由Insikt Group于2018年11月20日

為了創(chuàng)建以下黑客資料，InsiktGroup使用OSINT，Recorded Future數(shù)據(jù)和暗網分析來識別黑客tessa88使用的聯(lián)系信息，替代別名和TTP。?

對于主要位于美國和俄羅斯的電子郵件服務提供商，社交媒體和技術公司而言，該黑客個人資料最受關注。

摘要

在2016年初，一名此前不為人知的黑客以tessa88的化名出現(xiàn)在公眾面前，他提供了一份大規(guī)模的機密數(shù)據(jù)庫待售清單。這名黑客公開出售VKontakte，Mobango，Myspace，Badoo，QIP，Dropbox，Rambler，LinkedIn和Twitter等公司的數(shù)據(jù)庫。在公眾面前令人難以置信的活躍了幾個月后，該黑客因各種原因被禁止進入幾乎所有暗網社區(qū)，到2016年5月，tessa88完全停止了與媒體和公眾的所有通信。在接下來的幾個月里，無數(shù)人試圖揭開這個黑客的真實身份。然而，沒有任何具體的證據(jù)表明tessa88與任何真實的個體有關。

新發(fā)現(xiàn)有力地表明，tessa88背后的人可能是俄羅斯奔薩（Penza）的馬克西姆·多納科夫（Maksim Donakov），可能是另一個不知名的人在幫助多納科夫維持tessa88賬戶，遵守完美的OPSEC程序，直到今天仍然保持匿名。在這兩種情況下，我們都堅信馬克西姆·多納科夫已經直接受益于泄露數(shù)據(jù)庫的銷售，甚至應該被視為主要的參與者。

關鍵的判斷

tessa88的犯罪生涯很可能早在2012年就開始了，當時LinkedIn，Dropbox，雅虎（Yahoo）以及其他獲得證實的公司還未遭到入侵。他們創(chuàng)建了別名tessa88，用來專門出售高知名度的數(shù)據(jù)庫。

我們的分析基于被發(fā)現(xiàn)的隱藏在tessa88名字背后的真人圖像和地下論壇討論，使我們能夠非常自信地判斷tessa88是男人而不是女人。

我們的分析顯示，tessa88這個名字與別名Paranoy777，Daykalif和tarakan72511相關聯(lián)。這些人都分享了類似的社交媒體照片，這些照片幾乎與馬克西姆·多納科夫的護照照片一模一樣。

我們的研究表明，Donakov,MaksimVladimirovich（Донаков,МаксимВладимирович）是俄羅斯聯(lián)邦的居民。

揭開tessa88的真實身份

背景

tessa88，又名stervasgoa和jannet93，是一位著名的黑客，參與了2016年2月至5月期間出售多個高知名度的數(shù)據(jù)庫，包括LinkedIn，VKontakte，F(xiàn)acebook，MySpace和Twitter。一些媒體認為這個黑客是一位講俄語的女性。tessa88只活躍了很短的時間，在此期間他們出售來自LinkedIn，VKontakte，Yahoo，Yandex，Rambler，MySpace，Badoo，QIP和Mobango等網站的數(shù)據(jù)庫。由于其他成員指控tessa88存在欺詐行為，tessa88最終在多個論壇上被禁。

RecordedFuture數(shù)據(jù)顯示，黑客Peace_of_Mind，又名Peace，最早于2016年5月16日就在已經關閉的TheRealDeal市場上出售了一個LinkedIn數(shù)據(jù)庫。LinkedIn漏洞導致FBI于2016年10月逮捕了俄羅斯的Yevgeniy Nikulin（ЕвгенийНикулин）。Nikulin當時在捷克共和國，后來被引渡到美國。俄羅斯政府聲稱，美國的行動是出于政治動機，為了阻止Nikulin的引渡，俄羅斯政府于2016年11月發(fā)布了逮捕令，指控此人已經竊取了3,450美元的網絡貨幣。在撰寫報告發(fā)布的時候，調查仍在進行中，并且沒有明確的證據(jù)證明Nikulin與Peace_of_Mind有關。

Motherboard公布了他們在tessa88接受采訪時的訪談結果，tessa88聲稱自己是“地下犯罪組織”的資深成員，并指控Peace_of_Mind竊取了tessa88正在出售的數(shù)據(jù)庫。作為回復，Peace_of_Mind聲稱tessa88從一個朋友那里竊取了數(shù)據(jù)庫然后在網上銷售。

網絡安全公司InfoArmor的一份報告稱，tessa88充當代理人，出售“GroupE”黑客團隊竊取的賬戶和個人身份信息（PII）。InfoArmor聲稱，RecordedFuture數(shù)據(jù)證實，tassa88最早從2016年2月開始銷售這些高知名度數(shù)據(jù)庫。2016年5月左右，InfoArmor宣布tessa88和Peace_of_Mind達成協(xié)議，雙方至少分享一些各自的數(shù)據(jù)庫，以加速兩個黑客之間海量數(shù)據(jù)的貨幣化。由于地下社區(qū)的其他成員聲稱數(shù)據(jù)質量很差，tessa88與Peace_of_Mind之間的關系惡化。如果這份報告是準確的，這證實了Motherboard的調查結果，并解釋了兩個黑客之間直言不諱的敵意。

2016年2月至5月期間，tessa88（又名stervasgoa）在暗網上的活動??

威脅情報分析

通過對暗網活動的分析，將tessa88關聯(lián)到多個聊天和電子郵件帳戶，包括Jabber帳戶tessa88@exploit.im，tessa88@xmpp.jp，mrfreeman777@xmpp.jp，darksideglobal@exploit.im，ICQ帳號740455，以及電子郵件地址firetessa@yahoo.com。

?tessa88在一個地下論壇上出售來自LinkedIn和MySpace等網站的數(shù)據(jù)庫。該論壇目前已不存在。?

?tessa88在地下論壇銷售線索中使用的tessa88@exploit.imJabber帳戶導致暴露了Twitter帳戶@firetessa，該帳戶于2016年7月5日發(fā)布推文稱Jabber帳戶tessa88@exploit.im是他們的。

來自Twitter帳戶@firetessa的推文聲稱tessa88@exploit.im是他們的??

黑客TraX是地下社區(qū)的一名成員，他說tessa88是一名男子，并在一個地下論壇上發(fā)布了一張據(jù)稱是tassa88的照片。TraX還表示，tessa88是最近LinkedIn，MySpace和雅虎等大型入侵的幕后黑手，甚至表示愿意與記者分享這些信息。

TraX在地下論壇上張貼的據(jù)稱是tessa88的照片??

OSINT隨后確定了Imgur賬戶tarakan72511的身份，該賬號發(fā)布了與黑客HelloWorld和Ibm33a14就Yahoo和Equifax攻擊事件進行討論的截圖。值得注意的是，Ibm33a14是一位講俄語的黑客，他聲稱自己在2017年的幾個網絡地下論壇上擁有Yahoo和Equifax數(shù)據(jù)庫的原始數(shù)據(jù)。

由tarakan72511發(fā)布的關于Yahoo和Equifax的討論的屏幕截圖

?同樣的Imgur賬戶還在2017年發(fā)布了一張名為“tessa88”的圖片，照片上男子的體型和發(fā)型與TraX發(fā)布的上述圖片中描繪的男子相似。

teara88的疑似圖片由tarakan72511發(fā)布在Imgur上??

?tarakan72511是由黑客Paranoy777使用的別名，他使用Jabber帳戶tarakan72511@chatme.im。與tessa88一樣，Paranoy777在2016年2月至5月期間都是大型社交媒體和科技公司被盜數(shù)據(jù)庫的賣家。

RecordedFuture確認了一份針對tarakan72511的投訴，其中另一名成員聲稱Daykalif是一名講俄語的騙子，他正在交易大型數(shù)據(jù)庫并使用Jabber賬戶daykalif@xmpp.jp和tarakan72511@chatme.im——黑客Paranoy777使用的同樣的Jabber帳戶，反過來又關聯(lián)到tarakan72511。如果這種說法屬實，那么用戶Paranoy777和Daykalif很可能是同一個人。

在一個地下論壇上發(fā)現(xiàn)了一個投訴，聲稱Daykalif使用了Jabber賬號daykalif@xmpp.jp和tarakan72511@chatme.im??

Imgur賬戶tarakan72511提供的更多信息顯示，該用戶顯然是一個狂熱的愛狗愛好者。OSINT確定了一個類似用戶名的YouTube帳戶——Tarakan72511 Donakov——他發(fā)布了一個視頻，顯示有人在喂養(yǎng)流浪狗。在視頻中，聽到一個聲音說他們在俄羅斯的奔薩。視頻中的車輛是三菱藍瑟（Mitsubishi Lancer），車牌號為K652BO58。

Tarakan7251 1Donakov的YouTube個人資料??

?此外，在56秒的視頻中，看到蓋伊福克斯面具。在Tarakan72511 Donakov的YouTube個人資料中使用了類似的面具作為頭像，在TraX共享的圖像上，這個人也戴著面具。

在YouTube視頻，YouTube頭像和TraX圖像中看到的Guy Fawkes面具??

從奔薩（Пенза）聚集在馬克西姆·多納科夫（Донаков）上的OSINT透露，一個名叫ДонаковМ.В./Donakov M.V.的人在俄羅斯城市雅羅斯拉夫爾（Yaroslavl）和奔薩（Penza）等城市犯下了多起罪行，其中包括在2017年駕駛三菱Lancer時發(fā)生的一起機動車事故。這個人名叫Donakov,Maksim Vladimirovich（Донаков，МаксимВладимирович），最初來自雅羅斯拉夫爾，后來搬到了奔薩，在SudAct的多篇文章中也提到過，他說這個人在事故發(fā)生之前曾在獄中度過了幾年。SudAct（sudact.ru）是俄羅斯最大的非政府司法記錄網站。

根據(jù)這些記錄，研究人員確定了3份Odnoklassniki社交網站的資料，所有檔案的名字都是MaximDonakov，其中兩份檔案顯示他們目前的位置為雅羅斯拉夫爾，另一個列為奔薩。第一個 Odnoklassniki個人資料屬于一個居住在雅羅斯拉夫爾并于1989年7月2日出生的人。該用戶上次訪問該網站是在2013年9月9日。第二個Odnoklassniki個人資料與之前的檔案具有相同的名字和出生日期。檔案圖片和其他圖像都描繪了tarakan72511的Imgur圖像中看到的同一個人。請注意三菱藍瑟與車牌А134МК76。

圖片來自馬克西姆·多納科夫的Odnoklassniki資料的圖片??

分析第二個Odnoklassniki個人資料顯示，該黑客與另一個用戶“ЯдовитыйТаракан”（Yadovitiy Tarakan）有關，據(jù)稱居住在烏克蘭的Pervomaysk。Yadovitiy Tarakan的名字與Imgur賬戶tarakan72511同義，此人的頭像與馬克西姆·多納科夫非常相似。值得一提的是，Pervomaysk是馬克西姆·多納科夫真正的出生地?？紤]到上述事實，我們非常自信地判斷Yadovitiy Tarakan的簡介也屬于馬克西姆·多納科夫。?

另一個名為“ЯдовитыйТаракан”的Odnoklassniki個人資料由馬克西姆·多納科夫創(chuàng)建??

?此外，機密消息來源證實，馬克西姆多納科夫是1989年7月2日出生的真人。根據(jù)SudAct的說法，多納科夫在警察監(jiān)督下被釋放，但在2014年犯下另一罪行后被監(jiān)禁。這可能解釋了存在多個Odnoklassniki的個人資料，如果馬克西姆·多納科夫忘記了以前帳戶的登錄憑據(jù)，他可能會被迫在從監(jiān)獄釋放后創(chuàng)建一個新的個人資料。

OSINT確定了可能與多納科夫（tessa88）相關的帳戶和聯(lián)系信息，例如馬克西姆·多納科夫的VKontakte 個人資料，電話號碼為+79022222229，Vkrugudruzei和Valet.ru的檔案，以及YouTube帳戶Maxim Donakov，電話號碼為+17789981919。公網上搜索“МаксимДонаков”透露了Freelance.ru上的Gulik01的簡介，這可能屬于tessa88（多納科夫）。Gulik01的帳戶信息表明他是一個講俄語的信息技術自由職業(yè)者。

此外，在泄露的數(shù)據(jù)庫中進行的額外搜索發(fā)現(xiàn)了馬克西姆·多納科夫，他出生于1989年7月2日，是奔薩的居民，匹配了上述Odnoklassniki檔案中的用戶資料信息和由Imgur用戶tarakan72511發(fā)布的名為為“tessa88”的圖像，該圖像描繪了相同的人。所有這些都表明tessa88確實是馬克西姆·多納科夫。

對tessa88確認比特幣錢包的分析，大部分資金通過LocalBitcoins進行清洗??

?InsiktGroup通過使用Crystal 區(qū)塊鏈分析了與tessa88比特幣錢包相關的交易，發(fā)現(xiàn)黑客至少收到168比特幣，約合90,000美元，而且大部分資金最終都是通過LocalBitcoins洗錢，LocalBitcoins是一種頗受歡迎的p2p交易服務。盡管黑客在2016年5月失蹤，但他繼續(xù)使用他的比特幣錢包直到2017年8月。

外貌

InsiktGroup對tessa88的判斷非常有信心，認為tassa是馬克西姆·多納科夫（MaksimDonakov）在地下犯罪論壇上出售知名數(shù)據(jù)庫的眾多綽號之一。此外，多納科夫很可能至少從2012年開始在暗網上活躍，并且還使用了別名Paranoy777，Daykalif和tarakan72511。

馬克西姆·多納科夫，又名tessa88，Paranoy777和Daykalif??

?MaksimDonakov，全名為MaksimVladimirovich Donakov（МаксимВладимировичДонаков），于1989年7月2日出生。Donakov是俄羅斯聯(lián)邦居民，曾住在雅羅斯拉夫爾，后來搬到了奔薩。對Recorded Future的社交媒體賬戶和其他來源的分析進一步證實了我們的發(fā)現(xiàn)。

根據(jù)所進行的分析，tessa88，Paranoy777和Daykalif這三個名字是為了在暗網上出售盜竊數(shù)據(jù)而創(chuàng)建的?？紤]到上述公司被入侵的信息相互矛盾，很難確定黑客使用的真正策略、技術和程序（TTPs）。然而，針對YevgeniyNikulin的案件的正在進行的調查，與LinkedIn數(shù)據(jù)泄漏相關，可能會讓人民對這件事有所了解，揭示這個故事并填補剩余的空白。

來源：https://www.recordedfuture.com/tessa88-identity-revealed/?from=timeline

本文由白帽匯整理并翻譯，轉載請注明 來自白帽匯Nosec：https://nosec.org/home/detail/1977.html

查看更多安全動態(tài)，請訪問[nosec.org]