Wer ist Dmitry Badin, der von Deutschland angeklagte GRU-Hacker wegen der Bundestags-Hacks?

Am 5. Mai 2020 berichteten deutsche Medien, dass die deutsche Bundesanwaltschaft einen Haftbefehl gegen den russischen Staatsbürger Dmitry Badin erlassen hat, den Hauptverdächtigen beim Hacking des Deutschen Bundestages im Jahr 2015.

Was war der Bundestags-Hack 2015?
Im April 2015 erhielten Abgeordnete des Deutschen Bundestages sowie Mitglieder des Merkel-Bundestags eine E-Mail, die angeblich von den Vereinten Nationen stammte und auf dem sichtbaren Domainnamen „@ un.org“ beruhte. Die Mail trug den Titel „Der Ukraine-Konflikt mit Russland lässt die Wirtschaft in Trümmern liegen“. Die E-Mail enthielt schädlichen ausführbaren Code, der sich selbst auf dem Computer des Opfers installiert hatte.

In den nächsten Wochen hatte die schädliche Software, die Passwörter zu stehlen schien und sich über die lokalen Netzwerke verbreitete, die gesamte IT-Infrastruktur des Bundestages übernommen und den Zugriff auf ihre Onlinedienste und die externe Website unzugänglich gemacht. Im Hintergrund zeigten Protokolle später, dass über 16 Gigabyte Daten von einem Hacker aus dem Ausland aufgesaugt wurden. Dazu gehörten komplette Postfächer deutscher Parlamentarier. Medienberichten zufolge wurde auch das Parlamentsbüro von Angela Merkel verletzt.

Wer ist Dmitry Badin?
Deutsche Medien berichten, dass die Bundespolizei die Phishing-Kampagne 2015 und den anschließenden Datendiebstahl mit Dmitry Badin verknüpfen konnte, einem mutmaßlichen Mitglied der Elite-Hacking-Einheit 26165 der GRU, die unter Cyber-Sicherheitsanalysten besser als APT28 bekannt ist. Die Verknüpfung der Operationen mit ihm wurde Berichten zufolge auf der Grundlage von Protokollanalysen und „Informationen von Partnerdiensten“ hergestellt. Es wurden jedoch noch keine konkreten Beweise dafür veröffentlicht, wie die Zuschreibung vorgenommen wurde.

Dmitry Badin war bereits auf der Fahndungsliste des FBI wegen seiner angeblichen Beteiligung an mehreren Hacking-Operationen, die der APT28-Einheit der GRU zugeschrieben wurden. Zu diesen Operationen gehörten der Hack der Anti-Doping-Organisation WADA während der Untersuchung eines Doping-Verwaltungsprogramms sowie der DNC-Hack am Vorabend der US-Präsidentschaftswahlen.

Validierung der Verknüpfung von Dmitry Badin mit der GRU
In FBI-Dokumenten wird Dmitry Badin kurz als “angeblich ein russischer Geheimdienstoffizier der Einheit 26165” beschrieben, der am 15. November 1990 in Kursk geboren wurde. Sein Passfoto wurde als Teil seines Fahndungspakets veröffentlicht.

Basierend auf der Analyse von Daten aus hauptsächlich offenen Quellen können wir bestätigen, dass Dmitry Badin, geboren am 15. November 1990, tatsächlich für die GRU-Einheit 26165 arbeitet.

Using Russian social-media reverse-image search application FindClone, we found Dmitry Badin’s photographs in his wife’s VK account. We then re-validated that this is the same person by comparing the two photos in Microsoft Azure’s Face Verification tool

A search for Badin’s full name and birth date in previously leaked Moscow car registration databases provided a match: Dmitry Sergeevich Badin, born on 15 November 1990, purchased a KIA PS car in June 2018. The car registration included the owner’s passport number and place of issue (St. Petersburg), as well as his registered address. Badin’s registered address, as of 1 June 2018, was Komsomolsky Prospect 20.

 

 

Dies ist die Adresse der GRU-Militäreinheit 26165, wie aus öffentlich zugänglichen russischen Unternehmensregistern hervorgeht. Die Einheit 26165 ist auch als 85. Hauptzentrum der GRU bekannt und auf Kryptographie spezialisiert. Das Zentrum erlangte erstmals 2017 öffentliche Bekanntheit, als unser russischer Ermittlungspartner The Insider entdeckte, dass ein Beamter dieser Einheit versehentlich seine persönlichen Metadaten in einem Dokument hinterlassen hatte, das im Rahmen der sogenannten Macron Leaks durchgesickert war.

Wir haben zuvor einen Verstoß gegen die Betriebssicherheit des russischen Militärgeheimdienstes festgestellt, der die Identifizierung von mindestens 305 Offizieren ermöglichte, deren Autos unter derselben Adresse registriert waren. Dmitry Badin war nicht auf der Liste der 305 Offiziere, die wir damals identifiziert hatten, da er sein Auto gekauft hatte, nachdem die von uns im Oktober 2018 konsultierte Datenbank für die Fahrzeugregistrierung öffentlich durchgesickert war.

Scaramouche, Scaramoush!
Derzeit wissen wir nicht, wie deutsche Ermittler Dmitry Badin mit dem Bundestags-Hack in Verbindung bringen konnten. Open-Source-Beweise, die wir entdeckt haben, können jedoch auf seine Rolle bei viel mehr als den drei Hacking-Operationen hinweisen, mit denen sein Name in Verbindung gebracht wurde.

Unter Verwendung des Kennzeichens von Badins Auto durchsuchten wir eine durchgesickerte Moskauer Parkdatenbank und stellten fest, dass er sein Auto häufig in der Nähe des Schlafsaals der russischen Militärakademie in Bolshaya Pirogovskaya 51 abstellte. Die Parkprotokolle enthielten auch zwei Telefonnummern, für die er verwendet hatte mobile Zahlungen für seine Parksitzungen. Wir haben diese beiden Nummern dann in verschiedenen Telefon-Messenger- und Reverse-Search-Telefondatenbanken nachgeschlagen.

 

Eine der Zahlen erschien in der Viber-Messenger-App unter dem offensichtlich angenommenen Namen Gregor Eisenhorn, einem Charakter aus dem Fantasy-Spiel Warhammer 40.000.

Die andere Nummer erschien in zwei verschiedenen Apps zum Nachschlagen von Telefonnummern, sowohl unter seinem richtigen Namen als auch unter seinem späteren Lieblingsalias: „Nicola Tesla“.

Wir haben dann überprüft, ob diese Nummer mit einem Social-Media-Konto in Russland verknüpft ist, und festgestellt, dass sie mit einem jetzt gelöschten Konto auf VKontakte (VK) verbunden ist. Beim Durchsuchen archivierter Kopien dieses Kontos stellten wir fest, dass es ab 2016 unter dem Namen Dmitry Makarov verwendet wurde. Noch früher hatte es jedoch den Namen Nicola Tesla und auch den Benutzernamen „Scaramouche“ getragen.

Daten aus einer archivierten Kopie des inzwischen aufgelösten VK-Kontos mit zwei verknüpften Nummern, einschließlich einer Kursk-Festnetznummer

Während dieser Zeit – die wir nicht genau aus der archivierten Kopie datieren konnten – war der Benutzer des VK-Kontos in Kursk ansässig, wo Dmitry Badin geboren wurde und wo er aufwuchs, bevor er nach St. Petersburg zog. Seine Petersburger Periode, die sowohl vom Ausstellungsort seines Passes als auch von Fotos auf dem VK-Konto seiner Frau vor 2014 bestimmt werden kann, hängt wahrscheinlich mit seinem Universitätsstudium zusammen. Unsere früheren Untersuchungen an Mitgliedern des GRU-Hacking-Teams haben ergeben, dass eine große Anzahl der Hacker ihren Abschluss an den Informatikuniversitäten in St. Petersburg gemacht hat.

Wir haben auch herausgefunden, dass Badins Handynummer mit einem Skype-Konto verknüpft ist, das wie sein inzwischen aufgelöstes VK-Konto den Namen “Nicola Tesla” trägt, aber den Benutzernamen Scaramoush777 verwendet.

Scaramouche, vom italienischen Wort Scaramuccia, wörtlich „kleiner Scharmützler“, ist der übliche böse Clown aus der Commedia dell’arte aus dem 16. Jahrhundert. Das Wort ist wahrscheinlich besser bekannt aus dem bekannten Rezitativ aus Queen’s Bohemian Rhapsody. Für Cyber-Sicherheitsforscher, die Hacking-Operationen von staatlichen Akteuren untersuchen, ist dieses Wort jedoch mit einer zusätzlichen Nutzlast verbunden.

Im März 2017 veröffentlichte die Abteilung für Cyber-Bedrohungen des Cyber-Sicherheitsunternehmens SecureWorks (c) ein eigenes Whitepaper zur Zuschreibung, in dem die Schlussfolgerungen begründet wurden, dass die Hacking-Exploits von APT28 (auf die SecureWorks mit seinem eigenen Codenamen „Iron Twilight“ verweist) a staatlich geförderte Operation, die höchstwahrscheinlich mit dem militärischen Geheimdienst Russlands zusammenhängt. In seinem Bericht listet SecureWorks sowohl die Ziele auf, bei denen APT28 als angegriffen identifiziert wurde, als auch den von dieser schattigen Hacker-Gruppe verwendeten Tool-Set.

Das Endpunkt-Kit, mit dem APT28 Screenshots durchführt und die Anmeldeinformationen der Ziele stiehlt, heißt Scaramouche. Diese spezielle Malware erhielt ihren Namen von der SecureWorks Cyber ​​Threats Unit, die sie nach ihren eigenen Worten “nach dem Scaramouche-Benutzernamen im PDB-Pfad beider Tools” benannte.

Angesichts der Tatsache, dass Dmitry Badin den Scaramouche-Benutzernamen verwendet hat – nach allen Beweisen zu urteilen -, bevor er der GRU beigetreten ist, ist es unwahrscheinlich, dass er einen bereits vorhandenen Benutzernamen für seine VK- und Skype-Konten usurpiert hat. Dies ist klar, wenn man sich auf ein Team von GRU-Codierern namens „Scaramouche“ stützt. Viel plausibler war der von der CTU entdeckte Benutzername “scaramouche” nämlich Badins eigener Benutzername. Dies würde wiederum bedeuten, dass das von Dmitry Badin geschriebene Endpoint-Kit ein entscheidender Bestandteil der Malware war, die in allen Hacks verwendet wurde, die auf APT28 zurückzuführen sind. von Angriffen auf russische Oppositionelle und Journalisten bis hin zu westlichen Medienorganisationen (einschließlich Bellingcat), dem Untersuchungsteam MH17, dem Deutschen Bundestag und der DNC.

Es wäre klug zu fragen: Ist es plausibel, dass ein so produktiver und versierter Hacker solche Spuren hinterlässt, die ihn leicht in die serielle Cyberkriminalität verwickeln würden? Es ist nicht so schwer zu glauben, da GRU-Hacker nicht in der Lage sind, ihre eigenen Spuren zu verwischen. Badins Kollegen, die beim Versuch erwischt wurden, das Labor der OPCW in Den Haag zu hacken, führten Taxibelege weiter, auf denen explizit eine Route vom GRU-Hauptquartier zum Flughafen angegeben war. Wir konnten 305 von ihnen leicht anhand der Adresse identifizieren, unter der sie ihre Autos registriert hatten, ganz zu schweigen davon, dass Badin selbst sein Fahrzeug an der offiziellen Adresse seiner GRU-Einheit registriert hatte.

Das surrealste Fehlen von „Practice-What-You-Breach“ unter GRU-Hackern könnte in ihrer mangelnden Einstellung zu ihrem eigenen Cyber-Schutz sichtbar werden. Im Jahr 2018 wurde eine große Sammlung gehackter russischer E-Mail-Konten, einschließlich Benutzername und Passwörter, online gestellt. Dmitry Badins E-Mail, die wir aus seinem Skype-Konto herausgefunden haben, das wir wiederum von seiner Telefonnummer erhalten haben, die wir natürlich aus seiner Autokennzeichnung erhalten haben, war gehackt worden. Er hatte anscheinend das Passwort Badin1990 benutzt. Danach wurden seine E-Mail-Anmeldeinformationen im Rahmen eines größeren Hacks erneut durchgesickert, wobei wir sehen, dass er sein Passwort von Badin1990 in das viel sicherere Badin990 geändert hatte.