Измамници, убийци, студенти: от кого ГРУ сформира екип от хакерски провокатори и защо се провали
Роман Доброхотов,
Христо Грозев,
Майкъл Вайс
31 май 2025 г.
Подразделение 29155 на ГРУ стана известно по целия свят с неуспешните отравяния с Новичок на Скрипал в Солсбъри и Емилиян Гебрев в България, както и с експлозиите на военни складове в България и Чехия, но доскоро малцина знаеха за хакерската им дейност. Тъй като сървърът на хакерите беше практически незащитен, The Insider успя да получи достъп до него и да открие пълен списък с цели на ГРУ: от украински държавни компании до инфраструктурни съоръжения в Европа, катарска банка и дори медицински клиники по целия свят. След като проучи обажданията, полетите и кореспонденцията на хакерите, The Insider идентифицира няколко десетки членове на групата, включително осъдени хакери, току-що завършили студенти и ветерани от операции по отравяне и саботаж на ГРУ, които нямат опит в информационните технологии. Повечето от хакерските и информационно-саботажните операции на 29155 се провалиха и това не е изненадващо, като се има предвид, че ръководителите на хакерския отдел публично говориха за ниската си мотивация, използваха фалшиви самоличности, за да се срещат с любовници и секс работничка (като по този начин разкриваха личните си данни) и „разпиляваха“ средства, предназначени за саботажна работа в Украйна.
Съдържание
Измамници-картодържатели и чеченски нашист от ФСБ
Провокации срещу Полша, САЩ и WADA
Вербуван журналист и инжекция в крака
Провокации в Украйна: Азов срещу Зеленски
Попълнения в отбора: ветерани и „орли“
„Министерството на отбраната е пълно с идиоти и хомосексуалисти“: публични разкрития на хакера Денисов
Роман Пунтус: Героят-любител и незащитеният сървър
Украйна, европейска инфраструктура, медицински компании: кой беше атакуван от хакери
Нямаме други кадри за вас.
Предлага се на английски език
През септември 2024 г. ФБР публикува обвинителен акт срещу група хакери, работещи за подразделение 29155 на ГРУ, същото военно подразделение, което стана известно с отравянето на Скрипал в Солсбъри. Отдавна е известно, че ГРУ разполага с хакерски звена, The Insider пръв доказа това още през 2017 г. и по това време ставаше дума за военно поделение 26165, известно като Fancy Bear или APT28 и прочуто с хакването на имейла на Хилари Клинтън, Еманюел Макрон и различни международни организации. По-късно беше разкрито, че друга група, известна като „Пясъчен червей“ (военно поделение 74455), действа под закрилата на ГРУ. Той създаде най-разрушителния вирус, NotPetya, който затвори електроцентрали в Украйна и атакува военни съоръжения на НАТО. Но фактът, че Подразделение 29155, което се занимаваше с убийства и саботажи, също имаше свои собствени хакери, звучеше странно и изненадващо.
Инсайдер успя да получи достъп до кеша на сървърния лог на тази група хакери, който (почеркът на ГРУ е разпознаваем!) се оказа незащитен. Сравнявайки това с данни от социалните мрежи и изтекли бази данни, както и разговаряйки с някои източници, The Insider възстанови картината на дейността на тази група във всичките ѝ детайли.
Измамници-картодържатели и чеченски "нашист" от ФСБ
Идеята за създаване на хакерска група в 29155 е възникнала при предишния началник на ГРУ, Игор Сергун, преди около 10 години. Сред онези, на които началникът на военно поделение 29155 Андрей Аверянов повери този проект, бяха опитните му подчинени Роман Пунтус и Юрий Денисов, които нямаха специални компютърни познания, но бяха изпитани в различни специални операции на ГРУ в Европа, и нов член на поделението Тим Стигал, етнически чеченец с интересна биография. Стигъл беше блогър, живеещ в Дагестан, който вече беше публикувал книга за Форекс търговията според исляма, а същевременно пишеше и романтична поезия. През 2011 г. той се оплака в отговор на туит на тогавашния президент Дмитрий Медведев за изнудване от 300 000 долара, за което се твърди, че е било взето от близкото обкръжение на Владислав Сурков за организиране на среща с него. Стигъл помолил Медведев да „го вземе в екипа си“, защото бил „пълен с идеи“. Малко след това обръщение, Стигъл пише: „Владислав Юриевич току-що се обади. Доволен съм от разговора. Решихме да се срещнем след изборите.“
Тим Стигъл на събитие на Нашист през 2011 г.
Още една снимка от същото събитие
Паспортни снимки на Тим Стигъл (вляво) и „Данила Магомедов“ (вдясно)
На следващата година Стигъл основава дагестанския клон на загиващото движение „Наши“ и организира флашмоб, лобирайки за преименуването на централния площад в столицата на Дагестан на площад „Путин“. По това време Стигъл вече тясно сътрудничи с военното контраразузнаване на ФСБ и не по-късно от 2014 г. се присъединява към екипа на Аверянов. Възможно е именно ДВКР на ФСБ да го е разпределил към служителите на ГРУ от в/в 29155: някои от настоящите служители на ГРУ работят паралелно във военното контраразузнаване на ФСБ, като по този начин служителите по сигурността следят Министерството на отбраната. Във всеки случай, през 2014 г. Стигъл получава паспорт на името „Данила Магомедов“ от същия диапазон от номера като паспортите на отровителите на Скрипал „Петров“ и „Боширов“.
Не е изненадващо, че Аверянов е насочил Стигъл именно в хакерската посока: ФСБ като цяло и ДВКР в частност са имали много добри контакти с хакерски измамници, занимаващи се с кардуваане и други видове финансови киберпрестъпления. Сред другите, Стигъл успява да привлече към работата Алексей Строганов, по прякор „Флинт“, Евгений Башев и Игор Ворошилов.
През 2006 г. хакерът Строганов вече е бил съден за измама с карти и е получил 6 години, но е бил освободен след 2 години - очевидно, благодарение на защитата на далекоизточния клон на ФСБ, с който по-късно е сътрудничил тясно. Когато бъде арестуван отново през 2021 г., той самият ще заяви в съда, че работи за специалните служби и дори ще представи удостоверение, подписано от директора на ФСБ. Всъщност, след освобождаването си през 2008 г., Алексей Строганов става основен „експерт в областта на киберсигурността“, защитавайки банки и платежни системи от хакерски атаки, за него са заснети няколко филма, написана е и книга, а губернаторът на Санкт Петербург Беглов гордо се снима с Флинт, когато му е връчен сертификат.
Кардър „Флинт“ с губернатор Беглов
Кардър „Флинт“ с губернатор Беглов
Всичко това не попречи на Флинт да продължи измамните си дейности под бдителното ръководство на ДВКР на ФСБ. Според разследващия отдел на Министерството на вътрешните работи, групата на Флинт е действала от 2014 г. до март 2020 г., крадейки данни от банкови карти не само в Русия, но и в Европейския съюз и Съединените щати.
След ареста на тази група хакери (в наказателното дело участват 26 души), се оказа, че ключовият съучастник на Флинт е действащ служител на Далекоизточния военен окръг на ФСБ и това дори се превърна в процедурен проблем, защото означава, че случаят трябва да се разследва не от Следствения комитет, а от Министерството на вътрешните работи (въпреки че 235-ият гарнизонен военен съд на Москва реши, че това не е толкова съществено нарушение и не се превърна в пречка).
Именно заради ръководенето на тази група измамници самият Стигъл попадна в обвинителния акт на САЩ, но очевидно американските служители на реда все още не знаеха, че той работи паралелно с 29155.
Провокации срещу Полша, САЩ и WADA
Любопитно е, че въпреки всички тесни връзки с хакерите, повечето операции, които Стигъл организира в интерес на ГРУ, не бяха толкова хакерски, колкото провокативни.
Например, една операция е била насочена към дискредитиране на Bellingcat: Стигъл е регистрирал акаунт в Twitter, принадлежащ на хакери, наречени Anonymous Poland, за които се твърди, че са свързани с Bellingcat. Чрез този акаунт екипът на Стигъл е изтекъл откраднати данни за кредитни карти, приписвайки изтичането на „хакери“ на Bellingcat (въпреки че Bellingcat никога не е имала хакери). Хакерите на Стигъл също така са разкрили имената и снимките на децата на украинските войници, които по това време са служили на фронтовата линия в Донбас, като отново са приписали хакерската атака на Bellingcat (Bellingcat многократно е предупреждавала Twitter за тази дейност, но платформата е решила, че тя не нарушава правилата ѝ).
Накрая, 29155-те хакери съставили списък с цели, свързани с истинския Bellingcat, разделяйки ги на „лидери“, „разследващи“ и „симпатизанти“, визирайки служителите на Bellingcat и различните акаунти в социалните медии, които подкрепят работата на изданието. Няколко души от списъка потвърдиха пред The Insider, че са били обект на фишинг кампании по едно и също време.
Някои провокации имаха своите скромни успехи. Например, чрез акаунт, за който се твърди, че принадлежи на „Десния сектор“, той публикува хакнати данни на полски служители, придружавайки ги с обиди, а някои от тях действително се поддадоха на провокацията.
Докато акаунтите @pravysektor и @pravsector бързо бяха идентифицирани като измамни и премахнати от Twitter, акаунтите @anonpl и @anon_pl20 останаха активни в продължение на години и бяха използвани от екипа на Стигъл многократно. Някои от изтичанията на информация, осъществени чрез тези акаунти, преди това са били приписвани на други хакерски звена на ГРУ, като например FancyBear, което дава основание да се подозира, че военно поделение 29155 е сътрудничило с FancyBear (военно поделение 26165). Архивирана страница от акаунта @anpoland показва някои от изтичанията на информация, оповестени публично през септември 2016 г. Те включват „досиета на полицейското управление на Детройт“ (съдържащи хаштаговете #StopFBI #Revolution), „документи на Стратегическото въздушно командване и Boeing KC-10“, Параолимпийския отбор на САЩ и Световната антидопингова агенция (WADA), които разкриха „систематичен правителствен саботаж на процеса на тестване за наркотици преди, по време и след Зимните олимпийски игри в Сочи през 2014 г.“ Независим доклад, публикуван от WADA през юли 2016 г., доведе до забраната на стотици руски спортисти да участват в последващи международни спортни състезания. Нека припомним, че ФБР обвини седем служители на ГРУ от военно поделение 26165 в хакване на WADA през 2016 г.
Може би най-успешната операция на 29155 хакери е била хакването на QNB, най-голямата банка в Катар, през май 2016 г. Хакването е позволило изтичането на 1,5GB масив от клиентски данни, съдържащ банкови идентификационни данни, телефонни номера,
Телефони, данни за платежни карти и дати на раждане. Изтичането на информация е било структурирано, за да привлече вниманието към финансовите сделки на управляващото семейство на Катар и разузнавателните операции. Турската фашистка групировка @bozkurthackers пое отговорност за хакерската атака в социалните мрежи. В действителност този акаунт е бил контролиран от екипа на Тим Стигъл, както се вижда от скрийншотове на доклади за тази операция и логове за хакерски атаки, открити на сървъра на ГРУ. Тази операция беше особено успешна, защото никой никога не я свърза с Русия.
Екранна снимка на хакерски записи на катарска банка, открити на сървър на GRU
Екранна снимка на хакерски записи на катарска банка, открити на сървър на GRU
Вербуван журналист и изстрел в крака
Стигъл успява да вербува и българската журналистка Диляна Гайтанджиева, за да помогне за разпространението на информацията. За да легитимира изтичането на информация, през 2017 г. той създава акаунта в Twitter „Анонимна България“, чрез който изтегля хакната кореспонденция от азербайджанското посолство. Твърди се, че той се „среща“ с Диляна в Twitter, но съдейки по факта, че веднага започва да пренасочва други журналисти и блогъри към Диляна, твърдейки, че тя е „добро момиче“, е очевидно, че по това време те вече са имали предварително споразумение и стабилни отношения на доверие.
Няколко дни по-късно Диляна публикува „разследване“, основано на тази кореспонденция, в българския всекидневник „Труд“ (забележително е, че това е единствената статия на английски език, публикувана от „Труд“, което предполага, че статията е била предназначена да достигне до международна аудитория, докато е публикувана от името на уважавана медия).
От кореспонденцията в този акаунт става ясно, че целта на ГРУ е била не само да подхвърли информация, но и да организира улични протести пред българското посолство, за да окаже политически натиск (въпреки че и това не успя да организира) и да контролира военния износ от България. Нека припомним, че по-рано, със същите цели, колегите на Стигъл през 29155 г. отровиха с Новичок българския износител на оръжие Емилиян Гебрев.
Най-вероятно Диляна е работила с ГРУ от 2016 г., във всеки случай, тя вече е започнала да публикува много „полезни“ публикации още тогава, например по време на мисията си в Сирия през 2016 г. тя „откри“ българско оръжие сред сирийските бунтовници, което след това е било активно използвано от Русия в кампанията ѝ за натиск върху България.
След публикация в „Труд“ за Азербайджан, Диляна е уволнена оттам, според съобщенията, поради правните последици от публикуването на дипломатическа кореспонденция. Но работата ѝ по 29155 едва започваше. През 2018 г. тя пътува до Грузия, за да докладва за несъществуващи „американски биолаборатории“, за които се твърди, че работят на територията на посолството на САЩ в Тбилиси. Буквално няколко дни преди доклада си, Стигъл посети Тбилиси с паспорт на името на Магомедов. Нейният репортаж, публикуван по сателитен телевизионен канал, свързан със сирийското правителство, беше първият от поредица конспиративни теории за „американски биолаборатории“, които са се превърнали в основен елемент на руската държавна пропаганда. 29155 смята това за един от най-големите си успехи в областта на разпространението на дезинформация.
През 2019 г. Диляна регистрира уебсайта ArmsWatch.com, за да публикува редовно хакнатите масиви на Подразделение 29155. Често целта на тези публикации е била да дискредитират журналистически разследвания за дейността на това военно поделение, включително разследвания за отравянията на Скрипал и Емелян Гебрев. „Изтичанията“ на Диляна трябваше да улеснят работата на ГРУ, като осигурят информационна подкрепа за операциите, но в действителност понякога постигаха обратното. Например, през 2019 г. 29155 предизвика спор между Кремъл и основния му съюзник, Сърбия.
На 15 септември 2019 г. ArmsWatch публикува поредица от три части, озаглавена „Досиетата на Сърбия“, която описва продажбата на оръжия от сръбската компания Krusik на йеменски бойци чрез американски брокер. Според интерпретацията на Диляна, оръжията са били етикетирани като изнасяни за Афганистан, но всъщност са били изпращани на бойци на ИДИЛ в Йемен. Седмица по-късно ArmsWatch, отново позовавайки се на анонимни течове на информация, обвини сръбски производител на оръжие в доставка на оръжия на Украйна. Както разкри The Insider, тези изтекли данни са били предадени от сръбския информатор на ГРУ Александър Обрадович чрез неговия адвокат. Публикацията беше възприета от сръбските власти като удар в гърба от съюзник и реакцията на Белград не закъсня. На 17 ноември 2019 г. анонимен потребител публикува видео от охранителна камера в YouTube с надпис: „Руските шпиони корумпират Сърбия. Това е видео на руския офицер от ГРУ полковник Георги Викторович Клебан, който плаща на своя сръбски агент, високопоставен сръбски служител. Клебан работи в руското посолство в Белград. Това ни правят руснаците, техните „приятели“.“
Тъй като видеото трудно събираше гледания в YouTube в деня на публикуването му, анонимен потребител изпрати имейл на Христо Грозев с линк към видеото и Грозев успя да потвърди самоличността и принадлежността към ГРУ на полковник Клебан.
Туитът на Грозев беше широко цитиран в сръбските медии, а три дни по-късно сръбската служба за сигурност потвърди находката и призова руския посланик, за да му изрази своя официален протест.
Скандалът беше потулен едва след лична среща между Вучич и Путин.
Провокации в Украйна: Азов срещу Зеленски
Една от наполеоновските идеи на Стигъл е била да настрои украинските националисти срещу Зеленски, особено след като наистина е имало напрежение между президента и батальон „Азов“. Стигъл вербувал десетки нискоквалификантни агенти, които е трябвало да се представят за членове на батальон „Азов“ и да организират провокации. Сред файловете на сървъра на хакерите може да се намери папка, наречена „Графити в градовете“, която съдържа фоторепортажи за хиляди обидни надписи, адресирани до Зеленски, нарисувани от провокатори по стените на украинските градове (за което са получавали от един до пет долара). Докладите на Подразделение 29155 съдържаха и крипто портфейли за плащане. „Инсайдър“ проследи основните, които са били използвани за компенсиране на провокатори на графити – през тях са преминали няколкостотин хиляди долара.
Примери за графити с обиди, платени от ГРУ
На сървъра има папка, наречена „Работа с нацисти“, в която се съдържа само един скрийншот от чат, за който се твърди, че е бил високопоставен член на „Азов“ в Чернигов. В чата събеседниците координират отпечатването на тениски със същите обиди към Зеленски, както в „графитите“. „Инсайдър“ не разкрива името на събеседника, който в момента служи в украинските въоръжени сили, тъй като, очевидно, той не е знаел, че сътрудничи с руското разузнаване (Стигъл е общувал от името на проукраинския чеченски сепаратист Ахмет Закаев).
Диляна също е участвала в тази операция. През 2022 г. тя публикува (и след това изтри) материали, които говореха за конфликта между „Азов“ и ГРУ, и те бяха представени така, сякаш „азовците“ получават пари от хората на Кадиров.
Папка, озаглавена „Правителствени цели“, съдържа доклади за наблюдение и саботаж, насочени към трима членове на администрацията на Зеленски, отговорни за европейската интеграция: Андрей Бойко, Тарас Жураковски и Игор Жовква. Военно поделение 29155 очевидно е имало проблеми с идентифицирането на личните данни и домашните адреси на Андрей Бойко, който е имал „повече от 60“ души със същата фамилия в Киев, и Жураковски. Групата обаче успява да открие Жовква - Игор Иванович, който заема длъжността заместник-началник на кабинета на президента Зеленски, той е открит в документ, наречен „Разходи за обработка на Жовква“. В документа е посочена и общата сума за транзакцията: 7000 долара, плюс бонус за намиране на адреса на длъжностното лице. Папката съдържа десетки снимки на Жовква и дома му, подробна информация за него и членовете на семейството му, както и записи на обаждания за телефонния му номер, включително геолокации на използването му за шестмесечен период, завършващ на 13 септември 2021 г.
Рано сутринта на 22 октомври 2021 г. бутилка с коктейл Молотов беше хвърлена в къщата на Игор Жовква в Киев. 20-годишен украинец беше арестуван, след като заяви пред властите, че му е било обещано 7000 долара за палеж. Той каза, че е получил задачата от анонимно лице чрез криптиран месинджър.
Попълнения в отбора: ветерани и „орли“
Неистовата дейност на Стигъл с нейните неконтролирани последици очевидно тревожеше Аверянов и той назначи двама ветерани от 29155 към Стигъл, които обаче притежаваха само най-базовите умения в IT сферата: Юрий Денисов и Роман Пунтус, които от своя страна докладваха на заместник-началника на звеното 29155 Иван Касяненко (Касяненко и Пунтус вече бяха участвали в разследвания на The Insider, свързани със Хаванския синдром и терористичните атаки в Афганистан).
Новият екип реши, че разширяването на собствения им екип от хакери, за да не зависят нито от ДВКР, нито от колегите си от ГРУ от „Комсомолски проспект“ (хакерите от 26165, известни като APT28 или Fancy Bear), ще помогне за повишаване на конкурентоспособността на 29155 в рамките на ГРУ. Съдейки по телефонните записи на Стигъл, Пунтус и Денисов, през втората половина на 2019 г. те започнаха да пътуват до Воронеж и да общуват с млади програмисти. Едно от пътуванията на Стигъл съвпадна с първия хакатон Capture-The-Flag, в който участваха 100 млади програмисти от 8 университета във Воронеж. Двудневното състезание включваше серия от задачи, целящи да идентифицират най-обещаващите хакери за ГРУ: състезанието включваше OSINT проучвания, криптография, идентифициране на уеб уязвимости и дигитална експертиза.
В резултат на това ГРУ набира екип от млади програмисти от Военно-образователния и научен център на ВВС. „Орлетата“, както журналистите с обич наричат студентите-пилоти, наброяващи не по-малко от 7 души, станаха пълноправни членове на екип 29155.
Снимка от хакатона Capture-The-Flag, вдясно е Николай Корчагин от групата "Орлят" 29155
Виталий Шевченко е първият новобранец от „орлите“
Хакерът на ГРУ Владислав Боровков
Хакери 29155 Дмитрий Воронов (вляво) и Николай Корчагин (вдясно)
Хакери 29155 Денис Денисенко (в центъра, първи ред) и Николай Корчагин (вторият отдясно, горен ред)
Първият новобранец от тази група стана Виталий Шевченко (използван е и името Елизар Критски). Данните за доходите показват, че още през 2020 г. той е бил служител в Министерството на отбраната, а в телефонните си контакти познати са го подписвали като „хакер Елизар“.
Шевченко е изиграл ключова роля в хакерската атака срещу естонското Министерство на отбраната и други правителствени агенции през 2020 г., в резултат на която 29155 са получили достъп до „значително количество вътрешна информация“, според обвинителен акт, повдигнат от естонските прокурори. Шевченко обаче напусна отбора в края на 2021 г. поради личен конфликт с шефа си Роман Пунтус.
Дали е било добра идея незабавното включване на студенти в свръхсекретни военни кибероперации е спорно, но както показаха последвалите събития, основният проблем не е бил в тях, а в прословутите „ветерани“.
До 2021 г. възникна конфликт между Стигъл и „ветераните“ Денисов, Пунтус и Касьяненко. Трудно е да се каже каква точно е била същността на несъгласието, известно е само, че Стигъл е предявил претенции срещу колегите си за прекомерната кражба на пари, които са били отпуснати в особено големи суми в навечерието на пълномащабното нашествие. ГРУ, и по-специално 29155, трябваше да играе решаваща роля в първите дни на инвазията (задачите включваха, наред с други неща, завземане на ключови правителствени сгради в Киев и убийството на Зеленски). Пари бяха отпуснати, между другото, за вербуване на агенти в Украйна, но когато се стигна до въпроса, се оказа, че няма кой да изпълни възложените задачи. Трудно е да се каже дали конфликтът за присвоени пари е бил основната причина за раздялата или не, но Стигъл е бил уволнен „по здравословни причини“ (той е бил хоспитализиран с коронавирус и това се е превърнало в удобно извинение).
Така от 2021 г. насам Денисов и Пунтус играят основна роля в „хакерския“ отдел на военно поделение 29155.
„Министерството на отбраната е пълно с идиоти и хомосексуалисти“: публични разкрития на хакера Денисов
Юрий Денисов е бил активен преди това в 29155, както се вижда от многобройните му пътувания до Европа с други членове на звеното. Денисов е използвал различни псевдоними за пътуванията си, включително Юрий „Дудин“ (полети до Германия, Белгия и Холандия през 2016 г.) и Юрий „Лукин“ (полети до Турция и Азербайджан през 2013 г. и 2014 г.). Той е използвал и паспорти с две други фалшиви имена, „Карпов“ и „Сергеев“, за да пътува из Русия.
Паспортна снимка на Юрий Денисов (вляво) и Юрий "Лукин" (вдясно)
Паспортна снимка на Юрий Денисов (вляво) и Юрий "Лукин" (вдясно)
Денисов е бил подписан на телефоните, между другото, като „Юрий C++“, „Юрий C#“ и „Юрий Бази данни“, така че за разлика от колегите си във военно поделение 29155, той е имал поне някакви познания по информационни технологии. Неговият Telegram акаунт беше абониран и за много групи, свързани с хакерството (включително Zero Day/Cyber Security, Crypto Services, Dev Tools, Hacker Corner, AI tools, Stealer Tools, RansomWare Developers). Той използваше уменията си и извън работата си, тъй като беше член на чат групата DeepNudes, посветена на създаването на deepfake порно.
Денисов е голям фен на комуникацията в чатовете в Telegram и 90% от съобщенията му са ругатни за „хохолци“ и „чернозадници“ или порнографско „лайнопостинг“, но понякога има разкрития за работа: „Аз също съм наемник, войник по договор. Офицер от МО. И не получавах и не получавам удоволствие от работата си, въпреки заплащането. Всичко е според пирамидата на Маслоу. И ако не беше онкологията, щях да бъда член на ЧВК.“ Той говори неласкаво за Министерството на отбраната: „глупаци“, където „където и да плюеш, има само хомосексуалисти“ (пълната история на посланията му е тук).
В чатовете той разкрива и друга информация за себе си, като например факта, че е полковник с 27 години служба, че съпругата му е програмист и много други. Но публичните разкрития в Telegram са само най-невинният пример за това колко небрежно Денисов се е отнасял към дигиталната сигурност. Например, The Insider успя да разкрие всичките му фалшиви имена, просто защото той използва един и същ телефонен номер, за да резервира полети под всичките си имена. Нещо повече, той използвал същия номер, за да резервира полети за подчинените си, което позволило на The Insider да научи имената на някои неизвестни досега служители.
Роман Пунтус: Героят-любител и незащитеният сървър
След като Стигъл напусна групата, основен играч на отбора стана Роман Пунтус, опитен участник в 29155 операции, който пътуваше под псевдонима Роман Панов. Пунтус използваше самоличността на „Панов“ не само за пътувания: той използваше телефона, регистриран на това име, за да се свързва с многобройни секс работнички (заради секретността им се представяше като Сергей).
Единствената публично достъпна снимка на Пунтус. Името на жената по-долу не можа да бъде установено.
Пунтус пое лидерска роля в най-решаващия момент, през 2021 г. Кремъл се готвеше за пълномащабно нашествие, а кибератаките трябваше да бъдат важна част от това нашествие. Самият Пунтус знаеше малко за информационните технологии и разчиташе повече на екипа си.
Вместо Стигал, ролята на свързващ мост с ДВКР на ФСБ се играеше от хакера Евгений Башев (той беше съпоставен с Игор Ворошилов),
По това време той вече дълго време работеше за контраразузнаването на ФСБ и притежаваше компанията „Импулс“ в Ростов. Частната компания е действала като параван, който е позволявал всички бизнес операции, свързани с хакерска дейност, да се извършват чрез компании, които формално не са били свързани с държавата. Там, в Ростов (очевидно под контрола на Башев), е имало сървър на име „Егеон“ (Егеон е митологичен сторък гигант, който е защитил Зевс, но го е предал).
Пунтус възприел модела на Башев с фиктивна компания и решил да открие своя собствена компания, която без повече приказки нарекъл „Егеон-Импулс“ (TIN 9731116423). Фирмата е регистрирана на подставено лице - счетоводителката Дария Кулишова. Въпреки че този човек беше фалшив, това не беше съвсем случайно – Пунтус беше започнал афера с нея. За пореден път паспортът му с прикритие му е от полза: той го използва, за да лети с любовницата си до Сочи и да пътува с влак до Ростов, без жена му и децата му да знаят.
Девет месеца след съвместната им почивка в Сочи, на 15 ноември 2023 г., Кулишова роди син, когото кръсти Матвей Романович (Пунтус ще дойде в Ростов, за да отпразнува раждането на сина си и ще прекара две седмици с Кулишова). В заявлението си за обезщетения тя ще напише, че не е омъжена за бащата на детето.
Фотосесия на Кулишова от началото на февруари 2023 г. След 9 месеца тя ще има син.
Кореспонденцията на Кулишова потвърждава, че ростовският „Импулс“ на хакера Башев е бил свързан с Пунтус, защото сред писмата ѝ е открита програма за производство на хеликоптери с може би не много подходящото име „UPS“, а ростовският „Импулс“ е посочен като производител:
През юли 2024 г. Кулишова регистрира търговската марка „Sabrage Sabotage“ за „Egeon Impulse“ (sabrage е, когато тапа от шампанско се избива със сабя) и очевидно това е направено и в интерес на ГРУ, тъй като тя общува по тази тема с някой си Никита Антипов, който нарича още Роман Пунтус. Значението на този нов проект все още не е ясно.
Докато съсредоточаваше цялата си енергия върху новото си тайно семейство, Пунтус пренебрегна тайния си сървър, който се оказа незащитен: имаше отворени портове, които можеха да бъдат хакнати с помощта на обикновена атака с груба сила. През февруари 2025 г. блогър по киберсигурност откри това и се свърза с The Insider. На сървъра бяха открити лог файлове, от които беше възможно да се извлече списък с всички цели на хакерите (около сто домейна), списък с повече от шестстотин телефонни номера, които са проверили, и много други. Анализът на данните от сървъра ни позволи да добием представа кога и срещу кого са били насочени атаките на хакерите.
Украйна, европейска инфраструктура, медицински компании: кой беше атакуван от хакери
Съдейки по лог файловете на Egeon, активната дейност на хакерите е започнала още през ноември 2021 г. През ноември-декември първите цели са били украински държавни уебсайтове, включително тези, свързани с енергийната инфраструктура.
Ноември-декември:
диа.мил,
kmu.gov.ua,
direkcy.atom.gov.ua,
atom.gov.ua,
mkip.gov.ua,
UA.ЕНЕРГИЯ.
Януари:
ukrtransnafta.com,
utg.ua,
nabu.gov.ua,
direkcy.atom.gov.ua,
gov.ua,
direkcy.atom.gov.ua,
kvgas.com.ua,
polvet.gov.ua,
vn.dsns.gov.ua,
dsns.gov.ua,
uhe.gov.ua.
Очевидно това е било подготовка за пълномащабно нахлуване, в което Подразделение 29155 е трябвало да вземе най-активно участие. Преди това, в периода 2015-2017 г., колеги от военно поделение 74455 на ГРУ многократно успяваха да извадят от строя украински електроцентрали, но протежетата на Пунтус не успяха: на 13-14 януари 2022 г. те успяха само да хакнат уебсайтовете на много от тези компании и да публикуват антиукраинско съобщение на главната страница (в което се посочваше, че са успели да унищожат всички данни, което, разбира се, не беше вярно), но, според украинските власти, хакерите този път не са причинили значителни щети.
Някои от целите на екипа на Пунтус са трудни за обяснение. Какво например не харесваше ГРУ в уебсайта colostate.edu на Университета в Колорадо? Или полско студио за уеб дизайн, специализирано в компютърни игри? Или компания, която произвежда слънчеви панели.
Сред целите има особено много компании, които по някакъв начин са свързани с медицината, включително различни производители на медицинско оборудване, клиника в Азербайджан и Медицинската академия в Ташкент.
Освен това, хакери са търсили уязвимости в правителствени уебсайтове и инфраструктурни съоръжения в Узбекистан, Грузия, Чехия, Словакия, Естония, Полша, Молдова и Армения. Интересното е, че една трета от стоте известни цели на хакерите 29155 са чешки уебсайтове. По-голямата част от заявките са от края на 2021 г. и 2022 г., след което активността или намалява значително, или просто 29155 използват сървъра по-рядко.
Пълният списък с цели може да бъде намерен тук.
Сред телефоните, които хакерите „пробили“, били не само обектите на професионалния им интерес, но и всякакви познати и роднини, включително дори любовницата на Аверянов. Числата, които ги интересуваха, показваха, че хакерите са били запалени читатели на The Insider.
когато изданието писа за тяхното подразделение: например, те провериха телефонния номер на колегата си Иван Сенин в деня, в който разследването, в което той се споменава, беше публикувано в The Insider (възползвайки се от възможността, изпращаме поздрави на всички служители на ГРУ, които четат този текст сега).
Нямаме други кадри за вас.
Самият хакерски отдел на Подразделение 29155 е изключително скептичен относно ефективността на дейността си. Както каза пред The Insider един от младите членове на групата (да го наречем Александър Печеник), пожелал анонимност, основният проблем е некомпетентността на ръководството, повечето от което никога не са имали нищо общо с кибероперации и дори не знаят как правилно да боравят със собствения си компютър, както и ниската мотивация, защото ръководството очевидно мисли повече за собственото си обогатяване, отколкото за работа. В резултат на това, твърди Александър, информацията „потече“ и операциите на поделението по някакъв начин стават известни на врага, понякога дори преди да бъдат докладвани на собствените му генерали. Според Александър, всички в звеното са сигурни, че имат „плъх“, но самият той смята, че това може изобщо да не е така, а че с такова ниво на IT познания, когато информацията попадне на некриптирани сървъри, тя ще изтече дори без предатели. Според Александър, самият генерал Аверянов разбира нивото на компетентност на служителите си и периодично прави размествания на личния състав - например, Денисов в крайна сметка е изпратен в ЧВК в Беларус - но това не помага особено.
Въпреки факта, че през последните години звеното е имало повече неуспехи, отколкото успехи, то е продължило да действа енергично до последния момент. Според източници на The Insider, дори тази публикация едва ли ще доведе до някакви размествания: Аверянов (под чиято защита звеното продължава да съществува дори след повишението му) има силна позиция, никой няма да го замени, докато Аверянов няма време за хакери, той е твърде погълнат от африканските си проекти и организирането на саботажни операции, така че звеното на Пунтус си остава „куфар без дръжка“, съществуващо по-скоро по инерция.
Последният слайд от презентацията на ГРУ за дроновете на UPS
Последният слайд от презентацията на ГРУ за дроновете на UPS
Наистина се нуждаем от вашата помощ