Research (Insikt)

Wahre Identität des berüchtigten Hackers tessa88 enthüllt

Veröffentlicht: 20. November 2018
Von: Insikt Group

insikt-group-logo-updated-3-300x48.png

_Geltungsbereichshinweis: Um das folgende Schauspielerprofil zu erstellen, verwendete die Insikt Group OSINT, Recorded Future-Daten und Dark Web-Analysen, um die vom Schauspieler tessa88 verwendeten Kontaktinformationen, alternativen Aliase und TTPs zu ermitteln.

Dieses Profil dürfte vor allem für Anbieter von E-Mail-Diensten sowie für Social-Media- und Technologieunternehmen interessant sein, die vorwiegend in den USA und Russland ansässig sind._

Executive Summary

Anfang 2016 trat ein bislang unbekannter Hacker unter dem Pseudonym tessa88 an die Öffentlichkeit, nachdem er eine umfangreiche Liste kompromittierter, hochkarätiger Datenbanken zum Verkauf angeboten hatte. Der Hacker bot unter anderem die Datenbanken von Unternehmen wie VKontakte, Mobango, Myspace, Badoo, QIP, Dropbox, Rambler, LinkedIn und Twitter zum Verkauf an. Nach mehreren Monaten unglaublich aktiven öffentlichen Engagements wurden die Identitäten des Hackers aus verschiedenen Gründen aus fast allen Darknet-Communitys verbannt und ab Mai 2016 stellte tessa88 die gesamte Kommunikation mit den Medien und der Öffentlichkeit ein. In den folgenden Monaten gab es zahlreiche Versuche, die wahre Identität des Hackers aufzudecken. Es wurden jedoch nie konkrete Beweise vorgelegt, die tessa88 mit einer realen Person in Verbindung brachten.

Neue Erkenntnisse deuten stark darauf hin, dass es sich bei der Person hinter tessa88 möglicherweise um Maksim Donakov aus Penza in Russland handelt, der im Darknet unter vielen verschiedenen Namen aktiv war. Es ist möglich, dass eine zweite, unbekannte Person Donakov dabei half, das Konto von tessa88 zu verwalten, wobei diese Person sich an die einwandfreien OPSEC-Verfahren hielt und bis zum heutigen Tag anonym blieb. In beiden Szenarien sind wir der festen Überzeugung, dass Donakov Maksim direkt vom Verkauf der kompromittierten Datenbanken profitiert hat und als Hauptakteur angesehen werden sollte.

Wichtige Urteile

  • Die kriminelle Karriere von tessa88 begann wahrscheinlich bereits 2012, noch vor den Datenschutzverletzungen bei LinkedIn, Dropbox, Yahoo und anderen ihnen zugeschriebenen Unternehmen. Sie haben das Pseudonym tessa88 wahrscheinlich speziell für den Verkauf hochkarätiger Datenbanken erstellt.
  • Unsere Analyse basiert auf entdeckten Bildern der realen Person, die sich hinter dem Spitznamen tessa88 verbirgt, sowie auf Diskussionen in Untergrundforen. Sie ermöglicht es uns, mit hoher Sicherheit davon auszugehen, dass es sich bei tessa88 um einen Mann und nicht um eine Frau handelt.
  • Unsere Analyse zeigt, dass der Spitzname tessa88 mit den Aliasnamen Paranoy777, Daykalif und tarakan72511 verknüpft ist. Alle teilen ähnliche Social-Media-Fotos, die nahezu identisch mit einem Passfoto von Maksim Donakov sind, der Person hinter Paranoy777.
  • Unsere Recherchen legen nahe, dass Donakov, Maksim Vladimirovich (Донаков, Максим Владимирович), in der Russischen Föderation ansässig ist.

tessa88-identity-revealed-1-1.jpg

Aufdeckung der wahren Identität von tessa88.

Hintergrund

Der Bedrohungsakteur tessa88, auch bekannt als stervasgoa und jannet93, ist ein berühmter Hacker, der von Februar bis Mai 2016 am Verkauf mehrerer hochkarätiger Datenbanken beteiligt war, darunter LinkedIn, VKontakte, Facebook, MySpace und Twitter. Einige Medien gehen davon aus, dass es sich bei der Schauspielerin um eine russischsprachige Frau handelt. tessa88 war nur kurze Zeit aktiv und verkaufte während dieser Zeit Datenbanken von Websites wie LinkedIn, VKontakte, Yahoo, Yandex, Rambler, MySpace, Badoo, QIP und Mobango. tessa88 wurde schließlich aus mehreren Foren verbannt, da ihm andere Mitglieder betrügerische Aktivitäten vorwarfen.

Daten von Recorded Future zeigen, dass der Schauspieler Peace_of_Mind, auch bekannt als Peace, bereits am 16. Mai 2016 auf dem inzwischen nicht mehr existierenden TheRealDeal Market eine LinkedIn-Datenbank verkaufte. Der LinkedIn-Hack führte im Oktober 2016 zur Festnahme des russischen Staatsbürgers Jewgeni Nikulin (Евгений Никулин) durch das FBI. Nikulin befand sich zu diesem Zeitpunkt in der Tschechischen Republik und wurde später an die USA ausgeliefert . Die russische Regierung behauptete, das Vorgehen der USA sei politisch motiviert gewesen und erließ im November 2016, um Nikulins Auslieferung zu verhindern, einen Haftbefehl gegen ihn. Ihr wurde vorgeworfen, er habe WebMoney im Wert von 3.450 US-Dollar gestohlen. Zum Zeitpunkt dieses Berichts ist die Untersuchung noch nicht abgeschlossen und es liegen keine eindeutigen Beweise vor, die eine Verbindung zwischen Nikulin und Peace_of_Mind herstellen.

Motherboard veröffentlichte die Ergebnisse eines Interviews mit tessa88, der behauptete, ein altgedientes Mitglied der kriminellen Unterwelt zu sein und Peace_of_Mind beschuldigte, die von tessa88 verkauften Datenbanken gestohlen zu haben. Peace_of_Mind behauptete im Gegenzug, dass tessa88 die Datenbanken einem Freund gestohlen habe, um sie online zu verkaufen.

Ein Bericht der Cybersicherheitsfirma InfoArmor behauptet, dass tessa88 als Stellvertreter fungierte, der Konten und personenbezogene Daten (PII) verkaufte, die von einer Hackergruppe namens „Gruppe E“ gestohlen wurden. InfoArmor behauptet, dass tessa88 der erste war, der Konten aus vielen dieser hochkarätigen Datenbanken verkaufte, und zwar bereits ab Februar 2016, was durch Daten von Recorded Future bestätigt wurde.1 Etwa im Mai 2016 behauptete InfoArmor, dass tessa88 und Peace_of_Mind eine Vereinbarung getroffen hätten, zumindest einen Teil ihrer jeweiligen Datenbanken untereinander auszutauschen. Dies sei wahrscheinlich ein Versuch, die Monetarisierung der riesigen Datenmengen zwischen den beiden Akteuren zu beschleunigen. Die Beziehung zwischen tessa88 und Peace_of_Mind verschlechterte sich, als andere Mitglieder der Untergrundgemeinschaften behaupteten, die Daten seien von schlechter Qualität. Sollte dieser Bericht zutreffen, bestätigt er die Erkenntnisse von Motherboard und erklärt die offene Feindseligkeit zwischen den beiden Akteuren.

tessa88-identity-revealed-2-1.png

Aktivität von tessa88 (auch bekannt als stervasgoa) im Dark Web zwischen Februar und Mai 2016.

Bedrohungsanalyse

Eine Analyse der Darknet-Aktivitäten brachte tessa88 mit mehreren Chat- und E-Mail-Konten in Verbindung, darunter auch die Jabber-Konten tessa88@exploit[.]im, tessa88@xmpp[.]jp, mrfreeman777@xmpp[.]jp, darksideglobal@exploit[.]im, das ICQ-Konto 740455 und die E-Mail-Adresse firetessa@yahoo[.]com.

tessa88-identity-revealed-3-1.png

tessa88 verkauft Datenbanken von Websites wie LinkedIn und MySpace in einem derzeit nicht mehr existierenden Undergroundforum.

Der tessa88@exploit[.]im Der von tessa88 in Verkaufsthreads in Untergrundforen verwendete Jabber-Account führte zum Twitter-Account @firetessa, der am 5. Juli 2016 twitterte , dass der Jabber-Account tessa88@exploit[.]im war ihrs.

tessa88-identity-revealed-4-1.png

Der Tweet vom Twitter-Konto @firetessa behauptet, tessa88@exploit[.]im gehöre ihnen.

Der Schauspieler TraX, ein Mitglied der Underground-Community, gab an, dass es sich bei tessa88 um einen Mann handelte und veröffentlichte ein angebliches Foto des Schauspielers in einem Underground-Forum. TraX gab außerdem an, dass tessa88 hinter den jüngsten Mega-Datendiebstählen bei LinkedIn, MySpace und Yahoo stecke, und erklärte sich sogar bereit, diese Informationen an Reporter weiterzugeben.

tessa88-identity-revealed-5-1.png

Ein angebliches Foto von tessa88, das von TraX in einem Untergrundforum gepostet wurde.

OSINT identifizierte dann den Imgur-Account tarakan72511, der Screenshots von Diskussionen über die Yahoo- und Equifax-Sicherheitsverletzungen mit den Akteuren HelloWorld und Ibm33a14 veröffentlichte. Beachten Sie, dass es sich bei Ibm33a14 um einen russischsprachigen Akteur handelt, der 2017 in mehreren Foren für Cyberkriminelle behauptete, über die ursprünglichen Datenbankdumps von Yahoo und Equifax zu verfügen.

tessa88-identity-revealed-6-1.png

Ein Screenshot einer von tarakan72511 geposteten Diskussion zu Yahoo und Equifax.

Derselbe Imgur-Account hat 2017 auch ein Bild mit dem Titel „tessa88“ gepostet, das einen Mann zeigt, dessen Körperbau und Frisur der Person auf dem oben genannten Bild von TraX ähneln.

tessa88-identity-revealed-7-1.png

Ein mögliches Bild von tessa88, gepostet von tarakan72511 auf Imgur.

Der Spitzname tarakan72511 ist ein Alias des Akteurs Paranoy777, der den Jabber-Account tarakan72511@chatme[.]im verwendet. Paranoy777 und tessa88 verkauften beide von Februar bis Mai 2016 gestohlene Datenbanken großer Social-Media- und Technologieunternehmen.

Recorded Future identifizierte eine Beschwerde gegen tarakan72511, in der ein anderes Mitglied behauptete, Daykalif sei ein russischsprachiger Betrüger, der mit großen Datenbanken handelte und die Jabber-Konten daykalif@xmpp[.]jp verwendete. und tarakan72511@chatme[.]im – derselbe Jabber-Account, der vom Akteur Paranoy777 verwendet wird, der wiederum mit tarakan72511 verbunden ist. Wenn diese Behauptung stimmt, ist es wahrscheinlich, dass es sich bei den Benutzern Paranoy777 und Daykalif um dieselbe Person handelt.

tessa88-identity-revealed-8-1.png

Eine in einem kriminellen Forum gefundene Beschwerde, in der behauptet wird, Daykalif habe die Jabber-Konten daykalif@xmpp[.]jp verwendet und tarakan72511@chatme[.]im.

Weitere Informationen des Imgur-Kontos tarakan72511 verrieten, dass der Benutzer offenbar ein begeisterter Hundeliebhaber ist. OSINT hat einen YouTube-Account mit einem ähnlichen Nutzernamen – Tarakan72511 Donakov – identifiziert, der ein Video gepostet hat, in dem jemand streunende Hunde füttert. Während des Videos war eine Stimme zu hören, die erklärte, sie seien in Penza, Russland. Das Fahrzeug im Video ist ein Mitsubishi Lancer mit dem Kennzeichen K652BO 58.

tessa88-identity-revealed-9-1.png

YouTube-Profil von Tarakan72511 Donakov.

Darüber hinaus ist bei Sekunde 56 im Video eine Guy-Fawkes-Maske zu sehen. Eine ähnliche Maske wurde als Avatar auf dem YouTube-Profil von Tarakan72511 Donakov verwendet und wird auch von der Person auf dem von TraX geteilten Bild getragen.

tessa88-identity-revealed-10-1.png

Die Guy-Fawkes-Maske, die im YouTube-Video, im YouTube-Avatar und im Bild von TraX zu sehen ist.

OSINT gathered on Donakov (Донаков) from Penza (Пенза) revealed that someone named Донаков М.В./Donakov M.V. committed several crimes in the Russian cities of Yaroslavl and Penza, including a motor vehicle accident that happened while driving a Mitsubishi Lancer in 2017. An individual named Donakov, Maksim Vladimirovich (Донаков, Максим Владимирович), originally from Yaroslavl and later having moved to Penza, was also mentioned in multiple articles from SudAct, stating that the individual had spent several years in prison prior to the accident.2

Auf Grundlage dieser Aufzeichnungen wurden im Rahmen der Untersuchung drei Odnoklassniki-Profile ermittelt, alle mit dem Namen Maxim Donakov – zwei davon gaben als aktuellen Aufenthaltsort Jaroslawl an, eines Pensa. Das erste Odnoklassniki-Profil gehört einem Mann, der in Jaroslawl lebte und am 2. Juli 1989 geboren wurde. Der Benutzer hat die Site zuletzt am 9. September 2013 besucht. Das zweite Odnoklassniki-Profil hat denselben Namen und dasselbe Geburtsdatum wie das vorherige Profil. Sowohl das Profilbild als auch die anderen Bilder zeigen dieselbe Person, die im Imgur-Bild von tarakan72511 zu sehen ist. Beachten Sie den Mitsubishi Lancer mit dem Nummernschild А 134МК 76.

tessa88-identity-revealed-11-1.png

Bilder aus dem Odnoklassniki-Profil von Maxim Donakov.

Die Analyse des zweiten Odnoklassniki-Profils ergab, dass der Schauspieler mit einem anderen Benutzer, „Ядовитый Таракан“ (Yadovitiy Tarakan), in Verbindung steht, der angeblich in Pervomaysk in der Ukraine wohnt. Der Name Yadovitiy Tarakan ist gleichbedeutend mit dem Imgur-Konto tarakan72511 und das Profilfoto dieser Person ähnelt stark Donakov Maxim. Erwähnenswert ist, dass Perwomaisk der eigentliche Geburtsort von Maxim Donakov ist. In Anbetracht der oben genannten Fakten gehen wir mit hoher Sicherheit davon aus, dass das Profil von Yadovitiy Tarakan auch zu Donakov Maxim gehört.

tessa88-identity-revealed-12-1.png

Ein weiteres Odnoklassniki-Profil mit dem Benutzernamen „Ядовитый Таракан“, erstellt von Maxim Donakov.

Darüber hinaus bestätigten vertrauliche Quellen, dass es sich bei Maxim (Maksim) Donakov um eine reale Person handelt, die am 2. Juli 1989 geboren wurde. Laut SudAct wurde Donakov unter polizeilicher Aufsicht freigelassen, saß dann aber im Gefängnis, nachdem er 2014 ein weiteres Verbrechen begangen hatte. Dies könnte die Existenz mehrerer Odnoklassniki-Profile erklären, da Donakov nach seiner Entlassung aus dem Gefängnis möglicherweise gezwungen war, ein neues Profil zu erstellen, wenn er die Anmeldedaten für sein(e) vorherige(n) Konto(s) vergessen hatte.

OSINT identified other accounts and contact information likely related to Donakov (tessa88), such as a VKontakte profile for Maxim Ivanov with the phone number +79022222229, profiles on Vkrugudruzei and Valet.ru, and the YouTube account Maxim Donakov with the phone number +17789981919. An open web search for “Максим Донаков” revealed the profile Gulik01 on Freelance.ru, which possibly belongs to tessa88 (Donakov). The account information for Gulik01 states that he is a Russian-speaking information technology freelancer.

Darüber hinaus wurde bei zusätzlichen Suchvorgängen in den durchgesickerten Datenbanken Maksim Donakov identifiziert, ein Einwohner von Penza, geboren am 2. Juli 1989. Die Benutzerprofilinformationen stimmten mit den oben genannten Odnoklassniki-Profilen und dem Bild mit dem Titel „tessa88“ überein, das vom Imgur-Benutzer tarakan72511 gepostet wurde und dieselbe Person zeigt. All dies deutet erneut darauf hin, dass es sich bei tessa88 tatsächlich um Maksim Donakov handelt.

tessa88-identity-revealed-13-1.png

Die Analyse des Bitcoin-Wallets von tessa88 bestätigte, dass der Großteil der Gelder über LocalBitcoins gewaschen wurde.

Eine von der Insikt Group durchgeführte Analyse der Transaktionen im Zusammenhang mit dem bestätigten Bitcoin-Wallet Tessa88 unter Verwendung der Crystal Blockchain ergab, dass der Hacker mindestens 168 Bitcoins oder rund 90.000 US-Dollar erhalten hatte und dass der Großteil der Gelder letztlich über LocalBitcoins, einen beliebten Peer-to-Peer-Wechseldienst, gewaschen wurde. Trotz des Verschwindens des Schauspielers im Mai 2016 nutzte er sein Bitcoin-Wallet bis August 2017 weiter.

Ausblick

Die Insikt Group geht mit hoher Wahrscheinlichkeit davon aus, dass tessa88 einer von vielen Spitznamen ist, die Maksim Donakov geschaffen hat, um hochkarätige Datenbanken in Untergrund-Kriminalitätsforen zu verkaufen. Darüber hinaus ist es wahrscheinlich, dass Donakov mindestens seit 2012 im Dark Web aktiv war und auch die Spitznamen Paranoy777, Daykalif und tarakan72511 verwendete.

tessa88-identity-revealed-14-1.png

Maxim Donakov, auch bekannt als tessa88, Paranoy777 und Daykalif.

Maksim Donakov, dessen vollständiger Name Maksim Vladimirovich Donakov (Максим Владимирович Донаков) ist, wurde am 2. Juli 1989 geboren. Donakov ist ein Einwohner der Russischen Föderation, der früher in Jaroslawl lebte und später nach Pensa zog. Eine Analyse der Social-Media-Konten und anderer Quellen von Recorded Future bestätigt unsere Erkenntnisse zusätzlich.

Der durchgeführten Analyse zufolge wurden die Spitznamen tessa88, Paranoy777 und Daykalif absichtlich geschaffen, um kompromittierte Daten im Dark Web zu verkaufen. Angesichts der widersprüchlichen Informationen zu den Sicherheitsverletzungen bei den oben genannten Unternehmen ist es schwierig, die tatsächlichen Taktiken, Techniken und Verfahren (TTPs) der Hacker zu identifizieren. Die noch ausstehende Untersuchung des Falls Jewgeni Nikulin, der mit dem LinkedIn-Datenleck in Zusammenhang steht, könnte jedoch Licht in die Sache bringen und die verbleibenden Lücken schließen.

1Recorded Future observed tessa88 selling PII from high-profile databases on a Russian hacking forum as early as February 2, 2016.

2SudAct (sudact.ru) is the largest non-governmental Russian website of judicial records.

Verwandte Nachrichten & Forschung