Хабрахабр

Кто продает ваши аккаунты?

В начале 2016 года злоумышленник, действующий под псевдонимом tessa88, выставил на продажу широкий список скомпрометированных баз пользователей «Вконтакте», Mobango, Myspace, Badoo, QIP, Dropbox, Rambler, LinkedIn, Twitter и др. Недавно данные злоумышленника были раскрыты специалистами компании Insikt Group.
Примечание: для описания профиля хакера, определения альтернативных никнеймов и получения контактных данных, принадлежащих владельцу аккаунта tessa88, специалисты компании Insikt Group использовали данные, предоставленные Recorded Future, провели расследование OSINT, а также проанализировали многочисленные ресурсы даркнета.

Краткий обзор

В начале 2016 г. ранее неизвестный хакер, действовавший под псевдонимом tessa88, впервые появился на публике, выложив на продажу широкий список скомпрометированных баз, содержащих данные знаменитостей. Это были базы данных «Вконтакте», Mobango, Myspace, Badoo, QIP, Dropbox, Rambler, LinkedIn, Twitter и др. В течение нескольких месяцев при активном участии хак-комьюнити профили хакера были заблокированы почти во всех сообществах даркнета. К маю 2016 года tessa88 полностью исчез с просторов интернета. В последующие месяцы предпринимались многочисленные попытки раскрыть личность хакера. Однако не было представлено никаких конкретных доказательств, связывающих tessa88 с каким-либо реальным человеком.

Вполне возможно, что у него был сообщник, который вел аккаунт tessa88, строго придерживаясь процедур OPSEC и до настоящего момента оставаясь анонимным. Новые данные свидетельствуют о том, что под псевдонимом tessa88 может скрываться Максим Донаков, житель Пензы, который использовал несколько разных профилей в даркнете. В любом случае специалисты Insikt Group убеждены, что Максим Донаков получил прямую выгоду от продажи скомпрометированных баз данных и должен рассматриваться в качестве главного действующего лица.

Основные суждения

  • Преступная карьера tessa88, вероятно, началась еще в 2012 году, до массовых утечек данных LinkedIn, Dropbox, Yahoo и др., ответственность за которые возложена на хакеров, действовавших под этим псевдонимом. Вероятно, профиль tessa88 был создан специально для продажи ценных баз данных.
  • Анализ Insikt Group, основанный на обнаруженных изображениях реального человека, скрывающегося под никнеймом tessa88, и обсуждениях с многочисленных форумов, позволяет с высокой степенью вероятности делать вывод, что tessa88 – мужчина, а не женщина.
  • Согласно данным Insikt Group, профиль tessa88 связан с рядом других аккаунтов: Paranoy777, Daykalif и tarakan72511. Эти пользователи выкладывали похожие фото в социальных сетях, соответствующие фотографии в паспорте Максима Донакова, молодого человека, известного в сети под псевдонимом Paranoy777.
  • Insikt Group сообщает, что Донаков Максим Владимирович проживает на территории Российской Федерации.


Раскрытие личности tessa88

Бэкграунд

Согласно данным Recorded Future, пользователь Peace_of_Mind, также известный как Peace, продавал базу данных LinkedIn 16 мая 2016 года на ныне несуществующем ресурсе TheRealDeal Market. По результатам расследования кражи баз данных LinkedIn в октябре 2016 г. сотрудники ФБР арестовали гражданина РФ Евгения Никулина. Он был арестован в Чехии и позже экстрадирован в США. На момент написания данной статьи расследование еще не закончено и никаких объективных доказательств, связывающих Никулина с Peace_of_Mind, предоставлено не было.

Peace_of_Mind, в свою очередь, утверждал, что tessa88 сам украл базы данных для продажи в интернете. Издание Motherboard публиковало выводы из интервью с tessa88, утверждавшего, что он является давним членом преступного сообщества, и обвинявшего Peace_of_Mind в краже баз данных, которые продавал tessa88.

InfoArmor утверждает (Recorded Future также это подтвердили), что tessa88 был первым, кто выложил для продажи базы данных в феврале 2016 года. Согласно докладу компании InfoArmor, tessa88 действовал в качестве посредника, который продавал учетные записи и персональные данные, похищенные группой хакеров, именуемой «Group E». InfoArmor утверждали, что tessa88 и Peace_of_Mind договорились о совместном использовании по крайней мере некоторых из скомпрометированных баз данных в вероятной попытке ускорить монетизацию огромного количества данных. В мае 2016 г. Таким образом, доклад от InfoArmor подтверждает выводы Motherboard и объясняет откровенную враждебность между двумя хакерами. Отношения между tessa88 и Peace_of_Mind ухудшились, поскольку другие члены подпольных сообществ утверждали, что данные были недостоверными.


Активности tessa88, также известного как stervasgoa в даркнете, в период с февраля по май 2016.

Анализ

В результате анализа ресурсов даркнета удалось сопоставить профиль tessa88 с рядом аккаунтов, в том числе Jabber (tessa88@exploit[.]im, tessa88@xmpp[.]jp, mrfreeman777@xmpp[.]jp, darksideglobal@exploit[.]im), аккаунтом ICQ 740455 и адресом электронной почты firetessa@yahoo[.]com.


Tessa88 продает БД веб-сайтов LinkedIn и MySpace на подпольном форуме, который в настоящее время закрыт.

5 июля 2016 года пользователь Twitter @firetessa сообщил, что Jabber-аккаунт tessa88@exploit[.]im, используемый tessa88 для продажи на андеграунд-форумах, принадлежит ему.

Твит пользователя @firetessa

TraX также заявил, что tessa88 стоит за недавними взломами и последующей продажей баз LinkedIn, MySpace и Yahoo, и даже выразил готовность поделиться этой информацией с журналистами. Пользователь TraX, член хакерского сообщества, заявил, что tessa88 — мужчина, и опубликовал предполагаемую фотографию на форуме.


Предполагаемая фотография пользователя tessa88

Примечательно, что Ibm33a14 — русскоговорящий хакер, который утверждал в 2017 году, что владеет оригиналами дампов баз данных Yahoo и Equifax. В ходе расследований на основе открытых данных (OSINT) был идентифицирован аккаунт tarakan7251 (на ресурсе Imgur), с которого были опубликованы скриншоты обсуждений относительно утечек данных Yahoo и Equifax, реализованных пользователями HelloWorld и Ibm33a14.

Скриншот чата в отношении Yahoo и Equifax

В том же аккаунте Imgur в 2017 году была опубликована фотография под названием «tessa88», на которой изображен мужчина, чья внешность похожа на человека, изображенного на вышеупомянутой фотографии, размещенной TraX.

Вероятное изображение пользователя tessa88

Paranoy777 и tessa88 оба продавали украденные базы данных крупных социальных сетей и IT-компаний в 2016 году. Псевдоним tarakan72511 используется хакером Paranoy777, которому принадлежит учетная запись Jabber tarakan72511@chatme[.]im.

Если это утверждение верно, то вполне вероятно, что пользователи Paranoy777 и Daykalif — один и тот же человек. Recorded Future обнаружили жалобу, поданную против tarakan72511, в которой утверждалось, что Daykalif является русскоязычным преступником, который торговал известными базами данных и использовал учетные записи Jabber daykalif@xmpp[.]jp и tarakan72511@chatme[.]im — тот же Jabber-аккаунт, используемый пользователем Paranoy777, который в свою очередь связан с аккаунтом tarakan72511.


Жалоба, обнаруженная на андеграунд-форуме

Пользователь аккаунта на YouTube Tarakan72511 Donakov выложил видео, в котором двое людей кормят бездомных собак, что является отсылкой к профилю с Imgur. Пользователь tarakan72511 (на ресурсе Imgur) поделился информацией о любви к собакам. Автомобиль на видео — Mitsubishi Lancer с регистрационным номером K652BO 58. На видео говорится о том, что они находятся в Пензе.

Профиль пользователя на YouTube Tarakan7251 Donakov.

Похожая маска использовалась в качестве аватара в YouTube-профиле Tarakan72511 Donakov, а также надета на человека на изображении, которым поделился пользователь TraX. Кроме того, на 56 секунде видео видна маска Гая Фокса.

Маска Гая Фокса на видео в YouTube, аватаре пользователя в YouTube и изображении пользователя Trax.

совершил несколько преступлений в городах Ярославль и Пенза, включая ДТП, произошедшее с участием автомобиля Mitsubishi Lancer в 2017 году. В ходе расследования OSINT в отношении Donakov (Донаков) из Пензы выяснилось, что кто-то под именем Донаков М.В. Донаков был отправлен под стражу. Гражданин Донаков Максим Владимирович, родившийся в Ярославле и переехавший в Пензу, был отмечен в нескольких статьях на sudact.ru, где говорится о совершении им ряда преступлений, после чего М.

Первый профиль в «Одноклассники» принадлежит мужчине, который проживал в Ярославле и родился 2 июля 1989 года. На основе этих записей было выявлено три профиля на ресурсе «Одноклассники», все с именем Максим Донаков, два из которых указали свое текущее местоположение как Ярославль, а один как Пенза. Второй профиль «Одноклассники» имеет то же имя и дату рождения, что и предыдущий профиль. Последний раз пользователь заходил на сайт 9 сентября 2013 года. Примечательно изображение автомобиля Mitsubishi Lancer с государственным номером А 134МК 76. На фото обоих профилей изображен тот же человек, что и на профиле tarakan72511 в Imgur.


Фото профиля Максима Донакова в «Одноклассниках»

Первомайске в Украине. Анализ второго профиля в «Одноклассники» показал, что хакер связан с другим пользователем «Ядовитый таракан», предположительно проживающим в г. Стоит отметить, что Первомайск — настоящее место рождения Максима Донакова. Имя «Ядовитый таракан» созвучно с аккаунтом tarakan72511 на Imgur, а фото профиля человека сильно напоминает Максима Донакова. Учитывая вышеизложенные факты, с высокой степенью уверенности можно сказать, что профиль «Ядовитый таракан» также принадлежит Максиму Донакову.

Фото другого профиля Максима Донакова в «Одноклассники»

По данным SudAct, Донаков был освобожден под надзор полиции, но затем был заключен в тюрьму после совершения другого преступления в 2014 году. Конфиденциальные источники подтвердили, что Максим Донаков является реальным человеком, родившимся 2 июля 1989 года. Это может объяснить существование нескольких профилей в «Одноклассниках», так как Донаков, возможно, был вынужден создать новый профиль после освобождения из тюрьмы, если он забыл учетные данные для своей предыдущей учетной записи.

Открытый веб-поиск «Максим Донаков» показал профиль Gulik01 на Freelance.ru, который, возможно, принадлежит tessa88 (Донаков). В ходе расследования OSINT выявлен ряд других аккаунтов и контактная информация, скорее всего, связанная с Донаковым (tessa88): профиль «ВКонтакте» Максим Иванов с номером телефона +79022222229, профили Vkrugudruzei и Valet.ru, аккаунт YouTube Максим Донаков с номером телефона +17789981919. В учетной записи Gulik01 указано, что он является русскоязычным фрилансером в сфере информационных технологий.

Опять же, все это говорит о том, что tessa88 – это действительно Максим Донаков. Более того, дополнительные поиски в просочившихся базах данных выявили Максима Донакова, жителя Пензы 2 июля 1989 года рождения, совпадающего с информацией профиля пользователя из вышеупомянутых профилей «Одноклассники» и изображением под названием «tessa88», размещенным пользователем Imgur tarakan72511, на котором изображен тот же человек.


Анализ Bitcoin-кошелька пользователя tessa88

Несмотря на блокировку хакера в мае 2016 года, он продолжал использовать свой Bitcoin-кошелек до августа 2017 года. Анализ транзакций, связанных с подтвержденным Bitcoin-кошельком tessa88 с использованием Crystal Blockchain (проведенный Insikt Group), показал, что хакер получил по крайней мере 168 биткоинов или около 90 000 долларов США, и большая часть средств была в конечном итоге отмыта через LocalBitcoins, популярный одноранговый обменный сервис.

Итоги анализа

Insikt Group с высокой степенью уверенности оценивает tessa88 как одно из многих прозвищ, созданных Максимом Донаковым для продажи баз данных на андеграунд-форумах. Кроме того, вполне вероятно, что Донаков был активен в даркнете по крайней мере с 2012 года, а также использовал псевдонимы Paranoy777, Daykalif и tarakan72511.

Максим Донаков, известный как tessa88, Paranoy777 и Daykalif

Анализ учетных записей в социальных сетях и других ресурсов Recorded Future подтверждает выводы Insikt Group. Донаков Максим Владимирович родился 2 июля 1989 года, житель Российской Федерации, ранее проживавший в Ярославле, а позднее переехавший в Пензу.

Учитывая противоречивую информацию о кражах баз данных вышеуказанных компаний, трудно определить реальную стратегию и методы, применяемые хакерами. Согласно проведенному анализу, псевдонимы tessa88, Paranoy777 и Daykalif были созданы специально для продажи скомпрометированных данных в даркнете. Однако предстоящее расследование дела в отношении Евгения Никулина, связанное с утечкой данных в LinkedIn, может пролить свет на эту историю и заполнить оставшиеся пробелы.

Статья опубликована Insikt Group 20 ноября 2018 года.

Автор: Денис Гаврилов, консультант Центра информационной безопасности «Инфосистемы Джет»

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть