Wahre Identität des berüchtigten Hackers tessa88 enthüllt

_Geltungsbereichshinweis: Um das folgende Schauspielerprofil zu erstellen, verwendete die Insikt Group OSINT, Recorded Future-Daten und Dark Web-Analysen, um die vom Schauspieler tessa88 verwendeten Kontaktinformationen, alternativen Aliase und TTPs zu ermitteln.

Dieses Profil dürfte vor allem für Anbieter von E-Mail-Diensten sowie für Social-Media- und Technologieunternehmen interessant sein, die vorwiegend in den USA und Russland ansässig sind._

Executive Summary

Anfang 2016 trat ein bislang unbekannter Hacker unter dem Pseudonym tessa88 an die Öffentlichkeit, nachdem er eine umfangreiche Liste kompromittierter, hochkarätiger Datenbanken zum Verkauf angeboten hatte. Der Hacker bot unter anderem die Datenbanken von Unternehmen wie VKontakte, Mobango, Myspace, Badoo, QIP, Dropbox, Rambler, LinkedIn und Twitter zum Verkauf an. Nach mehreren Monaten unglaublich aktiven öffentlichen Engagements wurden die Identitäten des Hackers aus verschiedenen Gründen aus fast allen Darknet-Communitys verbannt und ab Mai 2016 stellte tessa88 die gesamte Kommunikation mit den Medien und der Öffentlichkeit ein. In den folgenden Monaten gab es zahlreiche Versuche, die wahre Identität des Hackers aufzudecken. Es wurden jedoch nie konkrete Beweise vorgelegt, die tessa88 mit einer realen Person in Verbindung brachten.

Neue Erkenntnisse deuten stark darauf hin, dass es sich bei der Person hinter tessa88 möglicherweise um Maksim Donakov aus Penza in Russland handelt, der im Darknet unter vielen verschiedenen Namen aktiv war. Es ist möglich, dass eine zweite, unbekannte Person Donakov dabei half, das Konto von tessa88 zu verwalten, wobei diese Person sich an die einwandfreien OPSEC-Verfahren hielt und bis zum heutigen Tag anonym blieb. In beiden Szenarien sind wir der festen Überzeugung, dass Donakov Maksim direkt vom Verkauf der kompromittierten Datenbanken profitiert hat und als Hauptakteur angesehen werden sollte.

Uncovering tessa88’s true identity.

Hintergrund

Der Bedrohungsakteur tessa88, auch bekannt als stervasgoa und jannet93, ist ein berühmter Hacker, der von Februar bis Mai 2016 am Verkauf mehrerer hochkarätiger Datenbanken beteiligt war, darunter LinkedIn, VKontakte, Facebook, MySpace und Twitter. Einige Medien gehen davon aus, dass es sich bei der Schauspielerin um eine russischsprachige Frau handelt. tessa88 war nur kurze Zeit aktiv und verkaufte während dieser Zeit Datenbanken von Websites wie LinkedIn, VKontakte, Yahoo, Yandex, Rambler, MySpace, Badoo, QIP und Mobango. tessa88 wurde schließlich aus mehreren Foren verbannt, da ihm andere Mitglieder betrügerische Aktivitäten vorwarfen.

Recorded Future data shows that the actor Peace_of_Mind, also known as Peace, was selling a LinkedIn database as early as May 16, 2016 on the currently defunct TheRealDeal Market. The LinkedIn breach resulted in the arrest of Russian national Yevgeniy Nikulin (Евгений Никулин) by the FBI in October 2016. Nikulin was in the Czech Republic at the time and was later extradited to the United States. The Russian government claimed that the actions of the U.S. were politically motivated, and in an effort to fight Nikulin’s extradition, issued a warrant for his arrest in November 2016, alleging the individual had stolen $3,450 in WebMoney. At the time of this report, the investigation is still pending, and no clear evidence has been produced linking Nikulin to Peace_of_Mind.

Motherboard veröffentlichte die Ergebnisse eines Interviews mit tessa88, der behauptete, ein altgedientes Mitglied der kriminellen Unterwelt zu sein und Peace_of_Mind beschuldigte, die von tessa88 verkauften Datenbanken gestohlen zu haben. Peace_of_Mind behauptete im Gegenzug, dass tessa88 die Datenbanken einem Freund gestohlen habe, um sie online zu verkaufen.

A report from the cybersecurity firm InfoArmor claims that tessa88 acted as a proxy who sold accounts and personally identifiable information (PII) stolen by a group of hackers identified as “Group E.” InfoArmor claims that tessa88 was the first to sell accounts from many of these high-profile databases beginning as far back as February 2016, which Recorded Future data confirmed.¹ Around May 2016, InfoArmor claimed that tessa88 and Peace_of_Mind made an agreement to share at least some of their respective databases between one another in a likely attempt to expedite monetizing the massive amount of data between the two actors. The relationship between tessa88 and Peace_of_Mind deteriorated as other members of the underground communities claimed the data was of poor quality. If this report is accurate, this corroborates Motherboard’s findings and explains the outspoken hostility between the two actors.

Aktivität von tessa88 (auch bekannt als stervasgoa) im Dark Web zwischen Februar und Mai 2016.

Bedrohungsanalyse

Eine Analyse der Darknet-Aktivitäten brachte tessa88 mit mehreren Chat- und E-Mail-Konten in Verbindung, darunter auch die Jabber-Konten tessa88@exploit[.]im, tessa88@xmpp[.]jp, mrfreeman777@xmpp[.]jp, darksideglobal@exploit[.]im, das ICQ-Konto 740455 und die E-Mail-Adresse firetessa@yahoo[.]com.

tessa88 verkauft Datenbanken von Websites wie LinkedIn und MySpace in einem derzeit nicht mehr existierenden Undergroundforum.

Der tessa88@exploit[.]im Der von tessa88 in Verkaufsthreads in Untergrundforen verwendete Jabber-Account führte zum Twitter-Account @firetessa, der am 5. Juli 2016 twitterte , dass der Jabber-Account tessa88@exploit[.]im war ihrs.

Der Tweet vom Twitter-Konto @firetessa behauptet, tessa88@exploit[.]im gehöre ihnen.

Der Schauspieler TraX, ein Mitglied der Underground-Community, gab an, dass es sich bei tessa88 um einen Mann handelte und veröffentlichte ein angebliches Foto des Schauspielers in einem Underground-Forum. TraX gab außerdem an, dass tessa88 hinter den jüngsten Mega-Datendiebstählen bei LinkedIn, MySpace und Yahoo stecke, und erklärte sich sogar bereit, diese Informationen an Reporter weiterzugeben.

Ein angebliches Foto von tessa88, das von TraX in einem Untergrundforum gepostet wurde.

OSINT identifizierte dann den Imgur-Account tarakan72511, der Screenshots von Diskussionen über die Yahoo- und Equifax-Sicherheitsverletzungen mit den Akteuren HelloWorld und Ibm33a14 veröffentlichte. Beachten Sie, dass es sich bei Ibm33a14 um einen russischsprachigen Akteur handelt, der 2017 in mehreren Foren für Cyberkriminelle behauptete, über die ursprünglichen Datenbankdumps von Yahoo und Equifax zu verfügen.

Ein Screenshot einer von tarakan72511 geposteten Diskussion zu Yahoo und Equifax.

That same Imgur account also posted a picture titled “tessa88” in 2017, showing a man whose body type and hairstyle are similar to the individual depicted in the aforementioned picture posted by TraX.

Ein mögliches Bild von tessa88, gepostet von tarakan72511 auf Imgur.

Der Spitzname tarakan72511 ist ein Alias des Akteurs Paranoy777, der den Jabber-Account tarakan72511@chatme[.]im verwendet. Paranoy777 und tessa88 verkauften beide von Februar bis Mai 2016 gestohlene Datenbanken großer Social-Media- und Technologieunternehmen.

Recorded Future identified a complaint filed against tarakan72511 in which another member claimed that Daykalif is a Russian-speaking scammer who was trading large databases and used the Jabber accounts daykalif@xmpp[.]jp and tarakan72511@chatme[.]im — the same Jabber account used by the actor Paranoy777, who, in turn, is connected to tarakan72511. If this claim is true, then it is likely that the users Paranoy777 and Daykalif are the same person.

Eine in einem kriminellen Forum gefundene Beschwerde, in der behauptet wird, Daykalif habe die Jabber-Konten daykalif@xmpp[.]jp verwendet und tarakan72511@chatme[.]im.

More information provided by Imgur account tarakan72511 revealed that the user is apparently an avid dog lover. OSINT identified a YouTube account with a similar username — Tarakan72511 Donakov — who posted a video showing someone feeding stray dogs. During the video, a voice was heard stating that they are in Penza, Russia. The vehicle in the video is Mitsubishi Lancer with the registration number K652BO 58.

Tarakan72511 Donakov’s YouTube profile.

Moreover, at 56 seconds in the video, a Guy Fawkes mask is seen. A similar mask was used as the avatar on Tarakan72511 Donakov’s YouTube profile and is also worn by the person on the image shared by TraX.

The Guy Fawkes mask seen in the YouTube video, YouTube avatar, and in TraX’s image.

OSINT gathered on Donakov (Донаков) from Penza (Пенза) revealed that someone named Донаков М.В./Donakov M.V. committed several crimes in the Russian cities of Yaroslavl and Penza, including a motor vehicle accident that happened while driving a Mitsubishi Lancer in 2017. An individual named Donakov, Maksim Vladimirovich (Донаков, Максим Владимирович), originally from Yaroslavl and later having moved to Penza, was also mentioned in multiple articles from SudAct, stating that the individual had spent several years in prison prior to the accident.²

Pivoting from these records, the research identified three Odnoklassniki profiles, all with the name Maxim Donakov — two of which listed their current location as Yaroslavl, and one as Penza. The first Odnoklassniki profile belongs to a man who was residing in Yaroslavl and was born on July 2, 1989. The user last visited the site on September 9, 2013. The second Odnoklassniki profile has the same name and date of birth as the previous profile. Both the profile picture and other images depict the same individual seen in the Imgur image from tarakan72511. Note the Mitsubishi Lancer with the license plate А 134МК 76.

Bilder aus dem Odnoklassniki-Profil von Maxim Donakov.

The analysis of the second Odnoklassniki profile revealed that the actor is linked to another user, “Ядовитый Таракан” (Yadovitiy Tarakan), allegedly residing in Pervomaysk, Ukraine. Yadovitiy Tarakan’s name is synonymous with the Imgur account tarakan72511, and the profile photo of the person strongly resembles Donakov Maxim. It is worth mentioning that Pervomaysk is Maxim Donakov’s real place of birth. Considering the facts mentioned above, we assess with a high degree of confidence that Yadovitiy Tarakan’s profile also belongs to Donakov Maxim.

Another Odnoklassniki profile with the username “Ядовитый Таракан” created by Maxim Donakov.

Darüber hinaus bestätigten vertrauliche Quellen, dass es sich bei Maxim (Maksim) Donakov um eine reale Person handelt, die am 2. Juli 1989 geboren wurde. Laut SudAct wurde Donakov unter polizeilicher Aufsicht freigelassen, saß dann aber im Gefängnis, nachdem er 2014 ein weiteres Verbrechen begangen hatte. Dies könnte die Existenz mehrerer Odnoklassniki-Profile erklären, da Donakov nach seiner Entlassung aus dem Gefängnis möglicherweise gezwungen war, ein neues Profil zu erstellen, wenn er die Anmeldedaten für sein(e) vorherige(n) Konto(s) vergessen hatte.

OSINT identified other accounts and contact information likely related to Donakov (tessa88), such as a VKontakte profile for Maxim Ivanov with the phone number +79022222229, profiles on Vkrugudruzei and Valet.ru, and the YouTube account Maxim Donakov with the phone number +17789981919. An open web search for “Максим Донаков” revealed the profile Gulik01 on Freelance.ru, which possibly belongs to tessa88 (Donakov). The account information for Gulik01 states that he is a Russian-speaking information technology freelancer.

Moreover, additional searches in leaked databases identified Maksim Donakov, a resident of Penza born on July 2, 1989, matching the user profile information from the aforementioned Odnoklassniki profiles and the image titled “tessa88” posted by the Imgur user tarakan72511, which depicts the same person. Again, all of this indicates that tessa88 is indeed Maksim Donakov.

The analysis of tessa88’s confirmed Bitcoin wallet, with the majority of funds being laundered through LocalBitcoins.

Insikt Group’s analysis of transactions associated with the confirmed tessa88 Bitcoin wallet using Crystal Blockchain revealed that the hacker received at least 168 Bitcoins, or approximately $90,000, and most of the funds were eventually laundered through LocalBitcoins, a popular peer-to-peer exchange service. Despite the actor's disappearance in May of 2016, he continued using his Bitcoin wallet until August 2017.

Ausblick

Die Insikt Group geht mit hoher Wahrscheinlichkeit davon aus, dass tessa88 einer von vielen Spitznamen ist, die Maksim Donakov geschaffen hat, um hochkarätige Datenbanken in Untergrund-Kriminalitätsforen zu verkaufen. Darüber hinaus ist es wahrscheinlich, dass Donakov mindestens seit 2012 im Dark Web aktiv war und auch die Spitznamen Paranoy777, Daykalif und tarakan72511 verwendete.

Maxim Donakov, auch bekannt als tessa88, Paranoy777 und Daykalif.

Maksim Donakov, whose full name is Maksim Vladimirovich Donakov (Максим Владимирович Донаков), was born on July 2, 1989. Donakov is a resident of the Russian Federation who previously lived in Yaroslavl and later moved to Penza. Analysis of social media accounts and other sources from Recorded Future further confirm our findings.

According to the conducted analysis, the monikers tessa88, Paranoy777, and Daykalif were created intentionally to sell compromised data on the dark web. Considering the contradictory information regarding the breaches of the aforementioned companies, it is difficult to identify real tactics, techniques, and procedures (TTPs) applied by the hackers. However, the pending investigation of Yevgeniy Nikulin’s case, tied with the LinkedIn data leak, may shed light on this story and fill the remaining gaps.