A principios de 2016, un atacante que actuaba bajo el seudónimo tessa88 puso a la venta una amplia lista de bases de usuarios comprometidas de Vkontakte, Mobango, Myspace, Badoo, QIP, Dropbox, Rambler, LinkedIn, Twitter, etc. Recientemente, la información del atacante fue revelada por especialistas del Grupo Insikt. .
Nota : los especialistas del Grupo Insikt utilizaron los datos proporcionados por Recorded Future, llevaron a cabo una investigación de OSINT y analizaron numerosos recursos de la red oscura para describir el perfil del hacker, identificar apodos alternativos y obtener información de contacto del titular de la cuenta tessa88.
Breve reseña
A principios de 2016, un pirata informático previamente desconocido, que actuaba bajo el seudónimo tessa88, apareció por primera vez en público, publicando para la venta una amplia lista de bases de datos comprometidas que contenían datos de celebridades. Estas fueron las bases de datos de Vkontakte, Mobango, Myspace, Badoo, QIP, Dropbox, Rambler, LinkedIn, Twitter, etc. Durante varios meses, con la participación activa de la comunidad de piratas, se bloquearon los perfiles de hackers en casi todas las comunidades de redes oscuras. Para mayo de 2016, tessa88 desapareció por completo de Internet. En los siguientes meses, se hicieron numerosos intentos para revelar la identidad del hacker. Sin embargo, no se presentaron pruebas específicas que vinculen a tessa88 con ninguna persona real.
Nuevos datos sugieren que bajo el seudónimo tessa88, Maxim Donakov, un residente de Penza que utilizó varios perfiles diferentes en la red oscura, puede estar escondido. Es posible que tuviera un cómplice que mantuviera la cuenta tessa88, que se adhiriera estrictamente a los procedimientos de OPSEC y hasta el día de hoy permanezca en el anonimato. En cualquier caso, los expertos del Grupo Insikt están convencidos de que Maxim Donakov recibió beneficios directos de la venta de bases de datos comprometidas y debería ser considerado como el actor principal.
Juicios clave
- La carrera criminal de tessa88 probablemente comenzó en 2012, antes de las violaciones masivas de datos de LinkedIn, Dropbox, Yahoo, etc., cuya responsabilidad recayó en los piratas informáticos que actuaban bajo este seudónimo. Probablemente, el perfil tessa88 fue creado específicamente para la venta de valiosas bases de datos.
- Un análisis del Grupo Insikt, basado en imágenes descubiertas de una persona real que se esconde bajo el apodo de tessa88 y en discusiones de numerosos foros, hace posible concluir que tessa88 es un hombre y no una mujer.
- Según Insikt Group, el perfil de tessa88 está vinculado a otras cuentas: Paranoy777, Daykalif y tarakan72511. Estos usuarios publicaron fotos similares en las redes sociales, las fotos correspondientes en el pasaporte de Maxim Donakov, un joven conocido en la red bajo el seudónimo Paranoy777.
- Insikt Group informa que Maxim Vladimirovich Donakov vive en la Federación Rusa.
Divulgación de identidad tessa88Antecedentes
Según Recorded Future, Peace_of_Mind, también conocido como Peace, vendió LinkedIn el 16 de mayo de 2016 en el ahora desaparecido mercado TheRealDeal. Tras una investigación sobre el robo de bases de datos de LinkedIn en octubre de 2016, los oficiales del FBI arrestaron al ciudadano ruso Yevgeny Nikulin. Fue arrestado en la República Checa y luego extraditado a los Estados Unidos. Al momento de escribir esto, la investigación aún no se ha completado y no se ha proporcionado evidencia objetiva que vincule a Nikulin con Peace_of_Mind.
Motherboard publicó los resultados de una entrevista con tessa88, afirmando ser miembro de la comunidad criminal desde hace mucho tiempo, y acusando a Peace_of_Mind de robar las bases de datos vendidas por tessa88. Peace_of_Mind, a su vez, afirmó que el propio tessa88 robó bases de datos para la venta en Internet.
Según el informe de InfoArmor, tessa88 actuó como intermediario que vendió cuentas y datos personales robados por un grupo de hackers llamado "Grupo E". InfoArmor afirma (Recorded Future también confirmó esto) que tessa88 fue la primera en lanzar una base de datos a la venta en febrero de 2016. En mayo de 2016, InfoArmor afirmó que tessa88 y Peace_of_Mind acordaron compartir al menos algunas de las bases de datos comprometidas en un probable intento de acelerar la monetización de una gran cantidad de datos. La relación entre tessa88 y Peace_of_Mind se deterioró a medida que otros miembros de comunidades clandestinas afirmaron que los datos no eran confiables. Por lo tanto, un informe de InfoArmor confirma los hallazgos de Motherboard y explica la absoluta hostilidad entre los dos piratas informáticos.
Las actividades de tessa88, también conocida como stervasgoa en la red oscura, son de febrero a mayo de 2016.Análisis
Como resultado del análisis de los recursos darknet, fue posible comparar el perfil de tessa88 con varias cuentas, incluyendo Jabber (tessa88 @ exploit [.] Im, tessa88 @ xmpp [.] Jp, mrfreeman777 @ xmpp [.] Jp, darksideglobal @ exploit [.] Im) , una cuenta ICQ 740455 y una dirección de correo electrónico firetessa @ yahoo [.] com.
Tessa88 vende bases de datos de sitios web de LinkedIn y MySpace en un foro clandestino que actualmente está cerrado.El 5 de julio de 2016, el usuario de Twitter @firetessa anunció que era dueño de la cuenta tessa88 @ exploit [.] Im Jabber utilizada por él para vender en foros clandestinos.
Tweet por @firetessaTraX, miembro de la comunidad de hackers, dijo que tessa88 es un hombre y publicó la supuesta foto en el foro. TraX también declaró que tessa88 está detrás de los recientes hacks y la venta posterior de LinkedIn, MySpace y Yahoo, e incluso ha expresado su voluntad de compartir esta información con los periodistas.
Supuesta foto de tessa88Una investigación basada en OSINT identificó la cuenta tarakan7251 (en Imgur) desde la cual se publicaron capturas de pantalla de discusiones sobre las filtraciones de datos de Yahoo y Equifax implementadas por los usuarios de HelloWorld e Ibm33a14. Es de destacar que Ibm33a14 es un hacker de habla rusa que afirmó en 2017 que posee los originales de los vertederos de las bases de datos de Yahoo y Equifax.
Captura de pantalla de chat sobre Yahoo y EquifaxEn la misma cuenta de Imgur en 2017, se publicó una foto titulada "tessa88", que representa a un hombre cuya apariencia es similar a la persona representada en la foto mencionada anteriormente publicada por TraX.
Imagen probable del usuario tessa88El alias tarakan72511 es utilizado por el hacker Paranoy777, propietario de la cuenta Jabber tarakan72511 @ chatme [.] Im. Paranoy777 y tessa88 vendieron bases de datos robadas de grandes redes sociales y compañías de TI en 2016.
Recorded Future descubrió una queja presentada contra tarakan72511 que indica que Daykalif es un criminal de habla rusa que comerciaba bases de datos conocidas y usó Jabber
daykalif @ xmpp [.] Jp y
tarakan72511 @ chatme [.] Cuentas, soy la misma cuenta de Jabber utilizado por el usuario Paranoy777, que a su vez está asociado con la cuenta tarakan72511. Si esta afirmación es cierta, es probable que los usuarios de Paranoy777 y Daykalif sean la misma persona.
Queja descubierta en el foro subterráneoEl usuario tarakan72511 (en el recurso Imgur) compartió información sobre el amor por los perros. El usuario de la cuenta de YouTube Tarakan72511 Donakov subió un video en el que dos personas alimentan perros callejeros, que es una referencia al perfil con Imgur. El video dice que están en Penza. El auto en el video es un Mitsubishi Lancer con número de registro K652BO 58.
Perfil de usuario de YouTube Tarakan7251 Donakov.Además, a los 56 segundos del video, la máscara de Guy Fawkes es visible. Se usó una máscara similar como avatar en el perfil de YouTube de Tarakan72511 Donakov, y también se usó en la persona en la imagen compartida por TraX.
Máscara de Guy Fawkes en video de YouTube, avatar de usuario de YouTube e imagen de usuario de Trax.Durante la investigación de OSINT contra Donakov (Donakov) de Penza, resultó que alguien bajo el nombre de Donakov M.V. cometió varios delitos en las ciudades de Yaroslavl y Penza, incluido un accidente que ocurrió con la participación de un Mitsubishi Lancer en 2017. El ciudadano Donakov Maxim Vladimirovich, quien nació en Yaroslavl y se mudó a Penza, fue mencionado en varios artículos en sudact.ru, que se refiere a su comisión de una serie de delitos, después de lo cual M. Donakov fue enviado a custodia.
En base a estos registros, se identificaron tres perfiles en el recurso Odnoklassniki, todos con el nombre Maxim Donakov, dos de los cuales indicaron su ubicación actual como Yaroslavl y uno como Penza. El primer perfil en Odnoklassniki pertenece a un hombre que vivió en Yaroslavl y nació el 2 de julio de 1989. La última vez que el usuario visitó el sitio el 9 de septiembre de 2013. El segundo perfil de Odnoklassniki tiene el mismo nombre y fecha de nacimiento que el perfil anterior. La foto de ambos perfiles muestra a la misma persona que en el perfil de tarakan72511 en Imgur. La imagen del Mitsubishi Lancer con el número de estado A 134MK 76 es notable.
Foto de perfil de Maxim Donakov en OdnoklassnikiEl análisis del segundo perfil en Odnoklassniki mostró que el hacker está conectado a otro usuario, Cucaracha Venenosa, que supuestamente vive en Pervomaisk, Ucrania. El nombre de "cucaracha venenosa" está en consonancia con la cuenta tarakan72511 en Imgur, y la foto de perfil de la persona se parece mucho a Maxim Donakov. Vale la pena señalar que Pervomaisk es el verdadero lugar de nacimiento de Maxim Donakov. Dados los hechos anteriores, con un alto grado de confianza podemos decir que el perfil de "Cucaracha Venenosa" también pertenece a Maxim Donakov.
Foto de otro perfil de Maxim Donakov en OdnoklassnikiFuentes confidenciales han confirmado que Maxim Donakov es una persona real, nacido el 2 de julio de 1989. Según SudAct, Donakov fue liberado bajo vigilancia policial, pero luego fue encarcelado después de cometer otro delito en 2014. Esto puede explicar la existencia de varios perfiles en Odnoklassniki, ya que Donakov puede haberse visto obligado a crear un nuevo perfil después de ser liberado de la prisión si olvida las credenciales de su cuenta anterior.
La investigación de OSINT reveló una serie de otras cuentas e información de contacto probablemente relacionadas con Donakov (tessa88): perfil de VKontakte Maxim Ivanov con número de teléfono +79022222229, perfiles de Vkrugudruzei y Valet.ru, cuenta de YouTube Maxim Donakov con número de teléfono +17789981919 . Una búsqueda abierta en la web de Maxim Donakov reveló el perfil de Gulik01 en Freelance.ru, que puede ser propiedad de tessa88 (Donakov). La cuenta de Gulik01 indica que es un profesional independiente de habla rusa en el campo de la tecnología de la información.
Además, búsquedas adicionales en las bases de datos filtradas revelaron a Maxim Donakov, residente de Penza, nacido el 2 de julio de 1989, que coincide con la información del perfil de usuario de los perfiles de Odnoklassniki mencionados anteriormente y la imagen titulada "tessa88" publicada por el usuario Imgur tarakan72511, que representa lo mismo la persona Nuevamente, todo esto sugiere que tessa88 es realmente Maxim Donakov.
Análisis de la billetera Bitcoin del usuario tessa88Un análisis de las transacciones asociadas con la billetera Bitcoin verificada de tessa88 usando Crystal Blockchain (realizado por el Grupo Insikt) mostró que el pirata informático recibió al menos 168 bitcoins o aproximadamente 90,000 dólares estadounidenses, y la mayoría de los fondos finalmente se lavaron a través de LocalBitcoins, un popular servicio de intercambio entre pares. A pesar de bloquear al hacker en mayo de 2016, continuó usando su billetera Bitcoin hasta agosto de 2017.
Resumen de análisis
Con un alto grado de confianza, el Grupo Insikt califica a tessa88 como uno de los muchos apodos creados por Maxim Donakov para vender bases de datos en foros clandestinos. Además, es probable que Donakov haya estado activo en la red oscura desde al menos 2012, y también haya usado los alias Paranoy777, Daykalif y tarakan72511.
Maxim Donakov, conocido como tessa88, Paranoy777 y DaykalifDonakov Maxim Vladimirovich nació el 2 de julio de 1989, un residente de la Federación de Rusia, que anteriormente vivía en Yaroslavl, y luego se mudó a Penza. El análisis de cuentas de redes sociales y otros recursos del Futuro Registrado confirma los hallazgos del Grupo Insikt.
Según el análisis, los alias tessa88, Paranoy777 y Daykalif se crearon específicamente para la venta de datos comprometidos en la red oscura. Dada la información contradictoria sobre el robo de las bases de datos de las empresas mencionadas, es difícil determinar la estrategia real y los métodos utilizados por los piratas informáticos. Sin embargo, la próxima investigación sobre el caso de Yevgeny Nikulin, relacionada con una fuga de datos en LinkedIn, puede arrojar luz sobre esta historia y llenar los vacíos restantes.
El artículo fue
publicado por Insikt Group el 20 de noviembre de 2018.
Traducción: Denis Gavrilov, Consultor, Centro de seguridad de la información, Jet Infosystems