», когда еще проживал в Курске, то есть до 2014 года, когда он переехал в Петербург.
Также один из мобильных телефонов Бадина привязан к скайп-аккаунту Scaramoush777. Изначально Скарамуш или Скарамучча — это клоун из итальянских комедий 16 века, но в России это слово более известно из песни Queen «Богемская рапсодия». Эта кличка хорошо известна охотникам за российскими хакерами. В марте 2017 года компания SecureWorks опубликовала доклад об атаках APT28, где утверждается, что в коде программ, которые должны похищать пароли и делать скриншоты, обнаружен юзернейм Scaramouche. Эта программа использовалась в большом количестве атак APT28 начиная с взломов российских оппозиционеров и НКО, заканчивая Бундестагом и западными журналистами. Судя по тому, что ник «Скарамуш» использовался Бадиным еще до того, как он переехал на учебу в Петербург, этот юзернейм принадлежит лично ему, а значит лично он участвовал в создании этого вредонсного кода.