臭名昭著的黑客tessa88的真實身份揭曉
由Insikt Group於2018年11月20日
為了建立以下黑客資料,InsiktGroup使用OSINT,Recorded Future資料和暗網分析來識別黑客tessa88使用的聯絡資訊,替代別名和TTP。
對於主要位於美國和俄羅斯的電子郵件服務提供商,社交媒體和技術公司而言,該黑客個人資料最受關注。
摘要
在2016年初,一名此前不為人知的黑客以tessa88的化名出現在公眾面前,他提供了一份大規模的機密資料庫待售清單。這名黑客公開出售VKontakte,Mobango,Myspace,Badoo,QIP,Dropbox,Rambler,LinkedIn和Twitter等公司的資料庫。在公眾面前令人難以置信的活躍了幾個月後,該黑客因各種原因被禁止進入幾乎所有暗網社群,到2016年5月,tessa88完全停止了與媒體和公眾的所有通訊。在接下來的幾個月裡,無數人試圖揭開這個黑客的真實身份。然而,沒有任何具體的證據表明tessa88與任何真實的個體有關。
新發現有力地表明,tessa88背後的人可能是俄羅斯奔薩(Penza)的馬克西姆·多納科夫(Maksim Donakov),可能是另一個不知名的人在幫助多納科夫維持tessa88賬戶,遵守完美的OPSEC程式,直到今天仍然保持匿名。在這兩種情況下,我們都堅信馬克西姆·多納科夫已經直接受益於洩露資料庫的銷售,甚至應該被視為主要的參與者。
關鍵的判斷
- tessa88的犯罪生涯很可能早在2012年就開始了,當時LinkedIn,Dropbox,雅虎(Yahoo)以及其他獲得證實的公司還未遭到入侵。他們建立了別名tessa88,用來專門出售高知名度的資料庫。
- 我們的分析基於被發現的隱藏在tessa88名字背後的真人影象和地下論壇討論,使我們能夠非常自信地判斷tessa88是男人而不是女人。
- 我們的分析顯示,tessa88這個名字與別名Paranoy777,Daykalif和tarakan72511相關聯。這些人都分享了類似的社交媒體照片,這些照片幾乎與馬克西姆·多納科夫的護照照片一模一樣。
- 我們的研究表明,Donakov,MaksimVladimirovich(Донаков,МаксимВладимирович)是俄羅斯聯邦的居民。
揭開tessa88的真實身份
背景
tessa88,又名stervasgoa和jannet93,是一位著名的黑客,參與了2016年2月至5月期間出售多個高知名度的資料庫,包括LinkedIn,VKontakte,Facebook,MySpace和Twitter。一些媒體認為這個黑客是一位講俄語的女性。tessa88只活躍了很短的時間,在此期間他們出售來自LinkedIn,VKontakte,Yahoo,Yandex,Rambler,MySpace,Badoo,QIP和Mobango等網站的資料庫。由於其他成員指控tessa88存在欺詐行為,tessa88最終在多個論壇上被禁。
RecordedFuture資料顯示,黑客Peace_of_Mind,又名Peace,最早於2016年5月16日就在已經關閉的TheRealDeal市場上出售了一個LinkedIn資料庫。LinkedIn漏洞導致FBI於2016年10月逮捕了俄羅斯的Yevgeniy Nikulin(ЕвгенийНикулин)。Nikulin當時在捷克共和國,後來被引渡到美國。俄羅斯政府聲稱,美國的行動是出於政治動機,為了阻止Nikulin的引渡,俄羅斯政府於2016年11月釋出了逮捕令,指控此人已經竊取了3,450美元的網路貨幣。在撰寫報告發布的時候,調查仍在進行中,並且沒有明確的證據證明Nikulin與Peace_of_Mind有關。
Motherboard公佈了他們在tessa88接受採訪時的訪談結果,tessa88聲稱自己是“地下犯罪組織”的資深成員,並指控Peace_of_Mind竊取了tessa88正在出售的資料庫。作為回覆,Peace_of_Mind聲稱tessa88從一個朋友那裡竊取了資料庫然後在網上銷售。
網路安全公司InfoArmor的一份報告稱,tessa88充當代理人,出售“GroupE”黑客團隊竊取的賬戶和個人身份資訊(PII)。InfoArmor聲稱,RecordedFuture資料證實,tassa88最早從2016年2月開始銷售這些高知名度資料庫。2016年5月左右,InfoArmor宣佈tessa88和Peace_of_Mind達成協議,雙方至少分享一些各自的資料庫,以加速兩個黑客之間海量資料的貨幣化。由於地下社群的其他成員聲稱資料質量很差,tessa88與Peace_of_Mind之間的關係惡化。如果這份報告是準確的,這證實了Motherboard的調查結果,並解釋了兩個黑客之間直言不諱的敵意。
2016年2月至5月期間,tessa88(又名stervasgoa)在暗網上的活動
威脅情報分析
通過對暗網活動的分析,將tessa88關聯到多個聊天和電子郵件帳戶,包括Jabber帳戶 ofollow,noindex" target="_blank">[email protected] , [email protected] , [email protected] , [email protected] ,ICQ帳號740455,以及電子郵件地址 [email protected] 。
tessa88在一個地下論壇上出售來自LinkedIn和MySpace等網站的資料庫。該論壇目前已不存在。
tessa88在地下論壇銷售線索中使用的 [email protected] 帳戶導致暴露了Twitter帳戶 @firetessa ,該帳戶於2016年7月5日釋出推文稱Jabber帳戶 [email protected] 是他們的。
來自Twitter帳戶 @firetessa 的推文聲稱 [email protected] 是他們的
黑客TraX是地下社群的一名成員,他說tessa88是一名男子,並在一個地下論壇上釋出了一張據稱是tassa88的照片。TraX還表示,tessa88是最近LinkedIn,MySpace和雅虎等大型入侵的幕後黑手,甚至表示願意與記者分享這些資訊。
TraX在地下論壇上張貼的據稱是tessa88的照片
OSINT隨後確定了Imgur賬戶tarakan72511的身份,該賬號釋出了與黑客HelloWorld和Ibm33a14就Yahoo和Equifax攻擊事件進行討論的截圖。值得注意的是,Ibm33a14是一位講俄語的黑客,他聲稱自己在2017年的幾個網路地下論壇上擁有Yahoo和Equifax資料庫的原始資料。
由tarakan72511釋出的關於Yahoo和Equifax的討論的螢幕截圖
同樣的Imgur賬戶還在2017年釋出了一張名為“tessa88”的圖片,照片上男子的體型和髮型與TraX釋出的上述圖片中描繪的男子相似。
teara88的疑似圖片由tarakan72511釋出在Imgur上
tarakan72511是由黑客Paranoy777使用的別名,他使用Jabber帳戶 [email protected] 。與tessa88一樣,Paranoy777在2016年2月至5月期間都是大型社交媒體和科技公司被盜資料庫的賣家。
RecordedFuture確認了一份針對tarakan72511的投訴,其中另一名成員聲稱Daykalif是一名講俄語的騙子,他正在交易大型資料庫並使用Jabber賬戶 [email protected] 和 [email protected] ——黑客Paranoy777使用的同樣的Jabber帳戶,反過來又關聯到tarakan72511。如果這種說法屬實,那麼使用者Paranoy777和Daykalif很可能是同一個人。
在一個地下論壇上發現了一個投訴,聲稱Daykalif使用了Jabber賬號 [email protected] 和 [email protected]
Imgur賬戶tarakan72511提供的更多資訊顯示,該使用者顯然是一個狂熱的愛狗愛好者。OSINT確定了一個類似使用者名稱的YouTube帳戶——Tarakan72511 Donakov——他釋出了一個視訊,顯示有人在餵養流浪狗。在視訊中,聽到一個聲音說他們在俄羅斯的奔薩。視訊中的車輛是三菱藍瑟(Mitsubishi Lancer),車牌號為K652BO58。
Tarakan7251 1Donakov的YouTube個人資料
此外,在56秒的視訊中,看到蓋伊福克斯面具。在Tarakan72511 Donakov的YouTube個人資料中使用了類似的面具作為頭像,在TraX共享的影象上,這個人也戴著面具。
在YouTube視訊,YouTube頭像和TraX影象中看到的Guy Fawkes面具
從奔薩(Пенза)聚集在馬克西姆·多納科夫(Донаков)上的OSINT透露,一個名叫ДонаковМ.В./Donakov M.V.的人在俄羅斯城市雅羅斯拉夫爾(Yaroslavl)和奔薩(Penza)等城市犯下了多起罪行,其中包括在2017年駕駛三菱Lancer時發生的一起機動車事故。這個人名叫Donakov,Maksim Vladimirovich(Донаков,МаксимВладимирович),最初來自雅羅斯拉夫爾,後來搬到了奔薩,在SudAct的多篇文章中也提到過,他說這個人在事故發生之前曾在獄中度過了幾年。<a></a>SudAct(sudact.ru)是俄羅斯最大的非政府司法記錄網站。
根據這些記錄,研究人員確定了3份Odnoklassniki社交網站的資料,所有檔案的名字都是MaximDonakov,其中兩份檔案顯示他們目前的位置為雅羅斯拉夫爾,另一個列為奔薩。第一個 Odnoklassniki個人資料屬於一個居住在雅羅斯拉夫爾並於1989年7月2日出生的人。該使用者上次訪問該網站是在2013年9月9日。第二個Odnoklassniki個人資料與之前的檔案具有相同的名字和出生日期。檔案圖片和其他影象都描繪了tarakan72511的Imgur影象中看到的同一個人。請注意三菱藍瑟與車牌А134МК76。
圖片來自馬克西姆·多納科夫的Odnoklassniki資料的圖片
分析第二個Odnoklassniki個人資料顯示,該黑客與另一個使用者“ЯдовитыйТаракан”(Yadovitiy Tarakan)有關,據稱居住在烏克蘭的Pervomaysk。Yadovitiy Tarakan的名字與Imgur賬戶tarakan72511同義,此人的頭像與馬克西姆·多納科夫非常相似。值得一提的是,Pervomaysk是馬克西姆·多納科夫真正的出生地。考慮到上述事實,我們非常自信地判斷Yadovitiy Tarakan的簡介也屬於馬克西姆·多納科夫。
另一個名為“ЯдовитыйТаракан”的Odnoklassniki個人資料由馬克西姆·多納科夫建立
此外,機密訊息來源證實,馬克西姆多納科夫是1989年7月2日出生的真人。根據SudAct的說法,多納科夫在警察監督下被釋放,但在2014年犯下另一罪行後被監禁。這可能解釋了存在多個Odnoklassniki的個人資料,如果馬克西姆·多納科夫忘記了以前帳戶的登入憑據,他可能會被迫在從監獄釋放後建立一個新的個人資料。
OSINT確定了可能與多納科夫(tessa88)相關的帳戶和聯絡資訊,例如馬克西姆·多納科夫的VKontakte 個人資料,電話號碼為+79022222229,Vkrugudruzei和Valet.ru的檔案,以及YouTube帳戶Maxim Donakov,電話號碼為+17789981919。公網上搜索“МаксимДонаков”透露了Freelance.ru上的Gulik01的簡介,這可能屬於tessa88(多納科夫)。Gulik01的帳戶資訊表明他是一個講俄語的資訊科技自由職業者。
此外,在洩露的資料庫中進行的額外搜尋發現了馬克西姆·多納科夫,他出生於1989年7月2日,是奔薩的居民,匹配了上述Odnoklassniki檔案中的使用者資料資訊和由Imgur使用者tarakan72511釋出的名為為“tessa88”的影象,該影象描繪了相同的人。所有這些都表明tessa88確實是馬克西姆·多納科夫。
對tessa88確認比特幣錢包的分析,大部分資金通過LocalBitcoins進行清洗
InsiktGroup通過使用Crystal 區塊鏈分析了與tessa88比特幣錢包相關的交易,發現黑客至少收到168比特幣,約合90,000美元,而且大部分資金最終都是通過LocalBitcoins洗錢,LocalBitcoins是一種頗受歡迎的p2p交易服務。儘管黑客在2016年5月失蹤,但他繼續使用他的比特幣錢包直到2017年8月。
外貌
InsiktGroup對tessa88的判斷非常有信心,認為tassa是馬克西姆·多納科夫(MaksimDonakov)在地下犯罪論壇上出售知名資料庫的眾多綽號之一。此外,多納科夫很可能至少從2012年開始在暗網上活躍,並且還使用了別名Paranoy777,Daykalif和tarakan72511。
馬克西姆·多納科夫,又名tessa88,Paranoy777和Daykalif
MaksimDonakov,全名為MaksimVladimirovich Donakov(МаксимВладимировичДонаков),於1989年7月2日出生。Donakov是俄羅斯聯邦居民,曾住在雅羅斯拉夫爾,後來搬到了奔薩。對Recorded Future的社交媒體賬戶和其他來源的分析進一步證實了我們的發現。
根據所進行的分析,tessa88,Paranoy777和Daykalif這三個名字是為了在暗網上出售盜竊資料而建立的。考慮到上述公司被入侵的資訊相互矛盾,很難確定黑客使用的真正策略、技術和程式(TTPs)。然而,針對YevgeniyNikulin的案件的正在進行的調查,與LinkedIn資料洩漏相關,可能會讓人民對這件事有所瞭解,揭示這個故事並填補剩餘的空白。
來源: https://www.recordedfuture.com/tessa88-identity-revealed/?from=timeline
本文由白帽匯翻譯,轉載請註明 來自白帽匯Nosec: https://nosec.org/home/detail/1977.html
檢視更多安全動態,請訪問[nosec.org]