悪名高いハッカーtessa88の正体が明らかに

_Scope 注: 次のアクター プロファイルを作成するために、Insikt Group は OSINT、Recorded Future データ、およびダーク ウェブ分析を使用して、アクター tessa88 が使用した連絡先情報、代替エイリアス、TTP を特定しました。

このプロファイルは、主に米国とRussia._に拠点を置く電子メールサービスプロバイダー、ソーシャルメディア、テクノロジー企業にとって最も興味深いものになります

Executive Summary

2016年初頭、tessa88という偽名で活動していた、これまで知られていなかったハッカーが、侵害された注目度の高いデータベースの広範なリストを提供した後、公に登場しました。 ハッカーは、VKontakte、Mobango、Myspace、Badoo、QIP、Dropbox、Rambler、LinkedIn、Twitterなどの企業のデータベースを売りに出しました。 信じられないほど活発な公の関与が数か月以内に、ハッカーのペルソナはさまざまな理由でほぼすべてのダークウェブコミュニティから禁止され、2016年5月までに、tessa88はメディアや一般の人々とのコミュニケーションを完全に停止しました。 その後数か月で、ハッカーの正体を明らかにするための多くの試みが行われました。 しかし、tessa88 を実在の人物と結びつける具体的な証拠は出されませんでした。

新しい発見は、tessa88の背後にいる個人が、ダークウェブ上で複数の異なる名前で活動していたロシアのペンザのマクシム・ドナコフである可能性があることを強く示唆しています。 2人目の未知の人物が、ドナコフがtessa88アカウントを維持するのを手伝い、非の打ちどころのないOPSECの手続きを遵守し、今日まで匿名のままだった可能性がある。 どちらのシナリオでも、Donakov Maksimは侵害されたデータベースの販売から直接利益を得ており、主役と見なすべきであると私たちは固く信じています。

tessa88の正体を解き明かします。

背景

脅威アクターのtessa88は、stervasgoaおよびjannet93とも呼ばれ、2016年の2月から5月にかけて、LinkedIn、VKontakte、Facebook、MySpace、Twitterなどの複数の有名データベースの販売に関与した有名なハッカーです。 メディアの一部では、俳優はロシア語を話す女性であると考えられています。 tessa88 が活動していたのは短期間だけで、その間に LinkedIn、VKontakte、Yahoo、Yandex、Rambler、MySpace、Badoo、QIP、Mobango などの Web サイトからデータベースを販売していました。 tessa88は、他のメンバーからの詐欺行為の告発により、最終的に複数のフォーラムで禁止されました。

RecordedFutureのデータによると、Peaceとしても知られる俳優Peace_of_Mindは、2016年5月16日という早い時期に、現在は廃止されているTheRealDeal MarketでLinkedInデータベースを販売していました。 LinkedInの侵害により、2016年10月にロシア国籍のエフゲニー・ニクリン(Евгений Никулин)がFBIに 逮捕 されました。 ニクリンは当時チェコ共和国にいて、後に米国に 引き渡されました 。 ロシア政府は、米国の行動は政治的な動機によるものだと主張し、ニクリン氏の身柄引き渡しに対抗するために、2016年11月に、ニクリン氏がWebMoneyで3,450ドルを盗んだとして逮捕状を発行した。 この報告書の時点では、捜査はまだ保留中であり、ニクリンとPeace_of_Mindを結びつける明確な証拠は提出されていない。

マザーボードは、犯罪組織のベテランメンバーであると主張し、tessa88が販売していたデータベースを盗んだとしてPeace_of_Mindを告発したtessa88との インタビュー から、調査結果を公開しました。 Peace_of_Mindは、その見返りに、tessa88が友人からデータベースを盗んでオンラインで販売したと主張しました。

サイバーセキュリティ企業のInfoArmorのレポートによると、tessa88は、「グループE」と特定されたハッカーグループによって盗まれたアカウントと個人を特定できる情報(PII)を販売した代理人として機能したと主張しています。InfoArmorは、tessa88が2016年2月からこれらの有名なデータベースの多くからアカウントを最初に販売したと主張しており、これはRecorded Futureのデータで確認されています。¹ 2016年5月頃、InfoArmorは、tessa88とPeace_of_Mindが、2人のアクター間の膨大な量のデータの収益化を促進するために、それぞれのデータベースの少なくとも一部を相互に共有する契約を結んだと主張しました。 tessa88とPeace_of_Mindとの関係は、地下コミュニティの他のメンバーがデータの品質が悪いと主張したため、悪化しました。 このレポートが正確であれば、これはMotherboardの調査結果を裏付け、2人のアクター間の率直な敵意を説明しています。

2016年2月から5月にかけてのダークウェブ上でのtessa88(別名stervasgoa)の活動。

脅威分析

ダークウェブの活動を分析した結果、tessa88はJabberアカウントを含む複数のチャットアカウントや電子メールアカウントにつながりましたtessa88@exploit[.]イム、 tessa88@xmpp[.]jp さん、 mrfreeman777@xmpp[.]jp さん、 darksideglobal@exploit[.]im、ICQアカウント740455、メールアドレスfiretessa@yahoo[.]コム。

tessa88は、LinkedInやMySpaceなどのウェブサイトのデータベースを、現在は廃止されているアンダーグラウンドフォーラムで販売しています。

tessa88@exploit[.]IMの tessa88がアンダーグラウンドフォーラムのセールススレッドで使用しているJabberアカウントは、Twitterアカウント@firetessaにつながり、2016年7月5日にJabberアカウントがtessa88@exploit[.]IMの彼らのものでした。

Twitterアカウントからの ツイート@firetessa tessa88@exploit [.]私は彼らのものになる。

アンダーグラウンドコミュニティのメンバーである俳優TraXは、tessa88が男性であると述べ、アンダーグラウンドフォーラムに俳優の疑惑の写真を投稿しました。 TraXはまた、tessa88がLinkedIn、MySpace、Yahooなどの最近の大規模な侵害の背後にいると述べ、この情報を記者と共有する意欲さえ表明しました。

TraXがアンダーグラウンドフォーラムに投稿したtessa88の疑惑の写真。

その後、OSINTは、HelloWorldおよびIbm33a14の攻撃者とのYahooおよびEquifaxの侵害に関する議論のスクリーンショットを投稿したImgurアカウントtarakan72511を特定しました。 Ibm33a14はロシア語を話す攻撃者であり、2017年にいくつかのサイバー犯罪フォーラムでオリジナルのYahooおよびEquifaxデータベースダンプを持っていると主張しています。

tarakan72511が投稿したYahooとEquifaxに関するディスカッションのスクリーンショット。

その同じImgurアカウントは、2017年に「tessa88」というタイトルの写真を投稿し、TraXが投稿した前述の写真に描かれた人物と体型と髪型が似ている男性を示しています。

tarakan72511がImgurに投稿したtessa88の潜在的な写真。

tarakan72511というあだ名は、Jabberアカウントtarakan72511@chatme[.]です。 Paranoy777は、tessa88と同様に、2016年2月から5月にかけて、大手ソーシャルメディア企業やテクノロジー企業から盗まれたデータベースを販売していた。

Recorded Futureは、tarakan72511に対して提起された訴状を特定し、別のメンバーがDaykalifがロシア語を話す詐欺師であり、大規模なデータベースを取引し、Jabberアカウントを使用していたと主張しましたdaykalif@xmpp[.]日本語 およびtarakan72511@chatme[.]im — 俳優のParanoy777が使用したのと同じJabberアカウントであり、Paranoy777はtarakan72511に接続されています。 この主張が本当なら、ユーザーParanoy777とDaykalifは同一人物である可能性が高いです。

刑事フォーラムで発見された、DaykalifがJabberアカウントを使用したと主張する訴状 daykalif@xmpp[.]日本語 およびtarakan72511@chatme[.]です。

Imgurアカウントtarakan72511によって提供される詳細情報は、ユーザーが明らかに熱心な犬愛好家であることを明らかにしました。 OSINTは、Tarakan72511 Donakovという似たようなユーザー名のYouTubeアカウントが、野良犬に餌をやっている動画を投稿していることを確認しました。ビデオの中で、彼らがロシアのペンザにいるという声が聞こえました。 ビデオの車両は、登録番号K652BO58の三菱ランサーです。

Tarakan72511 ドナコフさんの YouTubeプロフィールです。

さらに、ビデオの56秒で、ガイ・フォークスのマスクが見えます。 同様のマスクは、Tarakan72511 DonakovのYouTubeプロフィールのアバターとして使用されており、TraXが共有した画像の人物も着用しています。

YouTubeの動画、YouTubeのアバター、TraXの画像に写っているガイ・フォークスのマスク。

OSINT gathered on Donakov (Донаков) from Penza (Пенза) revealed that someone named Донаков М.В./Donakov M.V. committed several crimes in the Russian cities of Yaroslavl and Penza, including a motor vehicle accident that happened while driving a Mitsubishi Lancer in 2017. An individual named Donakov, Maksim Vladimirovich (Донаков, Максим Владимирович), originally from Yaroslavl and later having moved to Penza, was also mentioned in multiple articles from SudAct, stating that the individual had spent several years in prison prior to the accident.²

これらの記録から基づいて、この調査では、オドノクラスニキのプロフィールが3つ特定され、そのすべてにマキシム・ドナコフという名前が付けられており、そのうちの2つは現在の場所をヤロスラブリと、1つはペンザと記載されていました。 最初のOdnoklassnikiプロフィールは、ヤロスラブリに居住し、1989年7月2日に生まれた男性のものです。ユーザーが最後にサイトにアクセスしたのは 2013 年 9 月 9 日です。 2 番目の Odnoklassniki プロファイルの名前と生年月日は、前のプロファイルと同じです。 プロフィール写真と他の画像はどちらも、tarakan72511のImgur画像に写っているのと同じ人物を描いています。 ナンバープレートА134МК76の三菱ランサーに注意してください。

画像は、オドノクラスニキのマキシム・ドナコフのプロフィールから。

2つ目のOdnoklassnikiプロフィールを分析したところ、この俳優はウクライナのペルヴォマイスクに住んでいるとされる別のユーザー「Ядовитый Таракан」(Yadovitiy Tarakan)とつながっていることが明らかになりました。 ヤドヴィティ・タラカンの名前は、Imgurアカウントtarakan72511の代名詞であり、その人物のプロフィール写真はドナコフ・マキシムに非常に似ています。 ペルボマイスクがマキシム・ドナコフの本当の出生地であることは言及する価値があります。 上記の事実を考慮すると、ヤドヴィティ・タラカンのプロフィールもドナコフ・マキシムのものであると高い信頼性で評価します。

Maxim Donakovによって作成された「Ядовитый Таракан」というユーザー名の別のOdnoklassnikiプロフィール。

さらに、機密の情報源は、マキシム(マクシム)・ドナコフが1989年7月2日生まれの実在の人物であることを確認した。 SudActによると、ドナコフは警察の監視下で釈放されたが、2014年に別の犯罪を犯した後、投獄された。 これは、ドナコフが刑務所から釈放された後、以前のアカウントのログイン資格情報を忘れた場合、新しいプロファイルを作成することを余儀なくされた可能性があるため、複数のOdnoklassnikiプロファイルの存在を説明する可能性があります。

OSINT identified other accounts and contact information likely related to Donakov (tessa88), such as a VKontakte profile for Maxim Ivanov with the phone number +79022222229, profiles on Vkrugudruzei and Valet.ru, and the YouTube account Maxim Donakov with the phone number +17789981919. An open web search for “Максим Донаков” revealed the profile Gulik01 on Freelance.ru, which possibly belongs to tessa88 (Donakov). The account information for Gulik01 states that he is a Russian-speaking information technology freelancer.

さらに、流出したデータベースをさらに検索したところ、1989年7月2日生まれのペンザ在住のマクシム・ドナコフが、前述のオドノクラスニキのプロフィールのユーザープロフィール情報と、Imgurのユーザーtarakan72511が投稿した「tessa88」というタイトルの画像と一致していることが判明しました。 繰り返しになりますが、これらすべては、tessa88が確かにマクシム・ドナコフであることを示しています。

tessa88の確認されたビットコインウォレットの分析で、資金の大部分はLocalBitcoinsを通じて洗浄されています。

Insikt Groupが Crystal Blockchain を使用して確認されたtessa88 ビットコインウォレットに関連する取引を分析したところ、ハッカーは少なくとも168ビットコイン(約90,000ドル)を受け取り、その資金の大部分は最終的に人気のあるピアツーピア交換サービスであるLocalBitcoinsを通じて洗浄されたことが明らかになりました。 俳優は2016年5月に失踪したにもかかわらず、彼は2017年8月までビットコインウォレットを使用し続けました。

今後の展望

Insikt Groupは、tessa88がMaksim Donakovが地下の犯罪フォーラムで知名度の高いデータベースを販売するために作成した多くの名前の1つであると高い自信を持って評価しています。 さらに、ドナコフは少なくとも2012年からダークウェブで活動しており、Paranoy777、Daykalif、tarakan72511というあだ名も使用していた可能性が高い。

マキシム・ドナコフ、別名 tessa88、Paranoy777、Daykalif。

マクシム・ドナコフ(Максим Владиммирович Донаков)は、1989年7月2日に生まれました。 ドナコフはロシア連邦の居住者で、以前はヤロスラブリに住んでいましたが、後にペンザに引っ越しました。 Recorded Futureのソーシャルメディアアカウントやその他の情報源の分析は、私たちの調査結果をさらに裏付けています。

実施された分析によると、tessa88、Paranoy777、Daykalifという名称は、ダークウェブで侵害されたデータを販売するために意図的に作成されました。 前述の企業の侵害に関する矛盾した情報を考慮すると、ハッカーが適用した実際の戦術、技術、および手順(TTP)を特定することは困難です。 しかし、エフゲニー・ニクリンの事件の捜査が保留されており、LinkedInのデータ流出と結びついているため、この話に光が当てられ、残されたギャップを埋めることができるかもしれません。