연구(Insikt)

악명 높은 해커 tessa88의 실체가 밝혀졌습니다.

게시일: 2018년 11월 20일

작성자: Insikt Group

_범위참고: 인식트 그룹은 다음 행위자 프로필을 생성하기 위해 OSINT, 레코딩된 미래 데이터, 다크웹 분석을 사용하여 행위자 tessa88이 사용한 연락처 정보, 대체 가명, TTP를 식별했습니다.

이 프로필은 주로 미국과 러시아에 위치한 이메일 서비스 제공업체, 소셜 미디어 및 기술 회사에서 가장 관심을 가질 것입니다.

Executive Summary

2016년 초, tessa88이라는 가명으로 활동하던 알려지지 않은 해커가 유출된 유명 데이터베이스의 광범위한 목록을 판매하겠다고 공개적으로 등장했습니다. 해커는 VKontakte, Mobango, Myspace, Badoo, QIP, Dropbox, Rambler, LinkedIn, Twitter와 같은 회사의 데이터베이스를 판매하겠다고 제안했습니다. 놀라울 정도로 활발한 대중의 참여로 몇 달 만에 해커의 페르소나는 여러 가지 이유로 거의 모든 다크 웹 커뮤니티에서 금지되었고, 2016년 5월에 tessa88은 미디어 및 대중과의 모든 커뮤니케이션을 완전히 중단했습니다. 그 후 몇 달 동안 해커의 정체를 밝히기 위한 수많은 시도가 이루어졌습니다. 그러나 tessa88과 실제 개인을 연결할 수 있는 구체적인 증거는 발견되지 않았습니다.

새로운 연구 결과에 따르면 tessa88의 배후는 다크 웹에서 여러 다른 이름으로 활동한 러시아 펜자의 막심 도나코프일 가능성이 높습니다. 도나코프가 tessa88 계정을 유지하는 데 도움을 준 두 번째 신원 미상의 개인이 완벽한 OPSEC 절차를 준수하며 현재까지도 익명으로 남아 있을 가능성이 있습니다. 두 시나리오 모두 도나코프 막심은 유출된 데이터베이스 판매로 직접적인 이득을 취했으며, 주범으로 간주해야 한다고 생각합니다.

주요 판단

tessa88의 범죄 경력은 2012년 초부터 시작된 것으로 보이며, 그 이전에는 LinkedIn, Dropbox, Yahoo 등의 개인정보 유출 사건이 발생하기도 했습니다. 이들은 유명 데이터베이스를 판매하기 위해 tessa88이라는 별칭을 만들었을 가능성이 높습니다.
tessa88이라는 닉네임 뒤에 숨어 있는 실제 인물의 이미지와 지하 포럼 토론을 바탕으로 분석한 결과, tessa88은 여성이 아닌 남성이라는 사실을 높은 신뢰도로 판단할 수 있었습니다.
분석 결과 tessa88이라는 닉네임은 파라노이777, 데이칼리프, 타라칸72511이라는 별칭과 연결되어 있는 것으로 나타났습니다. 모두 비슷한 소셜 미디어 사진을 공유하는데, Paranoy777의 배후인 막심 도나코프의 여권 사진과 거의 동일합니다.
조사 결과 막심 블라디미로비치 도나코프(Донаков, Максим Владимирович)는 러시아 연방 거주자인 것으로 밝혀졌습니다.

테사88의 정체를 밝혀내다.

배경

스테바스고아, 자넷93으로도 알려진 위협 행위자 테사88은 2016년 2월부터 5월까지 링크드인, 브콘탁테, 페이스북, 마이스페이스, 트위터 등 여러 유명 데이터베이스 판매에 관여한 유명 해커입니다. 일부 언론에서는 배우가 러시아어를 사용하는 여성이라고 믿고 있습니다. tessa88은 짧은 기간 동안만 활동했으며, 그 기간 동안 LinkedIn, VKontakte, Yahoo, Yandex, Rambler, MySpace, Badoo, QIP, Mobango 등의 웹사이트에서 데이터베이스를 판매했습니다. tessa88은 결국 다른 회원들로부터 사기 행위로 고발당해 여러 포럼에서 이용이 금지되었습니다.

레코디드 퓨처 데이터에 따르면 Peace_of_Mind라는 배우가 2016년 5월 16일에 현재 사라진 더리얼딜 마켓에서 LinkedIn 데이터베이스를 판매한 것으로 나타났습니다. LinkedIn 침해로 인해 2016년 10월 러시아 국적의 예브게니 니쿨린(Евгений Никулин)이 FBI에 체포되었습니다. 당시 체코에 있던 니쿨린은 나중에 미국으로 인도되었습니다. 러시아 정부는 미국의 행동이 정치적 동기에 의한 것이라고 주장하며, 니쿨린의 범죄인 인도에 맞서기 위해 2016년 11월에 그가 웹머니 3,450달러를 훔쳤다며 체포 영장을 발부했습니다. 이 보고서를 작성할 당시에는 아직 조사가 진행 중이며 Nikulin과 Peace_of_Mind를 연결 짓는 명확한 증거는 발견되지 않았습니다.

마더보드는 범죄 조직의 베테랑 멤버라고 주장하며 Peace_of_Mind가 판매하던 데이터베이스를 훔쳤다고 주장한 tessa88과의 인터뷰에서 얻은 결과를 발표했습니다. Peace_of_Mind는 tessa88이 온라인 판매를 위해 친구로부터 데이터베이스를 훔쳤다고 주장했습니다.

사이버 보안 회사 InfoArmor의 보고서에 따르면 tessa88은 "그룹 E"로 알려진 해커 그룹이 훔친 계정과 개인 식별 정보(PII)를 판매한 대리인 역할을 했다고 주장합니다. InfoArmor는 tessa88이 2016년 2월부터 이러한 유명 데이터베이스의 계정을 최초로 판매했다고 주장하며, Recorded Future 데이터가 이를 확인했습니다^.1 2016년 5월경, InfoArmor는 tessa88과 Peace_of_Mind가 두 행위자 간의 방대한 양의 데이터를 신속하게 수익화하기 위해 각자의 데이터베이스 중 적어도 일부를 서로 공유하기로 합의했다고 주장했습니다. 다른 언더그라운드 커뮤니티 회원들이 데이터의 품질이 좋지 않다고 주장하면서 tessa88과 Peace_of_Mind의 관계는 악화되었습니다. 이 보고서가 정확하다면 이는 마더보드의 조사 결과를 확증하는 것이며, 두 업체 간의 노골적인 적대감을 설명할 수 있습니다.

테사88-아이덴티티-공개-2-1.png

2016년 2월부터 5월까지 다크웹에서 tessa88(스테바스고아라고도 함)의 활동.

위협 분석

다크웹 활동 분석 결과, tessa88은 자버 계정 tessa88@exploit[.]im을 포함한 여러 채팅 및 이메일 계정과 연결되어 있었습니다, tessa88@xmpp[.]jp, mrfreeman777@xmpp[.]jp, darksideglobal@exploit[.]im, ICQ 계정 740455, 이메일 주소 firetessa@yahoo[.]com을 사용하세요.

테사88-아이덴티티-공개-3-1.png

현재는 사라진 지하 포럼에서 LinkedIn과 MySpace를 포함한 웹사이트의 데이터베이스를 판매한 tessa88.

tessa88@exploit[.]im tessa88이 언더그라운드 포럼의 판매 스레드에서 사용한 재버 계정은 트위터 계정 @firetessa로 이어졌고, 2016년 7월 5일에 트위터 계정 tessa88@exploit[.] 는 그들의 것이었습니다.

테사88-아이덴티티-공개-4-1.png

tessa88@exploit[.]im이 자신의 계정이라고 주장하는 트위터 계정 @firetessa의 트윗입니다.

언더그라운드 커뮤니티의 회원인 배우 TraX는 tessa88이 남자라고 주장하며 언더그라운드 포럼에 해당 배우의 사진을 게시했습니다. TraX는 또한 tessa88이 LinkedIn, MySpace, 야후와 같은 최근의 대규모 침해 사건의 배후에 있다고 밝혔으며, 이 정보를 기자들과 공유하겠다는 의사를 표명하기도 했습니다.

테사88-아이덴티티-공개-5-1.png

TraX가 언더그라운드 포럼에 게시한 tessa88의 사진으로 추정되는 사진.

그 후 OSINT는 Imgur 계정 tarakan72511을 확인했고, 이 계정은 HelloWorld 및 Ibm33a14라는 사용자와 야후 및 이퀴팩스 침해와 관련된 토론 스크린샷을 게시했습니다. Ibm33a14는 2017년 여러 사이버 범죄 포럼에서 야후와 에퀴팩스 데이터베이스 원본을 가지고 있다고 주장한 러시아어를 사용하는 공격자입니다.

테사88-아이덴티티-공개-6-1.png

타라칸72511이 게시한 야후와 에퀴팩스 관련 토론 스크린샷입니다.

같은 Imgur 계정에서도 2017년에 'tessa88'이라는 제목의 사진을 게시했는데, 앞서 TraX가 올린 사진에 묘사된 인물과 비슷한 체형과 헤어스타일을 가진 남성이 등장합니다.

테사88-아이덴티티-공개-7-1.png

tarakan72511이 Imgur에 게시한 tessa88의 잠재적 사진입니다.

타라칸72511이라는 닉네임은 자버 계정인 타라칸72511@chatme[.]im을 사용하는 배우 Paranoy777이 사용하는 별칭입니다. Paranoy777과 tessa88은 모두 2016년 2월부터 5월까지 대형 소셜 미디어 및 기술 회사에서 훔친 데이터베이스를 판매한 판매자였습니다.

레코디드 퓨처는 다른 회원이 tarakan72511을 상대로 제기한 불만 사항을 확인했으며, 이 회원은 데이칼리프가 대규모 데이터베이스를 거래하는 러시아어를 사용하는 사기꾼이며 Jabber 계정인 daykalif@xmpp[.]jp를 사용했다고 주장했습니다. 그리고 tarakan72511@chatme[.]im - 배우 Paranoy777이 사용하는 것과 동일한 자버 계정으로, 이 계정은 다시 tarakan72511에 연결되어 있습니다. 이 주장이 사실이라면 사용자 Paranoy777과 Daykalif가 동일인일 가능성이 높습니다.

테사88-아이덴티티-공개-8-1.png

데이칼리프가 Jabber 계정을 사용했다고 주장하는 고발장이 형사 포럼에 올라온 것 daykalif@xmpp[.]jp 및 tarakan72511@chatme[.]im.

Imgur 계정 tarakan72511이 제공한 추가 정보에 따르면 이 사용자는 열렬한 개 애호가인 것으로 밝혀졌습니다. OSINT는 유기견에게 먹이를 주는 동영상을 게시한 유사한 사용자 아이디를 가진 유튜브 계정(Tarakan72511 Donakov )을 확인했습니다. 영상 중에 러시아 펜자에 있다는 목소리가 들렸습니다. 영상에 등장하는 차량은 미쓰비시 랜서(등록 번호 K652BO 58)입니다.

테사88-아이덴티티-공개-9-1.png

타라칸72511 도나코프의 YouTube 프로필입니다.

또한 영상 56초에는 가이 포크스 마스크가 등장합니다. 타라칸72511 도나코프의 유튜브 프로필에 있는 아바타에도 비슷한 마스크가 사용되었으며, TraX가 공유한 이미지 속 인물도 이 마스크를 착용하고 있습니다.

테사88-아이덴티티-공개-10-1.png

유튜브 동영상, 유튜브 아바타, TraX의 이미지에 등장하는 가이 포크스 마스크.

펜자(Пенза)의 도나코프(Донаков)에 대해 수집한 OSINT는 2017년 미쓰비시 랜서를 운전하다 발생한 교통사고를 포함해 러시아 야로슬라블과 펜자에서 도나코프 엠.브./도나코프 엠.브.라는 사람이 여러 건의 범죄를 저지른 사실을 밝혀냈습니다. 야로슬라블 출신으로 이후 펜자로 이주한 도나코프 막심 블라디미로비치(Донаков, Максим Владимирч)라는 개인은 사고 이전에 수년간 감옥에서 복역한 적이 있다고 SudAct의 여러 기사에서 언급되기도 했습니다^.2

이러한 기록을 바탕으로 연구팀은 막심 도나코프라는 이름을 가진 세 명의 오드노클라스니키 프로필을 확인했는데, 이 중 두 명은 현재 위치를 야로슬라블로, 한 명은 펜자로 기재했습니다. 첫 번째 오드노클라스니키 프로필은 야로슬라블에 거주하며 1989년 7월 2일에 태어난 남성의 것입니다. 이 사용자는 2013년 9월 9일에 마지막으로 사이트를 방문했습니다. 두 번째 오드노클라스니키 프로필의 이름과 생년월일은 이전 프로필과 동일합니다. 프로필 사진과 다른 이미지 모두 tarakan72511의 Imgur 이미지에서 볼 수 있는 동일한 인물을 묘사하고 있습니다. 번호판 А 134МК 76의 미쓰비시 랜서에 주목하세요.

테사88-아이덴티티-공개-11-1.png

막심 도나코프의 Odnoklassniki 프로필 이미지.

두 번째 오드노클라스니키 프로필을 분석한 결과, 이 배우는 우크라이나 페르보마이스크에 거주하는 것으로 추정되는 다른 사용자 'Ядовитый Таракан'(야도비티 타라칸)과 연결되어 있는 것으로 밝혀졌습니다. 야도비티 타라칸의 이름은 Imgur 계정 타라칸72511과 동의어이며, 이 사람의 프로필 사진은 도나코프 막심과 매우 흡사합니다. 페르보마이스크는 막심 도나코프의 실제 출생지라는 점을 언급할 가치가 있습니다. 위에서 언급된 사실을 고려할 때, 우리는 야도비티 타라칸의 프로필도 도나코프 맥심에 속한다고 높은 신뢰도를 가지고 평가합니다.

테사88-아이덴티티-공개-12-1.png

사용자 아이디 "Ядовитый Таракан"을 가진 또 다른 Odnoklassniki 프로필은 Maxim Donakov가 만들었습니다.

또한, 기밀 소식통에 따르면 막심(막심) 도나코프는 1989년 7월 2일에 태어난 실존 인물이라고 합니다. SudAct에 따르면 도나코프는 경찰의 감독 하에 석방되었지만 2014년에 또 다른 범죄를 저지른 후 수감되었습니다. 이는 도나코프가 이전 계정의 로그인 정보를 잊어버린 경우 출소 후 새 프로필을 만들어야 했기 때문에 여러 개의 Odnoklassniki 프로필이 존재하는 것으로 추정할 수 있습니다.

OSINT는 전화 번호 +79022222229을 사용하는 Maxim Ivanov의 VKontakte 프로필, Vkrugudruzei 및 Valet.ru의 프로필, 전화 번호 +17789981919을 사용하는 YouTube 계정 Maxim Donakov 등 Donakov(tessa88)와 관련된 것으로 보이는 다른 계정과 연락처 정보를 확인했습니다. "Максим Донаков"를 웹에서 검색하면 Freelance.ru의 Gulik01 프로필이 표시됩니다, tessa88(도나코프)의 소유일 가능성이 높습니다. Gulik01의 계정 정보에 따르면 러시아어를 사용하는 정보 기술 프리랜서라고 나와 있습니다.

또한 유출된 데이터베이스에서 추가 검색을 통해 1989년 7월 2일에 태어난 펜자 거주자 막심 도나코프(Maksim Donakov)를 확인했는데, 앞서 언급한 Odnoklassniki 프로필의 사용자 프로필 정보와 동일한 인물로 보이는 Imgur 사용자 tarakan72511이 올린 "tessa88" 이미지와 일치했습니다. 다시 말하지만, 이 모든 것이 tessa88이 실제로 막심 도나코프임을 나타냅니다.

tessa88의 비트코인 지갑을 분석한 결과, 대부분의 자금이 로컬비트코인을 통해 세탁된 것으로 확인되었습니다.

인식트 그룹이 크리스탈 블록체인을 사용하여 확인된 테사88 비트코인 지갑과 관련된 거래를 분석한 결과, 해커는 최소 168비트코인, 약 9만 달러를 받았으며 대부분의 자금은 결국 인기 P2P 거래소 서비스인 로컬비트코인스를 통해 세탁된 것으로 밝혀졌습니다. 2016년 5월에 배우가 실종되었지만, 2017년 8월까지 비트코인 지갑을 계속 사용했습니다.

전망

인식트 그룹은 tessa88이 막심 도나코프가 지하 범죄 포럼에서 유명 데이터베이스를 판매하기 위해 만든 많은 별명 중 하나라고 높은 신뢰도를 가지고 평가합니다. 또한 도나코프는 적어도 2012년부터 다크웹에서 활동했으며 Paranoy777, Daykalif, tarakan72511이라는 닉네임도 사용했을 가능성이 높습니다.

테사88-아이덴티티-공개-14-1.png

막심 도나코프(tessa88, Paranoy777, Daykalif로도 알려져 있습니다.

막심 도나코프의 본명은 막심 블라디미로비치 도나코프(Максим Владимировч Донаков)로, 1989년 7월 2일에 태어났습니다. 도나코프는 이전에 야로슬라블에 살다가 펜자로 이주한 러시아 연방 거주자입니다. 레코디드 퓨처의 소셜 미디어 계정과 기타 자료를 분석한 결과, 이 같은 사실이 추가로 확인되었습니다.

수행된 분석에 따르면 tessa88, Paranoy777, Daykalif라는 닉네임은 다크웹에서 유출된 데이터를 판매하기 위해 의도적으로 생성된 것으로 밝혀졌습니다. 앞서 언급한 기업의 침해와 관련된 모순된 정보를 고려할 때 해커가 적용한 실제 전술, 기술 및 절차(TTP)를 식별하기는 어렵습니다. 그러나 현재 진행 중인 예브게니 니쿨린의 사건에 대한 조사가 LinkedIn 데이터 유출 사건과 연계되어 있어 이 이야기의 실마리를 밝히고 나머지 공백을 메울 수 있을 것입니다.

^{1레코디드}퓨처는 2016년 2월 2일에 러시아 해킹 포럼에서 tessa88이 유명 데이터베이스의 PII를 판매하는 것을 목격했습니다.

^2SudAct(sudact.ru)는 러시아에서 가장 큰 비정부 사법 기록 웹사이트입니다.