Geekly articles weekly

Qui vend vos comptes?


Début 2016, un attaquant agissant sous le pseudonyme tessa88 a mis en vente une large liste de bases d'utilisateurs compromises de Vkontakte, Mobango, Myspace, Badoo, QIP, Dropbox, Rambler, LinkedIn, Twitter, etc. Récemment, les informations de l'attaquant ont été divulguées par des spécialistes du groupe Insikt. .

Remarque : les spĂ©cialistes du groupe Insikt ont utilisĂ© les donnĂ©es fournies par Recorded Future, menĂ© une enquĂȘte OSINT et analysĂ© de nombreuses ressources darknet pour dĂ©crire le profil de pirate, identifier d'autres surnoms et obtenir les coordonnĂ©es du titulaire du compte tessa88.

BrĂšve revue


Début 2016, un pirate informatique inconnu, agissant sous le pseudonyme de tessa88, est apparu pour la premiÚre fois en public, aprÚs avoir mis en vente une large liste de bases de données compromises contenant des données sur les célébrités. Ce sont les bases de données de Vkontakte, Mobango, Myspace, Badoo, QIP, Dropbox, Rambler, LinkedIn, Twitter, etc. Pendant plusieurs mois, avec la participation active de la communauté hack, les profils de hackers ont été bloqués dans presque toutes les communautés darknet. En mai 2016, tessa88 avait complÚtement disparu d'Internet. Au cours des mois suivants, de nombreuses tentatives ont été faites pour révéler l'identité du pirate. Cependant, aucune preuve spécifique n'a été présentée reliant tessa88 à une personne réelle.

De nouvelles donnĂ©es suggĂšrent que sous le pseudonyme de tessa88, Maxim Donakov, un rĂ©sident de Penza qui a utilisĂ© plusieurs profils diffĂ©rents sur le darknet, pourrait se cacher. Il est possible qu'il ait eu un complice qui a tenu le compte tessa88, respectant strictement les procĂ©dures OPSEC et restant Ă  ce jour anonyme. En tout Ă©tat de cause, les experts du groupe Insikt sont convaincus que Maxim Donakov a directement bĂ©nĂ©ficiĂ© de la vente de bases de donnĂ©es compromises et doit ĂȘtre considĂ©rĂ© comme l'acteur principal.

Jugements clés


  • La carriĂšre criminelle de tessa88 a probablement commencĂ© en 2012, avant les violations massives de donnĂ©es de LinkedIn, Dropbox, Yahoo, etc., dont la responsabilitĂ© incombait aux pirates informatiques agissant sous ce pseudonyme. Probablement, le profil tessa88 a Ă©tĂ© crĂ©Ă© spĂ©cifiquement pour la vente de bases de donnĂ©es prĂ©cieuses.
  • Une analyse du groupe Insikt, basĂ©e sur des images dĂ©couvertes d'une personne rĂ©elle se cachant sous le surnom de tessa88 et des discussions de nombreux forums, permet de conclure que tessa88 est un homme et non une femme.
  • Selon Insikt Group, le profil de tessa88 est liĂ© Ă  un certain nombre d'autres comptes: Paranoy777, Daykalif et tarakan72511. Ces utilisateurs ont postĂ© des photos similaires sur les rĂ©seaux sociaux, les photos correspondantes dans le passeport de Maxim Donakov, un jeune homme connu sur le rĂ©seau sous le pseudonyme Paranoy777.
  • Insikt Group rapporte que Maxim Vladimirovich Donakov vit en FĂ©dĂ©ration de Russie.


Divulgation d'identité tessa88

Contexte


Selon Recorded Future, Peace_of_Mind, Ă©galement connu sous le nom de Peace, a vendu LinkedIn le 16 mai 2016 sur le marchĂ© TheRealDeal, aujourd'hui disparu. À la suite d'une enquĂȘte sur le vol de bases de donnĂ©es LinkedIn en octobre 2016, des agents du FBI ont arrĂȘtĂ© le citoyen russe Yevgeny Nikulin. Il a Ă©tĂ© arrĂȘtĂ© en RĂ©publique tchĂšque puis extradĂ© vers les États-Unis. Au moment d'Ă©crire ces lignes, l'enquĂȘte n'Ă©tait pas encore terminĂ©e et aucune preuve objective liant Nikulin Ă  Peace_of_Mind n'avait Ă©tĂ© fournie.

La carte mĂšre a publiĂ© les rĂ©sultats d'une interview avec tessa88, affirmant ĂȘtre un membre de longue date de la communautĂ© criminelle et accusant Peace_of_Mind d'avoir volĂ© les bases de donnĂ©es vendues par tessa88. Peace_of_Mind, Ă  son tour, a affirmĂ© que tessa88 lui-mĂȘme avait volĂ© des bases de donnĂ©es pour les vendre sur Internet.

Selon le rapport d'InfoArmor, tessa88 a agi comme un intermédiaire qui a vendu des comptes et des données personnelles volées par un groupe de pirates informatiques appelé «Groupe E». InfoArmor affirme (Recorded Future l'a également confirmé) que tessa88 a été le premier à publier une base de données à vendre en février 2016. En mai 2016, InfoArmor a affirmé que tessa88 et Peace_of_Mind avaient convenu de partager au moins certaines des bases de données compromises dans le but probable d'accélérer la monétisation d'une énorme quantité de données. La relation entre tessa88 et Peace_of_Mind s'est détériorée car d'autres membres de communautés clandestines ont affirmé que les données n'étaient pas fiables. Ainsi, un rapport d'InfoArmor confirme les conclusions de Motherboard et explique l'hostilité pure et simple entre les deux pirates.


Les activités de tessa88, également connu sous le nom de stervasgoa sur le darknet, sont de février à mai 2016.

Analyse


À la suite de l'analyse des ressources darknet, il a Ă©tĂ© possible de comparer le profil tessa88 avec un certain nombre de comptes, dont Jabber (tessa88 @ exploit [.] Im, tessa88 @ xmpp [.] Jp, mrfreeman777 @ xmpp [.] Jp, darksideglobal @ exploit [.] Im) , un compte ICQ 740455 et une adresse e-mail firetessa @ yahoo [.] com.


Tessa88 vend des bases de données de sites Web LinkedIn et MySpace dans un forum souterrain qui est actuellement fermé.

Le 5 juillet 2016, l'utilisateur Twitter @firetessa a annoncé qu'il possédait le compte tessa88 @ exploit [.] Im Jabber utilisé par lui pour vendre sur les forums clandestins.


Tweet par @firetessa

TraX, un membre de la communautĂ© des hackers, a dĂ©clarĂ© que tessa88 Ă©tait un homme et a postĂ© la photo prĂ©sumĂ©e sur le forum. TraX a Ă©galement dĂ©clarĂ© que tessa88 Ă©tait Ă  l'origine des hacks rĂ©cents et de la vente ultĂ©rieure de LinkedIn, MySpace et Yahoo, et a mĂȘme exprimĂ© sa volontĂ© de partager ces informations avec les journalistes.


Photo alléguée de tessa88

Une enquĂȘte basĂ©e sur OSINT a identifiĂ© le compte tarakan7251 (sur Imgur) Ă  partir duquel des captures d'Ă©cran des discussions concernant les fuites de donnĂ©es Yahoo et Equifax mises en Ɠuvre par les utilisateurs de HelloWorld et Ibm33a14 ont Ă©tĂ© publiĂ©es. Il est Ă  noter que Ibm33a14 est un pirate informatique russophone qui a affirmĂ© en 2017 qu'il Ă©tait propriĂ©taire des originaux des dĂ©charges des bases de donnĂ©es Yahoo et Equifax.


Capture d'Ă©cran du chat concernant Yahoo et Equifax

Dans le mĂȘme compte Imgur en 2017, une photo a Ă©tĂ© publiĂ©e intitulĂ©e «tessa88», qui reprĂ©sente un homme dont l'apparence est similaire Ă  la personne reprĂ©sentĂ©e sur la photo ci-dessus publiĂ©e par TraX.


Image probable de l'utilisateur tessa88

L'alias tarakan72511 est utilisé par le pirate Paranoy777, qui possÚde le compte Jabber tarakan72511 @ chatme [.] Im. Paranoy777 et tessa88 ont tous deux vendu des bases de données volées de grands réseaux sociaux et de sociétés informatiques en 2016.

Recorded Future a dĂ©couvert une plainte dĂ©posĂ©e contre tarakan72511 dĂ©clarant que Daykalif est un criminel russophone qui a Ă©changĂ© des bases de donnĂ©es bien connues et utilisĂ© les comptes Jabber daykalif @ xmpp [.] Jp et tarakan72511 @ chatme [.], Dans le mĂȘme compte Jabber utilisĂ© par l'utilisateur Paranoy777, qui Ă  son tour est associĂ© au compte tarakan72511. Si cette affirmation est vraie, il est probable que les utilisateurs de Paranoy777 et Daykalif soient la mĂȘme personne.


Plainte découverte dans le forum souterrain

L'utilisateur tarakan72511 (sur la ressource Imgur) a partagé des informations sur l'amour pour les chiens. L'utilisateur du compte YouTube Tarakan72511 Donakov a mis en ligne une vidéo dans laquelle deux personnes nourrissent des chiens errants, qui fait référence au profil avec Imgur. La vidéo dit qu'ils sont à Penza. La voiture sur la vidéo est une Mitsubishi Lancer portant le numéro d'immatriculation K652BO 58.


Profil utilisateur YouTube Tarakan7251 Donakov.

De plus, à 56 secondes de la vidéo, le masque de Guy Fawkes est visible. Un masque similaire a été utilisé comme avatar sur le profil YouTube de Tarakan72511 Donakov et a également été porté sur la personne dans l'image partagée par TraX.


Masque de Guy Fawkes sur la vidéo YouTube, l'avatar utilisateur YouTube et l'image utilisateur Trax.

Au cours de l'enquĂȘte OSINT contre Donakov (Donakov) de Penza, il s'est avĂ©rĂ© que quelqu'un sous le nom de Donakov M.V. a commis plusieurs crimes dans les villes de Yaroslavl et Penza, dont un accident survenu avec la participation d'une Mitsubishi Lancer en 2017. Le citoyen Donakov Maxim Vladimirovich, qui est nĂ© Ă  Yaroslavl et a dĂ©mĂ©nagĂ© Ă  Penza, a Ă©tĂ© notĂ© dans plusieurs articles sur sudact.ru, qui se rĂ©fĂšre Ă  sa commission d'un certain nombre de crimes, aprĂšs quoi M. Donakov a Ă©tĂ© envoyĂ© en dĂ©tention.

Sur la base de ces enregistrements, trois profils ont Ă©tĂ© identifiĂ©s sur la ressource Odnoklassniki, tous avec le nom de Maxim Donakov, dont deux indiquaient leur emplacement actuel comme Yaroslavl et un comme Penza. Le premier profil Ă  Odnoklassniki appartient Ă  un homme qui vivait Ă  Yaroslavl et est nĂ© le 2 juillet 1989. La derniĂšre fois que l'utilisateur a visitĂ© le site, le 9 septembre 2013. Le deuxiĂšme profil Odnoklassniki a le mĂȘme nom et la mĂȘme date de naissance que le profil prĂ©cĂ©dent. La photo des deux profils montre la mĂȘme personne que sur le profil de tarakan72511 Ă  Imgur. L'image de la Mitsubishi Lancer avec le numĂ©ro d'Ă©tat A 134MK 76 est remarquable.


Photo de profil de Maxim Donakov Ă  Odnoklassniki

L'analyse du deuxiÚme profil à Odnoklassniki a montré que le pirate informatique était connecté à un autre utilisateur, Poisonous Cockroach, qui vivrait à Pervomaisk, en Ukraine. Le nom "cafard vénéneux" est conforme au compte tarakan72511 sur Imgur, et la photo de profil de la personne ressemble étroitement à Maxim Donakov. Il convient de noter que Pervomaisk est le véritable lieu de naissance de Maxim Donakov. Compte tenu des faits ci-dessus, avec un haut degré de confiance, nous pouvons dire que le profil de "Poison Cockroach" appartient également à Maxim Donakov.


Photo d'un autre profil de Maxim Donakov Ă  Odnoklassniki

Des sources confidentielles ont confirmé que Maxim Donakov est une personne réelle, née le 2 juillet 1989. Selon SudAct, Donakov a été libéré sous surveillance policiÚre, mais a ensuite été emprisonné aprÚs avoir commis un autre crime en 2014. Cela peut expliquer l'existence de plusieurs profils à Odnoklassniki, car Donakov peut avoir été contraint de créer un nouveau profil aprÚs sa libération de prison s'il avait oublié les informations d'identification de son compte précédent.

L'enquĂȘte OSINT a rĂ©vĂ©lĂ© un certain nombre d'autres comptes et informations de contact probablement liĂ©s Ă  Donakov (tessa88): profil VKontakte Maxim Ivanov avec numĂ©ro de tĂ©lĂ©phone +79022222229, profils Vkrugudruzei et Valet.ru, compte YouTube Maxim Donakov avec numĂ©ro de tĂ©lĂ©phone +17789981919 . Une recherche ouverte sur le Web par Maxim Donakov a rĂ©vĂ©lĂ© le profil de Gulik01 sur Freelance.ru, qui peut appartenir Ă  tessa88 (Donakov). Le compte Gulik01 indique qu'il est un pigiste russophone dans le domaine des technologies de l'information.

De plus, des recherches supplĂ©mentaires dans les bases de donnĂ©es divulguĂ©es ont rĂ©vĂ©lĂ© Maxim Donakov, un rĂ©sident de Penza, nĂ© le 2 juillet 1989, correspondant aux informations de profil utilisateur des profils Odnoklassniki susmentionnĂ©s et Ă  l'image intitulĂ©e «tessa88» publiĂ©e par l'utilisateur Imgur tarakan72511, qui dĂ©peint le mĂȘme la personne. Encore une fois, tout cela suggĂšre que tessa88 est vraiment Maxim Donakov.


Analyse du portefeuille Bitcoin de l'utilisateur de Tessa88

Une analyse des transactions associées au portefeuille Bitcoin vérifié tessa88 utilisant Crystal Blockchain (menée par le groupe Insikt) a montré que le pirate avait reçu au moins 168 bitcoins ou environ 90 000 dollars américains, et la plupart des fonds ont finalement été blanchis via LocalBitcoins, un populaire service d'échange poste à poste. Malgré le blocage du pirate en mai 2016, il a continué à utiliser son portefeuille Bitcoin jusqu'en août 2017.

Résumé de l'analyse


Avec un degré de confiance élevé, le groupe Insikt classe tessa88 comme l'un des nombreux surnoms créés par Maxim Donakov pour vendre des bases de données sur des forums clandestins. En outre, il est probable que Donakov soit actif sur le darknet depuis au moins 2012 et ait également utilisé les alias Paranoy777, Daykalif et tarakan72511.


Maxim Donakov, dit tessa88, Paranoy777 et Daykalif

Donakov Maxim Vladimirovich est né le 2 juillet 1989, un résident de la Fédération de Russie, qui vivait auparavant à Yaroslavl, et a ensuite déménagé à Penza. L'analyse des comptes de médias sociaux et d'autres ressources Recorded Future confirme les conclusions du groupe Insikt.

Selon l'analyse, les alias tessa88, Paranoy777 et Daykalif ont Ă©tĂ© crĂ©Ă©s spĂ©cifiquement pour la vente de donnĂ©es compromises sur le darknet. Compte tenu des informations contradictoires concernant le vol des bases de donnĂ©es des sociĂ©tĂ©s ci-dessus, il est difficile de dĂ©terminer la vĂ©ritable stratĂ©gie et les mĂ©thodes utilisĂ©es par les pirates. Cependant, l'enquĂȘte Ă  venir sur le cas d'Evgeny Nikulin, liĂ©e Ă  une fuite de donnĂ©es sur LinkedIn, peut Ă©clairer cette histoire et combler les lacunes restantes.

L'article a été publié par Insikt Group le 20 novembre 2018.

Traduction: Denis Gavrilov, consultant, Centre de sécurité informatique, Jet Infosystems

Source: https://habr.com/ru/post/fr431450/

More articles:


All Articles