由Insikt Group于2018年11月20日
为了创建以下黑客资料,InsiktGroup使用OSINT,Recorded Future数据和暗网分析来识别黑客tessa88使用的联系信息,替代别名和TTP。
对于主要位于美国和俄罗斯的电子邮件服务提供商,社交媒体和技术公司而言,该黑客个人资料最受关注。
摘要
在2016年初,一名此前不为人知的黑客以tessa88的化名出现在公众面前,他提供了一份大规模的机密数据库待售清单。这名黑客公开出售VKontakte,Mobango,Myspace,Badoo,QIP,Dropbox,Rambler,LinkedIn和Twitter等公司的数据库。在公众面前令人难以置信的活跃了几个月后,该黑客因各种原因被禁止进入几乎所有暗网社区,到2016年5月,tessa88完全停止了与媒体和公众的所有通信。在接下来的几个月里,无数人试图揭开这个黑客的真实身份。然而,没有任何具体的证据表明tessa88与任何真实的个体有关。
新发现有力地表明,tessa88背后的人可能是俄罗斯奔萨(Penza)的马克西姆·多纳科夫(Maksim Donakov),可能是另一个不知名的人在帮助多纳科夫维持tessa88账户,遵守完美的OPSEC程序,直到今天仍然保持匿名。在这两种情况下,我们都坚信马克西姆·多纳科夫已经直接受益于泄露数据库的销售,甚至应该被视为主要的参与者。
关键的判断
tessa88的犯罪生涯很可能早在2012年就开始了,当时LinkedIn,Dropbox,雅虎(Yahoo)以及其他获得证实的公司还未遭到入侵。他们创建了别名tessa88,用来专门出售高知名度的数据库。
我们的分析基于被发现的隐藏在tessa88名字背后的真人图像和地下论坛讨论,使我们能够非常自信地判断tessa88是男人而不是女人。
我们的分析显示,tessa88这个名字与别名Paranoy777,Daykalif和tarakan72511相关联。这些人都分享了类似的社交媒体照片,这些照片几乎与马克西姆·多纳科夫的护照照片一模一样。
我们的研究表明,Donakov,MaksimVladimirovich(Донаков,МаксимВладимирович)是俄罗斯联邦的居民。
背景
tessa88,又名stervasgoa和jannet93,是一位著名的黑客,参与了2016年2月至5月期间出售多个高知名度的数据库,包括LinkedIn,VKontakte,Facebook,MySpace和Twitter。一些媒体认为这个黑客是一位讲俄语的女性。tessa88只活跃了很短的时间,在此期间他们出售来自LinkedIn,VKontakte,Yahoo,Yandex,Rambler,MySpace,Badoo,QIP和Mobango等网站的数据库。由于其他成员指控tessa88存在欺诈行为,tessa88最终在多个论坛上被禁。
RecordedFuture数据显示,黑客Peace_of_Mind,又名Peace,最早于2016年5月16日就在已经关闭的TheRealDeal市场上出售了一个LinkedIn数据库。LinkedIn漏洞导致FBI于2016年10月逮捕了俄罗斯的Yevgeniy Nikulin(ЕвгенийНикулин)。Nikulin当时在捷克共和国,后来被引渡到美国。俄罗斯政府声称,美国的行动是出于政治动机,为了阻止Nikulin的引渡,俄罗斯政府于2016年11月发布了逮捕令,指控此人已经窃取了3,450美元的网络货币。在撰写报告发布的时候,调查仍在进行中,并且没有明确的证据证明Nikulin与Peace_of_Mind有关。
Motherboard公布了他们在tessa88接受采访时的访谈结果,tessa88声称自己是“地下犯罪组织”的资深成员,并指控Peace_of_Mind窃取了tessa88正在出售的数据库。作为回复,Peace_of_Mind声称tessa88从一个朋友那里窃取了数据库然后在网上销售。
网络安全公司InfoArmor的一份报告称,tessa88充当代理人,出售“GroupE”黑客团队窃取的账户和个人身份信息(PII)。InfoArmor声称,RecordedFuture数据证实,tassa88最早从2016年2月开始销售这些高知名度数据库。2016年5月左右,InfoArmor宣布tessa88和Peace_of_Mind达成协议,双方至少分享一些各自的数据库,以加速两个黑客之间海量数据的货币化。由于地下社区的其他成员声称数据质量很差,tessa88与Peace_of_Mind之间的关系恶化。如果这份报告是准确的,这证实了Motherboard的调查结果,并解释了两个黑客之间直言不讳的敌意。
威胁情报分析
通过对暗网活动的分析,将tessa88关联到多个聊天和电子邮件帐户,包括Jabber帐户tessa88@exploit.im,tessa88@xmpp.jp,mrfreeman777@xmpp.jp,darksideglobal@exploit.im,ICQ帐号740455,以及电子邮件地址firetessa@yahoo.com。
tessa88在地下论坛销售线索中使用的tessa88@exploit.imJabber帐户导致暴露了Twitter帐户@firetessa,该帐户于2016年7月5日发布推文称Jabber帐户tessa88@exploit.im是他们的。
黑客TraX是地下社区的一名成员,他说tessa88是一名男子,并在一个地下论坛上发布了一张据称是tassa88的照片。TraX还表示,tessa88是最近LinkedIn,MySpace和雅虎等大型入侵的幕后黑手,甚至表示愿意与记者分享这些信息。
OSINT随后确定了Imgur账户tarakan72511的身份,该账号发布了与黑客HelloWorld和Ibm33a14就Yahoo和Equifax攻击事件进行讨论的截图。值得注意的是,Ibm33a14是一位讲俄语的黑客,他声称自己在2017年的几个网络地下论坛上拥有Yahoo和Equifax数据库的原始数据。
同样的Imgur账户还在2017年发布了一张名为“tessa88”的图片,照片上男子的体型和发型与TraX发布的上述图片中描绘的男子相似。
tarakan72511是由黑客Paranoy777使用的别名,他使用Jabber帐户tarakan72511@chatme.im。与tessa88一样,Paranoy777在2016年2月至5月期间都是大型社交媒体和科技公司被盗数据库的卖家。
RecordedFuture确认了一份针对tarakan72511的投诉,其中另一名成员声称Daykalif是一名讲俄语的骗子,他正在交易大型数据库并使用Jabber账户daykalif@xmpp.jp和tarakan72511@chatme.im——黑客Paranoy777使用的同样的Jabber帐户,反过来又关联到tarakan72511。如果这种说法属实,那么用户Paranoy777和Daykalif很可能是同一个人。
Imgur账户tarakan72511提供的更多信息显示,该用户显然是一个狂热的爱狗爱好者。OSINT确定了一个类似用户名的YouTube帐户——Tarakan72511 Donakov——他发布了一个视频,显示有人在喂养流浪狗。在视频中,听到一个声音说他们在俄罗斯的奔萨。视频中的车辆是三菱蓝瑟(Mitsubishi Lancer),车牌号为K652BO58。
此外,在56秒的视频中,看到盖伊福克斯面具。在Tarakan72511 Donakov的YouTube个人资料中使用了类似的面具作为头像,在TraX共享的图像上,这个人也戴着面具。
从奔萨(Пенза)聚集在马克西姆·多纳科夫(Донаков)上的OSINT透露,一个名叫ДонаковМ.В./Donakov M.V.的人在俄罗斯城市雅罗斯拉夫尔(Yaroslavl)和奔萨(Penza)等城市犯下了多起罪行,其中包括在2017年驾驶三菱Lancer时发生的一起机动车事故。这个人名叫Donakov,Maksim Vladimirovich(Донаков,МаксимВладимирович),最初来自雅罗斯拉夫尔,后来搬到了奔萨,在SudAct的多篇文章中也提到过,他说这个人在事故发生之前曾在狱中度过了几年。SudAct(sudact.ru)是俄罗斯最大的非政府司法记录网站。
根据这些记录,研究人员确定了3份Odnoklassniki社交网站的资料,所有档案的名字都是MaximDonakov,其中两份档案显示他们目前的位置为雅罗斯拉夫尔,另一个列为奔萨。第一个 Odnoklassniki个人资料属于一个居住在雅罗斯拉夫尔并于1989年7月2日出生的人。该用户上次访问该网站是在2013年9月9日。第二个Odnoklassniki个人资料与之前的档案具有相同的名字和出生日期。档案图片和其他图像都描绘了tarakan72511的Imgur图像中看到的同一个人。请注意三菱蓝瑟与车牌А134МК76。
分析第二个Odnoklassniki个人资料显示,该黑客与另一个用户“ЯдовитыйТаракан”(Yadovitiy Tarakan)有关,据称居住在乌克兰的Pervomaysk。Yadovitiy Tarakan的名字与Imgur账户tarakan72511同义,此人的头像与马克西姆·多纳科夫非常相似。值得一提的是,Pervomaysk是马克西姆·多纳科夫真正的出生地。考虑到上述事实,我们非常自信地判断Yadovitiy Tarakan的简介也属于马克西姆·多纳科夫。
此外,机密消息来源证实,马克西姆多纳科夫是1989年7月2日出生的真人。根据SudAct的说法,多纳科夫在警察监督下被释放,但在2014年犯下另一罪行后被监禁。这可能解释了存在多个Odnoklassniki的个人资料,如果马克西姆·多纳科夫忘记了以前帐户的登录凭据,他可能会被迫在从监狱释放后创建一个新的个人资料。
OSINT确定了可能与多纳科夫(tessa88)相关的帐户和联系信息,例如马克西姆·多纳科夫的VKontakte 个人资料,电话号码为+79022222229,Vkrugudruzei和Valet.ru的档案,以及YouTube帐户Maxim Donakov,电话号码为+17789981919。公网上搜索“МаксимДонаков”透露了Freelance.ru上的Gulik01的简介,这可能属于tessa88(多纳科夫)。Gulik01的帐户信息表明他是一个讲俄语的信息技术自由职业者。
此外,在泄露的数据库中进行的额外搜索发现了马克西姆·多纳科夫,他出生于1989年7月2日,是奔萨的居民,匹配了上述Odnoklassniki档案中的用户资料信息和由Imgur用户tarakan72511发布的名为为“tessa88”的图像,该图像描绘了相同的人。所有这些都表明tessa88确实是马克西姆·多纳科夫。
InsiktGroup通过使用Crystal 区块链分析了与tessa88比特币钱包相关的交易,发现黑客至少收到168比特币,约合90,000美元,而且大部分资金最终都是通过LocalBitcoins洗钱,LocalBitcoins是一种颇受欢迎的p2p交易服务。尽管黑客在2016年5月失踪,但他继续使用他的比特币钱包直到2017年8月。
外貌
InsiktGroup对tessa88的判断非常有信心,认为tassa是马克西姆·多纳科夫(MaksimDonakov)在地下犯罪论坛上出售知名数据库的众多绰号之一。此外,多纳科夫很可能至少从2012年开始在暗网上活跃,并且还使用了别名Paranoy777,Daykalif和tarakan72511。
MaksimDonakov,全名为MaksimVladimirovich Donakov(МаксимВладимировичДонаков),于1989年7月2日出生。Donakov是俄罗斯联邦居民,曾住在雅罗斯拉夫尔,后来搬到了奔萨。对Recorded Future的社交媒体账户和其他来源的分析进一步证实了我们的发现。
根据所进行的分析,tessa88,Paranoy777和Daykalif这三个名字是为了在暗网上出售盗窃数据而创建的。考虑到上述公司被入侵的信息相互矛盾,很难确定黑客使用的真正策略、技术和程序(TTPs)。然而,针对YevgeniyNikulin的案件的正在进行的调查,与LinkedIn数据泄漏相关,可能会让人民对这件事有所了解,揭示这个故事并填补剩余的空白。
来源:https://www.recordedfuture.com/tessa88-identity-revealed/?from=timeline
本文由白帽汇整理并翻译,转载请注明 来自白帽汇Nosec:https://nosec.org/home/detail/1977.html
查看更多安全动态,请访问[nosec.org]
