Siapa yang menjual akun Anda?

Pada awal 2016, seorang penyerang yang bertindak dengan nama samaran tessa88 memasang untuk dijual daftar lengkap basis pengguna yang dikompromikan dari Vkontakte, Mobango, Myspace, Badoo, QIP, Dropbox, Rambler, LinkedIn, Twitter, dll. Baru-baru ini, informasi penyerang diungkapkan oleh spesialis Grup Insikt. .

Catatan : Spesialis Grup Insikt menggunakan data yang disediakan oleh Recorded Future, melakukan penyelidikan OSINT, dan menganalisis berbagai sumber daya darknet untuk menggambarkan profil peretas, mengidentifikasi nama panggilan alternatif, dan mendapatkan informasi kontak milik pemegang akun tessa88.

Ulasan singkat

Pada awal 2016, seorang peretas yang sebelumnya tidak dikenal, bertindak di bawah nama samaran tessa88, pertama kali muncul di depan umum, setelah memposting untuk menjual daftar lengkap dari database yang mengandung data selebritas. Ini adalah basis data Vkontakte, Mobango, Myspace, Badoo, QIP, Dropbox, Rambler, LinkedIn, Twitter, dll. Selama beberapa bulan, dengan partisipasi aktif dari komunitas peretasan, profil peretas diblokir di hampir semua komunitas darknet. Pada Mei 2016, tessa88 benar-benar menghilang dari Internet. Pada bulan-bulan berikutnya, berbagai upaya dilakukan untuk mengungkap identitas peretas. Namun, tidak ada bukti spesifik yang disajikan yang menghubungkan tessa88 dengan orang sungguhan.

Data baru menunjukkan bahwa dengan nama samaran tessa88 Maxim Donakov, seorang penduduk Penza yang menggunakan beberapa profil berbeda di darknet, mungkin bersembunyi. Ada kemungkinan bahwa ia memiliki kaki tangan yang mempertahankan akun tessa88, secara ketat mematuhi prosedur OPSEC dan hingga hari ini tetap anonim. Bagaimanapun, para ahli Insikt Group yakin bahwa Maxim Donakov menerima manfaat langsung dari penjualan database yang dikompromikan dan harus dianggap sebagai aktor utama.

Penilaian Utama

• Karier kriminal tessa88 mungkin dimulai pada tahun 2012, sebelum pelanggaran data besar-besaran dari LinkedIn, Dropbox, Yahoo, dan lainnya, tanggung jawab yang diberikan kepada peretas yang bertindak dengan nama samaran ini. Mungkin, profil tessa88 dibuat khusus untuk penjualan basis data berharga.
• Sebuah analisis dari Insikt Group, berdasarkan gambar-gambar yang ditemukan dari orang sungguhan yang bersembunyi di bawah julukan tessa88 dan diskusi dari berbagai forum, memungkinkan untuk menyimpulkan bahwa tessa88 adalah pria dan bukan wanita.
• Menurut Insikt Group, profil tessa88 ditautkan ke sejumlah akun lain: Paranoy777, Daykalif, dan tarakan72511. Pengguna ini memposting foto serupa di jejaring sosial, foto yang sesuai di paspor Maxim Donakov, seorang pria muda yang dikenal di jaringan dengan nama samaran Paranoy777.
• Insikt Group melaporkan bahwa Maxim Vladimirovich Donakov tinggal di Federasi Rusia.

Pengungkapan identitas tessa88

Latar belakang

Menurut Recorded Future, Peace_of_Mind, juga dikenal sebagai Peace, menjual LinkedIn pada 16 Mei 2016 di Pasar TheRealDeal yang sekarang sudah tidak aktif. Menyusul investigasi terhadap pencurian basis data LinkedIn pada Oktober 2016, petugas FBI menangkap warga negara Rusia Yevgeny Nikulin. Dia ditangkap di Republik Ceko dan kemudian diekstradisi ke Amerika Serikat. Pada saat penulisan ini, investigasi belum selesai dan tidak ada bukti objektif yang menghubungkan Nikulin dengan Peace_of_Mind telah disediakan.

Motherboard menerbitkan temuan dari sebuah wawancara dengan tessa88, mengklaim sebagai anggota lama komunitas kriminal, dan menuduh Peace_of_Mind mencuri database yang dijual tessa88. Peace_of_Mind, pada gilirannya, mengklaim bahwa tessa88 sendiri mencuri database untuk dijual di Internet.

Menurut laporan InfoArmor, tessa88 bertindak sebagai perantara yang menjual akun dan data pribadi yang dicuri oleh sekelompok peretas yang disebut "Grup E". Klaim InfoArmor (Recorded Future juga mengkonfirmasi ini) bahwa tessa88 adalah yang pertama merilis database untuk dijual pada Februari 2016. Pada Mei 2016, InfoArmor mengklaim bahwa tessa88 dan Peace_of_Mind setuju untuk berbagi setidaknya beberapa database yang dikompromikan dalam upaya untuk mempercepat monetisasi sejumlah besar data. Hubungan antara tessa88 dan Peace_of_Mind memburuk ketika anggota komunitas klandestin lainnya mengklaim data itu tidak dapat diandalkan. Dengan demikian, laporan dari InfoArmor mengkonfirmasi temuan Motherboard dan menjelaskan permusuhan langsung antara kedua peretas tersebut.


Kegiatan tessa88, juga dikenal sebagai stervasgoa di darknet, adalah dari Februari hingga Mei 2016.

Analisis

Sebagai hasil dari analisis sumber daya darknet, dimungkinkan untuk membandingkan profil tessa88 dengan sejumlah akun, termasuk Jabber (tessa88 @ exploit [.] Im, tessa88 @ xmpp [.] Jp, mrfreeman777 @ xmpp [.] Jp, darksideglobal @ exploit [.] Im) , akun ICQ 740455 dan alamat email firetessa @ yahoo [.] com.


Tessa88 menjual database situs web LinkedIn dan MySpace di forum bawah tanah yang saat ini ditutup.

Pada 5 Juli 2016, pengguna Twitter @firetessa mengumumkan bahwa ia memiliki akun tessa88 @ exploit [.] Im Jabber yang digunakan olehnya untuk dijual di forum bawah tanah.


Tweet oleh @firetessa

TraX, anggota komunitas peretasan, mengatakan tessa88 adalah seorang pria dan memposting foto yang diduga di forum. TraX juga menyatakan bahwa tessa88 berada di balik peretasan baru-baru ini dan penjualan LinkedIn, MySpace dan Yahoo, dan bahkan telah menyatakan kesediaannya untuk berbagi informasi ini dengan wartawan.


Dugaan foto tessa88

Investigasi berbasis OSINT mengidentifikasi akun tarakan7251 (di Imgur) dari mana screenshot diskusi mengenai kebocoran data Yahoo dan Equifax dilaksanakan oleh pengguna HelloWorld dan Ibm33a14. Patut dicatat bahwa Ibm33a14 adalah peretas yang berbahasa Rusia yang mengklaim pada 2017 bahwa ia memiliki dokumen asli dump dari database Yahoo dan Equifax.


Tangkapan layar obrolan tentang Yahoo dan Equifax

Dalam akun Imgur yang sama pada tahun 2017, sebuah foto diterbitkan berjudul "tessa88", yang menggambarkan seorang pria yang penampilannya mirip dengan orang yang digambarkan dalam foto di atas yang diposting oleh TraX.


Kemungkinan gambar pengguna tessa88

Alias ​​tarakan72511 digunakan oleh peretas Paranoy777, yang memiliki akun Jabber tarakan72511 @ chatme [.] Im. Paranoy777 dan tessa88 keduanya menjual database curian dari jejaring sosial besar dan perusahaan IT pada tahun 2016.

Recorded Future menemukan keluhan yang diajukan terhadap tarakan72511 yang menyatakan bahwa Daykalif adalah penjahat berbahasa Rusia yang memperdagangkan basis data terkenal dan menggunakan Jabber daykalif @ xmpp [.] Jp dan akun tarakan72511 @ chatme [.], Juga akun Jabber yang sama digunakan oleh pengguna Paranoy777, yang pada gilirannya dikaitkan dengan akun tarakan72511. Jika pernyataan ini benar, maka kemungkinan besar pengguna Paranoy777 dan Daykalif adalah orang yang sama.


Keluhan ditemukan di forum bawah tanah

Pengguna tarakan72511 (di sumber Imgur) berbagi informasi tentang cinta untuk anjing. Pengguna akun YouTube Tarakan72511 Donakov mengunggah video di mana dua orang memberi makan anjing liar, yang merupakan referensi ke profil dengan Imgur. Video itu mengatakan bahwa mereka berada di Penza. Mobil di video adalah Mitsubishi Lancer dengan nomor registrasi K652BO 58.


Profil Pengguna YouTube Tarakan7251 Donakov.

Selain itu, pada 56 detik video, topeng Guy Fawkes terlihat. Topeng serupa digunakan sebagai avatar di profil YouTube Tarakan72511 Donakov, dan juga dikenakan pada orang di gambar yang dibagikan oleh TraX.


Guy Fawkes menutupi video YouTube, avatar pengguna YouTube, dan gambar pengguna Trax.

Selama penyelidikan OSINT terhadap Donakov (Donakov) dari Penza, ternyata seseorang dengan nama Donakov M.V. melakukan beberapa kejahatan di kota Yaroslavl dan Penza, termasuk kecelakaan yang terjadi dengan keikutsertaan Mitsubishi Lancer pada 2017. Warga Donakov Maxim Vladimirovich, yang lahir di Yaroslavl dan pindah ke Penza, dicatat dalam beberapa artikel tentang sudact.ru, yang merujuk pada komisi sejumlah kejahatan, setelah itu M. Donakov dikirim ke tahanan.

Berdasarkan catatan-catatan ini, tiga profil diidentifikasi pada sumber daya Odnoklassniki, semuanya dengan nama Maxim Donakov, dua di antaranya menunjukkan lokasi mereka saat ini sebagai Yaroslavl, dan satu sebagai Penza. Profil pertama di Odnoklassniki adalah milik seorang pria yang tinggal di Yaroslavl dan lahir pada 2 Juli 1989. Terakhir kali pengguna mengunjungi situs pada 9 September 2013. Profil Odnoklassniki kedua memiliki nama dan tanggal lahir yang sama dengan profil sebelumnya. Foto kedua profil menunjukkan orang yang sama seperti pada profil tarakan72511 di Imgur. Gambar Mitsubishi Lancer dengan nomor negara A 134MK 76 patut dicatat.


Foto profil Maxim Donakov di Odnoklassniki

Analisis profil kedua di Odnoklassniki menunjukkan bahwa peretas terhubung ke pengguna lain, Poisonous Cockroach, yang diduga tinggal di Pervomaisk, Ukraina. Nama "Kecoa beracun" sesuai dengan akun tarakan72511 di Imgur, dan foto profil orang tersebut sangat mirip dengan Maxim Donakov. Perlu dicatat bahwa Pervomaisk adalah tempat kelahiran Maxim Donakov yang sebenarnya. Mengingat fakta-fakta di atas, dengan tingkat kepercayaan yang tinggi kita dapat mengatakan bahwa profil "Poison Cockroach" juga milik Maxim Donakov.


Foto profil lain dari Maxim Donakov di Odnoklassniki

Sumber rahasia telah mengkonfirmasi bahwa Maxim Donakov adalah orang sungguhan, lahir 2 Juli 1989. Menurut SudAct, Donakov dibebaskan di bawah pengawasan polisi, tetapi kemudian dipenjara setelah melakukan kejahatan lain pada tahun 2014. Ini mungkin menjelaskan keberadaan beberapa profil di Odnoklassniki, karena Donakov mungkin terpaksa membuat profil baru setelah dibebaskan dari penjara jika dia lupa kredensial untuk akun sebelumnya.

Investigasi OSINT mengungkapkan sejumlah akun lain dan informasi kontak yang paling mungkin terkait dengan Donakov (tessa88): Profil VKontakte Maxim Ivanov dengan nomor telepon +79022222229, profil Vkrugudruzei dan Valet.ru, akun YouTube Maxim Donakov dengan nomor telepon +17789981919 . Pencarian web terbuka oleh Maxim Donakov mengungkapkan profil Gulik01 di Freelance.ru, yang mungkin dimiliki oleh tessa88 (Donakov). Akun Gulik01 menunjukkan bahwa ia adalah pekerja lepas berbahasa Rusia di bidang teknologi informasi.

Selain itu, pencarian tambahan dalam database yang bocor mengungkapkan Maxim Donakov, seorang penduduk Penza, lahir 2 Juli 1989, yang mencocokkan informasi profil pengguna dari profil Odnoklassniki yang disebutkan sebelumnya dan gambar berjudul "tessa88" yang diposting oleh pengguna Imgur tarakan72511, yang menggambarkan hal yang sama orangnya. Sekali lagi, semua ini menunjukkan bahwa tessa88 benar-benar Maxim Donakov.


Analisis dompet Bitcoin pengguna tessa88

Analisis transaksi yang terkait dengan dompet Bitcoin terverifikasi tessa88 menggunakan Crystal Blockchain (dilakukan oleh Insikt Group) menunjukkan bahwa peretas menerima setidaknya 168 bitcoin atau sekitar 90.000 dolar AS, dan sebagian besar dana akhirnya dicuci melalui LocalBitcoins, yang populer layanan pertukaran peer-to-peer. Meskipun memblokir hacker pada Mei 2016, ia terus menggunakan dompet Bitcoin-nya hingga Agustus 2017.

Ringkasan Analisis

Dengan tingkat kepercayaan yang tinggi, Grup Insikt menilai tessa88 sebagai salah satu dari banyak nama panggilan yang dibuat oleh Maxim Donakov untuk menjual basis data di forum bawah tanah. Selain itu, ada kemungkinan bahwa Donakov telah aktif di darknet sejak setidaknya 2012, dan juga menggunakan alias Paranoy777, Daykalif, dan tarakan72511.


Maxim Donakov, dikenal sebagai tessa88, Paranoy777 dan Daykalif

Donakov Maxim Vladimirovich lahir pada 2 Juli 1989, penduduk Federasi Rusia, yang sebelumnya tinggal di Yaroslavl, dan kemudian pindah ke Penza. Analisis akun media sosial dan sumber daya Masa Depan Rekaman lainnya mengkonfirmasi temuan Grup Insikt.

Menurut analisis, alias tessa88, Paranoy777 dan Daykalif dibuat khusus untuk penjualan data yang dikompromikan di darknet. Mengingat informasi yang saling bertentangan tentang pencurian database perusahaan-perusahaan di atas, sulit untuk menentukan strategi dan metode nyata yang digunakan oleh peretas. Namun, investigasi yang akan datang dalam kasus Yevgeny Nikulin, terkait dengan kebocoran data di LinkedIn, dapat menjelaskan kisah ini dan mengisi kekosongan yang tersisa.

Artikel ini diterbitkan oleh Insikt Group pada 20 November 2018.

Terjemahan: Denis Gavrilov, Konsultan, Pusat Keamanan Informasi, Jet Infosystems