Auch für die Geheimdienste hat das Internet die Welt radikal verändert. Es mag zwar einerseits die Überwachung anderer erleichtern; andererseits wird es in Zeiten von sozialen Netzwerken, Smartphones und Big Data immer schwerer, die Identitäten der eigenen Agenten geheim zu halten und bei Operationen keine Spuren zu hinterlassen. Bellingcat und ähnliche Projekte arbeiten ihrerseits zum Teil wie klassische Aufklärung - Aufklärung im humanistischen Sinne und im militärischen Sinne treffen aufeinander.
Es waren überwiegend öffentlich zugängliche Quellen, die investigative Journalisten des Recherchenetzwerks Bellingcat und der russischen Website The Insider nutzten, um die wahren Identitäten der GRU-Agenten Anatolij Tschepiga und Alexander Mischkin zu enttarnen. Auf den Websites von Militärhochschulen verglichen sie die Fotos der Absolventen der infrage kommenden Jahrgänge mit den Bildern auf jenen Pässen, die die britischen Behörden veröffentlicht hatten. Und sie durchsuchten Datenbanken russischer Behörden, die teils frei im Internet zugänglich sind, wie etwa das Register der Verkehrspolizei oder Datenbanken von Autoversicherern. Andere Datensätze kursieren im Darknet, wie etwa Register der Meldebehörden oder Passagierdaten der Fluggesellschaft Aeroflot, die Pass- und Reisedaten enthalten.
Für russische Staatsbürger sei es nichts Ungewöhnliches, sich dieser Dienste zu bedienen, sagt Anastasia Kirilenko von The Insider: "Manche suchen dort alte Klassenkameraden, oder sie überprüfen die Vorbesitzer eines Autos, bevor sie einen Gebrauchtwagen kaufen." Firmen bieten solche Recherchen auch als Dienstleistung an. "Wer wissen will, ob ein Geschäftspartner vertrauenswürdig sei oder ob ein Auto, das er kaufen möchte, vielleicht gestohlen ist, der erkundigt sich dort", sagt Kirilenko.
Da die Journalisten von früheren Beispielen wussten, dass der GRU für Tarn-Identitäten häufig Vor- und Vaternamen sowie Geburtsdatum der echten Identität übernimmt, suchten sie im Melderegister von Sankt Petersburg nach einem Alexander Jewgenewitsch mit Geburtsdatum 13.7.1979 - und landeten nur einen Treffer: den gesuchten Mischkin. Die Kopie des Passes bekam Bellingcat nach eigener Darstellung allerdings von einem Informanten in den russischen Behörden.
Eine Mischung aus beflissener Bürokratie, Korruption und Schlampigkeit ist dem GRU nun zum Verhängnis geworden. Praktisch als Nebenprodukt der Recherchen zu den wahren Identitäten der Skripal-Attentäter und der Angreifer auf Daten-Netze weltweit wurden wahrscheinlich Hunderte weitere GRU-Mitarbeiter enttarnt, ein unverhoffter Beifang. Schon den britischen Ermittlern war aufgefallen, dass die Passnummern der Verdächtigen sich nur in den letzten zwei Ziffern unterschieden. Bei einer Überprüfung der Meldedatenbank in Russland wurde klar, dass ein weiterer bekannter GRU-Agent einen Pass aus der gleichen Serie besaß. Die Wahrscheinlichkeit ist daher groß, unter dieser Nummernfolge weitere Agenten zu finden.
Einer der von den Niederlanden des Landes verwiesener Hacker hatte sein Auto auf am Komsomolskij Prospekt 20 in Moskau registriert. Es ist die Adresse der Garnison 26165, die von den USA als Sitz der GRU-Hacker identifiziert wurde. 305 Autobesitzer sind dort gemeldet. Ihre Namen sind alle öffentlich.