악명 높은 해커 tessa88의 실체가 밝혀졌습니다.

_범위참고: 인식트 그룹은 다음 행위자 프로필을 생성하기 위해 OSINT, 레코딩된 미래 데이터, 다크웹 분석을 사용하여 행위자 tessa88이 사용한 연락처 정보, 대체 가명, TTP를 식별했습니다.

이 프로필은 주로 미국과 러시아에 위치한 이메일 서비스 제공업체, 소셜 미디어 및 기술 회사에서 가장 관심을 가질 것입니다.

Executive Summary

2016년 초, tessa88이라는 가명으로 활동하던 알려지지 않은 해커가 유출된 유명 데이터베이스의 광범위한 목록을 판매하겠다고 공개적으로 등장했습니다. 해커는 VKontakte, Mobango, Myspace, Badoo, QIP, Dropbox, Rambler, LinkedIn, Twitter와 같은 회사의 데이터베이스를 판매하겠다고 제안했습니다. 놀라울 정도로 활발한 대중의 참여로 몇 달 만에 해커의 페르소나는 여러 가지 이유로 거의 모든 다크 웹 커뮤니티에서 금지되었고, 2016년 5월에 tessa88은 미디어 및 대중과의 모든 커뮤니케이션을 완전히 중단했습니다. 그 후 몇 달 동안 해커의 정체를 밝히기 위한 수많은 시도가 이루어졌습니다. 그러나 tessa88과 실제 개인을 연결할 수 있는 구체적인 증거는 발견되지 않았습니다.

새로운 연구 결과에 따르면 tessa88의 배후는 다크 웹에서 여러 다른 이름으로 활동한 러시아 펜자의 막심 도나코프일 가능성이 높습니다. 도나코프가 tessa88 계정을 유지하는 데 도움을 준 두 번째 신원 미상의 개인이 완벽한 OPSEC 절차를 준수하며 현재까지도 익명으로 남아 있을 가능성이 있습니다. 두 시나리오 모두 도나코프 막심은 유출된 데이터베이스 판매로 직접적인 이득을 취했으며, 주범으로 간주해야 한다고 생각합니다.

Uncovering tessa88’s true identity.

배경

스테바스고아, 자넷93으로도 알려진 위협 행위자 테사88은 2016년 2월부터 5월까지 링크드인, 브콘탁테, 페이스북, 마이스페이스, 트위터 등 여러 유명 데이터베이스 판매에 관여한 유명 해커입니다. 일부 언론에서는 배우가 러시아어를 사용하는 여성이라고 믿고 있습니다. tessa88은 짧은 기간 동안만 활동했으며, 그 기간 동안 LinkedIn, VKontakte, Yahoo, Yandex, Rambler, MySpace, Badoo, QIP, Mobango 등의 웹사이트에서 데이터베이스를 판매했습니다. tessa88은 결국 다른 회원들로부터 사기 행위로 고발당해 여러 포럼에서 이용이 금지되었습니다.

Recorded Future data shows that the actor Peace_of_Mind, also known as Peace, was selling a LinkedIn database as early as May 16, 2016 on the currently defunct TheRealDeal Market. The LinkedIn breach resulted in the arrest of Russian national Yevgeniy Nikulin (Евгений Никулин) by the FBI in October 2016. Nikulin was in the Czech Republic at the time and was later extradited to the United States. The Russian government claimed that the actions of the U.S. were politically motivated, and in an effort to fight Nikulin’s extradition, issued a warrant for his arrest in November 2016, alleging the individual had stolen $3,450 in WebMoney. At the time of this report, the investigation is still pending, and no clear evidence has been produced linking Nikulin to Peace_of_Mind.

마더보드는 범죄 조직의 베테랑 멤버라고 주장하며 Peace_of_Mind가 판매하던 데이터베이스를 훔쳤다고 주장한 tessa88과의 인터뷰에서 얻은 결과를 발표했습니다. Peace_of_Mind는 tessa88이 온라인 판매를 위해 친구로부터 데이터베이스를 훔쳤다고 주장했습니다.

A report from the cybersecurity firm InfoArmor claims that tessa88 acted as a proxy who sold accounts and personally identifiable information (PII) stolen by a group of hackers identified as “Group E.” InfoArmor claims that tessa88 was the first to sell accounts from many of these high-profile databases beginning as far back as February 2016, which Recorded Future data confirmed.¹ Around May 2016, InfoArmor claimed that tessa88 and Peace_of_Mind made an agreement to share at least some of their respective databases between one another in a likely attempt to expedite monetizing the massive amount of data between the two actors. The relationship between tessa88 and Peace_of_Mind deteriorated as other members of the underground communities claimed the data was of poor quality. If this report is accurate, this corroborates Motherboard’s findings and explains the outspoken hostility between the two actors.

2016년 2월부터 5월까지 다크웹에서 tessa88(스테바스고아라고도 함)의 활동.

위협 분석

다크웹 활동 분석 결과, tessa88은 자버 계정 tessa88@exploit[.]im을 포함한 여러 채팅 및 이메일 계정과 연결되어 있었습니다, tessa88@xmpp[.]jp, mrfreeman777@xmpp[.]jp, darksideglobal@exploit[.]im, ICQ 계정 740455, 이메일 주소 firetessa@yahoo[.]com을 사용하세요.

현재는 사라진 지하 포럼에서 LinkedIn과 MySpace를 포함한 웹사이트의 데이터베이스를 판매한 tessa88.

tessa88@exploit[.]im tessa88이 언더그라운드 포럼의 판매 스레드에서 사용한 재버 계정은 트위터 계정 @firetessa로 이어졌고, 2016년 7월 5일에 트위터 계정 tessa88@exploit[.] 는 그들의 것이었습니다.

tessa88@exploit[.]im이 자신의 계정이라고 주장하는 트위터 계정 @firetessa의 트윗입니다.

언더그라운드 커뮤니티의 회원인 배우 TraX는 tessa88이 남자라고 주장하며 언더그라운드 포럼에 해당 배우의 사진을 게시했습니다. TraX는 또한 tessa88이 LinkedIn, MySpace, 야후와 같은 최근의 대규모 침해 사건의 배후에 있다고 밝혔으며, 이 정보를 기자들과 공유하겠다는 의사를 표명하기도 했습니다.

TraX가 언더그라운드 포럼에 게시한 tessa88의 사진으로 추정되는 사진.

그 후 OSINT는 Imgur 계정 tarakan72511을 확인했고, 이 계정은 HelloWorld 및 Ibm33a14라는 사용자와 야후 및 이퀴팩스 침해와 관련된 토론 스크린샷을 게시했습니다. Ibm33a14는 2017년 여러 사이버 범죄 포럼에서 야후와 에퀴팩스 데이터베이스 원본을 가지고 있다고 주장한 러시아어를 사용하는 공격자입니다.

타라칸72511이 게시한 야후와 에퀴팩스 관련 토론 스크린샷입니다.

That same Imgur account also posted a picture titled “tessa88” in 2017, showing a man whose body type and hairstyle are similar to the individual depicted in the aforementioned picture posted by TraX.

tarakan72511이 Imgur에 게시한 tessa88의 잠재적 사진입니다.

타라칸72511이라는 닉네임은 자버 계정인 타라칸72511@chatme[.]im을 사용하는 배우 Paranoy777이 사용하는 별칭입니다. Paranoy777과 tessa88은 모두 2016년 2월부터 5월까지 대형 소셜 미디어 및 기술 회사에서 훔친 데이터베이스를 판매한 판매자였습니다.

Recorded Future identified a complaint filed against tarakan72511 in which another member claimed that Daykalif is a Russian-speaking scammer who was trading large databases and used the Jabber accounts daykalif@xmpp[.]jp and tarakan72511@chatme[.]im — the same Jabber account used by the actor Paranoy777, who, in turn, is connected to tarakan72511. If this claim is true, then it is likely that the users Paranoy777 and Daykalif are the same person.

데이칼리프가 Jabber 계정을 사용했다고 주장하는 고발장이 형사 포럼에 올라온 것 daykalif@xmpp[.]jp 및 tarakan72511@chatme[.]im.

More information provided by Imgur account tarakan72511 revealed that the user is apparently an avid dog lover. OSINT identified a YouTube account with a similar username — Tarakan72511 Donakov — who posted a video showing someone feeding stray dogs. During the video, a voice was heard stating that they are in Penza, Russia. The vehicle in the video is Mitsubishi Lancer with the registration number K652BO 58.

Tarakan72511 Donakov’s YouTube profile.

Moreover, at 56 seconds in the video, a Guy Fawkes mask is seen. A similar mask was used as the avatar on Tarakan72511 Donakov’s YouTube profile and is also worn by the person on the image shared by TraX.

The Guy Fawkes mask seen in the YouTube video, YouTube avatar, and in TraX’s image.

OSINT gathered on Donakov (Донаков) from Penza (Пенза) revealed that someone named Донаков М.В./Donakov M.V. committed several crimes in the Russian cities of Yaroslavl and Penza, including a motor vehicle accident that happened while driving a Mitsubishi Lancer in 2017. An individual named Donakov, Maksim Vladimirovich (Донаков, Максим Владимирович), originally from Yaroslavl and later having moved to Penza, was also mentioned in multiple articles from SudAct, stating that the individual had spent several years in prison prior to the accident.²

Pivoting from these records, the research identified three Odnoklassniki profiles, all with the name Maxim Donakov — two of which listed their current location as Yaroslavl, and one as Penza. The first Odnoklassniki profile belongs to a man who was residing in Yaroslavl and was born on July 2, 1989. The user last visited the site on September 9, 2013. The second Odnoklassniki profile has the same name and date of birth as the previous profile. Both the profile picture and other images depict the same individual seen in the Imgur image from tarakan72511. Note the Mitsubishi Lancer with the license plate А 134МК 76.

막심 도나코프의 Odnoklassniki 프로필 이미지.

The analysis of the second Odnoklassniki profile revealed that the actor is linked to another user, “Ядовитый Таракан” (Yadovitiy Tarakan), allegedly residing in Pervomaysk, Ukraine. Yadovitiy Tarakan’s name is synonymous with the Imgur account tarakan72511, and the profile photo of the person strongly resembles Donakov Maxim. It is worth mentioning that Pervomaysk is Maxim Donakov’s real place of birth. Considering the facts mentioned above, we assess with a high degree of confidence that Yadovitiy Tarakan’s profile also belongs to Donakov Maxim.

Another Odnoklassniki profile with the username “Ядовитый Таракан” created by Maxim Donakov.

또한, 기밀 소식통에 따르면 막심(막심) 도나코프는 1989년 7월 2일에 태어난 실존 인물이라고 합니다. SudAct에 따르면 도나코프는 경찰의 감독 하에 석방되었지만 2014년에 또 다른 범죄를 저지른 후 수감되었습니다. 이는 도나코프가 이전 계정의 로그인 정보를 잊어버린 경우 출소 후 새 프로필을 만들어야 했기 때문에 여러 개의 Odnoklassniki 프로필이 존재하는 것으로 추정할 수 있습니다.

OSINT identified other accounts and contact information likely related to Donakov (tessa88), such as a VKontakte profile for Maxim Ivanov with the phone number +79022222229, profiles on Vkrugudruzei and Valet.ru, and the YouTube account Maxim Donakov with the phone number +17789981919. An open web search for “Максим Донаков” revealed the profile Gulik01 on Freelance.ru, which possibly belongs to tessa88 (Donakov). The account information for Gulik01 states that he is a Russian-speaking information technology freelancer.

Moreover, additional searches in leaked databases identified Maksim Donakov, a resident of Penza born on July 2, 1989, matching the user profile information from the aforementioned Odnoklassniki profiles and the image titled “tessa88” posted by the Imgur user tarakan72511, which depicts the same person. Again, all of this indicates that tessa88 is indeed Maksim Donakov.

The analysis of tessa88’s confirmed Bitcoin wallet, with the majority of funds being laundered through LocalBitcoins.

Insikt Group’s analysis of transactions associated with the confirmed tessa88 Bitcoin wallet using Crystal Blockchain revealed that the hacker received at least 168 Bitcoins, or approximately $90,000, and most of the funds were eventually laundered through LocalBitcoins, a popular peer-to-peer exchange service. Despite the actor's disappearance in May of 2016, he continued using his Bitcoin wallet until August 2017.

전망

인식트 그룹은 tessa88이 막심 도나코프가 지하 범죄 포럼에서 유명 데이터베이스를 판매하기 위해 만든 많은 별명 중 하나라고 높은 신뢰도를 가지고 평가합니다. 또한 도나코프는 적어도 2012년부터 다크웹에서 활동했으며 Paranoy777, Daykalif, tarakan72511이라는 닉네임도 사용했을 가능성이 높습니다.

막심 도나코프(tessa88, Paranoy777, Daykalif로도 알려져 있습니다.

Maksim Donakov, whose full name is Maksim Vladimirovich Donakov (Максим Владимирович Донаков), was born on July 2, 1989. Donakov is a resident of the Russian Federation who previously lived in Yaroslavl and later moved to Penza. Analysis of social media accounts and other sources from Recorded Future further confirm our findings.

According to the conducted analysis, the monikers tessa88, Paranoy777, and Daykalif were created intentionally to sell compromised data on the dark web. Considering the contradictory information regarding the breaches of the aforementioned companies, it is difficult to identify real tactics, techniques, and procedures (TTPs) applied by the hackers. However, the pending investigation of Yevgeniy Nikulin’s case, tied with the LinkedIn data leak, may shed light on this story and fill the remaining gaps.