U aprilu 2015. godine članovi njemačkog parlamenta, kao i članovi vlade kancelarke Angele Merkel, primili su e-mail koji navodno potječe od Ujedinjenih nacija na osnovu vidljivog naziva domene "@ un.org". Pošta je nazvana "Ukrajinski sukob s Rusijom ekonomiju ostavlja u ruševinama". E-mail je sadržavao zlonamjeran izvršni kod koji se instalirao na računar žrtava.

Tokom narednih nekoliko sedmica, zlonamjerni softver - koji je krao lozinke i širio se lokalnim mrežama - preuzeo je cjelokupnu IT infrastrukturu Bundestaga, čineći njegove internet usluge i vanjsku web stranicu nedostupnima. U pozadini je, pokazali su podaci, preko 16 gigabajta podataka preuzeo haker iz inostranstva. Tu su obuhvaćeni i svi mailovi njemačkih parlamentaraca. Prema medijskim izvještajima, također su ukradeni podaci iz vlade kancelarke Angele Merkel, piše Bellingcat.

Njemački mediji navode da je njemačka savezna policija uspjela povezati lažne mailove i kasniju krađu podataka sa Dmitrijem Badinom, pretpostavljenim članom GRU-ovog najelitnijeg hakerskog sastava 26165, poznatijim među analitičarima cyber sigurnosti kao APT28. Povezanost operacija s njim navodno je izvršena na temelju analize dnevnika i "informacija od partnerskih službi". Međutim, još uvijek nisu objavljeni konkretni dokazi o načinu pripisivanja.

Dmitrij Badin već se nalazio na FBI-ovom popisu traženih osoba zbog navodne umiješanosti u nekoliko operacija hakiranja pripisanih Jedinici APT28 GRU-a. Među tim operacijama je bilo i hakiranje antidoping organizacije WADA dok je istraživala program administracije dopinga, kao i hakiranje Demokratskog nacionalnog odbora uoči američkih predsjedničkih izbora.

Dokumenti FBI-ja ukratko opisuju Dmitrija Badina kao "navodnog ruskog vojnog obavještajca, dodijeljenog Jedinici 26165", rođenog u Kursku 15. novembra 1990. Objavljena je i fotografija njegovog pasoša u sekciji osoba za kojima se vrši potraga.

Na osnovu analize podataka iz primarno otvorenih izvora, novinari Belllingcata su potvrditi da Dmitrij Badin, rođen 15. novembra 1990., zaista radi za GRU-ovu Jedinicu 26165.

Potraga za punim imenom i datumom rođenja Badina u prethodno procurjelim bazama podataka o registraciji automobila u Moskvi omogućila je podudaranje: Dmitrij Sergejevič Badin, rođen 15. novembra 1990., kupio je automobil KIA PS u junu 2018. Registracija automobila uključivala je broj pasoša vlasnika i mjesto izdavanja (Sankt Peterburg), kao i njegova registrirana adresa. Badinova adresa od 1. juna 2018. godine bila je Komsomolsky Prospect 20.

Ovo je adresa GRU-ove Jedinice 26165, što se može videti iz javno dostupnih ruskih korporativnih registara. Jedinica 26165 poznata je i kao 85. glavni centar GRU-a, specijalizirana za kriptografiju. Centar je prvi put privukao pažnju javnosti 2017. godine, kada je ruski istraživački sajt The Insider otkrio da je službenik ove jedinice nehotice ostavio svoje lične metapodatke u dokumentu koji je procurio kao dio takozvanog slučaja Macron.

Bellingcat je prethodno identificirao kršenje operativne sigurnosti ruske vojne obavještajne službe koja je omogućila identifikaciju najmanje 305 službenika čiji su automobili bili registrirani na istoj adresi. Dmitrij Badin nije bio na popisu 305 službenika koje su tada identificirali zbog činjenice da je kupio svoj automobil nakon što je javno procurila baza podataka o registraciji automobila koju su imali na uvid u oktobru 2018. godine.

Trenutno nemaju saznanja kako su njemački istražitelji uspjeli povezati Dmitrija Badina s hakiranjem Bundestaga. Međutim, otvoreni dokazi koje su otkrili mogu upućivati na njegovu ulogu u mnogo više od tri operacije hakiranja sa kojima je povezano njegovo ime.

Koristeći broj Badinovog automobila na registarskim tablicama, pretražili su bazu podataka o parkinzima u Moskvi i otkrili da često parkira svoj automobil u blizini spavaonice Ruske vojne akademije, na Velikoj Pirogovskoj 51. Zapisi su sadržavali i dva telefonska broja koja je koristio za mobilno plaćanje parkinga. Zatim su pogledali oba ova broja u raznim komunikacijskim aplikacijama i telefonskim bazama podataka.

Jedan od brojeva pojavio se u aplikaciji Viber pod očito lažnim imenom Gregor Eisenhorn, likom iz igre Warhammer 40.000. Drugi se broj pojavio u dvije različite aplikacije za traženje telefonskog broja, kako pod njegovim pravim imenom tako i pod onim što će se kasnije činiti kao njegov omiljeni pseudonim: "Nikola Tesla."

Zatim su provjerili je li taj broj povezan s računom na društvenim medijima u Rusiji i otkrili su da je povezan s sada izbrisanim računom u VKontakte (VK). Pretražujući arhivirane kopije ovog računa, otkrili su da se od 2016. godine koristio pod imenom Dmitrij Makarov. Međutim, i ranije je koristio ime Nikola Tesla, a također je imao i korisničko ime "Scaramouche".

U tom periodu, kojeg nisu mogli precizno datirati iz arhivirane kopije, korisnik računa VK bio je smješten u Kursku, gdje je rođen Dmitrij Badin, i gdje je odrastao prije nego što se preselio u Sankt Peterburg. Njegov boravak u Sankt Petersburgu, koji se može utvrditi mjestom izdavanja pasoša i sa fotografija na računu VK njegove supruge prije 2014. godine, vjerovatno je vezan za njegove fakultetske studije. Bellingcatove prethodne istrage članova hakerskog tima GRU-a utvrdile su da veliki broj hakera diplomira na univerzitetima informatičkih nauka u Sankt Peterburgu.

Otkrili su i da je Badinov broj mobilnog telefona povezan sa Skype računom, koji je, kao i njegov sada nepostojeći VK račun, nazvan "Nikola Tesla", ali koristi i korisničko ime Scaramoush777.

Scaramouche, od talijanske riječi scaramuccia, u prijevodu znači doslovno "mali pretvarač", standardni je lik zlog klovna iz Commedije dell'arte iz 16. stoljeća. Riječ je vjerovatno poznatija iz popularne pjesme Bohemian Rhapsody grupe Queen. Međutim, istraživačima kibernetičke sigurnosti koji istražuju operacije hakiranja državnih institucija ova riječ nosi dodatni teret.

U martu 2017. godine, jedinica za cyber prijetnje kompanije za cyber sigurnost SecureWorks (c) objavila je izvještaj u kojem obrazlaže svoje zaključke da je hakiranje APT28 (kojeg SecureWorks naziva vlastitim kodnim nazivom "Iron Twilight") operacija koju sponzorira vlada, a koja je najvjerovatnije povezana s ruskom vojnom obavještajnom službom. U svom izvještaju SecureWorks navodi obje mete koje je napao APT28, kao i sredstva koja su koristili hakeri.

Alat koji APT28 koristi za snimanje sadržaja na ekranu i krađu korisničkih podataka naziva se Scaramouche. Ovam skupu zlonamjernog softvera dala je ime Jedinica za cyber prijetnje SecureWorksa koja ga je imenovala "nakon što je korisničko ime Scaramouche pronađeno u PDB putu oba alata".

S obzirom da je Dmitrij Badin koristio korisničko ime Scaramouche prije nego što se pridružio GRU-u, malo je vjerovatno da je uzurpirao prethodno postojeće korisničko ime za svoje VK i Skype račune. Mnogo vjerovatnije je korisničko ime "scaramouche”, koje je otkrio CTU, bilo Badinovo korisničko ime. To bi značilo da je komplet za krajnju tačku koji je napisao Dmitrij Badin presudan dio zlonamjernog softvera koji se koristi u svim hakiranjima koji se mogu pripisati APT28, od napada na ruske opozicionare i novinare do napada na zapadne medijske organizacije, istražiteljski tim koji je vodio istragu o rušenju aviona MH17, njemački Bundestag i Demokratski nacionalni odbor.

Nameće se pitanje da li je moguće da bi tako mudar haker ostavio takve tragove koji bi ga lako umiješali u serijski cyber zločin? To nije tako teško povjerovati, s obzirom na to da GRU hakeri imaju nonšalantan odnos u prekrivanju vlastitih tragova. Badinove kolege koji su uhvaćeni u pokušaju hakiranja laboratorija OPCW-a u Haagu, na primjer, nosili su taksi priznanice na kojima je eksplicitno prikazan put od sjedišta GRU-a do aerodroma. Njih 305 su lako prepoznati po adresi na kojoj su registrirali svoje automobile, a i sam Badin je registrirao svoje vozilo na službenu adresu GRU-a.

Najrealnije odsustvo prakse "radi ono što propovjedaš" među hakerima GRU-a moglo bi biti vidljivo u njihovom neodlučnom stavu prema vlastitoj cyber zaštiti. U 2018. godine velika je zbirka hakiranih ruskih e-mailova, uključujući korisnička imena i lozinke, objavljena na internetu. Elektronska pošta Dmitrija Badina, što su u Bellingcatu shvatili iz njegovog Skype računa, a koju su zauzvrat dobili iz njegovog telefonskog broja, a koji su, naravno, dobili iz njegove registracije automobila, bila je hakirana. Očito je koristio lozinku Badin1990. Nakon ovoga, njegove šifre za e-mail ponovo su procurile kao dio većeg hakiranja, gdje se vidi da je promijenio lozinku iz Badin1990 u "mnogo sigurniji" Badin990.