2016年初,使用化名tessa88的攻击者出售了一系列受感染的用户基础,包括Vkontakte,Mobango,Myspace,Badoo,QIP,Dropbox,Rambler,LinkedIn,Twitter等。最近,Insikt Group的专家披露了攻击者的信息。 。
注意 :Insikt Group的专家使用了Recorded Future提供的数据,进行了OSINT调查,并分析了许多Darknet资源来描述黑客个人资料,识别其他昵称并获取属于tessa88帐户持有人的联系信息。
简短评论
2016年初,一个以前不为人知的黑客以化名tessa88的身份行事,首次公开露面,发布了一系列包含名人数据的受感染数据库,以供出售。 这些是Vkontakte,Mobango,Myspace,Badoo,QIP,Dropbox,Rambler,LinkedIn,Twitter等的数据库。在hack社区的积极参与下,几个月以来,几乎所有的Darknet社区都屏蔽了黑客个人资料。 到2016年5月,tessa88从互联网上完全消失了。 在接下来的几个月中,人们进行了许多尝试来揭示黑客的身份。 但是,没有提供任何将tessa88与任何真实人联系起来的具体证据。
新数据表明,在笔名tessa88下,奔萨市居民马克西姆·多纳科夫(Maxim Donakov)在暗网上使用了几种不同的配置文件,可能正在躲藏。 他可能有一个帮凶,他维护了tessa88帐户,严格遵守OPSEC程序,至今仍保持匿名。 无论如何,Insikt Group的专家都认为,Maxim Donakov可以从受损数据库的销售中获得直接收益,应被视为主要参与者。
关键判断
- tessa88的犯罪生涯可能始于2012年,当时LinkedIn,Dropbox,Yahoo等发生了大规模的数据泄露事件,而对此负有责任的是黑客。 大概tessa88配置文件是专门为销售有价值的数据库而创建的。
- 根据发现的隐藏在tessa88昵称下的真实人物图像以及来自众多论坛的讨论,对Insikt Group进行分析,可以得出结论,tessa88是男人而不是女人。
- 根据Insikt Group的资料,tessa88的个人资料与许多其他帐户相关联:Paranoy777,Daykalif和tarakan72511。 这些用户在社交网络上张贴了类似的照片,并在网络上以化名Paranoy777出名的年轻人马克西姆·多纳科夫(Maxim Donakov)的护照上张贴了相应的照片。
- Insikt Group报告说,马克西姆·弗拉基米罗维奇·多纳科夫住在俄罗斯联邦。
身份证明tessa88背景知识
根据Recorded Future的说法,Peace_of_Mind(也称为Peace)于2016年5月16日在现已解散的TheRealDeal市场上出售了LinkedIn。 在2016年10月对LinkedIn数据库的盗窃行为进行调查后,联邦调查局官员逮捕了俄罗斯公民叶夫根尼·尼克林(Yevgeny Nikulin)。 他在捷克共和国被捕,然后被引渡到美国。 在撰写本文时,调查尚未完成,也没有提供将Nikulin与Peace_of_Mind联系起来的客观证据。
母板在对tessa88的一次采访中发表了调查结果,声称是犯罪社区的长期成员,并指控Peace_of_Mind窃取了tessa88出售的数据库。 反过来,Peace_of_Mind声称tessa88本身盗窃了要在Internet上出售的数据库。
根据InfoArmor的报告,tessa88充当中介,出售被一组称为“ Group E”的黑客窃取的帐户和个人数据。 InfoArmor声称(Recorded Future也证实了这一点)tessa88是第一个在2016年2月发布要出售的数据库。 2016年5月,InfoArmor声称tessa88和Peace_of_Mind同意共享至少一些受感染的数据库,以试图加速大量数据的货币化。 由于其他秘密社区成员声称数据不可靠,因此tessa88和Peace_of_Mind之间的关系恶化了。 因此,InfoArmor的一份报告证实了Motherboard的发现,并解释了这两个黑客之间的彻底敌意。
tessa88(也称为暗网上的stervasgoa)的活动是从2016年2月到2016年5月。分析方法
作为暗网资源分析的结果,可以将tessa88配置文件与许多帐户进行比较,包括Jabber(tessa88 @ exploit [。] Im,tessa88 @ xmpp [。] Jp,mrfreeman777 @ xmpp [。] Jp,darksideglobal @ exploit [。] Im) ,ICQ帐户740455和电子邮件地址firetessa @ yahoo [。] com。
Tessa88在当前关闭的地下论坛中出售LinkedIn和MySpace网站数据库。2016年7月5日,Twitter用户@firetessa宣布他拥有tessa88 @ exploit [。] Im Jabber帐户,该帐户被他用来在地下论坛上出售。
由@firetessa发推文黑客社区成员TraX表示tessa88是一名男子,并将涉嫌的照片张贴在论坛上。 TraX还表示,tessa88是最近对LinkedIn,MySpace和Yahoo进行黑客攻击并随后出售的背后,甚至表示愿意与记者分享此信息。
涉嫌tessa88的照片在基于OSINT的调查中,确定了帐户tarakan7251(位于Imgur上),从中发布了有关HelloWorld和Ibm33a14用户实施的Yahoo和Equifax数据泄漏的讨论的屏幕快照。 值得注意的是,Ibm33a14是说俄语的黑客,他于2017年声称拥有Yahoo和Equifax数据库中的转储的原始文档。
关于Yahoo和Equifax的聊天屏幕截图在2017年的同一个Imgur帐户中,发布了一张名为“ tessa88”的照片,该照片描绘了一个外观与TraX发布的上述照片中描绘的人物相似的人。
用户tessa88的可能图像tarakan72511别名由拥有Jabber帐户tarakan72511 @ chatme [。]的黑客Paranoy777使用。 Paranoy777和tessa88都在2016年出售了大型社交网络和IT公司的失窃数据库。
Recorded Future发现了针对tarakan72511的投诉,该投诉称Daykalif是讲俄语的罪犯,他交易知名数据库并使用Jabber
daykalif @ xmpp [。] Jp和
tarakan72511 @ chatme [。]帐户,即同一Jabber帐户由用户Paranoy777使用,该用户又与tarakan72511帐户相关联。 如果这个说法是正确的,那么Paranoy777和Daykalif的用户可能是同一个人。
在地下论坛中发现的投诉用户tarakan72511(在Imgur资源上)分享了对狗的爱的信息。 YouTube帐户Tarakan72511 Donakov的用户上传了一个视频,其中两个人喂养流浪狗,这是对Imgur的个人资料的引用。 视频说他们在奔萨。 视频中的汽车是三菱蓝瑟,注册号为K652BO 58。
YouTube用户个人资料Tarakan7251 Donakov。另外,在视频的56秒处,盖伊·福克斯(Guy Fawkes)遮罩可见。 Tarakan72511 Donakov的YouTube个人资料上使用了类似的面具作为化身,并戴在TraX共享的图片中的人身上。
Guy Fawkes在YouTube视频,YouTube用户头像和Trax用户图像上屏蔽。在OSINT对Penza的Donakov(Donakov)的调查中,结果发现有人以Donakov M.V.的名字命名。 在雅罗斯拉夫尔市(Yaroslavl)和奔萨(Penza)市犯下了几项罪行,包括2017年三菱蓝瑟(Mitsubishi Lancer)参与的一次事故。 在sudact.ru上的几篇文章中都提到了出生于雅罗斯拉夫尔市并搬到奔萨的多纳科夫(Danakov)公民马克西姆·弗拉基米罗维奇(Maxim Vladimirovich),其中提到他犯有多项罪行,此后,多纳科夫(M. Donakov)被拘留。
根据这些记录,在Odnoklassniki资源上显示了三个剖面,所有剖面的名称均为Maxim Donakov,其中两个表示其当前位置为Yaroslavl,另一个表示为Penza。 Odnoklassniki中的第一张个人资料是一个住在雅罗斯拉夫尔的男人,他于1989年7月2日出生。 用户上次访问该网站的时间为2013年9月9日。 第二个Odnoklassniki个人资料与先前的个人资料具有相同的名称和出生日期。 这两张个人资料的照片都显示了与Imgur中tarakan72511的个人资料相同的人。 值得注意的是状态编号为A 134MK 76的三菱持枪骑兵的图像。
Maxim Donakov在Odnoklassniki的档案照片对Odnoklassniki中第二个配置文件的分析表明,该黑客与另一个用户Poisonous Cockroach有关,据称他生活在乌克兰Pervomaisk。 “有毒蟑螂”的名字与伊姆古尔(Imgur)上的tarakan72511帐户吻合,该人的个人资料照片与马克西姆·多纳科夫(Maxim Donakov)极为相似。 值得注意的是,Pervomaisk是Maxim Donakov的真正出生地。 鉴于以上事实,我们可以高度肯定地说“毒蟑螂”的形象也属于马克西姆·多纳科夫。
Maxim Donakov在Odnoklassniki的另一档案的照片机密消息来源证实,马克西姆·多纳科夫(Maxim Donakov)是真实人物,出生于1989年7月2日。 根据SudAct的说法,多纳科夫在警方的监视下被释放,但在2014年再次犯罪后被判入狱。 这可能可以解释Odnoklassniki中存在多个配置文件的情况,因为如果Donakov忘记了先前帐户的凭据,可能会被迫从监狱释放后创建一个新的配置文件。
OSINT调查发现了许多其他与Donakov(tessa88)最相关的帐户和联系信息:VKontakte个人资料Maxim Ivanov的电话号码为+ 79022222229,Vkrugudruzei和Valet.ru个人资料,YouTube帐户Maxim Donakov的电话号码为+17789981919 。 Maxim Donakov进行的开放式网络搜索显示了Freelance.ru上Gulik01的个人资料,该个人资料可能属于tessa88(Donakov)。 Gulik01帐户表明他是信息技术领域的俄语自由职业者。
此外,在泄漏的数据库中进行的其他搜索显示,奔萨市居民马克西姆·多纳科夫(Maxim Donakov)出生于1989年7月2日,与上述Odnoklassniki个人资料中的用户个人资料信息相匹配,并与用户Imgur tarakan72511发布的标题为“ tessa88”的图像相匹配。这个人。 同样,所有这些都表明tessa88实际上是Maxim Donakov。
tessa88用户的比特币钱包分析使用Crystal Blockchain(由Insikt Group进行)对与tessa88验证的比特币钱包相关的交易进行的分析显示,该黑客至少收到了168个比特币(约合90,000美元),并且大部分资金最终都通过了LocalBitcoins进行了洗钱。对等交换服务。 尽管在2016年5月阻止了黑客,但他继续使用自己的比特币钱包直到2017年8月。
分析总结
Insikt Group充满信心地将tessa88评为Maxim Donakov在地下论坛上出售数据库的众多昵称之一。 此外,至少从2012年起,Donakov就有可能活跃在暗网上,并且还使用了别名Paranoy777,Daykalif和tarakan72511。
马克西姆·多纳科夫(Maxim Donakov),被称为tessa88,Paranoy777和Daykalif多纳科夫·马克西姆·弗拉基米罗维奇(Donakov Maxim Vladimirovich)于1989年7月2日出生,俄罗斯联邦居民,先前居住在雅罗斯拉夫尔市,后来移居奔萨。 对社交媒体帐户和其他Recorded Future资源的分析证实了Insikt Group的发现。
根据分析,别名tessa88,Paranoy777和Daykalif是专门为在暗网上出售受损数据而创建的。 鉴于上述公司数据库被盗的信息相互矛盾,因此很难确定黑客使用的真正策略和方法。 但是,即将进行的有关Yevgeny Nikulin案的调查(与LinkedIn上的数据泄漏有关)可以阐明这个故事并填补剩余的空白。
该文章
由 Insikt Group于2018年11月20日发布。
翻译:Denis Gavrilov,Jet信息系统信息安全中心顾问