ŚWIAT WYWIADU I TAJNYCH SŁUŻB. Hakerzy z GRU 29155.
Witam Państwa.
O jednostce GRU 29155 napisano dużo ale jej aktywność powoduje że zapoznajemy się z co raz to nowymi faktami. Dzięki śledztwu dziennikarzy z portalu Insider możemy poznać kolejne działania tej tajnej rosyjskiej jednostki.
Rosyjska jednostka GRU 29155 jest najbardziej znana z długiej listy morderstw i operacji sabotażowych, która obejmuje otrucia w Salisbury w Anglii, eksplozje w magazynach broni w Czechach i próbę zamachu stanu w Czarnogórze. Ale jej działania w cyberprzestrzeni pozostawały w cieniu – aż do teraz. Po przejrzeniu skarbnicy ukrytych danych, The Insider może donieść, że najbardziej znany oddział tajnych operacji Kremla również wystawił zespół hakerów – taki, który próbował zdestabilizować Ukrainę w miesiącach poprzedzających inwazję Rosji na pełną skalę.
Dla członków najbardziej osławionej rosyjskiej jednostki do czarnych operacji wyglądają jak dzieci. Nawet ich zdjęcia na plakacie FBI z listem gończym pokazują grupę szpiegów urodzoną w czasie, gdy Władimir Putin doszedł do władzy w Rosji. Ale z drugiej strony hakowanie to biznes młodego człowieka.
W sierpniu 2024 r. Departament Sprawiedliwości USA postawił w stan oskarżenia Władisława Borovkova, Denisa Denisenko, Dmitriya Goloshubova, Nikolaya Korczagina, Amina Stigala i Jurija Denisowa za prowadzenie „zakrojonych na szeroką skalę operacji cybernetycznych w celu uszkodzenia systemów komputerowych na Ukrainie przed rosyjską inwazją w 2022 r.”. Wykorzystywali złośliwe oprogramowanie do usuwania danych z systemów połączonych z infrastrukturą krytyczną Ukrainy, służbami ratowniczymi, a nawet jej przemysłem rolniczym, i maskowanie swoich wysiłków jako wiarygodnie zaprzeczalnych aktów „ransomware” – szantażu cyfrowego. Ich kampania nosiła kryptonim „WhisperGate”.
Hakerzy opublikowali osobiste dane medyczne, rejestry karne i rejestracje samochodów niezliczonej liczby Ukraińców. Hakerzy przeszukali również sieci komputerowe „powiązane z dwudziestoma sześcioma państwami członkowskimi NATO, szukając potencjalnych luk w zabezpieczeniach”, a w październiku 2022 r. uzyskali nieautoryzowany dostęp do komputerów związanych z polskim sektorem transportowym, który był kluczowy dla napływu i odpływu milionów Ukraińców – oraz dla transferu kluczowych zachodnich systemów uzbrojenia do Kijowa.
Bardziej warta odnotowania niż zastępcze oskarżenie tego sekstetu hakerów była organizacja, dla której pracowali:
Jednostka 29155 rosyjskiego Głównego Zarządu Wywiadowczego Sztabu Generalnego (GRU). W ciągu ostatniego półtorej dekady ten elitarny zespół agentów był odpowiedzialny za otrucie nowiczokiem byłego rosyjskiego szpiega Siergieja Skripala i bułgarskiego producenta broni Emiliana Gebrewa, nieudany zamach stanu w Czarnogórze oraz serię eksplozji składów broni i amunicji w Bułgarii i Czechach.
Jednostka 29155 to rosyjski oddział do zabijania i sabotażu. Ale teraz po raz pierwszy zostali zamieszani jako hakerzy państwowi. Co więcej, rząd USA przedstawił przekonujące argumenty, że Jednostka 29155 była zaangażowana w cyberataki mające na celu destabilizację Ukrainy przed przekroczeniem granicy przez rosyjskie czołgi i żołnierzy . Gdyby to była prawda, oznaczałoby to, że co najmniej jedno potężne ramię rosyjskiego wywiadu wojskowego wiedziało o wojnie, o której inne rosyjskie służby specjalne słynęły z tego, że nie wiedziały. Hipoteza ta jest zgodna z wcześniejszymi ustaleniami The Insider, z których wynika, że członkowie 29155 zostali rozmieszczeni na Ukrainie na kilka dni przed inwazją na pełną skalę.
Insider spędził rok na śledztwie w sprawie hakerów z Jednostki 29155. Opierając się na skarbnicy wyciekłych e-maili, postów w mediach społecznościowych, zapisów rozmów telefonicznych i, co najważniejsze, niezabezpieczonych logów serwera oraz pozostawionych e-maili z palnikami i nieużywanych kont VK i Twitter, możemy po raz pierwszy ujawnić pochodzenie, cele i ewolucję tej mało znanej kadry operatorów cybernetycznych. Podobnie jak w przypadku prawie wszystkiego, czym zajmuje się Jednostka 29155, hakerzy poświęcili się ściganiu celów wojskowych Rosji w przestrzeni informacyjnej dotyczącej dwóch fizycznych przestrzeni bitewnych: Ukrainy i Syrii. I jak we wszystkim, co robią rosyjscy agenci wywiadu, prowadzili oni wojnę hybrydową przeciwko reszcie świata, często nie przejmując się rozróżnieniem między przyjacielem a wrogiem.
Prowadzili ataki hakerskie pod fałszywą flagą, mające na celu wywołanie wrogości między Ukrainą a jej zachodnimi sojusznikami. Zwerbowali bezrobotnego bułgarskiego dziennikarza do szerzenia dezinformacji, opartej na zhakowanych i wyciekłych danych należących do przyjaznych Rosji rządów, na temat zachodniej pomocy w zakresie bezpieczeństwa dla Kijowa i anty antyasadowskich syryjskich rebeliantów. W latach poprzedzających pandemię COVID-19 aktywnie rozpowszechniali serię fałszywych historii o rzekomo nikczemnych działaniach finansowanych przez USA laboratoriów biologicznych w Gruzji, na Ukrainie i w wielu innych państwach na peryferiach Rosji.
Skorumpowani, cudzołożni, nękani wewnętrznymi nieporozumieniami i oszałamiająco niechlujnym rzemiosłem, często skłóceni ze swoimi mocodawcami w rosyjskim Ministerstwie Obrony, hakerzy ci byli symbolem dysfunkcyjnej jednostki, której służyli. Pośród swoich niekiedy oszałamiających sukcesów pozostawili po sobie ślad żenujących porażek.
Pomysł stworzenia grupy hakerskiej pod adresem 29155 zrodził się pod kierownictwem byłego szefa GRU, Igora Serguna, około 10 lat temu. Wśród osób, którym szef jednostki wojskowej 29155 Andriej Awerjanow powierzył pracę nad tym projektem, znaleźli się jego doświadczeni podwładni Roman Puntus i Jurij Denisow, którzy nie posiadali specjalnej wiedzy komputerowej, ale byli sprawdzani w różnych operacjach specjalnych GRU w Europie, a także nowy członek jednostki, Tim Stigal, etniczny Czeczen o ciekawej biografii. Stigal był blogerem mieszkającym w Dagestanie i do tego czasu zdążył opublikować książkę o handlu na rynku Forex zgodnie z islamem, komponując przy tym romantyczną poezję. W 2011 roku skarżył się w powtórkach tweeta ówczesnego prezydenta Dmitrija Miedwiediewa na wyłudzenia w wysokości 300 tys. dolarów, które rzekomo zabrano z otoczenia Władisława Surkowa za zorganizowanie z nim spotkania. Stigal poprosił Miedwiediewa, aby „wziął go do swojego zespołu”, ponieważ jest „pełen pomysłów”. Wkrótce po tym apelu Stigal napisał: „Właśnie zadzwonił Władisław Jurjewicz. Jestem zadowolony z rozmowy. Decyzja o spotkaniu zapadła po wyborach”.
![[obiekt Obiekt]](https://i0.wp.com/theins.ru/images/AL6wZxXk2KrXpi_3U6gunxr-ZhMxitRqOlVX-XI6Nug/rs%3Aauto%3A0%3A0%3A0%3A0/dpr%3A1/q%3A80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQxMzYv/ZmlsZS1lZjg1ZDQ1/YTdlYzFlM2Y1ZWI1/Mzc4N2EwYTJhMThm/Mi5wbmc.jpg?w=640&ssl=1)
Tim Steegal na imprezie Nashi w 2011 roku![[obiekt Obiekt]](https://i0.wp.com/theins.ru/images/oty0XHJBxnyjCS-tqJsDgcBjlENamQro6aTCWcf5lFg/rs%3Aauto%3A0%3A0%3A0%3A0/dpr%3A1/q%3A80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQxODAv/ZmlsZS1jZDhlZTkz/NzVmZjgxYjA1M2Ix/OWNmODc1ZTM4MGY0/OC5qcGc.jpg?w=640&ssl=1)
Inne zdjęcie z tego samego wydarzenia![[obiekt Obiekt]](https://i0.wp.com/theins.ru/images/t-KOL6xqRo_2Qld8Tk2UZUK2tyDoddPIq1Wc1qws5gQ/rs%3Aauto%3A0%3A0%3A0%3A0/dpr%3A1/q%3A80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQxMzcv/ZmlsZS03ODNlZTY4/ZTY4ZWY5Y2EzNWEz/YmEwY2NjODRkYzJm/ZS5wbmc.jpg?w=640&ssl=1)
Zdjęcia paszportowe Tima Steegala (po lewej) i „Danila Magomiedov” (po prawej)
W następnym roku Stigal założył dagestański oddział umierającego ruchu Naszi i zorganizował flash mob lobbujący za przemianowaniem centralnego placu w stolicy Dagestanu na Plac Putina. W tym czasie Stigal ściśle współpracował już z Departamentem Kontrwywiadu Wojskowego FSB i nie później niż w 2014 roku dołączył do zespołu Awerjanowa. Być może to DVKR FSB oddelegował go do oficerów KGB od 29155 roku: część obecnych pracowników GRU pracuje równolegle w kontrwywiadzie wojskowym FSB, więc czekiści mają oko na Ministerstwo Obrony. Tak czy inaczej, w 2014 roku Stigal otrzymał paszport na nazwisko „Daniła Magomiedow” z tego samego zakresu numerów, co paszporty trucicieli Skripala „Pietrowa” i „Boszyrowa”.
Nic dziwnego, że Awerjanow skierował Stigala w stronę hakerów: FSB w ogóle, a DVKR w szczególności, miały bardzo dobre kontakty z oszukańczymi hakerami, którzy byli zaangażowani w carding i inne rodzaje cyberprzestępstw finansowych. Stigalowi udało się pozyskać m.in. Aleksieja Stroganowa ps. „Flint”, Jewgienija Baszewa i Igora Woroszyłowa.
Haker Stroganow był już ścigany za oszustwa kartowe w 2006 roku i otrzymał 6 lat, ale został zwolniony po 2 latach – podobno było to pod patronatem FSB DVKR, z którą później ściśle współpracował. Gdy w 2021 r. zostanie ponownie aresztowany, sam oświadczy w sądzie o swojej pracy dla służb specjalnych, a nawet przedstawi zaświadczenie podpisane przez dyrektora FSB. I rzeczywiście, po uwolnieniu w 2008 roku Aleksiej Stroganow stał się głównym „ekspertem w dziedzinie cyberbezpieczeństwa”, chronił banki i systemy płatności przed atakami hakerów, nakręcono o nim kilka filmów i napisano książkę, a gubernator Petersburga Beglov z dumą robił sobie zdjęcia z Flintem, wręczając mu certyfikat.
Dział hakerski Jednostki 29155 wydaje się być najmłodszą jednostką cybernetyczną w systemie GRU, której inne ozdoby to Jednostka 26165, czyli „Fancy Bear”, która była publicznie zamieszana w ingerencję w wybory prezydenckie w USA w 2016 r., oraz Jednostka 74455, czyli „Sandworm”, która spowodowała najbardziej niszczycielski i kosztowny cyberatak w historii w następnym roku. 21 maja konsorcjum służb wywiadowczych NATO, w tym wiele agencji amerykańskich, wydało wspólny poradnik dotyczący cyberbezpieczeństwa, w którym nazwano Fancy Bear jako ostrego cyberszpiega, który od końca lutego 2022 r. rozszerzył „swoje ataki na podmioty logistyczne i firmy technologiczne zaangażowane w dostarczanie pomocy” na Ukrainę. W tym względzie nie wspomniano o jednostce 29155.
Ujawniona korespondencja e-mailowa i czaty na pozostawionych kontach w mediach społecznościowych, do których dotarli dziennikarze z The Insider, pokazują, że ten zbuntowany zespół hakerski rozpoczął działalność jako samotny operator w 2012 roku – skoncentrowany na szerzeniu dezinformacji i prowadzeniu działalności wywrotowej w Azerbejdżanie i innych krajach – z inicjatywy ówczesnego dyrektora GRU, Igora Serguna.
Timur Stigal, czeczeński bloger mieszkający w Dagestanie, został w tym czasie oddelegowany do jednostki. Stigal powiedział Głosowi Ameryki (VOA) w lipcu 2022 roku, że jego prawdziwe nazwisko brzmi Timur Magomiedow i że urodził się w czeczeńskiej wiosce Kurczałoj. Jego syn Amin jest jednym z sześciu hakerów z Jednostki 29155 wymienionych i oskarżonych przez Stany Zjednoczone, ale The Insider nie znalazł żadnych cyfrowych dowodów na to, że Amin, który był 19-letnim graczem, gdy został oskarżony, był zaangażowany w jakiekolwiek operacje cybernetyczne w imieniu GRU. Amin nazwał zarzuty „kompletnymi bzdurami i kłamstwami” w wywiadzie dla VOA, a Timur, który teraz posługuje się pseudonimem „Tim”, stwierdził, że jego syn został błędnie zidentyfikowany.
Twierdzenie to może być w pewnym stopniu uzasadnione.
W styczniu 2024 r. Tim Stigal, znany również pod pseudonimem hakerskim „Key”, sam został oskarżony przez Departament Sprawiedliwości USA o wiele zarzutów oszustw internetowych, spisku dotyczącego oszustw internetowych, wymuszeń oszustw komputerowych, oszustw związanych z urządzeniami dostępowymi i kwalifikowanej kradzieży tożsamości wymierzonych w klientów trzech niewymienionych z nazwy amerykańskich korporacji, w latach 2014-2016. Nie nawiązano żadnych powiązań między Timem Stigalem a jakimikolwiek rosyjskimi służbami specjalnymi. Wymienione z imienia i nazwiska przewinienia ojca zostały sformułowane jako przestępstwa zawodowego cyberprzestępcy. Tim Stigal m.in. „klonował” karty kredytowe ludzi, gdy był zatrudniony przez rosyjskie służby wywiadowcze.
W tym samym czasie w stan oskarżenia i wspomniano o tym samym komunikacie prasowym Departamentu Sprawiedliwości, został oskarżony inny obywatel Rosji o nazwisku Aleksiej Stroganow, znany jako „Flint”, którego domniemane przestępstwa bankowe miały miejsce w 2007 roku. Chociaż nie został wyraźnie scharakteryzowany jako jeden ze wspólników lub współkonspiratorów Stigala, cele Stroganowa w USA znajdowały się w tej samej jurysdykcji New Jersey i obejmowały luksusowy dom towarowy Neiman Marcus oraz sieć sklepów ze sztuką i rękodziełem Michael’s.
„Krzemień” z gubernatorem Petersburga Aleksandrem Beglovem
Akt oskarżenia przeciwko Aminowi Stigalowi w związku z zespołem hakerskim Jednostki 29155, który został rozpieczętowany we wrześniu 2024 r. (osiem miesięcy po tym, jak oddzielne zarzuty jego ojca zostały upublicznione w innym stanie), nie wspominał o ich synowskich powiązaniach. Ani też prokuratura federalna nie odniosła się wprost ani nie nawiązała do Tima Stigala jako założyciela wydziału operacji cybernetycznych Jednostki 29155. Tak więc Amin, który w chwili postawienia go w stan oskarżenia miał zaledwie 19 lat, mógł paść ofiarą błędnego przypisania cyfrowego odcisku palca swojego ojca lub mógł być nieświadomym pomocnikiem w jego złośliwej działalności. Insider nie znalazł żadnych cyfrowych śladów powiązań między Aminem Stigalem a innymi hakerami z Jednostki 29155.
W 2008 roku Tim Stigal opublikował książkę „The Grail of Iman” (Graal Imana) o praktykowaniu handlu walutami zgodnie z Koranem i Sunną, islamskimi zwyczajami proroka Mahometa. Wciąż aktywny blog finansowy Stigala nosi tytuł „The World is Not Enough” (Świat to za mało), co jest aluzją do filmu o Jamesie Bondzie o tym samym tytule, którego logo został dokooptowany.
Stigal znalazł się w centrum uwagi w 2011 roku po tym, jak oskarżył Władisława Surkowa, „szarego kardynała” Kremla, o prowadzenie „nieoficjalnej wojny” na Kaukazie, zwłaszcza w Czeczenii. Stigal poinformował na Twitterze ówczesnego prezydenta Rosji Dmitrija Miedwiediewa, że otoczenie Surkowa rzekomo próbowało wyłudzić 300 000 dolarów za zaaranżowanie spotkania między Stigalem a Surkowem. Miedwiediew odpowiedział:
„Pokazałem twój tweet [Władisławowi Jurewiczowi] Surkowowi. Zadzwoń do niego w recepcji. Powiedz mu, kto wyciąga pieniądze”.
W 2012 roku Stigal założył lokalny dagestański oddział prokremlowskiego ruchu młodzieżowego „Nasi” i zorganizował flash mob lobbujący za zmianą nazwy centralnego placu w Machaczkale, stolicy Dagestanu, na „Plac Putina”.
Prośby Stigala, by dać mu szansę udowodnienia swojej odwagi i wierności Moskwie, zostały ostatecznie wysłuchane przez kogoś z aparatu wywiadowczego. Już wtedy ściśle współpracował z Departamentem Kontrwywiadu Wojskowego FSB, gdy – nie później niż w czerwcu 2014 r. – dołączył do tajnego oddziału GRU 29155 pod dowództwem generała Awerjanowa. W tym samym miesiącu Stigal otrzymał przykrywkową tożsamość pod pseudonimem „Danila Magomedov” (przy użyciu jego oryginalnego nazwiska) i datą urodzenia w kwietniu 1978 roku, która wypadała około cztery i pół miesiąca wcześniej niż jego faktyczna. Z ujawnionych danych telefonicznych wynika, że w lutym 2016 roku Stigal użył tej „przykrywki” do zarejestrowania karty SIM. Nie później niż w 2017 r. zaczął podróżować za granicę na podstawie paszportu wystawionego na nazwisko Magomiedowa i w tej samej kolejności numerycznej, co pseudonimowe dokumenty innych znanych agentów jednostki 29155, takich jak Aleksander Miszkin („Aleksander Pietrow”) i Anatolij Rusłan Czepiga („Rusłan Boszyrow”), dwaj truciciele Skripala.
Departament Kontrwywiadu Wojskowego FSB znany jest z kontaktów z hakerami i oszustami, których werbuje do popełniania przestępstw na odległość od Łubianki. Po przeniesieniu się do Jednostki 29155, Stigalowi udało się zwerbować Igora Woroszyłowa, niezależnego hakera komercyjnego, oraz Aleksieja Stroganowa, kolegę Stigala z USA.
Stroganow, jak wynika z dokumentów przeanalizowanych przez The Insider, w połowie 2000 roku odsiedział dwa lata w więzieniu w Rosji za przestępczą działalność w Internecie, ale po otrzymaniu przedterminowego zwolnienia znalazł się pod ochroną władz państwowych. W latach 2014-2020 jego grupa kontynuowała kradzież danych kart bankowych nie tylko w Rosji, ale także w Unii Europejskiej i Stanach Zjednoczonych.
Woroszyłow, który przez długi czas utrzymywał symbiotyczne relacje z FSB, zwerbował do jednostki 29155 młodego hakera i byłego więźnia z Rostowa, Jewgienija Baszewa. Baszew stał się później operatorem serwera namierzającego cyberataki jednostki na ukraińską i zachodnią infrastrukturę w okresie poprzedzającym inwazję na Ukrainę na pełną skalę.
Największym triumfem Tima Stigala jako państwowego hakera może być fakt, że żaden ekspert ds. cyberbezpieczeństwa ani agencja wywiadowcza nigdy nie powiązała go z GRU, a tym bardziej z jej jednostką do spraw czarnych operacji. Na drugim miejscu uplasowała się udana penetracja QNB, największego banku państwowego w Katarze, w maju 2016 roku.
Ta operacja wykradła 1,5 gigabajta danych, w tym informacje o klientach zawierające dane uwierzytelniające bank, numery telefonów, dane karty płatniczej i daty urodzenia. Jednostka GRU 29155, pod kierownictwem Stigala, ujawniła wszystko w Internecie i ustrukturyzowała wysypisko w taki sposób, aby skupić uwagę na transakcjach finansowych katarskiej rodziny królewskiej i operacjach wywiadowczych ich rządu. W tym czasie Doha wspierała finansowo i militarnie konsorcjum islamistycznych grup rebeliantów sprzeciwiających się syryjskiej dyktaturze Baszara al-Assada, w tym takich jak Brygada Faylaq al-Rahman, z którą GRU później bezpośrednio negocjowało lokalne zawieszenie broni i ewakuację z przedmieść Damaszku w dążeniu do zakończenia wieloletniej wojny domowej na korzyść reżimu Assada.
Zrzut ekranu z włamania do katarskiego banku znaleziony na serwerze GRU
Odpowiedzialność za włamanie do QNB została przyznana w mediach społecznościowych przez konto prowadzone przez turecką skrajnie prawicową grupę @bozkurthackers.
Była to fałszywa atrybucja, jak pokazują raporty Jednostki 29155 i dzienniki włamań zbadane przez The Insider.
Konto @bozkurthackers, podobnie jak wiele innych kont na Twitterze działało pod „fałszywą flagą”, na których polegała Jednostka GRU 29155, było prowadzone samodzielnie przez Tima Stigala.
Do tej pory operacja ta nigdy nie była publicznie łączona z rosyjskim wywiadem wojskowym.
Kolejny atak hakerski pod fałszywą flagą dokonany przez zespół Stigala miał na celu podsycenie napięć między Ukrainą a Polską. W lipcu 2016 r. Jednostka 29155, podszywająca się pod członków ultranacjonalistycznego ruchu Prawego Sektora, ujawniła zhakowane dane z polskich telekomunikacji, a także dokumentację medyczną polskiego personelu wojskowego, a także publikowała obraźliwe wiadomości pod adresem polskich urzędników rządowych, oskarżając ich o przyglądanie się potencjalnej aneksji zachodniej Ukrainy.
„Do rządu polskiego:
Chcecie Lwowa? Ssij naszego xxxxxx ! Dostaniesz [kolejny] Wołyń” – napisano na Twitterze, odnosząc się do makabrycznej masakry Polaków dokonanej przez ukraińskich nacjonalistów w Galicji Wschodniej w 1943 roku.
![Zrzut ekranu przedstawiający podszywanie się Jednostki 29155 pod Prawy Sektor Ukrainy. W jednym z tweetów czytamy: "Do rządu Polski: Chcecie Lwowa? Ssij naszego kutasa! Dostaniesz [kolejny] Wołyń".](https://i0.wp.com/theins.press/images/pfcTSoudAr-8q3ydk8p9iNmJKmdFraDMWCDwBlfIi38/rs%3Afit%3A866%3A0%3A0%3A0/dpr%3A1/q%3A80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQxODkv/ZmlsZS1mODkwMWE1/Yjg4NTI4NDkyYmMx/NDc3MTBhYTQ3ZDFl/Mi5wbmc.jpg?w=640&ssl=1)
Zrzut ekranu przedstawiający podszywanie się Jednostki 29155 pod Prawy Sektor Ukrainy. W jednym z tweetów czytamy: „Do rządu Polski: Chcecie Lwowa? Ssij naszego kutasa! Dostaniesz [kolejny] Wołyń”.
Prawy Sektor odegrał marginalną rolę w rewolucji Euromajdanu w 2014 r., ale Kreml kładł duży nacisk na rzekomo „faszystowskie” lub „neonazistowskie” pochodzenie szeroko zakrojonego ruchu protestacyjnego, który obalił prorosyjski rząd prezydenta Ukrainy Wiktora Janukowycza i skierował Ukrainę na drogę prozachodniej integracji. Rewolucja ta została przerwana nielegalnym zajęciem przez Rosję Półwyspu Krymskiego i podżeganiem do brudnej wojny „separatystycznej” w Donbasie na wschodzie Ukrainy, prowadzonej przez doświadczonych oficerów GRU i rosyjskiej Federalnej Służby Bezpieczeństwa (FSB) i wspieranej przez ciężkie systemy broni konwencjonalnej, takie jak platforma przeciwlotnicza Buk, która zestrzeliła MH17 w lipcu 2014 roku.
Podszywanie się pod konto rzekomo wykorzystywane przez Prawy Sektor przyniosło efekty, na co zareagowali niektórzy przedstawiciele polskiego rządu.
Talent Stigala, jako cyfrowego prowokatora, poszedł dalej: jego zespół zarejestrował kolejne konto pod fałszywą flagą, tym razem należące do (nieistniejącego) polskiego oddziału grupy haktywistów Anonymous. Konto to zaczęło werbalnie obrażać Ukraińców, deklarując, że Ukraina jest „polską ziemią” i twierdząc, że zhakowało Prawy Sektor.
Kluczowy był również moment przeprowadzenia tej cyberoperacji: dane wyciekły do międzynarodowych mediów 7 lipca 2016 r., dokładnie dzień przed szczytem NATO w Warszawie, na którym przyszłość Ukrainy w transatlantyckim sojuszu wojskowym, a także poparcie NATO dla nowego tymczasowego eurofilskiego rządu w Kijowie, zajęły znaczną część agendy.
Według polskiego urzędnika ds. bezpieczeństwa, który rozmawiał z The Insider pod warunkiem zachowania anonimowości, „ten atak hakerski był totalnym fuck-upem w Polsce. Sprawa trafiła do najniższej możliwej prokuratury i została przekazana policji, która nie zrobiła absolutnie nic. Był „martwy” od samego początku: nigdy nie znaleziono żadnego sprawcy”.
Trzecia operacja hakerska pod „fałszywą flagą” – polegająca na recyklingu już wdrożonego konta „Anonymous Poland” pod fałszywą flagą – była wymierzona w Bellingcat, platformę śledczą typu open source, która w ciągu ostatnich dziesięciu lat intensywnie współpracowała z The Insider w zakresie historii związanych ze spiskami rosyjskiego wywiadu – a w szczególności z tymi przeprowadzanymi przez Jednostkę 29155. Jednak w 2017 r., kiedy rozpoczęła się ta cyberoperacja, istnienie jednostki 29155 było nadal nieznane, mimo że jej agenci już od co najmniej pięciu lat przeprowadzali niewyjaśnione zamachy bombowe na terytorium UE i NATO.
Pod przykrywką „Anonimowej Polski” zespół Stigala ujawnił skradzione dane kart kredytowych powiązanych z litewskimi bankami, a następnie fałszywie twierdził, że włamanie zostało popełnione przez cyberprzestępców Bellingcat – a nie przez agentów GRU – którzy działali w zmowie z Anonymous Polska.
Zrzut ekranu jednego z fałszywych kont Anonymous Poland pokazującego zasięg kampanii oszczerstw Bellingcat. Znaleziono w nieużywanej wiadomości e-mail dotyczącej palnika, używanej do raportowania przez jednostkę 29155
Jednostka 29155 nie tylko wykorzystała Bellingcat do zasiania podziałów między Polską a krajami bałtyckimi; Podjęła też próby wbicia klina między gazetę a Ukrainę.
Hakerzy Stigala przechwycili imiona i zdjęcia dzieci ukraińskich żołnierzy, którzy służyli wówczas na linii frontu w niezbyt zamrożonej wojnie z Rosją w Donbasie. Konto Anonymous Poland ponownie fałszywie przypisało włamanie firmie Bellingcat, która wielokrotnie zgłaszała konto do Twittera. Platforma orzekła jednak, że działania Anonymous Poland nie stanowiły naruszenia jej regulaminu.
W końcu Jednostka 29155 sporządziła listę celów związanych z prawdziwym Bellingcatem, choć błędnie zapisaną jako „Billingcat”, co jest częstym błędem popełnianym przez rosyjskojęzycznych, którzy często fałszywie przypisują nazwę grupy „bilingom telefonicznym”. Insider odzyskał go z plików tekstowych wysyłanych między hakerami za pośrednictwem pozostawionego adresu e-mail, który został użyty do zarejestrowania konta palnika na VKontakte, rosyjskim odpowiedniku Facebooka. E-mail i bezpośrednie wiadomości VKontakte były najwyraźniej wykorzystywane przez członków Jednostki 29155 do celów sprawozdawczych. Lista celów jest podzielona na „liderów”, „śledczych” i „sympatyków”, odnosząc się do pracowników Bellingcat i różnych kont w mediach społecznościowych znanych z wzmacniania pracy gazety. Kilka osób z tej listy potwierdziło w rozmowie z The Insider, że mniej więcej w tym samym czasie były celem kampanii spear-phishingowych.
Podczas gdy konta „@pravysektor” i „@pravsector” zostały szybko zidentyfikowane jako fałszywe i usunięte przez Twittera, konta @anonpl i @anon_pl20 pozostały aktywne przez lata, a zespół Stigala, ośmielony intrygami, zamieszaniem i wewnętrznymi konfliktami, które podsycał w ramach kampanii polskiej i ukraińskiej, używał go do wielokrotnego przeprowadzania operacji hakerskich w kolejnych miesiącach. Niektóre z przecieków upublicznionych za pośrednictwem tych kont zostały wcześniej przypisane innym jednostkom hakerskim GRU, takim jak FancyBear, co pozostawia otwartą możliwość, że Jednostka GRU 29155 29155 współpracowała z innymi grupami cybernetycznymi lub starała się promować pracę swoich kolegów z wywiadu wojskowego.
Zarchiwizowana strona konta @anpoland prowadzona przez Stigala pokazuje niektóre z przecieków ogłoszonych przez Jednostkę 29155 we wrześniu 2016 roku. Przecieki obejmują „akta departamentu policji w Detroit” (używając hashtagów #StopFBI #Revolution), „dokumenty z dowództwa lotnictwa strategicznego i Boeinga KC-10”, amerykańską drużynę paraolimpijską i Światową Agencję Antydopingową (WADA), która ujawniła „systematyczne, sponsorowane przez państwo podważanie procesu testowania narkotyków przed, w trakcie i po Zimowych Igrzyskach Olimpijskich w Soczi w 2014 roku”. Raport Independent Person, opublikowany przez WADA w lipcu 2016 r., doprowadził do wykluczenia setek rosyjskich sportowców z kolejnych międzynarodowych zawodów sportowych.
Eksperci ds. cyberbezpieczeństwa i FBI przypisali włamanie do WADA w 2016 r. siedmiu oficerom GRU przydzielonym do jednostki 26165, z których niektórzy podróżowali do zagranicznych miast, aby przeprowadzić ataki hakerskie na sieci komputerowe urzędników antydopingowych i sportowych.
Podobnie jak w przypadku innych grup hakerskich GRU, Stigal poszukiwał i polegał na zewnętrznych podmiotach w celu rozpowszechniania nielegalnie uzyskanych informacji. Jedną z osób pomagających Jednostce 29155 jest Dilyana Gaytandzhieva, bułgarska dziennikarka, niegdyś znana ze swoich nieustraszonych reportaży. Z czatów zbadanych przez The Insider wynika, że Stigal rzekomo najpierw skontaktował się z Gaytandzhievą za pośrednictwem Twittera, przekazując jej przecieki i zachęcając do opublikowania zestawu danych o ruchu lotniczym cargo i inwentarzach, które rzekomo znaleziono w ambasadzie Azerbejdżanu w Sofii. Zhakowany zestaw danych rzekomo wykazał, że Silk Way Airlines, azerbejdżańska prywatna firma transportowa zajmująca się transportem broni, przewoziła zamówione przez USA przesyłki broni za pomocą lotów dyplomatycznych.
![[obiekt Obiekt]](https://i0.wp.com/theins.press/images/-vFTqbdo_z7New4r3CqktA703tSMk4Yyn9V6dp65WmI/rs%3Aauto%3A0%3A0%3A0%3A0/dpr%3A1/q%3A80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQxOTQv/ZmlsZS0xYTQxYzdk/ZWEzNTE1OWY0MDA0/MzQ0ZWQ1MWEyODhl/NC5qcGc.jpg?w=640&ssl=1)
![[obiekt Obiekt]](https://i0.wp.com/theins.press/images/Lesy9qNVFnFb0ixDxavdE4aJxmB-jMqmqVx5WDMEW4g/rs%3Aauto%3A0%3A0%3A0%3A0/dpr%3A1/q%3A80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQxOTUv/ZmlsZS00YTZkOGMz/MjdmNjg5NzZhMmU5/Y2M4NjEwMGE2NGIw/NS5qcGc.jpg?w=640&ssl=1)
![[obiekt Obiekt]](https://i0.wp.com/theins.press/images/WadOByhIXsoD4J4Eo6aBF_SB5N7nGK3x-meeFHTog6U/rs%3Aauto%3A0%3A0%3A0%3A0/dpr%3A1/q%3A80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQxOTYv/ZmlsZS0xMjRmMzQw/MGFjOWEzNjI3NjA4/YTBkMGI2MDkyMmZl/ZS5qcGc.jpg?w=640&ssl=1)
Aby zapewnić warstwę zaprzeczania, podobną do fortelu użytego w polskiej operacji informacyjnej, Stigal założył konto pod „fałszywą flagą” na Twitterze pod nazwą @anon_bg. Ten nazywał siebie „Anonimową Bułgarią”. Konto zostało aktywowane w kwietniu 2017 r. i początkowo retweetowało autentyczne tweety grupy haktywistów Anonymous, stwarzając w ten sposób wrażenie, że również miało to być „narodowe” skrzydło tego międzynarodowego ruchu. Pierwszy oryginalny tweet Anonymous Bulgaria został opublikowany 27 czerwca 2017 roku. Zawierał on link do zhakowanej i wyciekłej korespondencji pocztowej – „pliki kopii zapasowych + e-maile dyplomatyczne” – od „Azer Embussy [sic] w Bułgarii”. Hashtag nosił nazwę „Military Cargo on 'SilkWay’ for terrorismists” (Ładunek wojskowy na Jedwabnej Drodze) dla terrorystów, odnoszący się do narodowych linii lotniczych Azerbejdżanu.
Rzekomo „początkowe” podejście Stigala za pośrednictwem @anon_bg miało miejsce 27 czerwca 2017 r. za pośrednictwem bezpośredniej wiadomości na Twitterze. Na pierwszy rzut oka giełda wygląda jak grupa hakerska kontaktująca się z dziennikarzem, aby zaoferować interesującą skarbnicę danych. Dziennikarka odpowiada, że jest zainteresowana i proponuje spotkanie z autorem przecieku, obiecując anonimowość. Hakerzy odpowiadają, że spotkanie nie wchodzi w rachubę i że wszystkie dane są dostępne w wycieku danych.
Jednak ta „początkowa” rozmowa jest pełna niespójności i wydaje się, że została zainscenizowana, aby zapewnić Gaytandzhievej możliwość zaprzeczenia w przypadku kontroli. Otatnia wiadomość od Gajtandżijewej tego dnia zawierała prośbę o telefon, która pozostała bez odpowiedzi. Na tym rozmowa się zakończyła.
Jednak późniejsza wymiana zdań między @anon_bg a innymi użytkownikami Twittera pokazuje, że komunikacja między Stigalem a Gaytandzhievą była kontynuowana na innej platformie i prawdopodobnie na długo poprzedzała ten czat DM.
W wielu innych kontaktach z dziennikarzami i blogerami kontaktującymi się z fałszywym kontem Anonymous, Stigal mówi każdemu z nich, aby skontaktował się z Gaytandzhievą w celu uzyskania dalszych informacji i „pełnego zestawu danych, który posiada”. W długiej wymianie wiadomości z Narine Grigoryan, urzędniczką pracującą wówczas w Ministerstwie Spraw Zagranicznych Armenii, Stigal próbował przekonać Grigorjana do wysłania noty protestacyjnej do bułgarskiego ambasadora w Erywaniu w związku z „Bułgarią sprzedającą broń Azerbejdżanowi w celu zabijania niewinnych Ormian”. Było to pokłosiem czterodniowej wojny Azerbejdżanu z Armenią o sporną enklawę Górski Karabach.
3 lipca 2017 roku Stigal napisał do Grigorjana:
„To bardzo ważne, aby zadzwonić (sic!) do bułgarskiego ambasadora w Armenii i przejąć od niego notę protestacyjną w sprawie pomocy wojskowej dla Azerbejdżanu. To powód do przerwania negocjacji pokojowych w regionie. Z drugiej strony staramy się kontrolować eksport towarów wojskowych z Bułgarii. Potrzebujemy jakichś precedensów, aby wywrzeć presję na rząd i premiera Borisowa”, odnosząc się do Bojko Borisowa, ówczesnego premiera Bułgarii.
(Wiadomość ta pojawiła się zaledwie dwa lata po tym, jak członkowie Jednostki 29155 otruli bułgarskiego handlarza bronią Emiliana Gebrewa, który eksportował amunicję do Gruzji i na Ukrainę).
W odpowiedzi na pytanie Grigorjana:
„Jak mogę pomóc?”
Stigal napisał:
„Zapytaj Dilyanę, to dobra dziewczyna” i zachęcił Grigorjana, by spróbował skontaktować się z Gaytandzhievą za pośrednictwem Telegramu.
Stigal próbował nawet nakłonić Ormiankę do współpracy, powołując się na jej atrakcyjność. „Ty bardzo piękna i inteligentna kobieto [sic], szkoda, że nie moja żona” – powiedział jej.
Grigoryan odpisał, że działa „dla mojego kraju, ale doceniam komplement”. Następnie zapytała Stigala, skąd wie, jak wygląda. „Zaufaj mi”, odpowiedział, „jesteś niesamowicie piękna”.
Komplementy nie przyniosły rezultatu, gdy Stigal poprosił Grigorjana o pomoc Gajtandżijewej w „zorganizowaniu protestu przed ambasadą Azerbejdżanu w Sofii”. Grigoryan odparła, że nie może brać udziału w czymś takim. To ujawnienie przez Stigala sugerowało jednak, że Gaytandzhieva była kimś więcej niż tylko skrybą GRU. Teraz, według jej opiekuna, działała jako prowokatorka w imieniu służby.
3 lipca 2017 r., sześć dni po „początkowym” podejściu Stigala do Gaytandzhievej na Twitterze, opublikowała ona w bułgarskim dzienniku „Trud” („Praca”) exposé oparte na danych zhakowanych przez jednostkę 29155. Warto zauważyć, że był to jedyny anglojęzyczny artykuł opublikowany przez Trud, sugerujący, że celem śledztwa było dotarcie do międzynarodowej publiczności przy jednoczesnym skorzystaniu z wiarygodności uznanego lokalnego organu medialnego.
„W ciągu ostatnich 3 lat co najmniej 350 lotów dyplomatycznych Silk Way Airlines (azerbejdżańskiej spółki państwowej) przewoziło broń na potrzeby konfliktów wojennych na całym świecie” – czytamy w artykule Gajtandżijewej. „Samoloty państwowe Azerbejdżanu przewoziły na pokładzie dziesiątki ton ciężkiej broni i amunicji, które pod osłoną lotów dyplomatycznych zmierzały do terrorystów”. Swoje informacje przypisała do „anonimowego konta na Twitterze – Anonimowa Bułgaria”.
Jeśli chodzi o jej twierdzenie, że broń i amunicja, w tym granatniki o napędzie rakietowym, były przeznaczone dla „terrorystów”, Gaytandzhieva słabo powiązała jedną partię RPG z firmą o nazwie Purple Shovel, LLC, firmą zbrojeniową z siedzibą w Wirginii, zatrudnioną przez Pentagon do programu Train and Equip, aby wspierać syryjskich rebeliantów zaangażowanych w walkę z ISIS. W 2015 roku 41-letni amerykański pracownik Purple Shovel i były weteran marynarki wojennej USA, Francis Norwillo, zginął, gdy na poligonie wojskowym w pobliżu bułgarskiej wioski Anewo eksplodował granatnik granatowy. (Większość sprzętu uzyskanego przez Purple Shovel, jak wykazało śledztwo portalu „Buzzfeed,” miała kilkadziesiąt lat i była w złym stanie). Gaytandzhieva stwierdziła w swoim artykule, że RPG nabyte przez Purple Shovel nie były używane przez syryjskich rebeliantów walczących z ISIS związanych z programem Pentagonu.
„W grudniu [2016 r.], relacjonując bitwę o Aleppo jako korespondentka bułgarskich mediów”, napisała, „znalazłam i sfilmowałam 9 podziemnych magazynów pełnych ciężkiej broni, której krajem pochodzenia była Bułgaria. Były one używane przez Front Al-Nusra (filię Al-Kaidy w Syrii, uznaną przez ONZ za organizację terrorystyczną).
To, że taka broń mogła zostać przechwycona przez Al-Nusrę, która często walczyła z rywalizującymi grupami rebeliantów podczas syryjskiej wojny domowej, nie jest nigdzie brane pod uwagę w śledztwie Gajtandżiewej. Nie wyjaśnia też, skąd wie, kim byli zamierzeni odbiorcy którejkolwiek z przesyłek wymienionych w jej historii. Wysuwa inne niepotwierdzone twierdzenia, że zachodni partnerzy celowo uzbrajali ISIS, ponieważ niektóre bronie znalezione w manifestach ” Jedwabnego Szlaku” ostatecznie trafiły w ręce dżihadystów, znanych z napadów na państwowe instalacje wojskowe i wyprzedzania rywalizujących rebeliantów w Syrii i Iraku.
Nie trzeba dodawać, że rosyjska propaganda państwowa przemycała dokładnie te same mroczne oskarżenia podczas operacji Inherent Resolve, koalicji pod przywództwem USA mającej na celu pokonanie ISIS – Kreml twierdził, że Zachód potajemnie ubezpiecza tych samych terrorystów, z którymi był w stanie wojny.
Podczas wyborów prezydenckich w USA w 2016 r. korespondencja Partii Demokratycznej zhakowana przez FancyBear została wyprana za pomocą wycinanek Guccifer 2.0 i DCLeaks, zanim trafiła do Wikileaks. Jednostka GRU 29155 postępowała według podobnego schematu, gdy wzmacniała pracę swojej agentki Gajtandżijewej. Kolejne tweety na @Anon_bg skupiały się niemal wyłącznie na promowaniu azerbejdżańskiego archiwum hakerskiego, a także na relacjonowaniu śledztwa Gaytandzhievej. Konto przyciągnęło uwagę głównie ze strony zwolenników teorii spiskowych i mało znanych skrajnie prawicowych amerykańskich blogerów, a także innych stron internetowych powiązanych z Rosją. Jednak w ślad za nim poszli dziennikarze z wielu legalnych mediów, takich jak CNN i Organized Crime and Corruption Reporting Project. Jednostka GRU 29155 z dumą relacjonowała te historie Moskwie jako dowód swojej udanej operacji.
Pod koniec sierpnia 2017 roku Gaytandzhieva nie pracowała już w Trud. Relacje na temat jej odejścia różnią się, ponieważ publicznie twierdziła, że została zwolniona w związku ze śledztwem, czemu wydawca zaprzeczył. W artykule opublikowanym 25 sierpnia 2017 r. stwierdziła, że „bułgarski oficer bezpieczeństwa narodowego zadzwonił i zaprosił mnie do swojego biura, gdzie byłam przesłuchiwana w sprawie mojego źródła dziennikarstwa śledczego. Opowiedziałem im, w jaki sposób zdobyłem ten poufny dokument, ale odmówiłem ujawnienia źródła, ponieważ nie jestem do tego zobowiązany”.
Po „wypraniu brudnych pieniędzy” po włamaniu do ambasady Azerbejdżanu, zaangażowanie Gaytandżievej w Jednostkę 29155 stało się bardziej systematyczne. Zlecona przez agentów Stigala odbyła kilka podróży reporterskich.
Na przykład na początku stycznia 2018 r., a później we wrześniu tego samego roku, pojechała do Gruzji, aby poinformować o rzekomych amerykańskich laboratoriach biologicznych działających w ambasadzie amerykańskiej w Tbilisi, co jest fałszywym twierdzeniem, które od tego czasu było wielokrotnie obalane. 29 grudnia 2017 r., na kilka dni przed podróżą Gajtandżiewej do Tbilisi, Tim Stigal wrócił do Moskwy ze stolicy Gruzji, posługując się fałszywym paszportem „Magomiedowa”. Z doniesień Stigala na opuszczonym koncie VKontakte wynika, że podczas swojej podróży spotkał co najmniej jednego ze „świadków”, których Gaytandzhieva wykorzystała kilka dni później w swoim rzekomym śledztwie. Ponadto w drugiej podróży do Tbilisi Gaytandzhievej towarzyszyła Asyaa Ivanova, Bułgarka mieszkająca na okupowanym przez Rosję na okupowanym przez Rosję Krymie i pracująca dla prowadzonego przez GRU portalu – Newsfront.
Wstępny raport Gajtandżijewej z Tbilisi został opublikowany na mało znanym anglojęzycznym portalu NaturalBlaze.com
Druga podróż przyniosła fałszywy raport, początkowo wyemitowany przez powiązany z syryjskim rządem kanał telewizji satelitarnej Al Mayadeen TV i ponownie opublikowany przez grupę stron internetowych, głównie w Rosji i Afryce.
„Śledztwa” w Tbilisi stały się pierwszą częścią długiej serii bezpodstawnych oskarżeń Gajdandżiewej o istnienie finansowanych przez USA laboratoriów w byłym Związku Radzieckim, które, jak twierdziła, wykorzystywały patogeny jako broń.
W 2018 roku Gaydandzhieva została wyrzucona z konferencji Parlamentu Europejskiego w Brukseli za forsowanie wspieranego przez GRU spisku, a następnie chwaliła się tym na Twitterze dwa tygodnie po inwazji Rosji na Ukrainę. Począwszy od pierwszych miesięcy pandemii COVID-19, zaczęła publikować artykuły z nagłówkami takimi jak „Pentagon biolab odkrył MERS i koronawirusy podobne do SARS u nietoperzy” – nawiązując do „Operacji Denver”, jednego z najbardziej wirusowych (że tak powiem) aktywnych środków KGB podczas zimnej wojny, która przekonała miliony na całym świecie, że AIDS jest bronią biologiczną wynalezioną w Fort Detrick ( Siedziba amerykańskiego wywiadu medycznego National Center of Medicine Intelligence).
Wewnętrzne czaty, do których dotarł The Insider, pokazują, że Jednostka 29155 uważała swoją serię biolabów za klejnot w koronie swoich operacji cybernetycznych. Serial został wykorzystany do uzasadnienia dziesiątek milionów dolarów dodatkowego finansowania stanowego dla Jednostki 29155.
Kłamstwa zawarte w raportach Gaytandzhievej stały się podstawą oficjalnych twierdzeń rosyjskiego rządu o złośliwych amerykańskich badaniach naukowych nad chorobami zakaźnymi, a wszystko to w okresie poprzedzającym pandemię COVID-19 w 2020 roku.
Podobnie jak w przypadku większości tropów rosyjskiej dezinformacji, ten był błędnym kołem: kłamstwo wymyślone przez GRU, karmione i wzmacniane przez agenta GRU na Zachodzie, zostało podchwycone i przez rosyjskich urzędników – w tym przypadku gen. Igora Kiriłłowa, szefa rosyjskiej jednostki wojskowej ds. broni radiologicznej i chemicznej, który został zamordowany w Moskwie w 2025 r. przez ukraiński wywiad.
W miarę jak Gaytandzhieva zyskiwała na znaczeniu dla operacji hakerskich i dezinformacyjnych 29155, poszukiwanie nowych partnerów medialnych, którzy opublikowaliby jej wątpliwe doniesienia, stało się niezręczne. Stigal wpadł więc na genialny pomysł, aby założyć własny zasób fałszywych wiadomości.
Pod jego kierownictwem i wskazówkami Gaytandzhieva zarejestrowała w 2019 roku stronę internetową o nazwie ArmsWatch.com. Strona stała się „wysypiskiem” dla innych produktów typu hack-and-leak, które Jednostka GRU 29155 chciała upublicznić. Czy to przez przypadek, czy celowo, estetyka i projekt strony odzwierciedlają styl Bellingcat, obsesji – i celu hakerów – jednostki 29155.
W wielu przypadkach publikacje ArmsWatch korelowały z wysiłkami Jednostki 29155 zmierzającymi do zatuszowania własnych narastających przestępstw poprzez próby zdyskredytowania śledztw dziennikarskich – w tym tych prowadzonych przez The Insider – w sprawie sposobu prowadzenia operacji przez rosyjską jednostkę Black Ops.
Chodzi m.in. o zdemaskowanie trucicieli Skripala, Miszkina i Czepigi, a także zespołu Jednostki 29155 stojącego za wcześniejszą próbą zabicia nie tylko bułgarskiego handlarza bronią Emiliana Gebrewa, ale także jego syna i dyrektora fabryki.
Należąca do Gebrewa firma EMCO, jak wcześniej ujawnił The Insider, gromadziła broń i amunicję w bułgarskich i czeskich magazynach Unit 29155, które wysadzono w powietrze na początku 2011 roku. Te rosyjskie tajne operacje były kontynuowane do 2015 r. i miały na celu utrudnienie przepływu broni do przeciwników Moskwy. Były to: prozachodni rząd prezydenta Gruzji Micheila Saakaszwilego, którego wojsko wciąż chwiało się po wyniszczającej wojnie z Rosją w 2008 r. i po cichu próbowało się dozbroić; ukraińskie wojsko po Janukowyczu, walczące wówczas o odzyskanie terytoriów zajętych przez siły rosyjskie w Donbasie; i antyasadowskich grup rebeliantów w Syrii.
Starając się zasiać wątpliwości co do wniosku, że Siergiej i Julia Skripalowie zostali otruci rosyjskim wojskowym środkiem paralityczno-drgawkowym Nowiczok, Gaytandzhieva sugeruje, że próbki krwi ofiar mogły zostać sfałszowane i że w rzeczywistości byli to narkomani, którzy ulegli przedawkowaniu fentanylu.
Każda z historii Gajtandżiewej kończyła się oświadczeniem: „Jestem niezależną dziennikarką i nie pracuję dla rządów ani korporacji”.
Między 1 a 15 września 2019 r. ArmsWatch opublikował wieloczęściową serię pod tytułem „The Serbia Files”.
Raport cytuje to, co wydaje się być autentycznymi dokumentami, które wyciekły, ale dochodzi do bezpodstawnego wniosku, że amerykański pełnomocnik celowo przekazywał serbską broń ISIS i Al-Kaidzie. „Te dokumenty obnażają największe kłamstwo w polityce zagranicznej USA” – przekonywała Gajtandhziewa, powtarzając swój dobrze wyćwiczony refren jako agentka GRU, „oficjalnie walcząca z terroryzmem, jednocześnie potajemnie go wspierając”.
Z ujawnionych czatów, do których dotarł The Insider, wynika, że dokumenty te zostały przekazane Gajtandhziewi przez Aleksandra Obradowicza – serbskiego pracownika producenta broni Krušik – na polecenie jednostki GRU 29155.
W przeciwieństwie do innych krajów znajdujących się na celowniku Jednostki 29155, Serbia jest sojusznikiem Moskwy, co sprawia, że ta operacja informacyjna i wywierania wpływu GRU wyróżnia się spośród innych publikowanych przez ArmsWatch. Obradowicz został aresztowany trzy dni po opublikowaniu 15 września 2019 r. trzeciej części artykułu Gajtandhziewej pt. „Paszporty handlarzy bronią ujawniają, kto zaopatruje terrorystów w Jemenie”.
Istnieją dowody na to, że Belgrad był świadomy tego, kto tak naprawdę stał za tą kampanią hakerską.
17 listopada 2019 r. anonimowy użytkownik opublikował na YouTube film z monitoringu z następującym opisem w łamanym i niegramatycznym języku angielskim:
„Rosyjscy szpiedzy korumpują Serbię. To jest nagranie wideo, na którym oficer rosyjskiego głównego zarządu wywiadu wojskowego (GRU), pułkownik Gieorgij Wiktorowicz Kleban, płaci swojemu serbskiemu agentowi, który jest wysokim rangą serbskim urzędnikiem. Kleban pracuje w Ambasadzie Rosyjskiej w Belgradzie. To jest to, co Rosjanie robią nam, tam 'przyjaciołom'”.
Film miał trudności z przyciągnięciem uwagi na YouTube. Jednak w dniu, w którym film został przesłany, anonimowy użytkownik wysłał e-mail do Christo Grozeva, szefa zespołu śledczego The Insider, z linkiem do niego i sugestią, aby Grozev obejrzał nagranie. Grozev był w stanie potwierdzić tożsamość Klebana jako oficera GRU i napisał o tym na Twitterze.
W ciągu kilku godzin jego tweet obiegł całą serbską prasę.
20 listopada serbskie służby bezpieczeństwa potwierdziły, że nagranie jest autentyczne, a rząd prezydenta Aleksandara Vučicia wezwał rosyjskiego ambasadora w celu złożenia oficjalnego protestu. Rosyjski szpieg został aresztowany i uznany za persona non grata. Vučić zwołał konferencję prasową, na której zasugerował, że to, co zrobiła Rosja, nie było przyjaznym gestem.
Niezrażona tym ArmsWatch nadal oskarżała Serbię o przemyt broni do wrogów Rosji, w tym do kraju, który Rosja miała próbować podbić z ponad 150 000 żołnierzy: Ukrainy.
Interwencja jednostki GRU 29155 przeciwko Vučiciowi wymagała osobistej interwencji Putina, jak wynika z korespondencji e-mailowej między członkami jednostki. Rosyjski prezydent zbeształ zarówno własnych hakerów GRU, jak i oficjalny Belgrad za brzydką eskalację między przyjaciółmi.
Jednostka 29155, począwszy od generała Andrieja Awerjanowa do Timura Stigala, została zdyscyplinowana i poinstruowana, aby w przyszłości nie prowadzić nieskoordynowanych operacji. Tymczasem Vučić natychmiast poleciał na spotkanie z Putinem do Rosji.
Kreml wydał uspokajające oświadczenie, w którym zapewnił, że „afera szpiegowska” – w tym przypadku odnosiła się tylko do tej ujawnionej na YouTube, a nie do afery, w której uczestniczyli jego właśni hakerzy – „nie zepsuje stosunków między dwoma bratnimi krajami”.
Serbska broń nadal jednak napływa na Ukrainę, często za pośrednictwem kanałów zewnętrznych.
29 maja 2025 r. SWR, rosyjska służba wywiadu zagranicznego, wydała oświadczenie zatytułowane „Serbski przemysł wojskowy próbuje strzelić Rosji w plecy”. Czytamy w nim m.in.:
„Serbskie przedsiębiorstwa obronne, wbrew »neutralności« deklarowanej przez oficjalny Belgrad, nadal dostarczają Kijowowi amunicję”. Vučić obiecał utworzyć „grupę roboczą”, która dotrze do sedna trwającej pomocy jego kraju w zakresie bezpieczeństwa dla przeciwnika jego sojusznika.
Dzień po wydaniu tego oświadczenia przez SWR doszło do eksplozji, która wstrząsnęła zakładem obronnym Krušik w Valjevie w Serbii. Fabryka, w której doszło do kilku poprzednich eksplozji, począwszy od 2022 roku, twierdziła, że detonacja była „wypadkiem”, który został spowodowany „przypadkową aktywacją wzmacniacza detonatora podczas prasowania substancji wybuchowej”.
W wyniku wybuchu jeden z pracowników został ranny w rany szarpane, a inni doznali wstrząsu mózgu.
W połowie 2019 roku Jednostka GRU 29155 wyruszyła na poszukiwanie nowej generacji operatorów cybernetycznych. Poleganie na hakerach freelancerach stawało się coraz bardziej kosztowne, a handel wymienny z gangami przestępczymi sprawiał więcej kłopotów niż był wart – immunitet od oskarżenia nie zawsze mógł być gwarantowany jako zachęta do hakowania dla GRU. Zespół Stigala zdecydował się więc na zatrudnienie pracowników we własnym zakresie.
Organizowali niezależne zawody hakerskie, ponieważ łowcy talentów mogli jeździć po drużynach uniwersyteckich w poszukiwaniu gwiazd. Do Stigala dołączył Roman Puntus, który pod koniec 2010 roku otrzymał zadanie nadzorowania działu hakerskiego Jednostki 29155 po tym, jak jej seria taktycznych zwycięstw zyskała przychylną uwagę wyższych sił na Kremlu.
Stigal i Puntus zaczęli jeździć do miasta Woroneż w południowo-zachodniej Rosji.
Jedna z nich zbiegła się w czasie z pierwszym hackathonem „Capture the Flag”, w którym wzięło udział 100 młodych programistów z ośmiu lokalnych uniwersytetów w mieście.
Ten dwudniowy konkurs obejmował szereg zadań, które wyróżniłyby najbardziej utalentowanych rekrutów do GRU:
poddanie ich grom w rozpoznanie wywiadowcze typu open source, kryptografię, kryminalistykę cyfrową i identyfikację luk w zabezpieczeniach stron internetowych.
Na podstawie metadanych telefonicznych uzyskanych przez The Insider, pierwsza grupa „orląt”, jak pieszczotliwie nazywali uczestników organizatorzy hackathonu, została zrekrutowana przez Stigala i Puntusa na początku 2020 roku. Pierwszym rekrutem był urodzony w Mołdawii student informatyki Witalij Szewczenko, wówczas 22-letni, student Akademii Wojskowych Sił Powietrznych w Woroneżu.
![[obiekt Obiekt]](https://i0.wp.com/theins.press/images/azr0W02DHFqhWvgMBswUMrGnZdf1TshSLDlX7LPVL_Q/rs%3Aauto%3A0%3A0%3A0%3A0/dpr%3A1/q%3A80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQyMDIv/ZmlsZS05YzAwMDZm/ODczOWVkMWEyN2Fl/ZjJkMWExM2ZiOGVk/Mi5qcGc.jpg?w=640&ssl=1)
Hackathon „Zdobądź flagę”. Po prawej Nikolay Korchagin, jeden z „orląt” z jednostki 29155![[obiekt Obiekt]](https://i0.wp.com/theins.press/images/VIaxYKJHv3D2Fecj74oH5IC4Aw8aIqI_WRgv0-lCMIc/rs%3Aauto%3A0%3A0%3A0%3A0/dpr%3A1/q%3A80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQyMDMv/ZmlsZS02YmM4ZTZl/NTYzMzY3NzA4NWFj/MWYwMjZkMThmOWRi/Ni5qcGc.jpg?w=640&ssl=1)
Witalij Szewczenko, pierwszy zwerbowany „orzeł”![[obiekt Obiekt]](https://i0.wp.com/theins.press/images/6LpT-6BV0Hh0zT4qDTEzW4zi2VU6vsgnLioThR0vrP8/rs%3Aauto%3A0%3A0%3A0%3A0/dpr%3A1/q%3A80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQyMDQv/ZmlsZS01YTVlMjQ2/YWE4ODA1ZDFlY2Uw/NWUzMDY4YzA5MTc5/Yy5qcGc.jpg?w=640&ssl=1)
Haker GRU Władisław BorowkowHakerzy z jednostki 29155: Dmitrij Woronow (po lewej) i Nikołaj Korczagin: (po prawej)
Hakerzy z jednostki 29155 Denis Denisenko (w środku, w pierwszym rzędzie) i Nikolay Korchagin (drugi po prawej, w górnym rzędzie)
![[obiekt Obiekt]](https://i0.wp.com/theins.press/images/4vaDQvbj_pKFw6kYSYcbawKBlfVm1P6blaStWwp84Ms/rs%3Aauto%3A0%3A0%3A0%3A0/dpr%3A1/q%3A80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQyMDUv/ZmlsZS1kZDFhODQx/YzhlOTkwZTcxOTE3/ODNiNmE4ZGRjMmVk/NS5qcGc.jpg?w=640&ssl=1)
![[obiekt Obiekt]](https://i0.wp.com/theins.press/images/straix0SVXCPMUa-KgD7vFHSX-E2DLnBNRcokve7Ou4/rs%3Aauto%3A0%3A0%3A0%3A0/dpr%3A1/q%3A80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQyMDYv/ZmlsZS1jMjk4YTFj/YTMyYTA0ZjdiYmQ3/NTUyMjJmNDJjZmU0/NC5qcGc.jpg?w=640&ssl=1)
Z ujawnionych danych o zatrudnieniu wynika, że początkowa pensja Szewczenki w jednostce 29155 wynosiła 400 000 rubli miesięcznie, czyli nieco ponad 5 100 dolarów.
Była to wysoka płaca dla każdego w każdym wieku w Rosji, były to pieniądze dobrze wydane przez GRU. Jednym z pierwszych głośnych ataków Szewczenki było estońskie Ministerstwo Obrony i inne instytucje rządowe w kraju bałtyckim, co spowodowało, że Jednostka GRU 29155 uzyskała dostęp do „znacznych ilości informacji do użytku wewnętrznego, w tym tajemnic handlowych”, zgodnie z aktem oskarżenia wydanym przez estońskich prokuratorów w 2024 r. – rzadki dokument, ponieważ prawidłowo przypisano ten szał hakerski jednostce 29155 i zaangażowanym oficerom.
Szewczenko był też orlkiem o najkrótszym stażu. Spędził w pracy tylko rok i odszedł pod koniec 2021 roku z powodu osobistego konfliktu ze swoim przełożonym, Puntusem.
Mniej więcej w tym okresie agresywnej ekspansji dowódca-założyciel jednostki, gen. Andriej Awerjanow, mianował innego doświadczonego oficera GRU do współpracy z Puntusem i nadzorowania stwora Stigala. Jurij Denisow był jedynym członkiem wydziału hakerskiego Jednostki 29155 posiadającym umiejętności informatyczne. Zarówno on, jak i Puntus odpowiadali bezpośrednio przed zastępcą Awerjanowa, Iwanem Kasanyenką.
Jeden z sześciu mężczyzn wymienionych w akcie oskarżenia przeciwko hakerom z Jednostki 29155 i jedyny nie-orlik w tej grupie, Denisow jest podejrzany o szpiegowanie rosyjskich dysydentów w Europie z zamiarem wyrządzenia im krzywdy. Podróżował pod różnymi pseudonimami: „Jurij Dudin” podczas podróży do Niemiec, Belgii i Holandii oraz „Jurij Łukin” podczas lotów do Turcji i Azerbejdżanu. Jego numer telefonu został zapisany na liście kontaktów telefonicznych, które wyciekły na platformie społecznościowej Telegram jako „Yuriy C++/Yurily C#” i „Yurily Databases”, co wskazuje na jego biegłość w kodowaniu i komputerach.
Żona Denisowa jest zawodowym programistą, który pracował dla kilku wiodących rosyjskich firm kryptograficznych.
Przegląd setek grup czatowych na Telegramie pokazuje, że Denisow lubi tworzyć oprogramowanie i wykorzystywać słabości w systemach komputerowych innych ludzi – słabości, które sam uosabia, ponieważ głupio używał tego samego numeru telefonu we wszystkich swoich wiadomościach online. Jego subskrypcje na Telegramie czyta się jak dzień z życia hakera GRU.
Wśród grup, do których należy, są „Zero Day/Cyber Security”, „Crypto Services”, „Dev Tools”, „Hacker Corner”, „AI tools”, „Stealer Tools” i „RansomWare Developers”.
Denisov jest również członkiem grupy o nazwie „DeepNudes”, która zajmuje się tworzeniem pornografii typu deep fake.
Insider odzyskał 687 komentarzy pozostawionych przez Denisowa na różnych forach Telegram od początku 2020 r. do kwietnia 2025 r. Komentarze wahają się od infantylnych insynuacji seksualnych po rasistowskie i reakcyjne sentymenty. Na przykład odnosi się do Ukraińców i mniejszości muzułmańskich na Kaukazie jako „Untermenschen„, co jest nazistowskim terminem oznaczającym osoby spoza rasy aryjskiej. Ponad 100 jego wiadomości atakowało również społeczność LGBT.
Denisow jest też zafiksowany na punkcie rosyjskiej opozycji, zwłaszcza Aleksieja Nawalnego i jego Fundacji Antykorupcyjnej.
13 grudnia 2020 r. szpieg GRU napisał:
„Nadszedł czas, aby ktoś wstrzyknął Nawalnemu szczepionkę Pfizera, śmiertelność z jej powodu jest wyższa niż z broni chemicznej klasy wojskowej Nowiczok”.
Było to dwa lata po tym, jak koledzy Denisowa z jednostki 29155 posmarowali nowiczokiem klamką drzwi domu Siergieja Skripala w Salisbury w Anglii.
(Kilka godzin po tym, jak Denisow opublikował tę wiadomość na Telegramie, The Insider, Bellingcat i Der Spiegel opublikowali swoje ustalenia identyfikujące oddział zabójczy FSB, który otruł Nawalnego nowiczokiem).
Pod koniec 2021 r., gdy zbliżała się inwazja Rosji na Ukrainę, Denisow zintensyfikował swoje antyukraińskie paplaniny, być może przypadkowo, a może dlatego, że zdawał sobie sprawę z nadchodzącej wojny. W jednym z postów na ukraińskojęzycznym kanale Denisow wygłosił długą tyradę przeciwko Wołodymyrowi Zełenskiemu, podając się za rodowitego Ukraińca, który sprzeciwia się przywództwu kraju.
W innych sytuacjach Denisov mniej dbał o ukrywanie swojej internetowej osobowości.
W pewnym momencie przedstawił się jako rosyjski pułkownik z 27-letnim stażem służby wojskowej (co było prawdą); Innym razem narzekał, że nie jest łatwo być żonatym z programistą (którym była jego żona). Oba były poważnymi uchybieniami w zakresie bezpieczeństwa komunikacji, za które zawodowa służba wywiadowcza udzieliłaby oficerowi reprymendy lub sankcji.
Nie jest jasne, czy Denisow prowadził swoją obecność na Telegramie wyłącznie w celach osobistych czy zawodowych, czy też robił to jako twórczą kombinację tych dwóch. Na przykład jego pierwsze stanowisko na początku 2020 r. wydaje się być pogonią za pobocznym zajęciem polegającym na sprzedaży dostępu do bazy danych, który prawdopodobnie miał w związku ze swoją pracą dla jednostki 29155. (Wiele transakcji maklerskich w Telegramie i rosyjskiej ciemnej sieci jest zarządzanych lub utrzymywanych przez oficerów rosyjskich służb specjalnych, którzy chcą się wzbogacić na handlu uprzywilejowanymi lub wrażliwymi informacjami).
Gdy rosyjski wysiłek wojenny na Ukrainie załamał się po inwazji w lutym 2022 r., komentarze Denisowa zmieniły się z optymistycznych na tragiczne, sugerując, że niezależnie od jego pierwotnych intencji utrzymania tak nadpobudliwej osobowości na Telegramie, nie działał już jako szpieg.
Niektóre z jego komentarzy ocierają się o zdradę.
Na początku 2023 roku Denisow zaczął wychwalać skuteczność Grupy Wagnera, sprzymierzonego z GRU korpusu najemniczego założonego przez oligarchę Jewgienija Prigożyna.
To samo w sobie może nie było takie złe, ale Denisow przeciwstawiał sprawność bojową Wagnera zniedołężnieniu konwencjonalnej armii rosyjskiej, rutynowo atakując Ministerstwo Obrony, biurokrację rządową, przed którą odpowiada GRU.
Prigożyn i Grupa Wagnera potępiali w tym czasie ministerstwo i ówczesnego ministra obrony Rosji Siergieja Szojgu, a także szefa sztabu generalnego gen. Walerija Gierasimowa za postrzegane braki w amunicji dla najemników, którzy masowo ginęli na polach bitew Bachmutu i Sołedaru we wschodniej Ukrainie.
Kiedy 24 czerwca 2023 r. Prigożyn i Wagner organizowali marsz na Moskwę, następnego dnia Denisow napisał:
„Czy jest jakieś dno, którego nie przebiło Ministerstwo Obrony?”.
25 czerwca napisał również:
„Jestem oficerem kontraktowym, ale gdybym miał szansę – gdyby nie [moja] choroba onkologiczna – zaciągnąłbym się jako najemnik do PMC”. (Informator nie może potwierdzić, jaki rodzaj raka ma lub miał Denisow; jedynie, że przechodził częste rezonanse magnetyczne i tomografię komputerową głowy).
Kilka dni po tym, jak przejęcie władzy przez Prigożyna zostało stłumione, Denisow napisał:
„Wszyscy w [Ministerstwie Obrony] to totalne szumowiny, innymi słowy – pedały”.
Zgodnie z rosyjskim prawem jest to przestępstwo zagrożone karą do pięciu lat więzienia za „dyskredytację sił zbrojnych”.
Oprócz pozostawienia niemal kompletnego „cyfrowego odcisku palca” swoich działań i myśli poprzez rozwiązłe i niezabezpieczone czaty na Telegramie, Denisow popełnił inne błędy.
Insider odkrył jego cztery różne tożsamości tylko dlatego, że używał tego samego telefonu do rezerwacji lotów pod wszystkimi czterema fałszywymi nazwiskami oraz do płacenia za parking samochodu zarejestrowanego na jego prawdziwą tożsamość.
Używał również tego telefonu do rezerwowania podróży dla swoich podwładnych z działu hakerskiego, w tym Tima Stigala.
Pracując wstecz od jednego numeru telefonu, The Insider był w stanie zanatomizować całą kadrę cyberagentów pracujących dla Jednostki 29155.
Powszechnie uważa się, że Piąta Służba rosyjskiej agencji bezpieczeństwa wewnętrznego (FSB) była głównym rosyjskim organem wywiadowczym, którego zadaniem była destabilizacja Ukrainy przed inwazją w lutym 2022 r.
Teraz nowe dowody wskazują, że jednostka GRU 29155 była zaangażowana w podobne działania, pionierska taktyka na Ukrainie, którą obecnie stosuje na znacznie szerszą skalę w eskalacji „wojny cieni” przeciwko Zachodowi.
W sierpniu 2021 r., pięć miesięcy przed inwazją Rosji na pełną skalę, hakerzy z Jednostki 29155 próbowali pogłębić rozdźwięk między ukraińskimi grupami nacjonalistycznymi a administracją Zełenskiego. Żołnierze z wielu najskuteczniejszych jednostek Kijowa, które od 2014 r. walczyły z siłami rosyjskimi w Donbasie, nie byli zbyt entuzjastycznie nastawieni do swojego prezydenta.
W 2019 r. wizyta Zełenskiego na linii frontu zakończyła się kłótnią przed kamerą między głową państwa a członkami batalionu Azow.
W 2021 r. Zełenski był nadal politycznie podatny na protesty i naciski ze strony elementów nacjonalistycznych na Ukrainie, w tym tych, którzy sprzeciwiali się jego obietnicy wyborczej zakończenia wojny na wschodzie poprzez ustępstwa na rzecz Kremla.
Trzymając się znanej formuły operacji pod fałszywą flagą, Stigal zwerbował dziesiątki agentów niskiego szczebla, którzy podszywali się pod członków batalionu Azow – jednej z najlepszych formacji paramilitarnych na Ukrainie, ale także grupy, która spotkała się z krytyką na Zachodzie w związku z prawicowymi tendencjami niektórych jej członków.
Posunął się jeszcze dalej i nawiązał kontakt z co najmniej dwoma najwyższymi dowódcami w Azowie, podszywając się pod lidera czeczeńskiej organizacji dysydenckiej Iczkeria, która jest opozycyjna wobec prezydenta Czeczenii Ramzana Kadyrowa, i oferując im sojusz przeciwko Zełenskiemu.
Oszukany przez Stigala, co najmniej jeden z dowódców Azowa przyjął ofertę pomocy.
Azow przeszedł przed wojną znaczące reformy, stając się najpierw pułkiem, a następnie brygadą.
Jej bojownicy byli odpowiedzialni za utrzymanie się w zakładach metalurgicznych Azowstal w Mariupolu wiosną 2022 r. – przeciwko przeważającym siłom rosyjskim – i są obecnie postrzegani jako bohaterowie narodowi, a ich siły specjalne stanowią trzon Trzeciej Brygady Szturmowej, jednej z elitarnych jednostek armii ukraińskiej.
Jednak przed inwazją na pełną skalę Jednostka 29155 starała się wykorzystać potencjał Azowa jako czynnika niszczącego jedność narodową, przedstawiając go jako zdecydowanie sprzeciwiającego się wybranemu przywództwu Ukrainy.
Działania prowadzone przez Jednostkę 29155 na Ukrainie są opisane w folderze The Insider, który znajduje się na nieużywanym już serwerze komputerowym.
Podtytuły brzmią jak poradnik na temat aktów sabotażu i działalności wywrotowej: „Bakteriolodzy/Laboratoria”, „Graffiti w miastach”, „Współpraca z nazistami” i „Cele wśród władz Ukrainy”.
W pierwszej teczce znajdowały się dossier sześciu ukraińskich wojskowych, którzy pracowali nad badaniami bakteriologicznymi.
Chociaż Jednostka 29155 nie wyjaśnia swojego zainteresowania tą dziedziną ani tym personelem, jest prawdopodobne, że dane te miały zostać wykorzystane do promowania teorii spiskowych o „biolaboratoriach na Ukrainie”.
Po latach spędzonych na obrzeżach globalnej przestrzeni informacyjnej, oskarżenia Gajtandżiewej znalazły szersze niż zwykle grono odbiorców po rozpoczęciu przez Rosję wojny na pełną skalę. Jeszcze w marcu 2024 r. przyszła dyrektor wywiadu narodowego Donalda Trumpa, Tulsi Gabbard, w wywiadzie z Tuckerem Carlsonem powtarzała elementy historii o „biolabach”.
W folderze zatytułowanym „Graffiti w miastach” znalazły się doniesienia o tysiącach aktów wandalizmu, które miały na celu podkreślenie niechęci do prezydenta Ukrainy, w tym poprzez zmianę języka użytego w 2014 r. do potępienia Władimira Putina.
W rezultacie latem 2021 r. na budynkach w wielu ukraińskich miastach malowano napis „Zelehuylo” – „Zełenski to chuj” i inne jego wariacje.
Folder ten zawierał geolokalizowane zdjęcia „dowodu doręczenia” i rozmowy ze zdalnie zrekrutowanymi aktywami na Ukrainie, którym zapłacono równowartość od 1 do 5 dolarów za graffiti, w zależności od znaczenia i ryzyka związanego z oznaczeniem określonej lokalizacji.
Aktywa były również zobowiązane do zgłaszania swoich tras spacerów i „liczby przebytych kroków” dziennie.
![[obiekt Obiekt]](https://i0.wp.com/theins.press/images/PNT5zms1ZGXDUlHhvSVYFCDgz3-3eQrUmIHyrms5XFk/rs%3Aauto%3A0%3A0%3A0%3A0/dpr%3A1/q%3A80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQxOTgv/ZmlsZS00NTdhZGI0/MWM4N2NiNTliMGE2/MTZlZjAyODVkMjZl/Mi5qcGc.jpg?w=640&ssl=1)
Próbki graffiti „Zełenski to kutas” zamówionego przez GRU na Ukrainie![[obiekt Obiekt]](https://i0.wp.com/theins.press/images/9-58iTP5gKBDyrxddZtffOYXy-1Vfg1xrs2BJJAXod8/rs%3Aauto%3A0%3A0%3A0%3A0/dpr%3A1/q%3A80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQxOTkv/ZmlsZS04YjUwMDNm/MWY5Nzk3NDUwZTQy/ZGUxZDJhNjY2ZTI3/Ni5qcGc.jpg?w=640&ssl=1)
![[obiekt Obiekt]](https://i0.wp.com/theins.press/images/y2km5A37pjSBXjUybJuWyTBnuR_ol4XRNrhnRwKxGhY/rs%3Aauto%3A0%3A0%3A0%3A0/dpr%3A1/q%3A80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQyMDAv/ZmlsZS0wMjkzZWI1/OTcxOTU3YWE1ZDY4/Y2M1ZjZkZjA0NDYy/ZS5qcGc.jpg?w=640&ssl=1)
![[obiekt Obiekt]](https://i0.wp.com/theins.press/images/SWuPD9pIESBDZ3exlg2z9v5RbQeXuY7Z0UNxcoEJ4bw/rs%3Aauto%3A0%3A0%3A0%3A0/dpr%3A1/q%3A80/bG9jYWw6L3B1Ymxp/Yy9zdG9yYWdlL2Nv/bnRlbnRfYmxvY2sv/aW1hZ2UvMzQyMDEv/ZmlsZS00NjJiZWM1/MjQwYTM0YTVhYWFl/MzgwMTMwNGViODcw/My5qcGc.jpg?w=640&ssl=1)
Raporty Jednostki 29155 zawierają również portfele płatności kryptowalutowych.
Insider prześledził główne z nich, które zostały wykorzystane do wynagradzania artystów graffiti; Pokazują one płatności w wysokości setek tysięcy dolarów wydanych w czasie kampanii.
Folder „Współpraca z nazistami” zawierał tylko jeden zrzut ekranu, który pokazuje rzekomą rozmowę z wysokim rangą członkiem Azowa w Czernihowie.
Czat wydaje się nakreślać koordynację kampanii na rzecz drukowania koszulek z tym samym anty-Zełenskim przesłaniem, które można zobaczyć w grafitti. Insider zdecydował się utajnić nazwisko członka Azowa – który obecnie służy w Siłach Zbrojnych Ukrainy – ze względu na fakt, że nie był on świadomy, że współpracuje z członkami rosyjskich służb wywiadowczych.
Ostatni folder, „Cele w rządzie”, donosił o inwigilacji i sabotażu, koncentrując się na trzech członkach administracji Zełenskiego odpowiedzialnych za integrację europejską: Andriju Bojce, [imię nieznane] Żurakowskim i Ihorze Żowce.
Jednostka 29155 najwyraźniej miała problemy z identyfikacją danych osobowych i adresów domowych Bojki, który miał „ponad 60” imienników w Kijowie, oraz Żurakowskiego, który w pewnym momencie „był właścicielem Skody Aktavii”.
Grupie udało się jednak zlokalizować Żółkę – Ihora Iwanowicza, zastępcę szefa Kancelarii Prezydenta Zełenskiego.
Osobny dokument, zatytułowany „wydatki na przetwarzanie Żółkwi”, pokazuje łączną kwotę 7000 dolarów plus premię, z zaliczką w wysokości 400 dolarów – prawdopodobnie za zlokalizowanie adresu urzędnika.
Teczka była pełna dziesiątek zdjęć Żółkwi i jego miejsca zamieszkania, szczegółowych informacji o nim i członkach jego rodziny oraz zapisów połączeń z jego numerem telefonu, w tym geolokalizacjami jego użycia w okresie sześciu miesięcy kończącym się 13 września 2021 r.
Wczesnym rankiem 22 października 2021 r. koktajl Mołotowa został wrzucony do domu Igora Żółkwi w Kijowie.
Nieznany z nazwiska 20-letni Ukrainiec został aresztowany, mówiąc władzom, że obiecano mu 7000 dolarów za spalenie domu ukraińskiego urzędnika.
Powiedział, że został zlecony przez anonimową osobę za pośrednictwem zaszyfrowanego komunikatora. (Jurij Denisow, nadzorca hakerów z Jednostki 29155, zostawił komentarz na czacie, który opublikował link do nowej historii o ataku na dom Żółkwi. Komentarz Denisowa brzmiał: „idioci”).
Jednostka 29155 wykorzystuje obecnie metody opracowane przez hakerów Stigala w celu destabilizacji Ukrainy w pogoni za jej rozległą kampanią sabotażu i podpaleń przeciwko Zachodowi.
Agenci GRU zdalnie lokalizują i używają Telegrama do rekrutacji sabotażystów z krajów takich jak Wielka Brytania, Polska, kraje bałtyckie i Niemcy, oferując im kryptowalutę za podpalanie strategicznych miejsc, takich jak instalacje wojskowe lub zakłady obronne, lub bardziej miękkich celów, takich jak magazyny, centra handlowe czy zajezdnie autobusowe.
Bardziej ambitne plany, które do tej pory były udaremniane przez zachodni kontrwywiad i organy ścigania, obejmują przemyt urządzeń zapalających zamkniętych w zabawkach erotycznych i kosmetykach na pokładach samolotów transportowych DHL lecących do Ameryki Północnej.
Oprócz hybrydowych działań offline Jednostki 29155, w tym samym okresie zespół Stigala uciekł się do hakowania oraz kampanii oszustwa i wywierania wpływu w Internecie.
Zrzuty ekranu znalezione na tym samym opuszczonym serwerze pokazują, że Jednostka 29155 zarejestrowała grupę nazw domen, które były wykorzystywane do spear-phishingu, zbierania danych uwierzytelniających i dezinformacji w miesiącach poprzedzających inwazję.
Stworzyła fałszywe strony internetowe dla biura Zełenskiego i kilku ukraińskich ministerstw.
Niektóre z tych działań zostały zgłoszone przez ekspertów ds. cyberbezpieczeństwa, ale jest to ich pierwsze przypisanie do Jednostki 29155.
Dane sugerują, że Tim Stigal został usunięty lub zrezygnował z pracy w hybrydowym dziale jednostki 29155 na krótko przed inwazją Rosji na Ukrainę.
Z dokumentacji medycznej wynika, że cierpiał na różne problemy zdrowotne i spędził ponad miesiąc w szpitalu w stanie krytycznym w 2020 roku z powodu powikłań po Covid.
Po odejściu Stigala, większość jego obowiązków została przekazana jego szefowi, Romanowi Puntusowi.
Puntus przejął tę kierowniczą i kadrową rolę hakerów z Jednostki 29155 dokładnie w momencie, gdy Kreml przygotowywał się do inwazji na Ukrainę na pełną skalę, a cyberataki miały odegrać ważną rolę w operacji.
Ale Puntus nie miał pojęcia o IT i w dużej mierze polegał na swoich podwładnych. Wydawał się też bardziej zainteresowany swoimi osobistymi dążeniami niż wygraniem wojny.
Pod nieobecność Stigała rolę łącznika między jednostką 29155 a FSB przejął oddelegowany do tej ostatniej służby haker Jewgienij Baszew.
Baszew od lat był zaangażowany w usankcjonowane przez państwo operacje cybernetyczne, wykorzystując swoją prywatną firmę Impulse z siedzibą w Rostowie do maskowania roli Kremla w jego operacjach.
Serwer, z którego korzystał, nazywał się Aegaeon, a adresy DNS i IP zostały dostarczone przez jego firmę z siedzibą w Rostowie o nazwie Impulse.
Puntus zaadoptował model Basheva, ale zdecydował się dodać jeszcze jedną warstwę pośrednią, rzekomo w celu dalszego zaprzeczenia.
W tym celu założył firmę-przykrywkę, którą bez wyobraźni i myląco ochrzczono mianem Aegaeon-Impulse, która była zarejestrowana na księgową Darię Kuleszową.
Chociaż Kuleshova była frontem, nie została wybrana przypadkowo. Była kochanką Puntusa.
Romans żonatego szefa GRU z Kuleszową nie był jego pierwszą pozamałżeńską eskapadą.
W rzeczywistości służbowy numer telefonu Romana Puntusa – zarejestrowany pod przykrywką „Roman Panov” – jest wymieniony jako regularny kontakt z ponad siedmioma eskortami VIP-ów w Moskwie, jak można zobaczyć w rosyjskich aplikacjach do udostępniania telefonów.
(Jeden z opisów Puntusa w książce telefonicznej jednej z prostytutek brzmi:
„Wojskowy – ale hojny, odwozi cię do domu swoim chevroletem”).
Związek Puntusa z Darią Kuleszową nie był zwykłym romansem.
Rejestry rezerwacji lotów i pociągów pokazują, że regularnie używał swojej przykrywki, aby podróżować z domu z żoną i dziećmi w Moskwie, aby odwiedzić Kuleszową w jej domu w Rostowie, a także obaj odbywali regularne wycieczki do subtropikalnego rosyjskiego miasta Soczi, zamawiając wystawne posiłki i szampana do swoich luksusowych pokoi hotelowych.
15 listopada 2023 roku, dziewięć miesięcy po jednym z ich przydziałów w Soczi, Kuleshova urodziła syna, którego nazwała Matvey Romanovich, adoptując patronimik mężczyzny, który go spłodził. Dziesięć dni wcześniej Puntus przybył do Rostowa, aby uprzedzić narodziny swojego ukochanego dziecka. W oficjalnym wniosku o zasiłek państwowy Kuleshova napisała:
„Nie jestem żoną ojca dziecka, a on nie utrzymuje dziecka”.
Była to tylko częściowo prawda.
Chociaż nie chciał lub nie był w stanie sam wypłacać alimentów, Puntus był w stanie wykorzystać swoją pozycję jako szef wydziału cybernetycznego jednostki 29155, aby dać swojej drugiej rodzinie własny podmiot korporacyjny, Aegaeon-Impulse, który otrzymał fundusze GRU przeznaczone na stworzenie infrastruktury cyfrowej niezbędnej do zaangażowania się w więcej hakerów.
Puntus sprowadził też na służbę swoją kochankę. Kuleshova nie była tylko bezczynnym, nominowanym dyrektorem Impulse, a firma nie była tylko pustą wydmuszką. Wyprodukowała drony wojskowe, które rozprzestrzeniły się do tego stopnia po obu stronach wojny Rosji na Ukrainie, że obecnie przypisuje się im powstrzymanie którejkolwiek ze stron przed przebiciem się wzdłuż 1000-milowej linii frontu.
W październiku 2023 roku Kuleshova wysłała do siebie e-mail w formacie PowerPoint, w którym opisała charakterystykę techniczną trzech nowych dronów z widokiem z pierwszej osoby (FPV) z „możliwością samodzielnego kierowania i wchodzenia na zamknięte obszary”.
Autorem PowerPointa był Jewgienij Baszew, a jeden z e-maili był zatytułowany „poprawiona prezentacja”, co wskazuje, że Kuleshova mogła edytować lub przyczynić się do pokazu slajdów, który kończył się standardowym rosyjskim zwrotem wojskowym:
„Raport został zakończony”.
Kuleshova zarejestrowała również znak towarowy Aegaeon-Impulse pod nazwą „Sabrage Sabotage”, co może być podwójnym odniesieniem zarówno do wielu butelek szampana, którymi ona i Puntus delektowali się podczas tych gorących nocy w Soczi, jak i do żmudnej pracy, którą jej nowy pracodawca od dawna wykonywał za granicą.
W tym samym czasie serwer Aegaeon, którego celem był Baszew, założony w Rostowie, był „uśpiony”, niezabezpieczony i niechroniony.
Na początku tego roku odkryli go haktywiści i prześledzili działania Jednostki 29155 sięgające 2021 roku. Materiał ten wyciekł następnie do The Insider.
Zgodnie z kulturą instytucjonalną Jednostki 29155, prywatne niedyskrecje Puntusa ustąpiły miejsca wykroczeniom zawodowym. Mogły również odwrócić jego uwagę od prawidłowego wykonywania pracy.
W mitologii greckiej Egaeon jest sturękim potworem, który zieje ogniem ze swoich pięćdziesięciu głów i walczy u boku Zeusa w wojnie z Tytanami. Następnie zdradza króla bogów i jest nieustannie torturowany przez Furie za swoją zdradę.
Według logów Aegaeon, pod koniec 2021 r. hakerzy z Jednostki 29155 zaczęli atakować szereg ukraińskich stron rządowych.
W styczniu 2022 r. rozszerzyli swoją listę o dostawców energii i organizacje antykorupcyjne. Jednak te działania przed inwazją były znacznie mniej skuteczne niż poprzednie rosyjskie operacje cybernetyczne przeciwko Ukrainie.
W latach 2015-2017 jednostka GRU 74455 z powodzeniem wykorzystywała złośliwe oprogramowanie do wyłączania ukraińskich elektrowni, w pewnym momencie wyłączając dostęp do prądu w całym Kijowie.
Puntus i jego podopieczni nigdy nie dokonali niczego tak spektakularnego. Jednak w dniach 13-14 stycznia 2022 r., na kilka tygodni przed rosyjską inwazją, włamali się na strony internetowe kilku ukraińskich firm i departamentów rządowych, publikując na głównych stronach komunikat informujący, że udało im się zniszczyć wszystkie dane odpowiednich organizacji.
Według ukraińskich władz hakerzy blefowali – nie wyrządzili znaczących szkód, nie mówiąc już o masowym usuwaniu danych cyfrowych.
Mniej więcej w tym samym czasie Jednostka 29155 rozszerzyła sieć daleko poza Ukrainę, atakując zachodnie cele akademickie i badawcze, takie jak strona internetowa Uniwersytetu Kolorado, polskie studio projektowania stron internetowych specjalizujące się w grach komputerowych, firma zajmująca się panelami słonecznymi, klinika medyczna w Azerbejdżanie i Akademia Medyczna w Taszkiencie.
Hakerzy szukali luk w zabezpieczeniach agencji rządowych i obiektów infrastruktury krytycznej w Uzbekistanie, Gruzji, Czechach, Słowacji, Estonii, Polsce, Mołdawii i Armenii.
Spośród około stu znanych celów Jednostki 29155, jedna trzecia znajdowała się w Czechach, gdzie w 2014 r. agenci z tej samej jednostki GRU wysadzili w powietrze dwa magazyny amunicji należące do Ministerstwa Obrony na Morawach.
Większość żądań z serwerów pochodzi z 2021 i 2022 roku, po czym włamania albo znacznie się zmniejszyły, albo Jednostka 29155 po prostu odrzuciła serwer Aegaeon na rzecz innych.
Wśród telefonów, które hakerzy sprawdzili pod kątem zapisów rozmów i metadanych, były nie tylko obiekty ich zawodowego zainteresowania, ale także znajomych i krewnych.
Jednym z celów była Zhana Barskaya, kochanka dowódcy jednostki 29155 generała Andrieja Awerjanowa.
Sądząc po numerach telefonów, które ich interesowały, jasne jest, że hakerzy byli również zapalonymi czytelnikami tej publikacji.
Kiedy w styczniu tego roku „The Insider” opublikował artykuł o tym, że Jednostka 29155 nakłaniała afgańskich kurierów do płacenia talibskim bojownikom za atakowanie sił amerykańskich i koalicyjnych w Afganistanie, hakerzy przeskanowali numer telefonu Iwana Senina, jednego z dyrektorów programu nagród, w ciągu 24 godzin od publikacji artykułu….
Pełny link do tego artykułu :
Hidden Bear: The GRU hackers of Russia’s most notorious kill squad
