Dmitri Badin er  Putins superhacker

Den ondskaps­fulle klovnen

Dmitri Badin (31) er president Vladimir Putins superhacker – og en datamester av høy klasse. – De er som kunstnere, har Putin sagt om hackerne sine.

<b><SPAN CLASS=BOLD><STRONG>PASS PÅ:</b></strong></span> Passbildet av Dmitri Badin som blant annet benyttes i FBIs «Wanted-pakke.» er det eneste kjente av Putins super-hacker. Etterlysningen er alvorlig nok ment, men så lenge han oppholder seg i hjemlandet, kan Badin naturligvis aldri bli arrestert eller straffet.
PASS PÅ: Passbildet av Dmitri Badin som blant annet benyttes i FBIs «Wanted-pakke.» er det eneste kjente av Putins super-hacker. Etterlysningen er alvorlig nok ment, men så lenge han oppholder seg i hjemlandet, kan Badin naturligvis aldri bli arrestert eller straffet. Foto: FBI
Først publisert Sist oppdatert

E-posten kom i april i 2015. En rekke medlemmer av den tyske nasjonal­forsamlingen Bundes­tag samt ansatte ved Angela Merkels kontor mottok meldingen som angivelig var fra De forente nasjoner (FN). Avsenderadressen var «@un.org.», og tittelen på e-posten var «Ukrainas konflikt med Russland legger økonomien i ruiner.»

Da de intetanende tyske politikerne åpnet posten, installerte en hemmelig kode seg selv på alle maskinene der brukeren leste meldingen. I løpet av de neste ukene stjal hackerne drøssevis av passord og overtok etter hvert hele IT-infrastrukturen i nasjonalforsamlingen. Til slutt hadde ikke tyskerne selv kontroll hverken på sine egne nettsider eller det meste av øvrige IT-systemer.

Da saken etter hvert ble gransket, viste det seg at hackerne hadde lastet ned ikke mindre enn 16 gigabyte med data, blant annet hele e-postboksen til en lang rekke parlamentarikere.

Ifølge flere tyske medier var også kanslerkontoret til Angela Merkel rammet.

<b><SPAN CLASS=BOLD><STRONG>SCARAMOUCHE:</b></strong></span> Den ond­skaps­fulle italienske klovnen var en skikkelse i et teaterstykke på 1600-tallet, et såkalt komedia dell’arte. Navnet er muligens mer kjent for noen fra rocke­bandet Queens berømte hit Bohemian Rhapsody. Men for dem som arbeider med å etterforske statlige hacker­operasjoner, har navnet en helt annen betydning.
SCARAMOUCHE: Den ond­skaps­fulle italienske klovnen var en skikkelse i et teaterstykke på 1600-tallet, et såkalt komedia dell’arte. Navnet er muligens mer kjent for noen fra rocke­bandet Queens berømte hit Bohemian Rhapsody. Men for dem som arbeider med å etterforske statlige hacker­operasjoner, har navnet en helt annen betydning. Foto: wikimedia commons

Arrestordre

Tysk politi satte inn store ressurser for å avdekke hva som hadde skjedd og hvem som sto bak.

Det tok tid å finne svar.

Først i mai 2020 ble det kjent at man hadde klart å knytte Bundestag-angrepet og de enorme datatyveriene til en navngitt person.

Han heter Dmitri Badin.

5. mai ble han formelt etterlyst da den tyske Riksadvokaten utstedte en arrestordre mot ham. Begrunnelsen var at han er mistenkt for det store datainnbruddet.

Mesterhjerne

Dmitri Badin er president
Vladimir Putins superhacker, en mester­hjerne som er medlem av en liten gruppe spesielt høyt kvalifiserte hackere innenfor den russiske militære etterretningstjenesten, bedre kjent som GRU. Han tilhører elite­gruppen 26165, blant sikkerhets­analytikere også kjent som APT28.

Badins tilknytning til denne gruppen skal være bevist gjennom omfattende analyser av datalogger og «informasjon fra samarbeidende tjenester,» men det er ikke blitt offentlig kjent nøyaktig hvordan identifikasjonen har skjedd.

Da han ble etterlyst i Tyskland, sto Dmitri Badin allerede på FBIs liste over personer mistenkt for alvorlig datakriminalitet som kunne knyttes til russiske APT28. Blant disse sakene var hackerangrepet mot den internasjonale antidopingorganisasjonen WADA, som var i gang med omfattende undersøkelser av russisk dopingvirksomhet. APT28 var også sterkt mistenkt for den russiske innblandingen i det amerikanske presidentvalget i 2016.

FBI etterforsket dette angrepet bredt, og tok i 2018 ut tiltale mot Badin og flere av hans nærmeste medarbeidere.

<b><SPAN CLASS=BOLD><STRONG>ALIAS:</b></strong></span> Gregor Eisenhorn skal være en av dekkidentitetene til Dmitri Badin.
ALIAS: Gregor Eisenhorn skal være en av dekkidentitetene til Dmitri Badin. Foto: games workshop

Angrepet mot WADA og innblandingen i USAs presidentvalg er bare toppen av isfjellet.

Kvelden før Ukraina skulle feire sin nasjonaldag i 2017, begynte et virus å spre seg med voldsom hastighet i datasystemer en rekke steder i landet. Det såkalte NotPetya-angrepet var rettet mot Russlands naboland, men gikk amok og slo ut data­systemer over hele verden. Ifølge Vladimir Putins presse­sekretær Dmitrij Peskov, gjorde angrepet ingen særlig skade i Russland.

Den amerikanske FBI-etter­lysningen lister opp navn på 11 navn på GRU-­ansatte som de mener var involvert i datainnbrudd, både mot det demokratiske partiet og andre institusjoner i USA.

De 11 er Dmitry Badin, Boris Antonov, Ivan Yermakov, Aleksey Lukashev, Sergey Morgachev, Nikolay Kozachek, Pavel Yersov, Artem Malyshev, Aleksandr Osadchuk, Aleksey Potemkin og Viktor Netyksho.

Men det er bare Dimitry «Scaramouche» Badin det er utstedt konkret arrestordre mot.

Se mer

EU gikk raskt ut og anklaget GRU for å stå bak angrepet.

Både i 2015 og 2016 skjedde det datainnbrudd i det danske forsvaret og i forsvarsdepartementet.

Danmark ga GRU ansvaret for det som skjedde.

Også i land som Frankrike, Tsjekkia, Italia, Polen, de baltiske landene og i Nederland har det skjedd hackerangrep der myndighetene hevder GRU står bak. NATO, IOC og Organisasjonen for sikkerhet og samarbeid i Europa har blitt angrepet av de russiske dataekspertene.

Og så sent som sommeren 2020 fikk også Norge merke virksomheten til GRUs data­eksperter (se faktaboks)

Norge angrepet

2020:

24. august 2020 varslet Stortinget om et datainnbrudd i deres e-postsystemer.

– Dette er en alvorlig hendelse som rammer vår viktigste demokratiske institusjon. Sikkerhets- og etterretningstjenestene samarbeider tett om den nasjonale håndteringen av hendelsen. Basert på det informasjonsgrunnlaget regjeringen besitter, er det vår vurdering at Russland står bak denne aktiviteten, uttalte utenriksminister Ine Eriksen Søreide.

Norske myndigheter protesterte kraftig på det som hadde skjedd. Russerne har ikke innrømmet noe som helst.

2022:

Tidlig onsdag 26. juni 2022 varslet russiske hackergruppa Killnet et storangrep mot Norge. Nettsidene til Arbeidstilsynet og BankID ble rammet. Det samme gjorde flere av Schibsteds aviser. Også politiet hadde tekniske problemer.

Statsminister Jonas Gahr Støre (Ap) tonet i etterkant ned alvorligheten i hackerangrepene.

– Det var et angrep på enkeltnettsider som ikke ser ut til å ha ført til ødeleggelser. Det har vært korte nedstengninger, sier Støre til NTB.

Støre understreker at det er alvorlig at noen angriper Norge på den måten, men viser til at forsvarseksperter har stemplet angrepene mer som «hærverk».

På spørsmål om hvem som står bak, svarer Støre slik:

– Det virker helt klart at det er en gruppe i Russland som til nå har vært det vi kan kalle prorussisk i sine synspunkter. Noen konklusjoner utover det vil ikke jeg trekke, sier han til NTB.

Taxi-tabbe

Selv om de ofte har lyktes med dataoperasjonene sine, hender det at GRU-agentene dummer seg ut. I Nederland, for eksempel, der målet var organisasjonen for forbud mot kjemiske våpen (OPCW) i Haag.

To agenter var sendt fra Russland, men ble tatt på fersk gjerning av nederlandsk politi. De ble avslørt av noe så banalt som taxi-kvitteringer.

I likhet med de fleste andre offentlig ansatte måtte GRU-­agentene ha kvittering for å få refundert utlegg de hadde i jobben.

I bagasjen fant politiet kvitteringer for en drosjetur fra Moskva sentrum til byens internasjonale flyplass. Kvitteringen viste at turen hadde startet fra Komsomolsky Prospect nr 20 – adressen til GRUs hovedkontor.

Hendelsen ble en solid ripe i lakken for det russiske hacker­miljøet, men det var bare et midlertidig tilbakeslag. I GRU-kontorene i sentrum av Moskva jobbet man trøstig videre.

De mange bevisene på virksomheten har ikke fått russiske myndigheter til å innrømme noe som helst.

Påstandene er tvert imot kraftig avvist av myndighetene – også av president Vladimir Putin selv. I 2017 sammenlignet han data­operasjonene med kunst.

Glade kunstnere

Foto: wikimedia commons

– Hackere er frie mennesker. De er som kunstnere. Hvis de er i godt humør, så står de opp om morgenen og begynner å male sine bilder. Slik er også hackere, sa Putin.

Svært lite er kjent om «kunstneren» Dmitri Badin og hans virksomhet.

Amerikanske etterforskere beskriver ham kort som en «angivelig militær etterretningsoffiser, knyttet til Unit 26265.» Badin ble født 15. november 1990 i Kursk, snaue 50 mil sør for Moskva. Det eneste kjente bildet av ham er hans passbilde.

Blandt dem som har gjort forsøk på å finne ut mer om Badin, er journalistgruppen Bellingcat (Belling cat – å henge bjella på katten).

– Basert på opplysninger fra hovedsakelig åpne kilder, kan vi slå fast at Badin virkelig arbeider for GRUs Unit 26165 skriver de i en artikkel.

<b><SPAN CLASS=BOLD><STRONG>SKALPER:</b></strong></span> Dmitri Badin og hans hackere har lyktes i å komme inn i IT-systemene rundt både den tyske kansleren Angela Merkel og den norske stats­ministeren Erna Solberg. Den russiske presidenten Vladimir Putin (innfelt) er begeistret over hackerne han har beskrevet som «glade kunstnere».
SKALPER: Dmitri Badin og hans hackere har lyktes i å komme inn i IT-systemene rundt både den tyske kansleren Angela Merkel og den norske stats­ministeren Erna Solberg. Den russiske presidenten Vladimir Putin (innfelt) er begeistret over hackerne han har beskrevet som «glade kunstnere». Foto: NTB Scanpix/Markus Schreiber

Avslørt av bilspor

Ved å bruke såkalt omvendt bildesøk har de kommet over bilder av Badin på VK-kontoen som tilhører hans kone. VK, tidligere kjent som VKontakte, er et nettsamfunn som har oppnådd stor popularitet i den russiskspråklige delen av verden.

Bellingcat benyttet seg deretter av Microsofts Azure Face Verification for å sammenligne ulike bilder og få bekreftet at det dreide seg om samme person.

<b><SPAN CLASS=BOLD><STRONG>LOSJI:</b></strong></span> Dmitri Badin har stadig overnattet her i det russiske militær­akademiets herberge, i følge parkeringsbiletter han har betalt.
LOSJI: Dmitri Badin har stadig overnattet her i det russiske militær­akademiets herberge, i følge parkeringsbiletter han har betalt. Foto: wikimedia commons

Gravejournalistene gjennomførte også et søk i databasen over russiske motorvogner. Der var det oppgitt at personen Dmitri Sergeyevitch Badin kjøpte en KIA modell PS i juni 2018. I registreringspapirene var oppgitt både eierens passnummer og stedet det var utstedt, i dette tilfellet St. Petersburg. Også bileierens offisielle adresse var oppgitt.

For Badin var det Komsomolsky Prospect 20 – adressen til GRUs hovedkvarter.

Bellingcat hadde tidligere identifisert 305 ansatte i den militære etterretningstjeneste ved at samtlige hadde registrert sine private biler på GRU-adressen. Dmitri Badin kjøpte sin bil senere, men sto med denne adressen i registeret som ble lekket i oktober 2018.

Dekknavn i kø

<b><SPAN CLASS=BOLD><STRONG>FAVORITT-ALIAS:</b></strong></span> Nikola Tesla skal være den russiske hackerens favorittalias.
FAVORITT-ALIAS: Nikola Tesla skal være den russiske hackerens favorittalias. Foto: wikimedia commons

Bellingcat mener de har åpne beviser som kan peke mot at Badin virkelig har vært sentral i langt flere enn de operasjonene han så langt er knyttet til.

Ved å bruke registreringsnummeret på Badins bil har gruppen søkt i en lekket database over parkeringer i Moskva. Slik oppdaget de at han regelmessig parkerer bilen sin like i nærheten av et overnattingssted som tilhører det russiske militærakademiet i Bolsjaja Pirogovskaja 51. Parkeringsloggen viste også at Badin hadde betalt for parkeringen ved bruk av to mobiltelefoner. Ved å søke på mobilnumrene fant granskerne flere artige spor.

Ett av numrene dukket opp på meldingstjenesten Viber, med brukernavnet Gregor Eisenhorn. Det er en skikkelse som opptrer i fantasispillet Warhammer 40 000. Det andre nummeret dukket opp i to ulike apper, både under Badins eget navn, og under det som kan virke å være et av hans favoritt-alias, «Nicola Tesla.»

På sosiale medier opererte Badin blant annet under navnet Dmitri Makarov, og før det som «Scaramouche.» Dette var så tidlig at Badin ennå ikke hadde flyttet fra hjembyen Kursk, kontoen var knyttet til en fasttelefon der.

<b><SPAN CLASS=BOLD><STRONG>GARASJE:</b></strong></span> GRU-hovedkvarteret er også registrerings­adresse på Dmitri Badins privatbil.
GARASJE: GRU-hovedkvarteret er også registrerings­adresse på Dmitri Badins privatbil. Foto: NTB scanpix/STRINGER/Reuters

Det er ikke kjent nøyaktig når han flyttet til St. Petersburg. Etter alt å dømme har Badin studert ved det vitenskapelige universitetet i byen. Det er tidligere kjent at svært mange av hackerne fra GRU har sin utdannelse nettopp fra datastudiene i president Putins hjemby.

Det var mens han studerte i St. Petersburg at Badin begynte å bruke Scaramouche777 som brukernavn i ulike sammenhenger, blant annet på en Skype-konto.

I mars 2017 offentliggjorde datasikkerhetsselskapet SecureWorks en rapport der de slo fast at hackingen som var gjennomført av gruppe APT28 var en regjeringsstyrt operasjon, mest sannsynlig knyttet til russisk etterretningstjeneste. I rapporten lister de opp både hvilke mål APT28 skal ha angrepet, og hvilke verktøy de har benyttet for operasjonene.

Ett av disse verktøyene kalles for «Scaramouche.» SecureWorks har brukt denne betegnelsen fordi dette brukernavnet ble benyttet for både å overta datamaskiner og til å stjele opplysninger lagret i disse.

Gitt at Badin brukte navnet Scaramouche – slik mye tyder på – før han begynte i GRU, er det svært sannsynlig at det nettopp er ham som har skrevet programmene de russiske hackerne har benyttet seg av.

Mye tyder dermed på at vestlige myndigheter på ingen måte har sett det siste av det den ondskapsfulle italienske klovnen har på repertoaret.

Per 1. juli, 2022 er Badin fortsatt ikke pågrepet.

Kilder: bellingcat.com, Aftenposten, Wikipedia, FBI, Der Spiegel.