Сайт The Insider, известный серией сенсационных расследований, посвященных деятельности российских спецслужб, получил доступ к серверу секретного киберподразделения Главного разведывательного управления (ГРУ) и извлек все данные о диверсионных операциях, проведенных этим подразделением за последние годы.
Из последнего расследования журналистов Романа Доброхотова, Христо Грозева и Майкла Вайса следует, что в числе целей ГРУ оказался и Азербайджан — в том числе различные государственные структуры страны, а также ее посольства за рубежом.
Haqqin.az представляет это расследование в сокращенном виде с редакционными примечаниями.
О деятельности секретного диверсионного подразделения ГРУ с кодовым номером «29155» стало известно после миссии в Великобритании бывшего полковника КГБ Сергея Скрипаля и взрывов на складах в Болгарии и Чехии. Однако до недавнего времени западные спецслужбы не располагали информацией о специальной кибергруппе ГРУ. The Insider получил доступ к серверам. Обнародованная информация обескураживает: по сути, в спецподразделение ГРУ входили кибермошенники, криминальные лица и некомпетентные студенты, которым априори не удалось обеспечить безопасность информационных данных.
Журналисты выяснили, что большая часть хакерских и информационно-диверсионных операций провалилась, и это не удивительно, учитывая то, что руководители хакерского отдела публично рассказывали о своей низкой мотивации, пользовались личностями прикрытия для встреч с любовницами и секс-работницами (выдавая тем самым свои персональные данные) и «распиливали» средства, предназначенные для диверсионной работы в Украине.
Кибергруппа AРT28, связанная с ГРУ, атакует азербайджанские СМИ
Информация о деятельности хакерской группы в российской военной разведке под кодовым номером «26165», известной к тому же как Fancy Bear или APT28, просочилась в СМИ после взлома личных данных бывшего госсекретаря США Хиллари Клинтон, действующего президента Франции Эммануэля Макрона и других западных политиков.
Примечательно, что 20 февраля сего года после скандального закрытия «Русского дома» в Баку правительственные СМИ Азербайджана подверглись масштабной кибератаке. Позднее председатель комиссии Милли Меджлиса по противодействию внешнему вмешательству и гибридным угрозам Рамид Намазов обнародовал сенсационные данные о причастности российской кибергруппировки AРT28 к этой атаке. По словам депутата, киберпреступление было совершено в одном из отелей в Баку.
Напомним, в сентябре 2024 года ФБР США выдвинуло обвинение против хакеров, работавших на подразделение ГРУ «29155», причастное к отравлению Скрипаля в Солсбери.
Как пишет The Insider, под крышей ГРУ работала и группа под названием Sandworm (в/ч 74455), создавшая один из самых разрушительных вирусов - NotPetya, парализовавший энергосеть в Украине и использованный во время атаки на сервера НАТО. Как ни странно, в состав боевого спецподразделения «29155» входила и хакерская группа.
The Insider удалось получить доступ к кэшу журнала сервера этой группы хакеров, который (узнается почерк ГРУ!) оказался незащищенным. Сопоставив полученную информацию с данными в открытом доступе, а также основываясь на доверенные источники информации, The Insider описал картину деятельности этой группы.
Проект генерала Аверьянова
Идея создания хакерской группы при подразделении «29155» возникла еще при экс-главе ГРУ Игоре Сергуне примерно 10 лет назад.
Среди тех, кому руководитель в/ч «29155» генерал Андрей Аверьянов доверил осуществление проекта - опытные сотрудники службы Роман Пунтус и Юрий Денисов, без опыта работы в айти, но испытанные в различных спецоперациях ГРУ в Европе.
К работе привлекли и некоего Тима Стигала, этнического чеченца с любопытной биографией. Стигал - блогер, проживавший в Дагестане, и к тому моменту успел опубликовать книгу о торговле на рынке Форекс в соответствии с нормами ислама, параллельно слагая лирическую поэзию. В 2011 году он пожаловался в комментарии к твиту тогдашнего президента Дмитрия Медведева на поборы в окружении Владислава Суркова за организацию встречи с ним. Стигал просил Медведева «взять его в свою команду», так как он «полон идей». Вскоре после этого обращения Стигал написал: «Только что звонил Владислав Юрьевич. Разговором доволен. Со встречей определились, после выборов».
Спустя год Стигал основал дагестанское отделение доживавшего свои последние дни движения «Наши» и организовал флешмоб с инициативой переименовать центральную площадь в Махачкале в честь Путина. К тому времени Стигал тесно сотрудничал с Департаментом военной контрразведки (ДВКР) ФСБ, и не позднее 2014-го попал в команду Аверьянова. Возможно, именно ФСБ и прикомандировало его к сотрудникам ГРУ из «29155». Часть из них параллельно работает в военной контрразведке ФСБ — таким образом чекисты «присматривают» за Министерством обороны. Так или иначе, в 2014 году Стигал получает паспорт на имя «Данила Магомедова» из того же диапазона серийных номеров, как и в паспортах отравителей Скрипаля - «Петрова» и «Боширова».
Неудивительно, что Аверьянов бросил Стигала именно на хакерское направление: у ФСБ, как и у ДВКР, были тесные связи с хакерами-мошенниками, которые специализировались на кардинге и других видах финансовых киберпреступлений. Среди прочих Стигалу удалось привлечь к работе Алексея Строганова, по прозвищу «Флинт», Евгения Башева и Игоря Ворошилова.
Хакер Строганов в 2006 году уже привлекался к уголовной ответственности за карточные мошенничества и получил 6 лет, но вышел через 2 года — судя по всему, именно по протекции ДВКР ФСБ, с которой потом тесно сотрудничал. Когда в 2021 году его арестуют снова, он сам заявит в суде о своей работе на спецслужбы и даже предъявит грамоту за подписью директора ФСБ. И действительно, после освобождения в 2008-м Алексей Строганов стал крупным «экспертом в области кибербезопасности», защищал от хакерских атак банки и платежные системы, про него было снято несколько фильмов и написана книга, а губернатор Санкт-Петербурга Беглов с гордостью фотографировался с Флинтом при вручении ему грамоты.
Все это совершенно не мешало Флинту под чутким руководством ДВКР ФСБ продолжать мошенническую деятельность. По версии следственного департамента МВД, группировка Флинта действовала с 2014 по март 2020 года, похищая данные банковских карт не только в России, но и в Евросоюзе и США.
Расследователи установили, что именно эта кибергруппа в 2017 году стояла за информационно-диверсионной операцией против Азербайджана. Речь идет о скандальной и провокационной публикации болгарской журналистки Диляны Гайтанджиевой в газете Trud. Журналистка утверждала, «ссылаясь» на дипломатическую переписку посольства Азербайджана в Софии, что якобы принадлежащая Азербайджану карго-компания поставляла оружие международным террористам.
Журналисты The Insider получили доступ к деталям этой операции. Выяснилось, что к сотрудничеству Диляну Гайтанджиеву привлек член кибергруппировки ГРУ с условным ником «29155», то есть Тим Стигал.
По всей видимости, журналистка Диляна Гайтанджиева сотрудничала с ГРУ еще с 2016 года, во всяком случае уже тогда у нее стали появляться очень «полезные» публикации. К примеру, в ходе своей командировки в Сирию в 2016-м она «обнаружила» болгарское оружие у сирийских повстанцев, что активнейшим образом затем использовалось Россией в кампании политического давления на Болгарию.
Конспирология о секретных биолабораториях США: Диляна — участница операции. Еще один выстрел в Азербайджан
После публикации в газете Trud клеветнической статьи об Азербайджане Диляну уволили — как сообщалось, из-за возможных юридических последствий разглашения дипломатической переписки. Однако ее сотрудничество с подразделением «29155» только начиналось. В 2018 году она отправилась в Грузию, чтобы подготовить репортаж о несуществующих «американских биолабораториях», якобы размещенных на территории посольства США в Тбилиси.
Всего за несколько дней до выхода новой скандальной публикации, на сей раз о Грузии, в Тбилиси с фальшивым паспортом на имя Магомедова всплыл Тим Стигал. Интересное совпадение, не так ли?
А дальше был запущен громкий видеосюжет знаменитой журналистки на спутниковом телеканале, близком к правительству Асада, который и заложил основу для излюбленного нарратива российской госпропаганды об «американских биолабораториях» на постсоветском пространстве. В подразделении «29155» считают эту кампанию одним из своих крупнейших успехов за все время реализации стратегии по дезинформации.
Нелишне отметить, что в ряде стран, где американцы якобы расположили свою биолабораторию, значился и Азербайджан.
Одной из «наполеоновских» идей Стигала стала идея разжигания вражды между легендарным батальоном «Азов» и президентом Зеленским. Стигал завербовал десятки агентов мелкого калибра, которые должны были выдавать себя за членов батальона «Азов». Среди файлов на сервере хакеров есть и папка «Граффити в городах», содержащая фотоотчеты о тысячах оскорбительных надписей в адрес Зеленского, нанесенных завербованными агентами на стенах украинских городов (за одну надпись провокаторы получали от одного до пяти долларов).
Еще одна папка под названием «Работа с нацистами» привлекает внимание. Речь идет об информационных диверсиях против «Азова».
И к этой операции была подключена «знаменитая журналистка» Диляна Гайтанджиева. В 2022 году журналистка опубликовала (а потом удалила) материал, в котором повествовалось о конфликте «Азова» с ГРУ, причем преподносилось это так, будто деньги азовцы получали от кадыровцев.
Бурная активность Стигала не могла не беспокоить генерала Аверьянова, и он решил «подкрепить» команду Стигала двумя испытанными ветеранами из подразделения «29155». Правда, ни Юрий Денисов, ни Роман Пинтус не имели базовых навыков в IT-сфере, что не помешало им выступить с новыми амбициозными задачами: избавиться от зависимости ДВКР ФСБ и коллег из ГРУ с «Комсомольского проспекта» (хакеров из 26165, известных как APT28 или Fancy Bear). Судя по биллингам телефонных разговоров Стигала, Пунтуса и Денисова, со второй половины 2019 года группа решила привлечь к работе новых молодых специалистов. Одна из поездок Стигала в Воронеж совпала с первым хакатоном Capture-The-Flag, в котором приняли участие 100 молодых программистов из 8 воронежских университетов. Двухдневный конкурс включал ряд заданий, которые должны были выявить наиболее перспективных хакеров для нужд ГРУ: конкурс включал OSINT-исследования, криптографию, выявление веб-уязвимостей и цифровую экспертизу.
В итоге ГРУ завербовало команду юных программистов из Военного учебно-научного центра Военно-воздушных сил. «Орлята», как ласково называли студентов-летчиков журналисты, в количестве не менее 7 человек стали полноценными членами команды «29155».
К 2021 году между Стигалом и «ветеранами» Денисовым, Пунтусом и Касьяненко стал назревать конфликт. В чем именно была суть разногласий, сказать сложно, известно лишь, что Стигал предъявлял претензии к коллегам в непомерном разворовывании денег, которые накануне полномасштабного вторжения в Украину выделялись в особенно больших объемах. ГРУ и конкретно «29155» должны были сыграть решающую роль в первые дни вторжения (в числе задач были, среди прочего, захват ключевых правительственных зданий в Киеве и убийство Зеленского).
Деньги выделяли в том числе на вербовку агентуры в Украине, но, когда дошло до дела, оказалось, что исполнять поставленные задачи было некому. Позже Стигала уволили «по состоянию здоровья» (он попал в больницу из-за коронавируса, и это стало удобным поводом).
Таким образом, с 2021 года главную роль в «хакерском» отделе в/ч «29155» стали играть Денисов с Пунтусом.
Диверсант ГРУ в Баку в 2013 и 2014 годах…
Журналисты-расследователи выяснили, что Юрий Денисов ранее активно участвовал в деятельности «29155». Это видно по его многочисленным поездкам в Европу с другими членами подразделения. Для поездок Денисов использовал различные имена прикрытия, включая Юрия «Дудина» (рейсы в Германию, Бельгию и Нидерланды в 2016 году) и Юрия «Лукина» (рейсы в Турцию и Азербайджан в 2013 и 2014 годах). Он также использовал паспорта с двумя другими поддельными именами — «Карпов» и «Сергеев» для поездок по России.
Денисов — большой любитель Telegram-чатов, и 90% его сообщений состоит из ругани в адрес «хохлов» и «чернож…х», но иногда встречаются и откровения о работе: «Я тоже наемник, контрактник. Офицер МО. И я удовольствия от своей работы не получал и не получаю, несмотря на оплату. Все по пирамиде Маслоу. И если бы не онкология, то был бы в составе ЧВК». О Министерстве обороны он отзывался нелестно: «дебилы», где, «куда не плюнь одни гомосеки».
В чатах он раскрывает и другие данные о себе, например, то, что он полковник с 27-летней выслугой, что его жена — программист, и многое другое.
После увольнения Стигала главным игроком в команде стал Роман Пунтус, опытный участник операций «29155», путешествовавший под именем прикрытия Роман Панов.
Пунтус принял на себя лидерскую роль в самый ответственный момент, в 2021 году Кремль вовсю готовился к полномасштабному вторжению в Украину, и важной частью этого вторжения должны были стать кибератаки. Сам Пунтус мало смыслил в IT и полагался больше на свою команду.
Роль связующего моста с ДВКР ФСБ вместо Стигала стал исполнять хакер Евгений Башев (его сосватал Игорь Ворошилов), к тому времени уже долго работавший на контрразведку ФСБ и владевший компанией «Импульс» в Ростове. Частная компания выполняла роль прокладки, позволявшей проводить все деловые операции, связанные с хакерской деятельностью через компании, формально никак не связанные с государством.
Что искали диверсанты ГРУ в клинике Bioloji Təbabət в Баку?
В ноябре-декабре первыми мишенями стали государственные украинские сайты, в том числе связанные с энергетической инфраструктурой.
Некоторые из мишеней команды Пунтуса трудно объяснить. Чем не угодил ГРУ, к примеру, сайт университета Колорадо colostate.edu? Или польская студия веб-дизайна, специализирующаяся на компьютерных играх? Или компания — производитель солнечных батарей?
Особенно много среди мишеней компаний, так или иначе связанных с медициной, в том числе разные производители медицинской техники, клиника Bioloji Təbabət в Азербайджане и Ташкентская медицинская академия.
Кроме того, хакеры искали уязвимости сайтов государственных ведомств и объектов инфраструктуры Узбекистана, Грузии, Чехии, Словакии, Эстонии, Польши, Молдовы и Армении. Любопытно, что треть из сотни известных мишеней хакеров «29155» — чешские сайты. Преобладающая часть запросов относится к концу 2021-го и к 2022 году, после чего деятельность либо сильно сокращается, либо «29155» просто реже использует этот сервер…
