Onderzoekscollectief Bellingcat heeft een onderzoek gepubliceerd naar de man die door de Duitse autoriteiten wordt verdacht van het inbreken op het netwerk van de Bondsdag in 2015. Gisteren werd bekend dat Duitsland een arrestatiebevel tegen de 29-jarige Russische man heeft uitgevaardigd. Volgens de Duitse openbaar aanklager is de Rus werkzaam voor de Russische inlichtingendienst GRU.

Bij de aanval op de Bondsdag, die begon met een e-mail, werd 16 gigabyte aan data buitgemaakt. De Russische man werd al door de FBI gezocht op verdenking van betrokkenheid bij aanvallen tegen antidopingagentschap WADA en de Amerikaanse Democratische Partij. Bellingcat deed onderzoek naar de verdachte en wist via openbronnenonderzoek zeer veel informatie over hem te vinden, zo blijkt uit de gisteren verschenen publicatie.

De onderzoekers van het collectief gebruikten de foto die de FBI in hun "Wanted" poster publiceerde om een "reverse image search" uit te voeren. Dit deden ze via de applicatie FindClone, waarmee afbeeldingen en profielen op de Russische sociale netwerksite VK zijn te vinden. De foto van de verdachte leidde naar het VK-profiel van zijn vrouw. Daarnaast werden de gegevens van de man gevonden in een gelekte Moskouse autoregistratiedatabase. In de gegevens van de man vinden de onderzoekers een registratieadres dat het adres van GRU-eenheid 26165 blijkt te zijn.

Het kenteken van de auto van de verdachte wordt vervolgens gebruikt om in een gelekte Moskouse parkeerdatabase te zoeken. Niet alleen blijkt dat de man zijn auto vaak bij de Russische militaire academie parkeert, maar de parkeeroverzichten bevatten ook twee telefoonnummers die voor mobiele parkeerbetalingen zijn gebruikt. Die telefoonnummers leiden via twee apps voor het opzoeken van telefoonnummers naar verschillende aliassen van de verdachte. Ook blijkt het telefoonnummer aan een niet meer gebruikt Skype-account te zijn gekoppeld.

Eén van de aliassen van de verdachte werd eerder door onderzoekers gevonden in malware die aan APT-groep APT28 werd toegeschreven. Deze groep, die ook bekend staat als Fancy Bear, is volgens securitybedrijven verantwoordelijk voor allerlei aanvallen die in opdracht van de Russische overheid zijn uitgevoerd. "Is het aannemelijk dat zo'n ervaren hacker zulke sporen achterlaat waaruit blijkt dat hij bij een reeks cybercrimedelicten is betrokken? Het is niet zo moeilijk voor te stellen, gegeven de nonchalance van GRU-hackers om hun eigen sporen te verbergen", laat Christo Grozev van Bellingcat weten.

Dat de verdachte weinig moeite deed om zijn accounts te beveiligen blijkt wel uit een datalek in 2018, waarbij een groot aantal e-mailaccounts met bijbehorende wachtwoorden online verschijnt. De onderzoekers van Bellingcat vinden ook het e-mailadres en wachtwoord van de Russische man in deze datadump. Hij blijkt zijn voornaam en geboortejaar 1990 te gebruiken. Niet veel later wordt de e-maildienst opnieuw getroffen door een datalek en belandt het wachtwoord van de verdachte opnieuw op straat. Die heeft inmiddels zijn wachtwoord aangepast door van zijn geboortejaar 990 te maken.