臭名昭著的黑客tessa88的真实身份揭晓

2018 年 11 月 23 日 黑白之道


由Insikt Group于2018年11月20日


为了创建以下黑客资料,InsiktGroup使用OSINT,Recorded Future数据和暗网分析来识别黑客tessa88使用的联系信息,替代别名和TTP。 


对于主要位于美国和俄罗斯的电子邮件服务提供商,社交媒体和技术公司而言,该黑客个人资料最受关注。


摘要


在2016年初,一名此前不为人知的黑客以tessa88的化名出现在公众面前,他提供了一份大规模的机密数据库待售清单。这名黑客公开出售VKontakte,Mobango,Myspace,Badoo,QIP,Dropbox,Rambler,LinkedIn和Twitter等公司的数据库。在公众面前令人难以置信的活跃了几个月后,该黑客因各种原因被禁止进入几乎所有暗网社区,到2016年5月,tessa88完全停止了与媒体和公众的所有通信。在接下来的几个月里,无数人试图揭开这个黑客的真实身份。然而,没有任何具体的证据表明tessa88与任何真实的个体有关。


新发现有力地表明,tessa88背后的人可能是俄罗斯奔萨(Penza)的马克西姆·多纳科夫(Maksim Donakov),可能是另一个不知名的人在帮助多纳科夫维持tessa88账户,遵守完美的OPSEC程序,直到今天仍然保持匿名。在这两种情况下,我们都坚信马克西姆·多纳科夫已经直接受益于泄露数据库的销售,甚至应该被视为主要的参与者。


关键的判断


tessa88的犯罪生涯很可能早在2012年就开始了,当时LinkedIn,Dropbox,雅虎(Yahoo)以及其他获得证实的公司还未遭到入侵。他们创建了别名tessa88,用来专门出售高知名度的数据库。


我们的分析基于被发现的隐藏在tessa88名字背后的真人图像和地下论坛讨论,使我们能够非常自信地判断tessa88是男人而不是女人。


我们的分析显示,tessa88这个名字与别名Paranoy777,Daykalif和tarakan72511相关联。这些人都分享了类似的社交媒体照片,这些照片几乎与马克西姆·多纳科夫的护照照片一模一样。


我们的研究表明,Donakov,MaksimVladimirovich(Донаков,МаксимВладимирович)是俄罗斯联邦的居民。


揭开tessa88的真实身份


背景

tessa88,又名stervasgoa和jannet93,是一位著名的黑客,参与了2016年2月至5月期间出售多个高知名度的数据库,包括LinkedIn,VKontakte,Facebook,MySpace和Twitter。一些媒体认为这个黑客是一位讲俄语的女性。tessa88只活跃了很短的时间,在此期间他们出售来自LinkedIn,VKontakte,Yahoo,Yandex,Rambler,MySpace,Badoo,QIP和Mobango等网站的数据库。由于其他成员指控tessa88存在欺诈行为,tessa88最终在多个论坛上被禁。


RecordedFuture数据显示,黑客Peace_of_Mind,又名Peace,最早于2016年5月16日就在已经关闭的TheRealDeal市场上出售了一个LinkedIn数据库。LinkedIn漏洞导致FBI于2016年10月逮捕了俄罗斯的Yevgeniy Nikulin(ЕвгенийНикулин)。Nikulin当时在捷克共和国,后来被引渡到美国。俄罗斯政府声称,美国的行动是出于政治动机,为了阻止Nikulin的引渡,俄罗斯政府于2016年11月发布了逮捕令,指控此人已经窃取了3,450美元的网络货币。在撰写报告发布的时候,调查仍在进行中,并且没有明确的证据证明Nikulin与Peace_of_Mind有关。


Motherboard公布了他们在tessa88接受采访时的访谈结果,tessa88声称自己是“地下犯罪组织”的资深成员,并指控Peace_of_Mind窃取了tessa88正在出售的数据库。作为回复,Peace_of_Mind声称tessa88从一个朋友那里窃取了数据库然后在网上销售。


网络安全公司InfoArmor的一份报告称,tessa88充当代理人,出售“GroupE”黑客团队窃取的账户和个人身份信息(PII)。InfoArmor声称,RecordedFuture数据证实,tassa88最早从2016年2月开始销售这些高知名度数据库。2016年5月左右,InfoArmor宣布tessa88和Peace_of_Mind达成协议,双方至少分享一些各自的数据库,以加速两个黑客之间海量数据的货币化。由于地下社区的其他成员声称数据质量很差,tessa88与Peace_of_Mind之间的关系恶化。如果这份报告是准确的,这证实了Motherboard的调查结果,并解释了两个黑客之间直言不讳的敌意。


2016年2月至5月期间,tessa88(又名stervasgoa)在暗网上的活动


威胁情报分析


通过对暗网活动的分析,将tessa88关联到多个聊天和电子邮件帐户,包括Jabber帐户tessa88@exploit.im,tessa88@xmpp.jp,mrfreeman777@xmpp.jp,darksideglobal@exploit.im,ICQ帐号740455,以及电子邮件地址firetessa@yahoo.com。



 tessa88在一个地下论坛上出售来自LinkedIn和MySpace等网站的数据库。该论坛目前已不存在。


 tessa88在地下论坛销售线索中使用的tessa88@exploit.imJabber帐户导致暴露了Twitter帐户@firetessa,该帐户于2016年7月5日发布推文称Jabber帐户tessa88@exploit.im是他们的。


来自Twitter帐户@firetessa的推文声称tessa88@exploit.im是他们的


黑客TraX是地下社区的一名成员,他说tessa88是一名男子,并在一个地下论坛上发布了一张据称是tassa88的照片。TraX还表示,tessa88是最近LinkedIn,MySpace和雅虎等大型入侵的幕后黑手,甚至表示愿意与记者分享这些信息。


TraX在地下论坛上张贴的据称是tessa88的照片


OSINT随后确定了Imgur账户tarakan72511的身份,该账号发布了与黑客HelloWorld和Ibm33a14就Yahoo和Equifax攻击事件进行讨论的截图。值得注意的是,Ibm33a14是一位讲俄语的黑客,他声称自己在2017年的几个网络地下论坛上拥有Yahoo和Equifax数据库的原始数据。


由tarakan72511发布的关于Yahoo和Equifax的讨论的屏幕截图


 同样的Imgur账户还在2017年发布了一张名为“tessa88”的图片,照片上男子的体型和发型与TraX发布的上述图片中描绘的男子相似。


eara88的疑似图片由tarakan72511发布在Imgur上


 tarakan72511是由黑客Paranoy777使用的别名,他使用Jabber帐户tarakan72511@chatme.im。与tessa88一样,Paranoy777在2016年2月至5月期间都是大型社交媒体和科技公司被盗数据库的卖家。


RecordedFuture确认了一份针对tarakan72511的投诉,其中另一名成员声称Daykalif是一名讲俄语的骗子,他正在交易大型数据库并使用Jabber账户daykalif@xmpp.jp和tarakan72511@chatme.im——黑客Paranoy777使用的同样的Jabber帐户,反过来又关联到tarakan72511。如果这种说法属实,那么用户Paranoy777和Daykalif很可能是同一个人。



在一个地下论坛上发现了一个投诉,声称Daykalif使用了Jabber账号daykalif@xmpp.jp和tarakan72511@chatme.im


Imgur账户tarakan72511提供的更多信息显示,该用户显然是一个狂热的爱狗爱好者。OSINT确定了一个类似用户名的YouTube帐户——Tarakan72511 Donakov——他发布了一个视频,显示有人在喂养流浪狗。在视频中,听到一个声音说他们在俄罗斯的奔萨。视频中的车辆是三菱蓝瑟(Mitsubishi Lancer),车牌号为K652BO58。



Tarakan7251 1Donakov的YouTube个人资料


 此外,在56秒的视频中,看到盖伊福克斯面具。在Tarakan72511 Donakov的YouTube个人资料中使用了类似的面具作为头像,在TraX共享的图像上,这个人也戴着面具。


在YouTube视频,YouTube头像和TraX图像中看到的Guy Fawkes面具


从奔萨(Пенза)聚集在马克西姆·多纳科夫(Донаков)上的OSINT透露,一个名叫ДонаковМ.В./Donakov M.V.的人在俄罗斯城市雅罗斯拉夫尔(Yaroslavl)和奔萨(Penza)等城市犯下了多起罪行,其中包括在2017年驾驶三菱Lancer时发生的一起机动车事故。这个人名叫Donakov,Maksim Vladimirovich(Донаков,МаксимВладимирович),最初来自雅罗斯拉夫尔,后来搬到了奔萨,在SudAct的多篇文章中也提到过,他说这个人在事故发生之前曾在狱中度过了几年。SudAct(sudact.ru)是俄罗斯最大的非政府司法记录网站。


根据这些记录,研究人员确定了3份Odnoklassniki社交网站的资料,所有档案的名字都是MaximDonakov,其中两份档案显示他们目前的位置为雅罗斯拉夫尔,另一个列为奔萨。第一个 Odnoklassniki个人资料属于一个居住在雅罗斯拉夫尔并于1989年7月2日出生的人。该用户上次访问该网站是在2013年9月9日。第二个Odnoklassniki个人资料与之前的档案具有相同的名字和出生日期。档案图片和其他图像都描绘了tarakan72511的Imgur图像中看到的同一个人。请注意三菱蓝瑟与车牌А134МК76。


图片来自马克西姆·多纳科夫的Odnoklassniki资料的图片


分析第二个Odnoklassniki个人资料显示,该黑客与另一个用户“ЯдовитыйТаракан”(Yadovitiy Tarakan)有关,据称居住在乌克兰的Pervomaysk。Yadovitiy Tarakan的名字与Imgur账户tarakan72511同义,此人的头像与马克西姆·多纳科夫非常相似。值得一提的是,Pervomaysk是马克西姆·多纳科夫真正的出生地。考虑到上述事实,我们非常自信地判断Yadovitiy Tarakan的简介也属于马克西姆·多纳科夫。 


另一个名为“ЯдовитыйТаракан”的Odnoklassniki个人资料由马克西姆·多纳科夫创建


 此外,机密消息来源证实,马克西姆多纳科夫是1989年7月2日出生的真人。根据SudAct的说法,多纳科夫在警察监督下被释放,但在2014年犯下另一罪行后被监禁。这可能解释了存在多个Odnoklassniki的个人资料,如果马克西姆·多纳科夫忘记了以前帐户的登录凭据,他可能会被迫在从监狱释放后创建一个新的个人资料。


OSINT确定了可能与多纳科夫(tessa88)相关的帐户和联系信息,例如马克西姆·多纳科夫的VKontakte 个人资料,电话号码为+79022222229,Vkrugudruzei和Valet.ru的档案,以及YouTube帐户Maxim Donakov,电话号码为+17789981919。公网上搜索“МаксимДонаков”透露了Freelance.ru上的Gulik01的简介,这可能属于tessa88(多纳科夫)。Gulik01的帐户信息表明他是一个讲俄语的信息技术自由职业者。


此外,在泄露的数据库中进行的额外搜索发现了马克西姆·多纳科夫,他出生于1989年7月2日,是奔萨的居民,匹配了上述Odnoklassniki档案中的用户资料信息和由Imgur用户tarakan72511发布的名为为“tessa88”的图像,该图像描绘了相同的人。所有这些都表明tessa88确实是马克西姆·多纳科夫。


对tessa88确认比特币钱包的分析,大部分资金通过LocalBitcoins进行清洗

 

InsiktGroup通过使用Crystal 区块链分析了与tessa88比特币钱包相关的交易,发现黑客至少收到168比特币,约合90,000美元,而且大部分资金最终都是通过LocalBitcoins洗钱,LocalBitcoins是一种颇受欢迎的p2p交易服务。尽管黑客在2016年5月失踪,但他继续使用他的比特币钱包直到2017年8月。


外貌


InsiktGroup对tessa88的判断非常有信心,认为tassa是马克西姆·多纳科夫(MaksimDonakov)在地下犯罪论坛上出售知名数据库的众多绰号之一。此外,多纳科夫很可能至少从2012年开始在暗网上活跃,并且还使用了别名Paranoy777,Daykalif和tarakan72511。


马克西姆·多纳科夫,又名tessa88,Paranoy777和Daykalif


 MaksimDonakov,全名为MaksimVladimirovich Donakov(МаксимВладимировичДонаков),于1989年7月2日出生。Donakov是俄罗斯联邦居民,曾住在雅罗斯拉夫尔,后来搬到了奔萨。对Recorded Future的社交媒体账户和其他来源的分析进一步证实了我们的发现。


根据所进行的分析,tessa88,Paranoy777和Daykalif这三个名字是为了在暗网上出售盗窃数据而创建的。考虑到上述公司被入侵的信息相互矛盾,很难确定黑客使用的真正策略、技术和程序(TTPs)。然而,针对YevgeniyNikulin的案件的正在进行的调查,与LinkedIn数据泄漏相关,可能会让人民对这件事有所了解,揭示这个故事并填补剩余的空白。


原文链接:

https://www.recordedfuture.com/tessa88-identity-revealed/?from=timeline


文章来源:NOSEC安全信息平台

登录查看更多
0

相关内容

黑客(Hacker,台湾译作「骇客」)广义上指在计算机科学,编程以及设计领域有高度理解力的人。 然而,人们通常对黑客一词的理解都是取其狭义的涵义,即信息安全领域的黑客: 未经许可入侵他人系统并窃取数据信息等的可以视为 黑帽黑客,也可取侩客 cracker 的涵义。
而主要从事安全检测,系统调试,技术研究的安全从业者可称为 白帽黑客
还有一种存在称为「脚本小子」,往往冒充黑客也常被人误认为是「黑客」,其实是利用一些现有的工具或者程序达到入侵或破解等目的,然而其知识储备以及对技术的理解力却完全不符合广义黑客的标准,甚至不及狭义黑客标准。
最新《Deepfakes:创造与检测》2020综述论文,36页pdf
专知会员服务
62+阅读 · 2020年5月15日
【论文】欺骗学习(Learning by Cheating)
专知会员服务
26+阅读 · 2020年1月3日
专知会员服务
36+阅读 · 2019年12月13日
华为和其“公关危机”下的5G发布会
1号机器人网
7+阅读 · 2019年1月27日
差分隐私保护:从入门到脱坑
FreeBuf
17+阅读 · 2018年9月10日
GDPR之风盛行,美、印、巴接连启动数据保护立法
百度公共政策研究院
4+阅读 · 2018年8月29日
2017企业阵亡最全名单公布
小饭桌
6+阅读 · 2018年2月28日
已删除
生物探索
3+阅读 · 2018年2月10日
噩耗再次传来!华为,挺住!
FinTech前哨
4+阅读 · 2018年2月4日
这位程序员为什么要弃用Facebook?
CSDN
5+阅读 · 2017年7月14日
Deflecting Adversarial Attacks
Arxiv
8+阅读 · 2020年2月18日
Arxiv
8+阅读 · 2019年2月15日
Adversarial Metric Attack for Person Re-identification
Arxiv
4+阅读 · 2018年9月6日
Arxiv
5+阅读 · 2018年5月5日
VIP会员
相关VIP内容
相关资讯
华为和其“公关危机”下的5G发布会
1号机器人网
7+阅读 · 2019年1月27日
差分隐私保护:从入门到脱坑
FreeBuf
17+阅读 · 2018年9月10日
GDPR之风盛行,美、印、巴接连启动数据保护立法
百度公共政策研究院
4+阅读 · 2018年8月29日
2017企业阵亡最全名单公布
小饭桌
6+阅读 · 2018年2月28日
已删除
生物探索
3+阅读 · 2018年2月10日
噩耗再次传来!华为,挺住!
FinTech前哨
4+阅读 · 2018年2月4日
这位程序员为什么要弃用Facebook?
CSDN
5+阅读 · 2017年7月14日
Top
微信扫码咨询专知VIP会员