En 2021, el exclusivo foro ruso sobre ciberdelincuencia Fácil fue hackeado. La base de datos de usuarios filtrada muestra que uno de los fundadores del foro era un abogado que asesoraba a los principales piratas informáticos de Rusia sobre los riesgos legales de su trabajo y qué hacer si los atrapaban. Una revisión de las identidades de piratas informáticos de este usuario muestra que durante su estancia en los foros se desempeñó como oficial de las fuerzas especiales del grula agencia de inteligencia militar extranjera de la Federación de Rusia.
Lanzada en 2001 bajo el lema “Terrorismo en red”, Mazafaka evolucionaría hasta convertirse en una de las comunidades de ciberdelincuencia de habla rusa más vigiladas. La lista de miembros del foro incluye quién es quién de los principales ciberdelincuentes rusos y contó con subforos para una amplia gama de especialidades de delitos cibernéticos, incluidos malware, spam, codificación y robo de identidad.
Una representación de la base de datos filtrada de Mazafaka.
En casi cualquier filtración de base de datos, las primeras cuentas que aparecen suelen ser las de los administradores y los primeros miembros principales. Pero la información del usuario de Mazafaka publicada en línea no era un archivo de base de datos per se, y fue claramente editada, redactada y reestructurada por quien la publicó. Como resultado, puede resultar difícil saber qué miembros son los primeros usuarios.
Se sabe que el Mazafaka original fue lanzado por un hacker que usaba el apodo “Acosador.” Sin embargo, el ID de usuario con el número más bajo (no administrador) en la base de datos de Mazafaka pertenece a otra persona que utilizó el identificador “Djamix”y la dirección de correo electrónico djamix@mazafaka[.]ru.
Desde el inicio del foro hasta aproximadamente 2008, Djamix fue uno de sus contribuyentes más activos y elocuentes. Djamix dijo a los miembros del foro que era abogado y que casi todas sus publicaciones incluían análisis legales de varios casos públicos que involucraban a piratas informáticos arrestados y acusados de delitos cibernéticos en Rusia y en el extranjero.
“Ocultarse con parámetros puramente técnicos no ayudará en un asunto serio”, advirtió Djamix a los miembros de Maza en septiembre de 2007. “Para ESCAPAR de la ley, es necesario CONOCER la ley. Esta es la cosa más importante. Las capacidades técnicas no pueden superar la inteligencia y la astucia”.
El propio Stalker le dio crédito a Djamix por mantener a Mazafaka en línea durante tantos años. En una publicación retrospectiva publicada en diario en vivo en 2014 titulado “Mazafaka, desde la concepción hasta el día de hoy”, Stalker dijo que Djamix se había convertido en un miembro fundamental de la comunidad.
“Este tipo está en todas partes”, dijo Stalker sobre Djamix. “No hay nada en [Mazafaka] que él no participa. Para mí es un estímulo-irritante y gracias a él Maza sigue viva. ¡Nuestra fuerza de reunión!
Djamix dijo a otros habitantes del foro que era un abogado autorizado que podía ser contratado para consultas remotas o en persona, y sus publicaciones en Mazafaka y otros foros rusos muestran que varios piratas informáticos que enfrentan peligros legales probablemente aceptaron esta oferta.
“Tengo derecho a representar sus intereses ante los tribunales”, dijo Djamix en el foro sobre cibercrimen en ruso Verified en enero de 2011. “De forma remota (en forma de apoyo y consultas constantes) o en persona; esto se discute por separado. Así como el costo de mis servicios”.
¿QUIÉN ES DJAMIX?
Una búsqueda en djamix@mazafaka[.]ru en DomainTools.com revela que esta dirección se ha utilizado para registrar al menos 10 nombres de dominio desde 2008. Entre ellos se incluyen varios sitios web sobre la vida en y alrededor SochiRusia, sede de los Juegos Olímpicos de Invierno de 2014, así como una ciudad costera cercana llamada Ádler. Todos esos sitios dicen que estaban registrados en un Alexéi Safronov de Sochi, que también menciona a Adler como su ciudad natal.
El servicio de seguimiento de infracciones Constella Intelligence descubre que el número de teléfono asociado con esos dominios (+7.9676442212) está vinculado a una cuenta de Facebook durante un Aleksei Valerievich Safronov de Sochi. El perfil de Facebook del Sr. Safronov, que se actualizó por última vez en octubre de 2022, dice que su número de mensajería instantánea ICQ es 53765. Este es el mismo número ICQ asignado a Djamix en la base de datos de usuarios de Mazafaka.
La cuenta de Facebook de Aleksey Safronov.
Una cuenta “Djamix” en el foro privetsochi[.]ru (“Hola Sochi”) dice que este usuario nació el 2 de octubre de 1970 y que su sitio web es poster[.]ru. El eslogan de este sitio de noticias en ruso es “Creamos comunicación” y se centra principalmente en noticias sobre Sochi, Adler, Rusia y la guerra en Ucrania, con una fuerte inclinación pro-Kremlin.
El perfil de Facebook de Safronov también indica su nombre de usuario de Skype como “Djamixadler”, e incluye docenas de fotografías de él vestido con uniforme militar junto con un regimiento de soldados desplegados en áreas bastante remotas de Rusia. Algunas de esas fotos datan de 2008.
En varias de las imágenes podemos ver un parche en el brazo de la chaqueta de Safronov que lleva el logo de la Spetsnaz-GRUuna unidad de fuerzas especiales del ejército ruso. Según un informe de 2020 del Servicio de Investigación del CongresoEl GRU opera como agencia de inteligencia (recopilando inteligencia humana, cibernética y de señales) y como organización militar responsable del reconocimiento del campo de batalla y la operación de las unidades de comando militar Spetsnaz de Rusia.
Safronov publicó esta imagen suya en Facebook en 2016. La insignia del GRU se puede ver en su manga.
“En los últimos años, los informes han vinculado al GRU con algunas de las operaciones de inteligencia pública más agresivas de Rusia”, explica el informe de CRS. “Según se informa, el GRU jugó un papel clave en la ocupación rusa de la región ucraniana de Crimea y la invasión del este de Ucrania, el intento de asesinato del ex oficial de inteligencia ruso Sergei Skripal en el Reino Unido, la interferencia en las elecciones presidenciales estadounidenses de 2016, las operaciones de desinformación y propaganda, y algunos de los ciberataques más dañinos del mundo”.
Según el medio de investigación centrado en Rusia MedusaEn 2014, el Ministerio de Defensa ruso creó sus “tropas de operaciones de información” para actuar en “ciberenfrentamientos con adversarios potenciales”.
“Más tarde, fuentes del Ministerio de Defensa explicaron que estas nuevas tropas estaban destinadas a ‘interrumpir las redes de información del adversario potencial’”, informó Meduza en 2018. “Se informó que los reclutadores fueron a buscar ‘hackers que habían tenido problemas con la ley’”.
Safronov no respondió a múltiples solicitudes de comentarios. Un tratado de 2018 escrito por Aleksei Valerievich Safronov titulado “Cien años de inteligencia militar del GRU” explica el significado del murciélago en el sello del GRU.
“De una forma u otra, el murciélago es un emblema que une a todos los oficiales de inteligencia activos y retirados; es un símbolo de unidad y exclusividad”, escribió Safronov. “Y, en general, no importa de quién estemos hablando: un agente secreto del GRU en algún lugar del ejército o un francotirador en cualquiera de las brigadas de fuerzas especiales. Todos hicieron y están haciendo algo muy importante y responsable”.
No está claro qué papel desempeña o desempeñó Safronov en el GRU, pero parece probable que la agencia de inteligencia militar hubiera explotado sus considerables habilidades técnicas, conocimientos y conexiones en los foros rusos sobre cibercrimen.
Buscando en el dominio uposter de Safronov[.]ru en Constella Intelligence revela que este dominio se utilizó en 2022 para registrar una cuenta en un popular foro de discusión en español dedicado a ayudar a los solicitantes a prepararse para una carrera en el Guardia Civiluno de los dos cuerpos policiales nacionales de España. Al girar sobre esa IP rusa en Constella, se muestran otras tres cuentas que se crearon en el mismo foro de usuarios en español aproximadamente en la misma fecha.
Marcos Raschexfiscal de delitos cibernéticos de la Departamento de Justicia de EE. UU.Dijo que siempre ha habido una relación estrecha entre el GRU y la comunidad de hackers rusa. Rasch señaló que a principios de la década de 2000, el GRU estaba solicitando piratas informáticos con las habilidades necesarias para piratear bancos estadounidenses con el fin de obtener fondos para ayudar a financiar la guerra de Rusia en Chechenia.
“El tipo está muy vinculado a la comunidad cibernética rusa, y eso es útil para los servicios de inteligencia”, dijo Rasch. “Podría haberse estado infiltrando en la comunidad para monitorearla para el GRU. O podría ser simplemente un tipo que viste uniforme militar”.
