Chi è Dmitrij Badin, la spia russa ricercata da Germania e Fbi

Era già tra i “most wanted” (più ricercati) dell’Fbi per essersi infiltrato nelle email di Hillary Clinton e del Partito democratico ai tempi della campagna presidenziale statunitense 2016. Ora su Dmitrij Badin pende anche un mandato d’arresto internazionale emesso dalla Germania: secondo la polizia federale tedesca, ha scritto la Suddeutsche Zeitung, Badin sarebbe l’autore dell’attacco hacker ai server del Bundestag del maggio 2015. E come l’Fbi, Berlino è convinta che Badin faccia parte della famigerata unità 26165 di hacker di élite, meglio nota come Apt28, che agisce per conto del Gru, l’intelligence militare russa.

I legami con il Gru

Sul volantino dell’Fbi, sotto alla foto del passaporto di Badin, una stringata descrizione: nato a Kursk il 15 novembre 1990 e “presunto agente dell’intelligence militare russa assegnato all’Unità 26165”. Appartenenza che Bellingcat è riuscito a confermare. Usando l’applicazione russa di ricerca delle immagini “FindClone”, il sito d’inchieste è innanzitutto risalito al profilo VKontakte (il Facebook russo) della moglie di Badin. Poi all’immatricolazione della sua auto datata giugno 2018 che includeva il nome compreso il patronimico (Dmitrij Sergeevich Badin), il numero del passaporto, il luogo del rilascio (San Pietroburgo) e infine – l’elemento più interessante – l’indirizzo registrato. Komsomolskij Prospekt 20, ossia l’ufficio dell’Unità 26165 del Gru, anche nota come “85° Centro Principale” del Gru specializzato in crittografia.

Gli pseudonimi “Nicola Tesla” e “Scaramouche”

Bellingcat è andato oltre. Usando la targa dell’auto di Badin, ha scoperto che la parcheggiava spesso nei pressi del dormitorio dell’Accademia militare e da qui è risalita a due numeri di telefono che usava per il pagamento. Uno è apparso sull’applicazione di messaggistica istantanea Viber sotto l’alias di Gregor Eisenhorn, personaggio del wargame tridimensionale “Warhammer 40.000”, l’altro su altre app sotto il suo vero nome o lo pseudonimo “Nicola Tesla” usato anche su Skype insieme a “Scaramouche”, ossia “Scaramuccia”, personaggio della Commedia dell’arte italiana che ha ispirato il libro dello scrittore italiano naturalizzato britannico Rafael Sabatini, film, serie tv e persino un verso di Bohemian Rapsody dei Queen.

Il sito Bellingcat è stato poi in grado di collegarlo a un profilo rimosso da VKonktakte aperto col nome “Nicola Tesla”, poi cambiato in “Scaramouche” e infine nel 2016 in “Dmitrij Makarov” e a ricostruire i suoi spostamenti: dalla città natale Kursk a San Pietroburgo dove è probabile che come altri agenti del Gru si sia laureato in Informatica.

Lo pseudonimo “Scaramouche” è un altro anello tra Badin e il Gru. Secondo un documento della compagnia di cybersicurezza SecureWorks, il dispositivo (endpoint) usato da Apt28 per i suoi attacchi hacker sarebbe stato battezzato appunto “Scaramouche”, probabilmente dallo username già usato da Badin su vari social. Il che, scrive Bellingcat, dimostrerebbe che il codice “scritto da Dmitrij Badin era un pezzo vitale del malware usato in tutti gli attacchi informatici attribuiti a Apt28, dagli attacchi agli oppositori russi e giornalista dei media occidentali (incluso Bellingcat), al team d’inchiesta sull’Mh17, il Bundestag tedesco e il Comitato del Partito democratico Usa”.

Apt28 o Fancy Bear

L’Unità 26165 del Gru è meglio nota come Apt28, dove Apt sta per “Advanced persistent threat”, minaccia avanzata persistente, termine usato per indicare gruppi di hacker sponsorizzati da governi. “Minaccia” perché dietro ai loro attacchi vi sono uomini e non semplici programmi, “avanzata” perché usano tecniche sofisticate, “persistente” perché seguono le loro prede per lungo tempo.

Nel tempo le aziende di cybersicurezza le hanno affibbiato loro diversi appellativi: Fancy Bear, Strontium (l’elemento chimico numero atomico 38), Sofacy Group (dal malware che usa), Pawn Storm (Assalto di pedoni, una mossa degli scacchi), o Team Zar.

Apt38 opera da tempo, forse già dal 2004. La prima attribuzione certa risale al luglio 2008 quando, tre settimane prima che l’esercito russo invadesse la Georgia, sovraccaricò i server del presidente, del ministero degli Esteri e del Parlamento di Tblisi. Da allora i suoi bersagli sono cresciuti in grandezza, raffinatezza e portata: i ministeri degli Esteri di Paesi dell’Europa orientale nel 2013; i ministeri della Difesa e degli Esteri di Paesi Nato, Italia compresa, nel 2014; “Tv5Monde” l’aprile 2015; la rete elettrica dell’Ucraina che lasciò 230mila senza corrente nel Natale 2015; infine l’agenzia anti-doping Wada l’anno scorso e, pochi mesi fa, il partito del presidente francese Emmanuel Macron. Fino ai server del Comitato nazionale democratico americano nell’estate 2015.

L’attacco cyber in Germania

Il 15 aprile 2015, i membri del Bundestag, il Parlamento tedesco, ricevettero un’email da un dominio che fa capo alle Nazioni Unite “@un.org” intitolata “Il conflitto ucraino con la Russia lascia l’economia in rovine”. Ignoravano che nasconda un malware, un software dannoso in grado di rubare le password e navigare tra le reti locali. In poche settimane il programma nascosto risucchiò 16 gigabyte di dati, compreso il contenuto delle caselle di posta elettronica dei parlamentari tedeschi e dell’ufficio parlamentare della cancelliera Angela Merkel. Oggi sappiamo chi scrisse quel codice insidioso.

Fonte originale: Leggi ora la fonte