Original entnommen aus Avmalgin Georgiy Petrovich, Ihr Schnurrbart hat sich gelöst

In einer Reihe gehackter Korrespondenz zwischen Emmanuel Macron und seinem Hauptquartier, die am 5. Mai veröffentlicht wurde, wurden mehrere Briefe gefunden, die von einem Benutzer namens Georgiy Petrovich Roshka geändert wurden – dies belegen die Metadaten der Briefe.

Bei den Dokumenten, in denen The Insider Spuren von Gheorghe Rosca gefunden hat (und davon gibt es mindestens sechs), handelt es sich um Finanzdokumente von Macrons Hauptquartier. Hier ist eines davon:

Der wahre Autor des Dokuments war, den gleichen Metadaten nach zu urteilen, der Schatzmeister von Macrons Hauptquartier, Cedric O (dies ist keine Abkürzung, sondern sein vollständiger Name). Doch dann wurde das Dokument von einem gewissen Gheorghe Roshka geändert. Ein Mann namens Georgiy Petrovich Roshka arbeitet bei Evrika JSC, das Computerausrüstung herstellt und Software, deren Hauptkunden russische Regierungsbehörden sind, darunter das Verteidigungsministerium und Geheimdienste.

Georgy Roshka ist ein Programmierer, der an Fachkonferenzen teilgenommen hat, beispielsweise an der „Parallel Computing Technologies“, die 2014 in Rostow am Don stattfand. Zum Zeitpunkt der Veröffentlichung antwortete Rosca nicht auf die Anfrage von The Insider.

Erinnern wir uns daran, dass das Internetportal WikiLeaks gestern, am 5. Mai, einen Link zur gehackten Korrespondenz des französischen Präsidentschaftskandidaten Emmanuel Macron und seines Gefolges veröffentlicht hat, die aus mehreren hunderttausend E-Mails, Fotos und Anhängen besteht und bis zum 24. April 2017 zurückreicht. Die Arraygröße beträgt ca. 9 GB.

Macrons Team berichtete, dass die Dokumente vor mehreren Wochen durch Hackerangriffe auf persönliche und geschäftliche Daten erlangt worden seien Postfächer einige Vertreter der „Forward!“-Bewegung und stellte fest, dass das Array neben echten Briefen und Dokumenten auch Fälschungen enthält.

Zuvor hatte das japanische Unternehmen Trend Micro bestätigt, dass die russische Hackergruppe Pawn Storm, auch bekannt als Fancy Bear und APT28, hinter dem Cyberangriff auf Macrons Ressourcen steckt (den die Zentrale bereits im Februar registrierte). Dieselbe Gruppe hat zuvor zahlreiche Cyberangriffe in anderen westlichen Ländern durchgeführt, darunter auch in den Vereinigten Staaten, wo gehackte E-Mails der Demokratischen Partei ebenfalls an WikiLeaks zur Verbreitung vor der Präsidentschaftswahl übergeben wurden.

Wir möchten Sie daran erinnern, dass der Gründer von WikiLeaks Julian Assange ist, der unter anderem für seine Show auf dem Fernsehsender Russia Today bekannt ist.

Wir möchten darauf hinweisen, dass zuvor mehrere unabhängige Inunabhängig voneinander die Verbindung von Fancy Bear/APT28 mit den russischen Behörden (einschließlich Google-Experten) bestätigt haben. Einer der ersten war Trend Micro, der eine mächtige Hackergruppe mit einem speziellen Angriffsstil namens Pawn Storm entdeckte. Das Unternehmen konnte feststellen, dass dieselbe Gruppe sowohl beim Angriff auf russische Oppositionelle als auch beim Angriff auf amerikanische Server eingesetzt wurde (dies wurde später von einer Reihe anderer Unternehmen bestätigt). Ein Experte von Trend Micro sprach in einem Interview mit The Insider ausführlicher über diese Angriffe.

Zuvor wurde bereits festgestellt, dass russische Hacker in den von ihnen geposteten Arrays echte Dokumente mit Fälschungen vermischten. Dies war beispielsweise bei der Offenlegung von Akten der Open Society Foundation von George Soros der Fall, wo neben echten Akten auch grob gefälschte Dokumente eingestellt wurden, die den Eindruck erwecken sollten, Alexej Nawalny beziehe Geld von der Stiftung.

Der Kreml steckt hinter dem Hackerangriff auf den französischen Präsidenten.

Laut The Insider wurden in einer Reihe gehackter Korrespondenz zwischen Emmanuel Macron und seinem Hauptquartier, die am 5. Mai veröffentlicht wurde, eine Reihe von Briefen gefunden, die von einem Benutzer namens Georgiy Petrovich Roshka geändert wurden – dies wird durch die Metadaten der Briefe belegt.

Bei den Dokumenten, in denen The Insider Spuren von Gheorghe Rosca fand (und davon gibt es mindestens neun), handelt es sich um Finanzdokumente von Macrons Hauptquartier. Hier ist eines davon:

(zum Vergrößern auf das Bild klicken)

Der wahre Autor des Dokuments war, den gleichen Metadaten nach zu urteilen, der Schatzmeister von Macrons Hauptquartier – Cedric O (dies ist keine Abkürzung, sondern sein vollständiger Name). Doch dann wurde das Dokument von einem gewissen Gheorghe Roshka geändert. Ein Mann namens Georgiy Petrovich Roshka arbeitet bei JSC Evrika, einem Hersteller von Computerausrüstung und Software, dessen Hauptkunden russische Regierungsbehörden, darunter das Verteidigungsministerium und Sonderdienste, sind.

Es ist beispielsweise bekannt, dass JSC Eureka vom FSB Lizenzen zur Durchführung von Aktivitäten zum Schutz von Staatsgeheimnissen erhalten hat und auch Verträge für JSC NPO Kvant ausgeführt hat, das für das Verteidigungsministerium arbeitet. „Kvant“ wird als wichtigster Vermittler zwischen dem Verteidigungsministerium und Hackern bezeichnet, und diese Interaktion besteht seit mindestens 2009.

Georgy Roshka ist ein Programmierer, der an Fachkonferenzen teilgenommen hat, beispielsweise an der „Parallel Computing Technologies“, die 2014 in Rostow am Don stattfand. Zum Zeitpunkt der Veröffentlichung antwortete Rosca nicht auf die Anfrage von The Insider.

Erinnern wir uns daran, dass das Internetportal WikiLeaks gestern, am 5. Mai, einen Link zur gehackten Korrespondenz des französischen Präsidentschaftskandidaten Emmanuel Macron und seines Gefolges veröffentlicht hat, die aus mehreren hunderttausend E-Mails, Fotos und Anhängen besteht und bis zum 24. April 2017 zurückreicht. Die Arraygröße beträgt ca. 9 GB.

Macrons Team berichtete, dass die Dokumente vor mehreren Wochen durch das Hacken der persönlichen und geschäftlichen Postfächer einiger Vertreter der Forward!-Bewegung erlangt wurden. und stellte fest, dass das Array neben echten Briefen und Dokumenten auch Fälschungen enthält.

Zuvor hatte das japanische Unternehmen Trend Micro bestätigt, dass die russische Hackergruppe Pawn Storm, auch bekannt als Fancy Bear und APT28, hinter dem Cyberangriff auf Macrons Ressourcen steckt (den die Zentrale bereits im Februar registrierte). Dieselbe Gruppe hat zuvor zahlreiche Cyberangriffe in anderen westlichen Ländern durchgeführt, darunter auch in den Vereinigten Staaten, wo gehackte E-Mails der Demokratischen Partei ebenfalls an WikiLeaks zur Verbreitung vor der Präsidentschaftswahl übergeben wurden.

Wir möchten Sie daran erinnern, dass der Gründer von WikiLeaks Julian Assange ist, der unter anderem für seine Show auf dem Fernsehsender Russia Today bekannt ist.

Wir möchten darauf hinweisen, dass zuvor mehrere unabhängige Inunabhängig voneinander die Verbindung von Fancy Bear/APT28 mit den russischen Behörden (einschließlich Google-Experten) bestätigt haben. Einer der ersten war Trend Micro, der eine mächtige Hackergruppe mit einem speziellen Angriffsstil namens Pawn Storm entdeckte. Das Unternehmen konnte feststellen, dass dieselbe Gruppe sowohl beim Angriff auf russische Oppositionelle als auch beim Angriff auf amerikanische Server eingesetzt wurde (dies wurde später von einer Reihe anderer Unternehmen bestätigt). Ein Experte von Trend Micro sprach in einem Interview mit The Insider ausführlicher über diese Angriffe.

Zuvor war bereits aufgefallen, dass russische Hacker in den von ihnen geposteten Arrays echte Dokumente mit Fälschungen vermischten. Dies war beispielsweise bei der Offenlegung von Akten der Open Society Foundation von George Soros der Fall, wo neben echten Akten auch grob gefälschte Dokumente eingestellt wurden, die den Eindruck erwecken sollten, Alexej Nawalny beziehe Geld von der Stiftung.

Es sieht aus, als wäre es Russland, man kann es fühlen, also war es vielleicht definitiv Russland. Genau diese Version vertritt die Computersicherheitsgemeinschaft, die derzeit herauszufinden versucht, wer die Daten von Mitgliedern der Wahlzentrale des gewählten französischen Präsidenten Emmanuel Macron gestohlen hat.

Nehmen wir FireEye, das als erstes Unternehmen behauptete, dass die Hacker des Demokratischen Nationalkomitees, bekannt als APT28 und Fancy Bear, für Russland arbeiteten. Diese Hacker sind nun die Hauptverdächtigen bei Angriffen auf Vertreter von Macrons Wahlkampfzentrale, deren Daten am Freitag, dem 5. Mai, zwei Tage vor der zweiten Runde der Präsidentschaftswahlen in Frankreich, im Internet auftauchten.

FireEye sagte, die Verbindungen zwischen APT28 und dem Macron-Hack basieren weitgehend auf „TTPs“ – „Taktiken, Techniken und Verfahren“. Von Phishing-Angriffen bis zur Verbreitung von Informationen, unter anderem über den Wikileaks-Twitter-Account, nutzten die Hacker, die Macron angriffen, viele der TTPs, die für die APT28-Angriffe charakteristisch waren. Dies gab der Leiter der Cyberspionage bei FireEye, John Hultqvist, bekannt.

Darüber hinaus wurden zwei IP-Adressen – beide europäisch – entdeckt, die bei Phishing-Angriffen auf Macrons Wahlkampfzentrale verwendet wurden: onedrive-en-marche.fr und mail-en-marche.fr. Experten von Trend Micro sagten vor den Leaks, dass sie glaubten, dass die im März und April erstellten Websites Fancy Bear gehörten.

Hultquist würde jedoch nur sagen, dass der Angriff „möglicherweise von Hackern von APT28 ausgeführt“ wurde, einer Gruppe, von der die US-Regierung annimmt, dass sie von der Spionageabteilung des Kremls, dem Main Intelligence Directorate (GRU), geleitet wird. „Viele Leute haben einen Vorfall wie diesen vorhergesagt, und ihm gingen die für APT28 typischen Hackeraktivitäten voraus“, sagte Hultquist. Aber er fügte hinzu, dass die „extreme Aufmerksamkeit, die dieser Gegner der Sicherheit der Operation schenkte, die Fähigkeit von Experten bei der Suche nach den Tätern dieses Angriffs erheblich beeinträchtigen könnte.“

Kontext

Russland hat nicht die Wahlen angegriffen, sondern die Wähler

Forbes 26.01.2017

Russisches Hacking ist Trumps Problem

Die Washington Post 19.12.2016

Wie man Russland bestraft

Das tägliche Biest 19.12.2016
Obwohl diese Phishing-Domains möglicherweise dazu genutzt wurden, einen Hack gegen Macron und seine Unterstützer zu starten, gibt es keine schlüssigen Beweise dafür, dass diese Angriffe erfolgreich waren oder zu dem Leak führten. Einfach ausgedrückt konnten Experten keine Daten finden, die eine direkte Verbindung zwischen den bekannten Kommando- und Kontrolldomänen von Fancy Bear und dem Hackerangriff auf Forward! ermöglichen würden.

CrowdStrike, das eine Fülle von Daten fand, die die angeblich russische Gruppe Fancy Bear mit dem Hackerangriff auf das Democratic National Committee in Verbindung brachten, konnte ebenfalls keine spezifischen Daten finden. Technische Kommunikation zwischen ihnen, nachdem eine vorläufige Analyse der verfügbaren Daten durchgeführt wurde. (Ihre Experten kamen zu dem Schluss, dass sie nicht über die Kapazitäten verfügten, eine detaillierte und umfassende Analyse durchzuführen.)

Russland hat wiederholt seine Beteiligung an der Cyber-Einmischung in die US-Präsidentschaftswahl und andere Cyber-Spionagekampagnen bestritten. Der Kreml antwortete nicht auf eine Anfrage, sich zu Informationen über seine mögliche Beteiligung an Hackerangriffen gegen Vertreter der Macron-Zentrale zu äußern.

Ist das kyrillische Alphabet irreführend?

Eine weitere Tatsache könnte auf eine Beteiligung Russlands hinweisen. Es könnte sich jedoch durchaus als Ablenkungsmanöver herausstellen.

Kyrillisch wurde in den Metadaten von Dateien aus Macrons Wahlkampfzentrale gefunden, die ins Internet gelangten. Es ist unklar, wie sie dorthin gelangte. War es ein Fehlschlag? Oder ist das Sabotage? Es ist unmöglich, diese Fragen zu beantworten.

Diese Metadaten erschienen dort, weil diese Dateien in der russischen Version bearbeitet wurden Microsoft Excel. Es stellte sich heraus, dass die Hälfte der Änderungen von einem Benutzer namens „Roshka Georgiy Petrovich“ vorgenommen wurde – genau zu dieser Schlussfolgerung gelangt Chris Doman von AlienVault. Das Unternehmen betonte, dass es sich dabei durchaus um von Hackern gezielt eingeschleuste Fake-Informationen, um die Folge eines Hackerfehlers oder um die Tatsache handeln könne, dass ein ahnungsloser Benutzer mit diesem Namen an diesem Hackerangriff beteiligt gewesen sein könnte.

Domain sagte, er sehe „keine eindeutigen Beweise“, die die beiden von Trend Micro entdeckten Phishing-Domänen sicher mit dem Leck aus Macrons Hauptquartier in Verbindung bringen könnten, „obwohl dies möglich erscheint“.

Die Situation wird dadurch noch komplizierter, dass Mounir Mahjoubi, der in Macrons Hauptquartier für digitale Technologien verantwortlich war, gegenüber der französischen Presse angedeutet hat, dass Macrons Mitarbeiter möglicherweise selbst gefälschte Daten auf ihren Servern platziert haben, um Hacker anzulocken und sie zum Diebstahl zu zwingen getaggte Daten. Solche Honeypots werden häufig verwendet, um die Aktivitäten von Hackern zu verfolgen.

Anders als beim Demokratischen Nationalkomitee erwies es sich als viel schwieriger, die Hintermänner des Hackerangriffs auf Macrons Wahlkampfzentrale zu finden.

InoSMI-Materialien enthalten ausschließlich Einschätzungen ausländischer Medien und spiegeln nicht die Position der InoSMI-Redaktion wider.

Das an der Veröffentlichung geheimer Geheimdienstdaten beteiligte Unternehmen berichtete, dass in den Metadaten von Briefen aus dem Hauptquartier des französischen Präsidentschaftskandidaten von Forward! Emmanuel, am Tag zuvor von Hackern geöffnet, wurden Aufzeichnungen gefunden, die Daten eines Mitarbeiters der russischen Firma Eureka enthielten.

„Der Name eines Mitarbeiters eines Auftragnehmers taucht neun Mal im durchgesickerten Archiv xls_cendric.rar auf“, twitterte die Organisation.

Der Nachricht liegt ein Screenshot bei, der eine Tabelle mit Datumsangaben zeigt. Darin erscheint der Name: . In der folgenden Nachricht stellt WikiLeaks einen Artikel bereit, der dies darlegt

JSC „Evrika“ ist Lieferant Informationslösungen Als Hersteller von Computerausrüstung erhielt das Unternehmen vom Föderalen Sicherheitsdienst Russlands zwei Lizenzen, die ihm das Recht einräumen, Tätigkeiten im Bereich des Schutzes von Staatsgeheimnissen durchzuführen.

„Die vorrangigen Tätigkeitsbereiche des Unternehmens sind die Entwicklung und Erstellung komplexer Informationssysteme, Unternehmen Netzwerklösungen, Herstellung von Computerausrüstung. Zu den Stammkunden des Unternehmens zählen das Staatliche Zollkomitee, GUIN, die Hauptdirektion für St. Petersburg und das Staatliche Eigentumskomitee von St. Petersburg“, zitiert WikiLeaks eine Nachricht des Pressedienstes Eureka.

Am Abend des 5. Mai gab einer der Hauptkandidaten für die Präsidentschaft Frankreichs, Emmanuel Macron, bekannt, dass er Opfer eines Computerhacks geworden sei. Insbesondere wurden die in allen E-Mails des Politikers enthaltenen Informationen gestohlen. Insgesamt wurden etwa 9 GB an Daten zu Macron in einem Profil namens EMLEAKS im Internet veröffentlicht.

Am nächsten Tag forderte die Kommission zur Überwachung des Wahlkampfs zur französischen Präsidentschaftswahl die Medien auf, Informationen, die durch den Hackerangriff bekannt wurden, nicht zu veröffentlichen.

„Der Vorsitzende der Kommission macht die Medien auf das Verantwortungsbewusstsein aufmerksam, das sie an den Tag legen müssen, da die freie Meinungsäußerung und die Authentizität der Abstimmung gefährdet sind.“ Daher fordert sie die Medien und insbesondere deren Internetseiten auf, den Inhalt dieser Daten nicht zu veröffentlichen, und erinnert daran, dass die Verbreitung falscher Informationen gesetzlich bestraft werden kann“, heißt es in einer Erklärung der Kommission.

Der derzeitige Präsident Frankreichs wiederum sagte, dass dieser Hack nicht unbeantwortet bleiben werde.

„Wir wussten, dass es während des Präsidentschaftswahlkampfs ähnliche Risiken geben würde, da dies an anderen Orten bereits geschehen ist. Es wird nichts unbeantwortet bleiben“, betonte das Staatsoberhaupt.

Beachten Sie, dass WikiLeaks zuvor beschuldigt wurde, Verbindungen zu Russland zu unterhalten. Im Oktober 2016 berichtete er unter Berufung auf hochrangige Beamte des Landes, dass in den USA eine Untersuchung wegen des Verdachts eingeleitet worden sei, dass die Organisation WikiLeaks Informationen aus Russland erhalten habe.

„Während WikiLeaks weiterhin veröffentlicht E-Mails US-Beamte, Vorsitzende des Wahlkampfs der ehemaligen US-Präsidentschaftskandidatin Hillary Clinton, sagten, dass es immer mehr Beweise dafür gäbe, dass Russland WikiLeaks als Instrument zur Veröffentlichung von Nachrichten und anderen gestohlenen Informationen nutzt“, sagte die CNN-Quelle.

Gleichzeitig leiteten US-Geheimdienstmitarbeiter eine formelle Untersuchung der Verbindungen zwischen dem FSB und WikiLeaks ein. Bei der Untersuchung der Daten zeigten sie sich zuversichtlich, dass russische Geheimdienste hinter den Leaks stecken. WikiLeaks hat auf diese Vorwürfe keine Antwort gegeben.

Im Januar 2017 äußerte der rumänische Hacker Marcel Lazar, bekannt als Guccifer, der zugab, Clintons E-Mails gehackt zu haben, Zweifel an den Vorwürfen der vorherigen US-Präsidentschaftsregierung gegen Russland hinsichtlich der Beteiligung Moskaus an Cyberangriffen.

Dutzende Cybersicherheitsorganisationen aus verschiedene Länder, der die Aktivitäten der Hackergruppen Fancy Bear und Cozy Bear untersuchte, bewies: Vertreter dieser Gemeinschaften operieren von großen russischen Städten aus, sprechen Russisch, arbeiten zu russischen Arbeitszeiten und greifen Ziele im Ausland an (Clinton, Macron, eine Reihe europäischer Politiker usw.). Journalisten, NATO-Einrichtungen, Ziele in der Ukraine usw.).

Und nun ist ihre Beteiligung an der GRU bewiesen.

Am Donnerstag teilte die Informationssicherheitsbehörde der französischen Regierung mit, sie habe bei dem Cyberangriff auf Emmanuel Macron keine „russischen Spuren“ identifiziert. Wladimir Putin äußerte sich etwas vager und sagte am Vortag, wenn es sich um russische Hacker handele, stünden sie definitiv nicht im Zusammenhang mit dem Staat. Wie The Insider jedoch herausgefunden hat, hatten diejenigen, die Macron gehackt haben, die direkteste Verbindung zum Staat – sie waren aktive Mitarbeiter der Hauptnachrichtendirektion der russischen Streitkräfte.

Anfang Mai schrieb The Insider, dass der Name Georgiy Petrovich Roshka in den Metadaten gehackter Briefe des französischen Präsidenten Emmanuel Macron gefunden wurde. Zu diesem Zeitpunkt wusste The Insider nicht viel über ihn, zum Beispiel, dass er als Mitarbeiter von Evrika JSC an einer Konferenz zum Thema teilnahm Informationstechnologie PAVT-2014 und dass Eureka eng mit dem Verteidigungsministerium zusammenarbeitet. Es konnte auch herausgefunden werden, dass Sergei Zaitsev, der im Spezialentwicklungszentrum des Verteidigungsministeriums der Russischen Föderation arbeitet, zusammen mit Roshka (ebenfalls im Namen von Eureka) zur Konferenz gegangen ist und dass dieses Zentrum Mitarbeiter rekrutiert beruflich mit Programmierung und Kryptographie vertraut.

Eureka antwortete den Insider-Journalisten offiziell, dass Rosca nie für das Unternehmen gearbeitet habe und niemand in seinem Namen zur PAVT-2014-Konferenz gegangen sei. Eureka berichtete auch, dass man „in offenen Quellen“ Informationen finden könne, dass Rosca auch an der PAVT-Konferenz in den Jahren 2016 und 2017 teilgenommen habe, allerdings „in einem anderen Status“. Eureka konnte nicht erklären, welchen Status es hatte und um welche Art von offenen Quellen es sich handelte (eine Internetsuche ergab keine Hinweise auf Roskas Teilnahme an späteren Konferenzen oder sonstige Erwähnungen von ihm). Der Insider versuchte, diese Informationen von den Konferenzorganisatoren zu bekommen – und da wurde es seltsam.

Sonderkonferenz

Einer der Hauptorganisatoren der Konferenz, Co-Vorsitzender des PAVT-Programmkomitees Leonid Sokolinsky (Leiter der Abteilung für Systemprogrammierung an der SUSU), sagte gegenüber The Insider, dass er wie dort keine Angaben zu den Konferenzteilnehmern in den Jahren 2016 und 2017 machen könne Es handele sich um einen „Fehler in der Datenbank, wodurch die Festplatten außer Betrieb waren und die Informationen nicht gespeichert wurden“. Ihm zufolge sei der Ausfall darauf zurückzuführen, dass das Speichersystem alt sei. Er wies auch darauf hin, dass sich „jede Person auf der Straße“ für die Konferenz anmelden könne und ihre Herkunft in keiner Weise überprüft werde.

Nun, es sieht so aus, als hätte The Insider einfach Pech gehabt. Aber für alle Fälle wandte sich die Veröffentlichung an einen anderen Mitorganisator der Konferenz, Vladimir Voevodin, Leiter der Abteilung für Supercomputer und Quanteninformationswissenschaft an der Moskauer Staatsuniversität, und er gab unerwartet eine völlig andere Antwort: Er verfügt über eine Teilnehmerliste , er kann diese jedoch nicht erteilen, da er sich entschieden hat, keine personenbezogenen Daten offenzulegen. Auf die Frage, warum diese Liste 2014 offen auf der Website veröffentlicht wurde, antwortete Voevodin: „Sie begannen, personenbezogene Daten ernster zu nehmen.“

Bezüglich des Registrierungsverfahrens für Teilnehmer antwortete Voevodin, dass Interessenten eine Bewerbung einreichen, dann „wird die Arbeit begutachtet, eine Rezension verfasst und die stärksten ausgewählt.“ Wenn es akzeptiert wird, bedeutet das, dass die Person spricht.“ Gleichzeitig prüfe seiner Meinung nach niemand, aus welcher Organisation der Teilnehmer stammt: „An die Organisation wird kein Antrag gestellt, dass dieses oder jenes Institut dieses und jenes Werk vorgelegt hat, das von dieser und jener Person unterzeichnet wurde . Die Organisatoren achten lediglich auf den wissenschaftlichen Teil der Arbeit und deren Relevanz für das Thema der Konferenz.“

Alles wäre gut, aber Rosca hat auf der Konferenz keinen Bericht vorgelegt und im Allgemeinen war die Anzahl der Redner auf der Konferenz deutlich geringer als die Anzahl der Teilnehmer. Und es sah nicht so aus, als ob Menschen von der Straße Zutritt zu der Veranstaltung erhalten hätten. Auf der Teilnehmerliste standen insbesondere Militärangehörige. Zum Beispiel haben sich Ivan Kirin, Andrey Kuznetsov und Oleg Skvortsov bei der Militäreinheit Nr. 71330 registriert. Den Informationen in offenen Quellen nach zu urteilen, ist diese Militäreinheit auf elektronische Aufklärung, Funkabhörung und Entschlüsselung spezialisiert. Und Alexander Pechkurov und Kirill Fedotov registrierten von der Militäreinheit Nr. 51952 die Funküberwachung des 16. Zentrums des FSB Russlands. Darüber hinaus nahmen an der Konferenz drei Mitarbeiter des dem FSB unterstellten föderalen einheitlichen Unternehmensforschungsinstituts „Kvant“ teil, das bereits 2015 in Verbindungen mit Hackern geraten war.

Wie kam es dazu, dass sich Geheimdienstoffiziere offen unter ihrem eigenen Namen registrieren ließen? Vladimir Voevodin sagte gegenüber The Insider, dass „die Teilnehmer selbst für die Geheimhaltung sorgen, die gesamte Verantwortung liegt bei ihnen.“

Aber die Hauptfrage konnte nicht beantwortet werden – wer ist Rosca und in welchem ​​Status trat er auf nachfolgenden Konferenzen auf? Um das herauszufinden, schickte The Insider Briefe an alle Teilnehmer der PAVT-Konferenz 2014 mit der Bitte, die Teilnehmerliste für 2016 und 2017 zu senden. Und einer der Empfänger leitete beide Dokumente weiter.

Im Jahr 2016 stand gegenüber dem Namen Georgiy Roshka „Militäreinheit Nr. 26165, Spezialist“.

Das 85. Hauptzentrum des GRU-Sonderdienstes, auch bekannt als Militäreinheit Nr. 26165, ist auf Kryptographie spezialisiert.

GRU-Hacker

Der ehemalige Leiter des 85. Hauptzentrums des GRU-Sonderdienstes, Sergei Gizunov, sollte nach dem mysteriösen Tod des Chefs der GRU, Igor Sergun, seinen Platz einnehmen, aber er wurde nur der Stellvertreter des neuen Chefs, Igor Korobow. Sowohl Gizunov als auch Korobov stehen heute unter amerikanischen Sanktionen im Zusammenhang mit „Aktionen zur Untergrabung der Demokratie in den Vereinigten Staaten“ – also genau im Zusammenhang mit Hackerangriffen. Wenn Korobov jedoch nur als GRU-Chef unter Sanktionen geriete, könnte Gizunov einen sehr direkten Bezug zu Cyberangriffen haben – er ist ein Kryptographie-Spezialist mit umfassendem Wissen zu diesem Thema wissenschaftliche Arbeiten. Das ihm unterstellte 85. Haupt-Sonderdienstzentrum in Moskau am Komsomolski-Prospekt befasste sich offenbar mit diesem historischen Gebäude (der ehemaligen Khamovniki-Kaserne, die unter Alexander I. erbaut wurde). .

Sergei Zaitsev, der im Namen von „Eureka“ auch mit Roshka zur PAVT-2014 ging und anschließend als Mitarbeiter des Sonderentwicklungszentrums des Verteidigungsministeriums der Russischen Föderation auftrat, erscheint 2016 nicht in der Teilnehmerliste und 2017. Aber hier ist das Merkwürdige: Wenn Roshka 2016 bei einer Militäreinheit registriert wurde, wird er 2017 als „wissenschaftlicher Mitarbeiter am Zentrum für strategische Forschung“ aufgeführt. Dies bezieht sich höchstwahrscheinlich auf dasselbe Spezialentwicklungszentrum des Verteidigungsministeriums (man kann sich kaum vorstellen, dass Roshka plötzlich einen Job bei Kudrin bekam). Es kann jedoch nicht ausgeschlossen werden, dass es sich bei dieser Stelle nur um eine Tarnung handelte: Es musste lediglich etwas zum Bewerbungsformular hinzugefügt werden. Aber warum stellte sich Rosca 2014 als Mitarbeiter der Firma Eureka vor? War das auch eine Tarnung? Oder hat er noch etwas mit ihr zu tun?

„Eureka“ und die Hackerfabrik

„Hiermit teilen wir Ihnen mit, dass Roshka Georgiy Petrovich im Zeitraum vom 01.01.2003 bis 05.10.2017 nicht dauerhaft bei der JSC „EUREKA“ INN 7827008143 tätig war und mit ihm keine zivilrechtlichen Verträge geschlossen wurden. Außerdem wurde Roshka Georgiy Petrovich weder in den Listen der Studenten des Ausbildungszentrums noch in der Datenbank gefunden E-Mail-Adressen domain.eureca.ru".

Es ist nicht möglich, die Richtigkeit dieser Antwort zu überprüfen. Von besonderem Interesse ist jedoch das Eureka-Schulungszentrum. Formal führt er „Informationstechnologie-Kurse“ durch. Aber mit dem Unternehmen vertraute Quellen, The Insider (der um Anonymität bat), berichteten, dass das gleiche „Ausbildungszentrum“ von „Eureka“ unter anderem zukünftige Hacker unter Geheimdienstmitarbeitern ausbildet.

Klassenzimmer im Eureka Training Center

Das russische Verteidigungsministerium bestreitet die Anwesenheit von Cyber-Truppen nicht, wo genau sich die Hacker-Ausbildungsfabriken befinden, wird aber natürlich nicht mitgeteilt. Vielleicht ist der Moskowski-Prospekt 118 einer dieser Orte.

Es ist merkwürdig, dass, wie das Municipal Scanner-Projekt herausgefunden hat, einer der drei Miteigentümer von Eureka, Alexander Kinal, im Februar dieses Jahres eine Wohnung in einem Elitegebäude auf der Kamenny-Insel in St. Petersburg in der 2. Berezovaya gekauft hat Gasse, 19. The Insider Ich habe bereits über dieses legendäre Haus geschrieben, in dem der engste Kreis von Wladimir Putin lebt, darunter sein Judo-Freund Arkady Rotenberg, der ehemalige Präsidentenmanager Wladimir Kozhin und einige Mitglieder der Ozero-Genossenschaft (Nikolai Shamalov, Yuri Kovalchuk, Sergei Fursenko). und Viktor Myachin) und Ex-Chef der Malyshevskaya-Verbrechergruppe Gennady Petrov. Laut Municipal Scanner war es Petrovs Wohnung mit einer Fläche von 478,7 Quadratmetern (geschätzte Kosten etwa 9 Millionen US-Dollar), die vom Miteigentümer von Eureka gekauft wurde.

Verleugnungsphase

Es sei merkwürdig, dass Wladimir Putin die Verbindung von Hackern mit Russland nicht mehr so ​​kategorisch bestreite, sagen sie – es könnten einfach russische Patrioten sein, die unabhängig vom Staat agieren:

„Der Hintergrund der zwischenstaatlichen Beziehungen ist auch in diesem Fall wichtig, denn Hacker sind freie Menschen, wie Künstler: Sie sind gut gelaunt, stehen morgens auf und malen fleißig Bilder.“ Das gilt auch für Hacker. Sie sind heute aufgewacht und haben gelesen, dass sich dort etwas in den zwischenstaatlichen Beziehungen tut; Wenn sie patriotisch sind, beginnen sie, ihren Beitrag, den sie für richtig halten, im Kampf gegen diejenigen zu leisten, die schlecht über Russland sprechen. Vielleicht? Theoretisch möglich. Auf Landesebene machen wir das nie, das ist das Wichtigste, das ist das Wichtigste.“

Die Geschichte über „freie Künstler“ entstand nicht zufällig. Dutzende Cybersicherheitsorganisationen aus verschiedenen Ländern, die die Aktivitäten der als Fancy Bear und Cozy Bear bekannten Gruppen untersucht haben, haben ausreichende Daten gesammelt, die darauf hinweisen, dass Vertreter dieser beiden Gruppen von großen russischen Städten aus operieren, Russisch sprechen und zu russischen Arbeitszeiten arbeiten (Ruhezeit). Tage, die in Russland Wochenenden sind) und greifen Ziele an, die für die russische Regierung von Interesse sein könnten – sowohl im Ausland (Hillary Clinton, Emmanuel Macron, eine Reihe europäischer Politiker und Journalisten, militärische Einrichtungen der NATO, Ziele in der Ukraine und Georgien usw. .d.) und innerhalb des Landes (Oppositionisten, Journalisten, NGO-Mitarbeiter). Heute lässt sich die Verbindung zwischen Hackern dieser beiden Gruppen und Russland nicht mehr leugnen. Sie können jedoch versuchen, sie als unabhängige Einheiten darzustellen. Ganz ähnlich wie die „neuen Russland-Milizen“ als eigenständige Akteure dargestellt wurden.

Bisher wurde diese Rechtfertigung nur durch indirekte Beweise widerlegt (zum Beispiel die Tatsache, dass der Betrieb von Fancy Bear und Cozy Bear laut Experten einen ständig arbeitenden großen Stab gut ausgebildeter Mitarbeiter und ernsthafte finanzielle Ressourcen erforderte – das ist nicht möglich für „freischaffende Künstler“). Nun wurde die Beteiligung der GRU durch direkte Beweise bestätigt. Putins Versuche, alles damit zu erklären, dass „jemand einen USB-Stick mit dem Namen eines russischen Staatsbürgers eingesteckt hat“, werden auch kaum jemanden überzeugen: Roshkas Name ist noch nie zuvor aufgetaucht, weder im Zusammenhang mit Hackern noch im Zusammenhang mit der GRU (und vielleicht sogar …). ohne diese Untersuchung wäre es nicht ans Licht gekommen), es hätte also nicht zur Provokation missbraucht werden können.

Das Material wurde unter Beteiligung von Anastasia Kirilenko, Sergei Kanev, Iva Tsoi und Anna Begiashvili erstellt