臭名昭著的黑客tessa88的真实身份揭晓

由Insikt Group于2018年11月20日

为了创建以下黑客资料，InsiktGroup使用OSINT，Recorded Future数据和暗网分析来识别黑客tessa88使用的联系信息，替代别名和TTP。

对于主要位于美国和俄罗斯的电子邮件服务提供商，社交媒体和技术公司而言，该黑客个人资料最受关注。

摘要

在2016年初，一名此前不为人知的黑客以tessa88的化名出现在公众面前，他提供了一份大规模的机密数据库待售清单。这名黑客公开出售VKontakte，Mobango，Myspace，Badoo，QIP，Dropbox，Rambler，LinkedIn和Twitter等公司的数据库。在公众面前令人难以置信的活跃了几个月后，该黑客因各种原因被禁止进入几乎所有暗网社区，到2016年5月，tessa88完全停止了与媒体和公众的所有通信。在接下来的几个月里，无数人试图揭开这个黑客的真实身份。然而，没有任何具体的证据表明tessa88与任何真实的个体有关。

新发现有力地表明，tessa88背后的人可能是俄罗斯奔萨（Penza）的马克西姆·多纳科夫（Maksim Donakov），可能是另一个不知名的人在帮助多纳科夫维持tessa88账户，遵守完美的OPSEC程序，直到今天仍然保持匿名。在这两种情况下，我们都坚信马克西姆·多纳科夫已经直接受益于泄露数据库的销售，甚至应该被视为主要的参与者。

关键的判断

• tessa88的犯罪生涯很可能早在2012年就开始了，当时LinkedIn，Dropbox，雅虎（Yahoo）以及其他获得证实的公司还未遭到入侵。他们创建了别名tessa88，用来专门出售高知名度的数据库。
• 我们的分析基于被发现的隐藏在tessa88名字背后的真人图像和地下论坛讨论，使我们能够非常自信地判断tessa88是男人而不是女人。
• 我们的分析显示，tessa88这个名字与别名Paranoy777，Daykalif和tarakan72511相关联。这些人都分享了类似的社交媒体照片，这些照片几乎与马克西姆·多纳科夫的护照照片一模一样。
• 我们的研究表明，Donakov,MaksimVladimirovich（Донаков,МаксимВладимирович）是俄罗斯联邦的居民。

揭开tessa88的真实身份

背景

tessa88，又名stervasgoa和jannet93，是一位著名的黑客，参与了2016年2月至5月期间出售多个高知名度的数据库，包括LinkedIn，VKontakte，Facebook，MySpace和Twitter。一些媒体认为这个黑客是一位讲俄语的女性。tessa88只活跃了很短的时间，在此期间他们出售来自LinkedIn，VKontakte，Yahoo，Yandex，Rambler，MySpace，Badoo，QIP和Mobango等网站的数据库。由于其他成员指控tessa88存在欺诈行为，tessa88最终在多个论坛上被禁。

RecordedFuture数据显示，黑客Peace_of_Mind，又名Peace，最早于2016年5月16日就在已经关闭的TheRealDeal市场上出售了一个LinkedIn数据库。LinkedIn漏洞导致FBI于2016年10月逮捕了俄罗斯的Yevgeniy Nikulin（ЕвгенийНикулин）。Nikulin当时在捷克共和国，后来被引渡到美国。俄罗斯政府声称，美国的行动是出于政治动机，为了阻止Nikulin的引渡，俄罗斯政府于2016年11月发布了逮捕令，指控此人已经窃取了3,450美元的网络货币。在撰写报告发布的时候，调查仍在进行中，并且没有明确的证据证明Nikulin与Peace_of_Mind有关。

Motherboard公布了他们在tessa88接受采访时的访谈结果，tessa88声称自己是“地下犯罪组织”的资深成员，并指控Peace_of_Mind窃取了tessa88正在出售的数据库。作为回复，Peace_of_Mind声称tessa88从一个朋友那里窃取了数据库然后在网上销售。

网络安全公司InfoArmor的一份报告称，tessa88充当代理人，出售“GroupE”黑客团队窃取的账户和个人身份信息（PII）。InfoArmor声称，RecordedFuture数据证实，tassa88最早从2016年2月开始销售这些高知名度数据库。2016年5月左右，InfoArmor宣布tessa88和Peace_of_Mind达成协议，双方至少分享一些各自的数据库，以加速两个黑客之间海量数据的货币化。由于地下社区的其他成员声称数据质量很差，tessa88与Peace_of_Mind之间的关系恶化。如果这份报告是准确的，这证实了Motherboard的调查结果，并解释了两个黑客之间直言不讳的敌意。

2016年2月至5月期间，tessa88（又名stervasgoa）在暗网上的活动

威胁情报分析

通过对暗网活动的分析，将tessa88关联到多个聊天和电子邮件帐户，包括Jabber帐户 tessa88@exploit.im ， tessa88@xmpp.jp ， mrfreeman777@xmpp.jp ， darksideglobal@exploit.im ，ICQ帐号740455，以及电子邮件地址 firetessa@yahoo.com 。

tessa88在一个地下论坛上出售来自LinkedIn和MySpace等网站的数据库。该论坛目前已不存在。

tessa88在地下论坛销售线索中使用的 tessa88@exploit.imJabber 帐户导致暴露了Twitter帐户 @firetessa ，该帐户于2016年7月5日发布推文称Jabber帐户 tessa88@exploit.im 是他们的。

来自Twitter帐户 @firetessa 的推文声称 tessa88@exploit.im 是他们的

黑客TraX是地下社区的一名成员，他说tessa88是一名男子，并在一个地下论坛上发布了一张据称是tassa88的照片。TraX还表示，tessa88是最近LinkedIn，MySpace和雅虎等大型入侵的幕后黑手，甚至表示愿意与记者分享这些信息。

TraX在地下论坛上张贴的据称是tessa88的照片

OSINT随后确定了Imgur账户tarakan72511的身份，该账号发布了与黑客HelloWorld和Ibm33a14就Yahoo和Equifax攻击事件进行讨论的截图。值得注意的是，Ibm33a14是一位讲俄语的黑客，他声称自己在2017年的几个网络地下论坛上拥有Yahoo和Equifax数据库的原始数据。

由tarakan72511发布的关于Yahoo和Equifax的讨论的屏幕截图

同样的Imgur账户还在2017年发布了一张名为“tessa88”的图片，照片上男子的体型和发型与TraX发布的上述图片中描绘的男子相似。

teara88的疑似图片由tarakan72511发布在Imgur上

tarakan72511是由黑客Paranoy777使用的别名，他使用Jabber帐户 tarakan72511@chatme.im 。与tessa88一样，Paranoy777在2016年2月至5月期间都是大型社交媒体和科技公司被盗数据库的卖家。

RecordedFuture确认了一份针对tarakan72511的投诉，其中另一名成员声称Daykalif是一名讲俄语的骗子，他正在交易大型数据库并使用Jabber账户 daykalif@xmpp.jp 和 tarakan72511@chatme.im ——黑客Paranoy777使用的同样的Jabber帐户，反过来又关联到tarakan72511。如果这种说法属实，那么用户Paranoy777和Daykalif很可能是同一个人。

在一个地下论坛上发现了一个投诉，声称Daykalif使用了Jabber账号 daykalif@xmpp.jp 和 tarakan72511@chatme.im

Imgur账户tarakan72511提供的更多信息显示，该用户显然是一个狂热的爱狗爱好者。OSINT确定了一个类似用户名的YouTube帐户——Tarakan72511 Donakov——他发布了一个视频，显示有人在喂养流浪狗。在视频中，听到一个声音说他们在俄罗斯的奔萨。视频中的车辆是三菱蓝瑟（Mitsubishi Lancer），车牌号为K652BO58。

Tarakan7251 1Donakov的YouTube个人资料

此外，在56秒的视频中，看到盖伊福克斯面具。在Tarakan72511 Donakov的YouTube个人资料中使用了类似的面具作为头像，在TraX共享的图像上，这个人也戴着面具。

在YouTube视频，YouTube头像和TraX图像中看到的Guy Fawkes面具

从奔萨（Пенза）聚集在马克西姆·多纳科夫（Донаков）上的OSINT透露，一个名叫ДонаковМ.В./Donakov M.V.的人在俄罗斯城市雅罗斯拉夫尔（Yaroslavl）和奔萨（Penza）等城市犯下了多起罪行，其中包括在2017年驾驶三菱Lancer时发生的一起机动车事故。这个人名叫Donakov,Maksim Vladimirovich（Донаков，МаксимВладимирович），最初来自雅罗斯拉夫尔，后来搬到了奔萨，在SudAct的多篇文章中也提到过，他说这个人在事故发生之前曾在狱中度过了几年。<a></a>SudAct（sudact.ru）是俄罗斯最大的非政府司法记录网站。

根据这些记录，研究人员确定了3份Odnoklassniki社交网站的资料，所有档案的名字都是MaximDonakov，其中两份档案显示他们目前的位置为雅罗斯拉夫尔，另一个列为奔萨。第一个 Odnoklassniki个人资料属于一个居住在雅罗斯拉夫尔并于1989年7月2日出生的人。该用户上次访问该网站是在2013年9月9日。第二个Odnoklassniki个人资料与之前的档案具有相同的名字和出生日期。档案图片和其他图像都描绘了tarakan72511的Imgur图像中看到的同一个人。请注意三菱蓝瑟与车牌А134МК76。

图片来自马克西姆·多纳科夫的Odnoklassniki资料的图片

分析第二个Odnoklassniki个人资料显示，该黑客与另一个用户“ЯдовитыйТаракан”（Yadovitiy Tarakan）有关，据称居住在乌克兰的Pervomaysk。Yadovitiy Tarakan的名字与Imgur账户tarakan72511同义，此人的头像与马克西姆·多纳科夫非常相似。值得一提的是，Pervomaysk是马克西姆·多纳科夫真正的出生地。考虑到上述事实，我们非常自信地判断Yadovitiy Tarakan的简介也属于马克西姆·多纳科夫。

另一个名为“ЯдовитыйТаракан”的Odnoklassniki个人资料由马克西姆·多纳科夫创建

此外，机密消息来源证实，马克西姆多纳科夫是1989年7月2日出生的真人。根据SudAct的说法，多纳科夫在警察监督下被释放，但在2014年犯下另一罪行后被监禁。这可能解释了存在多个Odnoklassniki的个人资料，如果马克西姆·多纳科夫忘记了以前帐户的登录凭据，他可能会被迫在从监狱释放后创建一个新的个人资料。

OSINT确定了可能与多纳科夫（tessa88）相关的帐户和联系信息，例如马克西姆·多纳科夫的VKontakte 个人资料，电话号码为+79022222229，Vkrugudruzei和Valet.ru的档案，以及YouTube帐户Maxim Donakov，电话号码为+17789981919。公网上搜索“МаксимДонаков”透露了Freelance.ru上的Gulik01的简介，这可能属于tessa88（多纳科夫）。Gulik01的帐户信息表明他是一个讲俄语的信息技术自由职业者。

此外，在泄露的数据库中进行的额外搜索发现了马克西姆·多纳科夫，他出生于1989年7月2日，是奔萨的居民，匹配了上述Odnoklassniki档案中的用户资料信息和由Imgur用户tarakan72511发布的名为为“tessa88”的图像，该图像描绘了相同的人。所有这些都表明tessa88确实是马克西姆·多纳科夫。

对tessa88确认比特币钱包的分析，大部分资金通过LocalBitcoins进行清洗

InsiktGroup通过使用Crystal 区块链分析了与tessa88比特币钱包相关的交易，发现黑客至少收到168比特币，约合90,000美元，而且大部分资金最终都是通过LocalBitcoins洗钱，LocalBitcoins是一种颇受欢迎的p2p交易服务。尽管黑客在2016年5月失踪，但他继续使用他的比特币钱包直到2017年8月。

外貌

InsiktGroup对tessa88的判断非常有信心，认为tassa是马克西姆·多纳科夫（MaksimDonakov）在地下犯罪论坛上出售知名数据库的众多绰号之一。此外，多纳科夫很可能至少从2012年开始在暗网上活跃，并且还使用了别名Paranoy777，Daykalif和tarakan72511。

马克西姆·多纳科夫，又名tessa88，Paranoy777和Daykalif

MaksimDonakov，全名为MaksimVladimirovich Donakov（МаксимВладимировичДонаков），于1989年7月2日出生。Donakov是俄罗斯联邦居民，曾住在雅罗斯拉夫尔，后来搬到了奔萨。对Recorded Future的社交媒体账户和其他来源的分析进一步证实了我们的发现。

根据所进行的分析，tessa88，Paranoy777和Daykalif这三个名字是为了在暗网上出售盗窃数据而创建的。考虑到上述公司被入侵的信息相互矛盾，很难确定黑客使用的真正策略、技术和程序（TTPs）。然而，针对YevgeniyNikulin的案件的正在进行的调查，与LinkedIn数据泄漏相关，可能会让人民对这件事有所了解，揭示这个故事并填补剩余的空白。

来源： https://www.recordedfuture.com/tessa88-identity-revealed/?from=timeline

本文由白帽汇翻译，转载请注明 来自白帽汇Nosec： https://nosec.org/home/detail/1977.html

查看更多安全动态，请访问[nosec.org]