Wer verkauft Ihre Konten?


    Zu Beginn des Jahres 2016 stellte ein Angreifer, der unter dem Pseudonym tessa88 agierte, eine breite Liste gefährdeter Benutzerdatenbanken für Vkontakte, Mobango, MySpace, Badoo, QIP, Dropbox, Rambler, LinkedIn, Twitter usw. zum Verkauf. Vor kurzem wurden die Angreiferdaten von Spezialisten der Insikt-Gruppe veröffentlicht .

    Hinweis : Um das Profil des Hackers zu beschreiben, alternative Spitznamen zu ermitteln und Kontaktinformationen des Inhabers des Kontos tessa88 zu erhalten, verwendeten Experten der Insikt Group die von Recorded Future bereitgestellten Daten, führten eine OSINT-Untersuchung durch und analysierten zahlreiche Darknet-Ressourcen.

    Übersicht


    Anfang 2016 erschien ein bislang unbekannter Hacker, der unter dem Pseudonym tessa88 fungierte, in der Öffentlichkeit und veröffentlichte eine umfangreiche Liste gefährdeter Datenbanken mit Promi-Daten zum Verkauf. Dies waren die Datenbanken Vkontakte, Mobango, MySpace, Badoo, QIP, Dropbox, Rambler, LinkedIn, Twitter und andere Datenbanken, in denen Hacker-Profile mehrere Monate lang unter aktiver Beteiligung der Hack-Community in fast allen Darknet-Communities blockiert wurden. Im Mai 2016 war tessa88 vollständig aus dem Internet verschwunden. In den folgenden Monaten wurden zahlreiche Versuche unternommen, die Identität des Hackers aufzudecken. Es wurden jedoch keine konkreten Beweise vorgelegt, die eine Verbindung zwischen tessa88 und einer realen Person herstellen.

    Neue Daten deuten darauf hin, dass unter dem Pseudonym tessa88 Maxim Donakov, ein Einwohner von Penza, der verschiedene Profile des Darknet verwendet. Es ist möglich, dass er einen Komplizen hatte, der das Konto tessa88 führte, sich strikt an die Verfahren der OPSEC hielt und bis heute anonym bleibt. In jedem Fall sind die Experten der Insikt-Gruppe davon überzeugt, dass Maxim Donakov aus dem Verkauf kompromittierter Datenbanken einen direkten Nutzen gezogen hat und als Hauptakteur betrachtet werden sollte.

    Wichtige Urteile


    • Die kriminelle Karriere von tessa88 begann wahrscheinlich bereits im Jahr 2012 vor den massiven Datenlecks von LinkedIn, Dropbox, Yahoo und anderen, für die die unter diesem Pseudonym handelnden Hacker verantwortlich sind. Wahrscheinlich wurde das tessa88-Profil speziell für den Verkauf wertvoller Datenbanken erstellt.
    • Analysis Insikt Group, basierend auf den erkannten Bildern einer realen Person, die sich unter dem Spitznamen tessa88 versteckt, und Diskussionen in zahlreichen Foren, lässt uns mit großer Wahrscheinlichkeit zu dem Schluss kommen, dass tessa88 ein Mann und keine Frau ist.
    • Gemäß der Insikt-Gruppe ist das tessa88-Profil mit einer Reihe anderer Konten verbunden: Paranoy777, Daykalif und Tarakan72511. Diese Benutzer stellten ähnliche Fotos in sozialen Netzwerken bereit, die entsprechenden Fotos im Pass von Maxim Donakov, einem jungen Mann, der im Netzwerk unter dem Pseudonym Paranoy777 bekannt ist.
    • Insikt Group berichtet, dass Donakov Maxim Vladimirovich auf dem Territorium der Russischen Föderation lebt.


    Offenlegung der Persönlichkeit Tessa88

    Hintergrund


    Laut Recorded Future verkaufte der Peace_of_Mind-Benutzer, auch als Peace bekannt, die LinkedIn-Datenbank am 16. Mai 2016 auf der nicht mehr vorhandenen Ressource TheRealDeal Market. Laut den Ergebnissen der Untersuchung des Diebstahls von LinkedIn-Datenbanken im Oktober 2016 verhaftete das FBI einen Bürger der Russischen Föderation Jewgenij Nikulin. Er wurde in der Tschechischen Republik verhaftet und später an die Vereinigten Staaten ausgeliefert. Zum jetzigen Zeitpunkt war die Untersuchung noch nicht abgeschlossen und es wurden keine objektiven Beweise für die Verbindung von Nikulin mit Peace_of_Mind vorgelegt.

    Die Motherboard-Edition veröffentlichte Schlussfolgerungen aus einem Interview mit tessa88, das behauptete, ein langjähriges Mitglied der kriminellen Gemeinschaft zu sein, und beschuldigte Peace_of_Mind, Datenbanken gestohlen zu haben, die von tessa88 verkauft wurden. Peace_of_Mind wiederum argumentierte, dass Tessa88 selbst Datenbanken gestohlen habe, um sie im Internet zu verkaufen.

    Laut einem Bericht von InfoArmor handelte es sich bei tessa88 um einen Vermittler, der Konten und persönliche Daten verkaufte, die von einer Gruppe von Hackern namens "Gruppe E" gestohlen wurden. InfoArmor behauptet (Recorded Future bestätigte dies auch), dass tessa88 im Februar 2016 die erste Datenbank zum Verkauf eingestellt hatte. Im Mai 2016 behauptete InfoArmor, dass tessa88 und Peace_of_Mind zugestimmt hätten, zumindest einige der gefährdeten Datenbanken gemeinsam zu nutzen, um die Monetarisierung einer großen Datenmenge zu beschleunigen. Die Beziehung zwischen tessa88 und Peace_of_Mind verschlechterte sich, als andere Mitglieder der Underground-Community behaupteten, die Daten seien unzuverlässig. So bestätigt ein Bericht von InfoArmor die Ergebnisse des Motherboards und erklärt die Feindseligkeit zwischen den beiden Hackern.


    Die Aktivitäten von tessa88, auf Darknet auch Stervasgoa genannt, sind von Februar bis Mai 2016.

    Analyse


    Als Ergebnis der Analyse der Darknet-Ressourcen war es möglich, das tessa88-Profil mit einer Reihe von Konten abzugleichen, einschließlich Jabber (tessa88 @ exploit [.] Im, tessa88 @ xmpp [.] Jp, mrfreeman777 @ xmpp [.] Jp, darksideglobal @ exploit [.] Im. , ICQ 740455 Konto und firetessa @ yahoo E-Mail [.] Com.


    Tessa88 verkauft eine Datenbank mit LinkedIn- und MySpace-Websites in einem derzeit geschlossenen U-Bahn-Forum.

    Am 5. Juli 2016 hat ein Twitter-Nutzer @firetessa berichtet, dass der Jabber-Account tessa88 @ exploit [.] Im, der von tessa88 für den Verkauf in Untergrundforen verwendet wird, ihm gehört.


    Der Tweet-Benutzer @firetessa TraX-

    Benutzer, ein Mitglied der Hacking-Community, sagte, dass tessa88 männlich ist, und veröffentlichte ein potenzielles Foto im Forum. TraX sagte auch, dass tessa88 hinter den jüngsten Hacks und dem späteren Verkauf von LinkedIn, MySpace und Yahoo steckte, und erklärte sogar seine Bereitschaft, diese Informationen mit Reportern zu teilen.


    Geschätztes Foto des Benutzers tessa88

    Während der Ermittlungen auf der Grundlage offener Daten (OSINT) wurde das Konto tarakan7251 (auf Imgur) identifiziert, von dem Screenshots der Diskussionen zu Yahoo und Equifax-Datenlecks, die von HelloWorld- und Ibm33a14-Benutzern implementiert wurden, veröffentlicht wurden. Es ist bemerkenswert, dass Ibm33a14 ein russischsprachiger Hacker ist, der 2017 behauptete, er habe die Originale der Dumps der Datenbanken von Yahoo und Equifax.


    Screenshot des Chats für Yahoo und Equifax

    In demselben Konto von Imgur aus dem Jahr 2017 wurde ein Foto mit dem Titel „tessa88“ veröffentlicht, auf dem ein Mann dargestellt ist, dessen Aussehen der Person ähnelt, die auf dem oben genannten Foto von TraX abgebildet ist.


    Wahrscheinlich user image tessa88

    Alias ​​tarakan72511 wird von Hacker Paranoy777 verwendet, dem der Besitzer des Jabber tarakan72511 @ chatme [.] Ist. Im Konto. Paranoy777 und tessa88 verkauften 2016 gestohlene Datenbanken großer sozialer Netzwerke und IT-Unternehmen.

    Recorded Future fand eine Beschwerde gegen tarakan72511, die feststellte, dass Daykalif ein russischsprachiger Straftäter sei, der mit bekannten Datenbanken gehandelt und Jabber daykalif @ xmpp [.] Jp und tarakan72511 @ chatme [.] Im Accounts verwendet habe- das gleiche Jabber-Konto, das vom Benutzer Paranoy777 verwendet wird, das wiederum dem tarakan72511-Konto zugeordnet ist. Wenn diese Aussage wahr ist, sind die Benutzer von Paranoy777 und Daykalif wahrscheinlich dieselbe Person.


    Eine im unterirdischen Forum gefundene Beschwerde

    User tarakan72511 (auf der Ressource Imgur) teilte Informationen über die Liebe zu Hunden. Der YouTube-Kontenbenutzer Tarakan72511 Donakov hat ein Video gepostet, in dem zwei Personen streunende Hunde füttern. Dies ist ein Hinweis auf ein Profil mit Imgur. Das Video sagt, dass sie sich in Penza befinden. Auto auf Video - Mitsubishi Lancer mit der Registriernummer K652BO 58.


    YouTube-Benutzerprofil Tarakan7251 Donakov.

    Außerdem ist die Guy Fawkes-Maske in der 56. Sekunde des Videos sichtbar. Eine ähnliche Maske wurde als Avatar im YouTube-Profil von Tarakan72511 Donakov verwendet und die Person auf dem Bild, das vom Benutzer TraX geteilt wird, angelegt.


    Guy Fawkes Maske auf YouTube-Videos, YouTube-Benutzeravatar und Trax-Benutzerbild.

    Im Zuge der Untersuchung von OSINT in Bezug auf Donakov (Donakov) aus Penza stellte sich heraus, dass jemand MV Donakov genannt hatte. Er hat in den Städten Yaroslavl und Penza mehrere Straftaten begangen, darunter auch einen Unfall mit einem Mitsubishi Lancer im Jahr 2017. Der in Jaroslawl geborene und nach Penza übersiedelte Bürger Donakov Maxim Vladimirovich wurde in mehreren Artikeln auf sudact.ru erwähnt, die auf die Begehung einer Reihe von Straftaten hinweisen, wonach Herr Donakov in Gewahrsam genommen wurde.

    Basierend auf diesen Aufzeichnungen wurden drei Profile auf der Odnoklassniki-Ressource identifiziert, die alle Maxim Donakov genannt wurden, von denen zwei ihren aktuellen Standort als Yaroslavl und eines als Penza angaben. Das erste Profil in „Odnoklassniki“ gehört einem Mann, der in Jaroslawl lebte und am 2. Juli 1989 geboren wurde. Der letzte Besuch der Website erfolgte durch den Benutzer am 9. September 2013. Das zweite Odnoklassniki-Profil hat denselben Namen und Geburtsdatum wie das vorherige Profil. Das Foto beider Profile zeigt dieselbe Person wie auf dem tarakan72511-Profil in Imgur. Bemerkenswert ist das Bild des Mitsubishi Lancer mit der Statusnummer A 134MK 76. Profilfoto


    von Maxim Donakov in Odnoklassniki

    Die Analyse des zweiten Profils in Odnoklassniki ergab, dass der Hacker mit einem anderen Benutzer, der giftigen Kakerlake, in Verbindung steht, die sich angeblich in Pervomaisk in der Ukraine aufhält. Der Name "Giftschabe" stimmt mit dem tarakan72511-Konto auf Imgur überein, und das Profilbild einer Person ähnelt stark Donakow. Es sollte bemerkt werden, dass Pervomaisk - der wirkliche Geburtsort von Maxim Donakov. In Anbetracht der obigen Tatsachen können wir mit einem hohen Maß an Vertrauen sagen, dass das Profil "Giftschabe" auch zu Maxim Donakov gehört.


    Fotos eines anderen Profils von Maxim Donakov in „Klassenkameraden“

    Vertrauliche Quellen bestätigen, dass Maxim Donakov eine echte Person ist, die am 2. Juli 1989 geboren wurde. Laut SudAct wurde Donakov unter polizeilicher Überwachung freigelassen, wurde jedoch nach einem weiteren Verbrechen im Jahr 2014 inhaftiert. Dies kann die Existenz mehrerer Profile in Odnoklassniki erklären, da Donakov nach seiner Entlassung aus dem Gefängnis möglicherweise ein neues Profil erstellen musste, wenn er die Berechtigungsnachweise seines vorherigen Kontos vergessen hatte.

    Während der OSINT-Untersuchung wurden eine Reihe weiterer Konten identifiziert und die Kontaktinformationen beziehen sich höchstwahrscheinlich auf Donakov (tessa88): das VKontakte-Profil von Maxim Ivanov mit der Telefonnummer +79022222229, die Profile von Vkrugudruzei und Valet.ru, das YouTube-Konto von Maxim Donakov mit der Telefonnummer +17789981919 . Eine offene Websuche nach Maxim Donakov zeigte Gulik01s Profil auf Freelance.ru, das möglicherweise zu tessa88 (Donakov) gehört. In seinem Konto gab Gulik01 an, dass er ein russischsprachiger Freiberufler auf dem Gebiet der Informationstechnologie ist.

    Weitere Recherchen in den durchgesickerten Datenbanken ergaben, dass Maxim Donakov, ein Einwohner von Penza, geboren am 2. Juli 1989, mit den Benutzerprofilinformationen aus den oben genannten Odnoklassniki-Profilen und einem von Imgur tarakan72511 geposteten Bild mit dem Titel "tessa88" übereinstimmt Mann Das alles deutet darauf hin, dass Tessa88 wirklich Maxim Donakov ist.


    Bitcoin Wallet-Benutzeranalyse tessa88

    Transaktionsanalyse im Zusammenhang mit einem bestätigten Bitcoin -Die tessa88-Geldbörse mit der Crystal Blockchain (geleitet von der Insikt-Gruppe) zeigte, dass der Hacker mindestens 168 Bitcoins (ca. 90.000 USD) erhielt und der Großteil der Gelder schließlich durch LocalBitcoins, einen beliebten Peer-to-Peer-Austauschdienst, gewaschen wurde. Obwohl er den Hacker im Mai 2016 blockiert hatte, setzte er seine Bitcoin-Brieftasche bis August 2017 ein.

    Analyseergebnisse


    Die Insikt-Gruppe beurteilt tessa88 mit einem hohen Maß an Vertrauen als einen der vielen Spitznamen, die Maxim Donakov für den Verkauf von Datenbanken in Untergrundforen geschaffen hat. Außerdem ist es wahrscheinlich, dass Donakov seit mindestens 2012 im Darknet aktiv ist und auch die Pseudonyme Paranoy777, Daykalif und Tarakan72511 verwendet hat.


    Maxim Donakov, bekannt als tessa88, Paranoy777 und Daykalif

    Donakov Maxim Vladimirovich wurde am 2. Juli 1989 als Einwohner der Russischen Föderation geboren, die zuvor in Yaroslavl lebte, und zog später nach Penza. Analyse der Konten in sozialen Netzwerken und anderen Ressourcen Recorded Future bestätigt die Ergebnisse der Insikt-Gruppe.

    Der Analyse zufolge wurden die Pseudonyme tessa88, Paranoy777 und Daykalif speziell für den Verkauf gefährdeter Daten im Darknet erstellt. Angesichts der kontroversen Informationen über den Datenbankdiebstahl der oben genannten Unternehmen ist es schwierig, die tatsächliche Strategie und die von Hackern eingesetzten Methoden zu bestimmen. Die anstehende Untersuchung des Falls von Evgeny Nikulin, die mit einem Datenleck auf LinkedIn verbunden ist, kann jedoch Aufschluss über diese Geschichte geben und die verbleibenden Lücken füllen.

    Artikelveröffentlicht von der Insikt Group am 20. November 2018.

    Übersetzung: Denis Gavrilov, Berater des Informationssicherheitszentrums von Jet Infosystems

    Jetzt auch beliebt: