Wer verkauft Ihre Konten?

Anfang 2016 stellte ein Angreifer unter dem Pseudonym tessa88 eine breite Liste kompromittierter Benutzerbasen von Vkontakte, Mobango, MySpace, Badoo, QIP, Dropbox, Rambler, LinkedIn, Twitter usw. zum Verkauf. Vor kurzem wurden die Informationen des Angreifers von Spezialisten der Insikt Group veröffentlicht. .

Hinweis : Die Spezialisten der Insikt Group verwendeten die von Recorded Future bereitgestellten Daten, führten eine OSINT-Untersuchung durch und analysierten zahlreiche Darknet-Ressourcen, um das Hacker-Profil zu beschreiben, alternative Spitznamen zu identifizieren und Kontaktinformationen des Kontoinhabers von tessa88 zu erhalten.

Kurzer Rückblick

Anfang 2016 erschien ein bisher unbekannter Hacker, der unter dem Pseudonym tessa88 agierte, erstmals öffentlich, nachdem er eine breite Liste kompromittierter Datenbanken mit Promi-Daten zum Verkauf angeboten hatte. Dies waren die Datenbanken von Vkontakte, Mobango, Myspace, Badoo, QIP, Dropbox, Rambler, LinkedIn, Twitter usw. Mehrere Monate lang wurden unter aktiver Beteiligung der Hack-Community Hacker-Profile in fast allen Darknet-Communities blockiert. Bis Mai 2016 verschwand tessa88 vollständig aus dem Internet. In den folgenden Monaten wurden zahlreiche Versuche unternommen, die Identität des Hackers aufzudecken. Es wurden jedoch keine spezifischen Beweise vorgelegt, die tessa88 mit einer realen Person in Verbindung bringen.

Neue Daten deuten darauf hin, dass sich Maxim Donakov, ein Einwohner von Penza, der mehrere verschiedene Profile im Darknet verwendet hat, unter dem Pseudonym tessa88 möglicherweise versteckt. Es ist möglich, dass er einen Komplizen hatte, der das tessa88-Konto unter Einhaltung der OPSEC-Verfahren unterhielt und bis heute anonym blieb. In jedem Fall sind die Experten der Insikt Group davon überzeugt, dass Maxim Donakov direkte Vorteile aus dem Verkauf kompromittierter Datenbanken gezogen hat und als Hauptakteur angesehen werden sollte.

Schlüsselurteile

• Die kriminelle Karriere von tessa88 begann wahrscheinlich im Jahr 2012 vor den massiven Datenverletzungen von LinkedIn, Dropbox, Yahoo und anderen, deren Verantwortung Hackern unter diesem Pseudonym übertragen wurde. Wahrscheinlich wurde das Profil tessa88 speziell für den Verkauf wertvoller Datenbanken erstellt.
• Eine Analyse der Insikt-Gruppe, die auf entdeckten Bildern einer realen Person basiert, die sich unter dem Spitznamen tessa88 versteckt, und Diskussionen aus zahlreichen Foren, lässt den Schluss zu, dass tessa88 ein Mann und keine Frau ist.
• Laut Insikt Group ist das Profil von tessa88 mit einer Reihe anderer Konten verknüpft: Paranoy777, Daykalif und tarakan72511. Diese Benutzer haben ähnliche Fotos in sozialen Netzwerken gepostet, die entsprechenden Fotos im Pass von Maxim Donakov, einem jungen Mann, der im Netzwerk unter dem Pseudonym Paranoy777 bekannt ist.
• Die Insikt Group berichtet, dass Maxim Vladimirovich Donakov in der Russischen Föderation lebt.

Offenlegung der Identität tessa88

Hintergrund

Laut Recorded Future hat Peace_of_Mind, auch bekannt als Peace, LinkedIn am 16. Mai 2016 auf dem inzwischen aufgelösten TheRealDeal-Markt verkauft. Nach einer Untersuchung des Diebstahls von LinkedIn-Datenbanken im Oktober 2016 verhafteten FBI-Beamte den russischen Staatsbürger Jewgeni Nikulin. Er wurde in der Tschechischen Republik festgenommen und später an die USA ausgeliefert. Zum Zeitpunkt dieses Schreibens ist die Untersuchung noch nicht abgeschlossen und es wurden keine objektiven Beweise für die Verbindung von Nikulin mit Peace_of_Mind vorgelegt.

Motherboard veröffentlichte Ergebnisse aus einem Interview mit tessa88, in dem behauptet wurde, ein langjähriges Mitglied der kriminellen Gemeinschaft zu sein, und beschuldigte Peace_of_Mind, die von tessa88 verkauften Datenbanken gestohlen zu haben. Peace_of_Mind behauptete wiederum, dass tessa88 selbst Datenbanken zum Verkauf im Internet gestohlen habe.

Laut dem Bericht von InfoArmor fungierte tessa88 als Vermittler, der Konten und persönliche Daten verkaufte, die von einer Gruppe von Hackern namens „Gruppe E“ gestohlen wurden. InfoArmor behauptet (Recorded Future bestätigte dies ebenfalls), dass tessa88 als erste im Februar 2016 eine Datenbank zum Verkauf freigegeben hat. Im Mai 2016 behauptete InfoArmor, dass tessa88 und Peace_of_Mind vereinbart hätten, zumindest einige der kompromittierten Datenbanken gemeinsam zu nutzen, um die Monetarisierung einer großen Datenmenge zu beschleunigen. Die Beziehung zwischen tessa88 und Peace_of_Mind verschlechterte sich, als andere Mitglieder geheimer Gemeinschaften behaupteten, die Daten seien unzuverlässig. Ein Bericht von InfoArmor bestätigt somit die Ergebnisse des Motherboards und erklärt die völlige Feindseligkeit zwischen den beiden Hackern.


Die Aktivitäten von tessa88, auch bekannt als Stervasgoa im Darknet, dauern von Februar bis Mai 2016.

Analyse

Als Ergebnis der Analyse der Darknet-Ressourcen war es möglich, das tessa88-Profil mit einer Reihe von Konten zu vergleichen, darunter Jabber (tessa88 @ Exploit [.] Im, tessa88 @ xmpp [.] Jp, mrfreeman777 @ xmpp [.] Jp, darksideglobal @ Exploit [.] Im). , ein ICQ-Konto 740455 und eine E-Mail-Adresse firetessa @ yahoo [.] com.


Tessa88 verkauft LinkedIn- und MySpace-Website-Datenbanken in einem unterirdischen Forum, das derzeit geschlossen ist.

Am 5. Juli 2016 gab der Twitter-Nutzer @firetessa bekannt, dass er den tessa88 @ Exploit [.] Im Jabber-Account besitzt, mit dem er in Untergrundforen verkauft.


Tweet von @firetessa

TraX, ein Mitglied der Hacking-Community, sagte, tessa88 sei ein Mann und habe das angebliche Foto im Forum gepostet. TraX gab auch an, dass tessa88 hinter den jüngsten Hacks und dem anschließenden Verkauf von LinkedIn, MySpace und Yahoo steckt, und hat sogar seine Bereitschaft zum Ausdruck gebracht, diese Informationen mit Reportern zu teilen.


Angebliches Foto von tessa88

Eine OSINT-basierte Untersuchung identifizierte das Konto tarakan7251 (auf Imgur), aus dem Screenshots von Diskussionen über Yahoo- und Equifax-Datenlecks veröffentlicht wurden, die von HelloWorld- und Ibm33a14-Benutzern implementiert wurden. Es ist bemerkenswert, dass Ibm33a14 ein russischsprachiger Hacker ist, der 2017 behauptete, er besitze die Originale von Dumps aus Yahoo- und Equifax-Datenbanken.


Chat-Screenshot zu Yahoo und Equifax

Im selben Imgur-Konto wurde 2017 ein Foto mit dem Titel „tessa88“ veröffentlicht, das einen Mann zeigt, dessen Aussehen der auf dem obigen Foto von TraX gezeigten Person ähnelt.


Wahrscheinliches Bild des Benutzers tessa88

Der Alias ​​tarakan72511 wird vom Hacker Paranoy777 verwendet, dem das Jabber-Konto tarakan72511 @ chatme [.] Im gehört. Paranoy777 und tessa88 verkauften 2016 gestohlene Datenbanken großer sozialer Netzwerke und IT-Unternehmen.

Recorded Future entdeckte eine gegen tarakan72511 eingereichte Beschwerde, wonach Daykalif ein russischsprachiger Krimineller ist, der bekannte Datenbanken handelte und Jabber daykalif @ xmpp [.] Jp und tarakan72511 @ chatme [.] Accounts verwendete, im selben Jabber-Konto Wird vom Benutzer Paranoy777 verwendet, der wiederum dem Konto tarakan72511 zugeordnet ist. Wenn diese Aussage wahr ist, ist es wahrscheinlich, dass die Benutzer von Paranoy777 und Daykalif dieselbe Person sind.


Beschwerde im Untergrundforum entdeckt

Der Benutzer tarakan72511 (in der Imgur-Ressource) teilte Informationen über die Liebe zu Hunden mit. Der Nutzer des YouTube-Kontos Tarakan72511 Donakov hat ein Video hochgeladen, in dem zwei Personen streunende Hunde füttern. Dies ist ein Hinweis auf das Profil mit Imgur. Das Video sagt, dass sie in Penza sind. Das Auto auf dem Video ist ein Mitsubishi Lancer mit der Registriernummer K652BO 58.


YouTube-Benutzerprofil Tarakan7251 Donakov.

Außerdem ist nach 56 Sekunden des Videos die Guy Fawkes-Maske sichtbar. Eine ähnliche Maske wurde als Avatar im YouTube-Profil von Tarakan72511 Donakov verwendet und auch auf der Person in dem von TraX freigegebenen Bild getragen.


Guy Fawkes Maske auf YouTube-Video, YouTube-Benutzer-Avatar und Trax-Benutzerbild.

Während der OSINT-Untersuchung gegen Donakov (Donakov) aus Penza stellte sich heraus, dass jemand unter dem Namen Donakov M.V. In den Städten Jaroslawl und Penza wurden mehrere Verbrechen begangen, darunter ein Unfall, an dem 2017 ein Mitsubishi Lancer teilnahm. Der in Jaroslawl geborene und nach Penza gezogene Bürger Donakow Maxim Wladimirowitsch wurde in mehreren Artikeln auf sudact.ru erwähnt, die sich auf seine Begehung einer Reihe von Verbrechen beziehen, wonach Herr Donakow in Gewahrsam genommen wurde.

Basierend auf diesen Aufzeichnungen wurden drei Profile in der Odnoklassniki-Ressource identifiziert, alle mit dem Namen Maxim Donakov, von denen zwei ihren aktuellen Standort als Jaroslawl und eines als Penza angaben. Das erste Profil in Odnoklassniki gehört einem Mann, der in Jaroslawl lebte und am 2. Juli 1989 geboren wurde. Das letzte Mal, dass der Benutzer die Website am 9. September 2013 besucht hat. Das zweite Odnoklassniki-Profil hat denselben Namen und dasselbe Geburtsdatum wie das vorherige Profil. Das Foto beider Profile zeigt dieselbe Person wie auf dem Profil von tarakan72511 in Imgur. Bemerkenswert ist das Bild des Mitsubishi Lancer mit der Statusnummer A 134MK 76.


Profilfoto von Maxim Donakov in Odnoklassniki

Die Analyse des zweiten Profils in Odnoklassniki ergab, dass der Hacker mit einem anderen Benutzer verbunden ist, Poisonous Cockroach, der angeblich in Pervomaisk, Ukraine, lebt. Der Name „Giftige Kakerlake“ stimmt mit dem Konto tarakan72511 auf Imgur überein, und das Profilfoto der Person ähnelt stark Maxim Donakov. Es ist erwähnenswert, dass Pervomaisk der wahre Geburtsort von Maxim Donakov ist. Angesichts der obigen Tatsachen können wir mit einem hohen Maß an Vertrauen sagen, dass das Profil von "Poison Cockroach" auch Maxim Donakov gehört.


Foto eines anderen Profils von Maxim Donakov in Odnoklassniki

Vertrauliche Quellen haben bestätigt, dass Maxim Donakov eine echte Person ist, geboren am 2. Juli 1989. Laut SudAct wurde Donakov unter polizeilicher Überwachung freigelassen, aber nach einem weiteren Verbrechen im Jahr 2014 inhaftiert. Dies könnte die Existenz mehrerer Profile in Odnoklassniki erklären, da Donakov nach seiner Entlassung aus dem Gefängnis möglicherweise gezwungen war, ein neues Profil zu erstellen, wenn er die Anmeldeinformationen für sein vorheriges Konto vergessen hat.

Die OSINT-Untersuchung ergab eine Reihe anderer Konten und Kontaktinformationen, die höchstwahrscheinlich mit Donakov (tessa88) zusammenhängen: VKontakte-Profil Maxim Ivanov mit Telefonnummer +79022222229, Vkrugudruzei- und Valet.ru-Profile, YouTube-Konto Maxim Donakov mit Telefonnummer +17789981919 . Eine offene Websuche von Maxim Donakov ergab das Profil von Gulik01 auf Freelance.ru, das möglicherweise tessa88 (Donakov) gehört. Aus dem Gulik01-Konto geht hervor, dass er ein russischsprachiger Freiberufler auf dem Gebiet der Informationstechnologie ist.

Darüber hinaus ergab eine zusätzliche Suche in den durchgesickerten Datenbanken, dass Maxim Donakov, ein Einwohner von Penza, geboren am 2. Juli 1989, mit den Benutzerprofilinformationen aus den oben genannten Odnoklassniki-Profilen und dem Bild mit dem Titel „tessa88“ des Benutzers Imgur tarakan72511 übereinstimmt, das dasselbe darstellt die Person. Auch dies deutet darauf hin, dass tessa88 wirklich Maxim Donakov ist.


Analyse der Bitcoin-Brieftasche des tessa88-Benutzers

Eine Analyse der Transaktionen im Zusammenhang mit der von tessa88 verifizierten Bitcoin-Brieftasche mit Crystal Blockchain (durchgeführt von der Insikt Group) ergab, dass der Hacker mindestens 168 Bitcoins oder etwa 90.000 US-Dollar erhielt und die meisten Gelder letztendlich über LocalBitcoins, ein beliebtes Geld, gewaschen wurden Peer-to-Peer-Austauschdienst. Obwohl er den Hacker im Mai 2016 blockiert hatte, benutzte er seine Bitcoin-Brieftasche bis August 2017 weiter.

Analysezusammenfassung

Mit einem hohen Maß an Vertrauen bewertet die Insikt Group tessa88 als einen von vielen Spitznamen, die Maxim Donakov für den Verkauf von Datenbanken in Untergrundforen erstellt hat. Darüber hinaus ist es wahrscheinlich, dass Donakov seit mindestens 2012 im Darknet aktiv ist und auch die Aliase Paranoy777, Daykalif und tarakan72511 verwendet hat.


Maxim Donakov, bekannt als tessa88, Paranoy777 und Daykalif

Donakov Maxim Vladimirovich wurde am 2. Juli 1989 als Einwohner der Russischen Föderation geboren, der zuvor in Jaroslawl lebte und später nach Penza zog. Die Analyse von Social-Media-Konten und anderen Ressourcen von Recorded Future bestätigt die Ergebnisse der Insikt Group.

Der Analyse zufolge wurden die Aliase tessa88, Paranoy777 und Daykalif speziell für den Verkauf kompromittierter Daten im Darknet erstellt. Angesichts der widersprüchlichen Informationen über den Diebstahl der Datenbanken der oben genannten Unternehmen ist es schwierig, die tatsächliche Strategie und die von Hackern verwendeten Methoden zu bestimmen. Die bevorstehende Untersuchung des Falles Jewgeni Nikulin im Zusammenhang mit einem Datenleck auf LinkedIn kann jedoch Aufschluss über diese Geschichte geben und die verbleibenden Lücken schließen.

Der Artikel wurde von der Insikt Group am 20. November 2018 veröffentlicht.

Übersetzung: Denis Gavrilov, Berater, Informationssicherheitszentrum, Jet Infosystems