Insiktレポート

悪名高いハッカーtessa88の正体が明らかに

投稿: 2018年11月20日
作成者 : Insikt Group

insikt-group-logo-updated-3-300x48.png

_Scope 注: 次のアクター プロファイルを作成するために、Insikt Group は OSINT、Recorded Future データ、およびダーク ウェブ分析を使用して、アクター tessa88 が使用した連絡先情報、代替エイリアス、TTP を特定しました。

このプロファイルは、主に米国とRussia._に拠点を置く電子メールサービスプロバイダー、ソーシャルメディア、テクノロジー企業にとって最も興味深いものになります

Executive Summary

2016年初頭、tessa88という偽名で活動していた、これまで知られていなかったハッカーが、侵害された注目度の高いデータベースの広範なリストを提供した後、公に登場しました。 ハッカーは、VKontakte、Mobango、Myspace、Badoo、QIP、Dropbox、Rambler、LinkedIn、Twitterなどの企業のデータベースを売りに出しました。 信じられないほど活発な公の関与が数か月以内に、ハッカーのペルソナはさまざまな理由でほぼすべてのダークウェブコミュニティから禁止され、2016年5月までに、tessa88はメディアや一般の人々とのコミュニケーションを完全に停止しました。 その後数か月で、ハッカーの正体を明らかにするための多くの試みが行われました。 しかし、tessa88 を実在の人物と結びつける具体的な証拠は出されませんでした。

新しい発見は、tessa88の背後にいる個人が、ダークウェブ上で複数の異なる名前で活動していたロシアのペンザのマクシム・ドナコフである可能性があることを強く示唆しています。 2人目の未知の人物が、ドナコフがtessa88アカウントを維持するのを手伝い、非の打ちどころのないOPSECの手続きを遵守し、今日まで匿名のままだった可能性がある。 どちらのシナリオでも、Donakov Maksimは侵害されたデータベースの販売から直接利益を得ており、主役と見なすべきであると私たちは固く信じています。

主な判断

  • tessa88’s criminal career likely began as early as 2012, before the breaches of LinkedIn, Dropbox, Yahoo, and others that were accredited to them. They likely created the alias tessa88 specifically to sell high-profile databases.
  • 私たちの分析は、tessa88というあだ名の背後に隠れている実在の人物の発見された画像と地下フォーラムの議論に基づいており、tessa88が女性ではなく男性であることを高い信頼性で評価することができます。
  • 私たちの分析では、tessa88 というモニカは、Paranoy777、Daykalif、tarakan72511 という別名に関連付けられていることが明らかになりました。 全員が、Paranoy777の背後にいるマクシム・ドナコフのパスポート写真とほぼ同じ、似たようなソーシャルメディアの写真を共有している。
  • Our research suggests that Donakov, Maksim Vladimirovich (Донаков, Максим Владимирович), is a resident of the Russian Federation.

tessa88-identity-revealed-1-1.jpg

Uncovering tessa88’s true identity.

背景

脅威アクターのtessa88は、stervasgoaおよびjannet93とも呼ばれ、2016年の2月から5月にかけて、LinkedIn、VKontakte、Facebook、MySpace、Twitterなどの複数の有名データベースの販売に関与した有名なハッカーです。 メディアの一部では、俳優はロシア語を話す女性であると考えられています。 tessa88 が活動していたのは短期間だけで、その間に LinkedIn、VKontakte、Yahoo、Yandex、Rambler、MySpace、Badoo、QIP、Mobango などの Web サイトからデータベースを販売していました。 tessa88は、他のメンバーからの詐欺行為の告発により、最終的に複数のフォーラムで禁止されました。

Recorded Future data shows that the actor Peace_of_Mind, also known as Peace, was selling a LinkedIn database as early as May 16, 2016 on the currently defunct TheRealDeal Market. The LinkedIn breach resulted in the arrest of Russian national Yevgeniy Nikulin (Евгений Никулин) by the FBI in October 2016. Nikulin was in the Czech Republic at the time and was later extradited to the United States. The Russian government claimed that the actions of the U.S. were politically motivated, and in an effort to fight Nikulin’s extradition, issued a warrant for his arrest in November 2016, alleging the individual had stolen $3,450 in WebMoney. At the time of this report, the investigation is still pending, and no clear evidence has been produced linking Nikulin to Peace_of_Mind.

マザーボードは、犯罪組織のベテランメンバーであると主張し、tessa88が販売していたデータベースを盗んだとしてPeace_of_Mindを告発したtessa88との インタビュー から、調査結果を公開しました。 Peace_of_Mindは、その見返りに、tessa88が友人からデータベースを盗んでオンラインで販売したと主張しました。

A report from the cybersecurity firm InfoArmor claims that tessa88 acted as a proxy who sold accounts and personally identifiable information (PII) stolen by a group of hackers identified as “Group E.” InfoArmor claims that tessa88 was the first to sell accounts from many of these high-profile databases beginning as far back as February 2016, which Recorded Future data confirmed.1 Around May 2016, InfoArmor claimed that tessa88 and Peace_of_Mind made an agreement to share at least some of their respective databases between one another in a likely attempt to expedite monetizing the massive amount of data between the two actors. The relationship between tessa88 and Peace_of_Mind deteriorated as other members of the underground communities claimed the data was of poor quality. If this report is accurate, this corroborates Motherboard’s findings and explains the outspoken hostility between the two actors.

tessa88-identity-revealed-2-1.png

2016年2月から5月にかけてのダークウェブ上でのtessa88(別名stervasgoa)の活動。

脅威分析

ダークウェブの活動を分析した結果、tessa88はJabberアカウントを含む複数のチャットアカウントや電子メールアカウントにつながりましたtessa88@exploit[.]イム、 tessa88@xmpp[.]jp さん、 mrfreeman777@xmpp[.]jp さん、 darksideglobal@exploit[.]im、ICQアカウント740455、メールアドレスfiretessa@yahoo[.]コム。

tessa88-identity-revealed-3-1.png

tessa88は、LinkedInやMySpaceなどのウェブサイトのデータベースを、現在は廃止されているアンダーグラウンドフォーラムで販売しています。

tessa88@exploit[.]IMの tessa88がアンダーグラウンドフォーラムのセールススレッドで使用しているJabberアカウントは、Twitterアカウント@firetessaにつながり、2016年7月5日にJabberアカウントがtessa88@exploit[.]IMの彼らのものでした。

tessa88-identity-revealed-4-1.png

Twitterアカウントからの ツイート@firetessa tessa88@exploit [.]私は彼らのものになる。

アンダーグラウンドコミュニティのメンバーである俳優TraXは、tessa88が男性であると述べ、アンダーグラウンドフォーラムに俳優の疑惑の写真を投稿しました。 TraXはまた、tessa88がLinkedIn、MySpace、Yahooなどの最近の大規模な侵害の背後にいると述べ、この情報を記者と共有する意欲さえ表明しました。

tessa88-identity-revealed-5-1.png

TraXがアンダーグラウンドフォーラムに投稿したtessa88の疑惑の写真。

その後、OSINTは、HelloWorldおよびIbm33a14の攻撃者とのYahooおよびEquifaxの侵害に関する議論のスクリーンショットを投稿したImgurアカウントtarakan72511を特定しました。 Ibm33a14はロシア語を話す攻撃者であり、2017年にいくつかのサイバー犯罪フォーラムでオリジナルのYahooおよびEquifaxデータベースダンプを持っていると主張しています。

tessa88-identity-revealed-6-1.png

tarakan72511が投稿したYahooとEquifaxに関するディスカッションのスクリーンショット。

That same Imgur account also posted a picture titled “tessa88” in 2017, showing a man whose body type and hairstyle are similar to the individual depicted in the aforementioned picture posted by TraX.

tessa88-identity-revealed-7-1.png

tarakan72511がImgurに投稿したtessa88の潜在的な写真。

tarakan72511というあだ名は、Jabberアカウントtarakan72511@chatme[.]です。 Paranoy777は、tessa88と同様に、2016年2月から5月にかけて、大手ソーシャルメディア企業やテクノロジー企業から盗まれたデータベースを販売していた。

Recorded Future identified a complaint filed against tarakan72511 in which another member claimed that Daykalif is a Russian-speaking scammer who was trading large databases and used the Jabber accounts daykalif@xmpp[.]jp and tarakan72511@chatme[.]im — the same Jabber account used by the actor Paranoy777, who, in turn, is connected to tarakan72511. If this claim is true, then it is likely that the users Paranoy777 and Daykalif are the same person.

tessa88-identity-revealed-8-1.png

刑事フォーラムで発見された、DaykalifがJabberアカウントを使用したと主張する訴状 daykalif@xmpp[.]日本語 およびtarakan72511@chatme[.]です。

More information provided by Imgur account tarakan72511 revealed that the user is apparently an avid dog lover. OSINT identified a YouTube account with a similar username — Tarakan72511 Donakov — who posted a video showing someone feeding stray dogs. During the video, a voice was heard stating that they are in Penza, Russia. The vehicle in the video is Mitsubishi Lancer with the registration number K652BO 58.

tessa88-identity-revealed-9-1.png

Tarakan72511 Donakov’s YouTube profile.

Moreover, at 56 seconds in the video, a Guy Fawkes mask is seen. A similar mask was used as the avatar on Tarakan72511 Donakov’s YouTube profile and is also worn by the person on the image shared by TraX.

tessa88-identity-revealed-10-1.png

The Guy Fawkes mask seen in the YouTube video, YouTube avatar, and in TraX’s image.

OSINT gathered on Donakov (Донаков) from Penza (Пенза) revealed that someone named Донаков М.В./Donakov M.V. committed several crimes in the Russian cities of Yaroslavl and Penza, including a motor vehicle accident that happened while driving a Mitsubishi Lancer in 2017. An individual named Donakov, Maksim Vladimirovich (Донаков, Максим Владимирович), originally from Yaroslavl and later having moved to Penza, was also mentioned in multiple articles from SudAct, stating that the individual had spent several years in prison prior to the accident.2

Pivoting from these records, the research identified three Odnoklassniki profiles, all with the name Maxim Donakov — two of which listed their current location as Yaroslavl, and one as Penza. The first Odnoklassniki profile belongs to a man who was residing in Yaroslavl and was born on July 2, 1989. The user last visited the site on September 9, 2013. The second Odnoklassniki profile has the same name and date of birth as the previous profile. Both the profile picture and other images depict the same individual seen in the Imgur image from tarakan72511. Note the Mitsubishi Lancer with the license plate А 134МК 76.

tessa88-identity-revealed-11-1.png

画像は、オドノクラスニキのマキシム・ドナコフのプロフィールから。

The analysis of the second Odnoklassniki profile revealed that the actor is linked to another user, “Ядовитый Таракан” (Yadovitiy Tarakan), allegedly residing in Pervomaysk, Ukraine. Yadovitiy Tarakan’s name is synonymous with the Imgur account tarakan72511, and the profile photo of the person strongly resembles Donakov Maxim. It is worth mentioning that Pervomaysk is Maxim Donakov’s real place of birth. Considering the facts mentioned above, we assess with a high degree of confidence that Yadovitiy Tarakan’s profile also belongs to Donakov Maxim.

tessa88-identity-revealed-12-1.png

Another Odnoklassniki profile with the username “Ядовитый Таракан” created by Maxim Donakov.

さらに、機密の情報源は、マキシム(マクシム)・ドナコフが1989年7月2日生まれの実在の人物であることを確認した。 SudActによると、ドナコフは警察の監視下で釈放されたが、2014年に別の犯罪を犯した後、投獄された。 これは、ドナコフが刑務所から釈放された後、以前のアカウントのログイン資格情報を忘れた場合、新しいプロファイルを作成することを余儀なくされた可能性があるため、複数のOdnoklassnikiプロファイルの存在を説明する可能性があります。

OSINT identified other accounts and contact information likely related to Donakov (tessa88), such as a VKontakte profile for Maxim Ivanov with the phone number +79022222229, profiles on Vkrugudruzei and Valet.ru, and the YouTube account Maxim Donakov with the phone number +17789981919. An open web search for “Максим Донаков” revealed the profile Gulik01 on Freelance.ru, which possibly belongs to tessa88 (Donakov). The account information for Gulik01 states that he is a Russian-speaking information technology freelancer.

Moreover, additional searches in leaked databases identified Maksim Donakov, a resident of Penza born on July 2, 1989, matching the user profile information from the aforementioned Odnoklassniki profiles and the image titled “tessa88” posted by the Imgur user tarakan72511, which depicts the same person. Again, all of this indicates that tessa88 is indeed Maksim Donakov.

tessa88-identity-revealed-13-1.png

The analysis of tessa88’s confirmed Bitcoin wallet, with the majority of funds being laundered through LocalBitcoins.

Insikt Group’s analysis of transactions associated with the confirmed tessa88 Bitcoin wallet using Crystal Blockchain revealed that the hacker received at least 168 Bitcoins, or approximately $90,000, and most of the funds were eventually laundered through LocalBitcoins, a popular peer-to-peer exchange service. Despite the actor's disappearance in May of 2016, he continued using his Bitcoin wallet until August 2017.

今後の展望

Insikt Groupは、tessa88がMaksim Donakovが地下の犯罪フォーラムで知名度の高いデータベースを販売するために作成した多くの名前の1つであると高い自信を持って評価しています。 さらに、ドナコフは少なくとも2012年からダークウェブで活動しており、Paranoy777、Daykalif、tarakan72511というあだ名も使用していた可能性が高い。

tessa88-identity-revealed-14-1.png

マキシム・ドナコフ、別名 tessa88、Paranoy777、Daykalif。

Maksim Donakov, whose full name is Maksim Vladimirovich Donakov (Максим Владимирович Донаков), was born on July 2, 1989. Donakov is a resident of the Russian Federation who previously lived in Yaroslavl and later moved to Penza. Analysis of social media accounts and other sources from Recorded Future further confirm our findings.

According to the conducted analysis, the monikers tessa88, Paranoy777, and Daykalif were created intentionally to sell compromised data on the dark web. Considering the contradictory information regarding the breaches of the aforementioned companies, it is difficult to identify real tactics, techniques, and procedures (TTPs) applied by the hackers. However, the pending investigation of Yevgeniy Nikulin’s case, tied with the LinkedIn data leak, may shed light on this story and fill the remaining gaps.

1Recorded Future observed tessa88 selling PII from high-profile databases on a Russian hacking forum as early as February 2, 2016.

2SudAct (sudact.ru) is the largest non-governmental Russian website of judicial records.

関連ニュース&研究