La verdadera identidad de Tessa88, el
notorio hacker vinculado a varios ciberataques de alto perfil, incluidos
los mega hackeos de LinkedIn , DropBox y MySpace ,
se reveló como Maksim Vladimirovich Donakov (Максим Владимирович
Донаков), residente de Penza, Federación Rusa. La revelación se dio en 2018.
A principios de 2016, un hacker con el seudónimo de Tessa88 emergió en línea
ofreciendo bases de datos robadas de algunos de los sitios web de redes
sociales más grandes del mundo, incluyendo LinkedIn, MySpace, VKontakte (vk.com),
Dropbox, Rambler y Twitter , a la venta en varios lugares
como foros
de hacking.
Los datos robados, tomados hace años de varios
sitios de redes sociales, incluían más de quinientos
millones de combinaciones de nombre de usuario y contraseña, que luego se
usaron en phishing, para hackear cuentas y otros ciberataques.
Aunque
el perfil de Tessa88 estuvo activo durante algunos meses entre febrero y mayo
de 2016, el análisis de OPSEC reveló que la misma persona estuvo involucrada en
varias actividades cibercriminales desde 2012 bajo diferentes alias que
incluyen “Paranoy777”, “tarakan72511”, “stervasgoa”, “janer93” y “daykalif”.
Desenmascarando a “Tessa88”
Los
investigadores de la firma estadounidense de inteligencia sobre amenazas Recorded Future's Insikt Group utilizaron una combinación de sus propios datos, actividad
de la web oscura, múltiples chats y
cuentas de correo electrónico asociadas con Tessa88 para encontrar una conexión
entre sus otros alias en línea, y recopilaron información disponible
públicamente. Fuentes para desvelar su verdadera identidad.
Tarakan72511 → Tessa88 → Donakov
Los investigadores identificaron una cuenta en línea “tarakan72511” en Imgur, un popular servicio en línea para compartir imágenes, que publicó capturas de pantalla de discusiones sobre las violaciones de Yahoo y Equifax. En la misma cuenta, Tarakan72511 también publicó su foto real titulada “tessa88” en 2017, que vincula a Donakov con tarakan72511 y tessa88.
Los investigadores identificaron una cuenta en línea “tarakan72511” en Imgur, un popular servicio en línea para compartir imágenes, que publicó capturas de pantalla de discusiones sobre las violaciones de Yahoo y Equifax. En la misma cuenta, Tarakan72511 también publicó su foto real titulada “tessa88” en 2017, que vincula a Donakov con tarakan72511 y tessa88.
Tessa88 → Donakov con máscara de Guy
Fawkes
Otro miembro de un foro de la deep web, TraX, compartió una foto de Tessa88, mostrando a un hombre en el techo del automóvil con el rostro oculto detrás de la máscara de Guy Fawkes, cuyo tipo de cuerpo y peinado se parecen a la imagen de Tessa88 publicada por tarakan72511.
Tarakan72511 → Coche ruso con máscara de
Guy Fawkes → Tessa88
Los investigadores también identificaron una cuenta de YouTube con un nombre de usuario similar, Tarakan72511 Donakov, que publicó un video que muestra a alguien alimentando perros callejeros. El video también reveló una máscara estilo Guy Fawkes (la misma que se muestra en la foto publicada por TraX) en el maletero de un automóvil Mitsubishi Lancer con el número de registro K652BO 58.
Los investigadores también identificaron una cuenta de YouTube con un nombre de usuario similar, Tarakan72511 Donakov, que publicó un video que muestra a alguien alimentando perros callejeros. El video también reveló una máscara estilo Guy Fawkes (la misma que se muestra en la foto publicada por TraX) en el maletero de un automóvil Mitsubishi Lancer con el número de registro K652BO 58.
Todas las evidencias llevan a Maksim Vladimirovich Donakov
Después
de explorar varias fuentes confidenciales, los registros de Penza y la base de
datos de delitos rusos, los investigadores encuentran a Tessa88 como Maksim
Vladimirovich Donakov (fecha de nacimiento: 02/07/1989), cuya persona coincide
con el nombre de usuario de YouTube 'Donakov', Mitsubishi Lancer y la persona
revelada en Imagen imgur.
Maksim
Vladimirovich Donakov cometió varios delitos en Rusia, incluido un accidente
automovilístico mientras conducía un Mitsubishi Lancer en 2017. También cumplió
una condena de cárcel después de haber cometido otro delito en 2014.
Después de la investigación exhaustiva, Recorded Future, con un “alto grado de confianza”, concluyó Donakov es el hombre detrás de la venta de las extensas bases de datos, incluidas 32 millones de cuentas de Twitter , 360 millones de credenciales de MySpace y 500 millones de cuentas de Yahoo .
También se cree que Donakov ha vendido datos robados de VKontakte (vk.com), Mobango, Badoo , QIP y Rambler en varios foros clandestinos.
En el momento de una serie de las llamadas 'mega brechas' en 2016, otro alias en línea que surgió fue Peace_of_Mind, un hacker que fue visto vendiendo 117 millones de correos electrónicos y contraseñas de LinkedIn y 200 millones de cuentas de Yahoo en 2016.
Después de la investigación exhaustiva, Recorded Future, con un “alto grado de confianza”, concluyó Donakov es el hombre detrás de la venta de las extensas bases de datos, incluidas 32 millones de cuentas de Twitter , 360 millones de credenciales de MySpace y 500 millones de cuentas de Yahoo .
También se cree que Donakov ha vendido datos robados de VKontakte (vk.com), Mobango, Badoo , QIP y Rambler en varios foros clandestinos.
En el momento de una serie de las llamadas 'mega brechas' en 2016, otro alias en línea que surgió fue Peace_of_Mind, un hacker que fue visto vendiendo 117 millones de correos electrónicos y contraseñas de LinkedIn y 200 millones de cuentas de Yahoo en 2016.
Según Recorded Future, Tessa88 y Peace_of_Mind llegaron a un acuerdo en mayo de 2016 para compartir algunas de las bases de datos robadas en un “probable intento de acelerar la monetización de la enorme cantidad de datos entre los dos”.
La violación de LinkedIn resultó en el arresto del ciudadano ruso Yevgeniy Nikulin (Евгений Никулин) en octubre de 2016 por el FBI en la República Checa, quien más tarde fue extraditado a los Estados Unidos. Sin embargo, hasta hoy, ninguna evidencia clara vincula a Nikulin con Peace_of_Mind.
Cabe señalar que ni Tessa88 ni Peace_of_Mind fue el verdadero hacker que violó las empresas mencionadas. Ambos estuvieron involucrados en la venta de las bases de datos ya robadas, pero no en la ejecución de los ataques reales, aunque los métodos exactos utilizados para robar las bases de datos también son desconocidos.
¿Qué opinas de esta noticia? Por favor compártela en las redes sociales.
Fuente:
The Hacker News