Recorded Future安全公司的研究人员表示,已经找到了多起高级别数据泄露事件的幕后真凶。这名黑客曾在2016年泄露了从LinkedIn、Twitter、Tumblr 等公司数据泄露事件中偷盗的数据。
首次追踪失败
2016年初,这名黑客使用多个化名在多个地下论坛上试图出售大量被攻陷的高级别数据库列表,波及到的公司包括 LinkedIn、VKontakte、雅虎、Yandex、Rambler、Myspace、Badoo、QIP 和 Mobango。
他最为人熟知的网络化名是 tessa88,他被暗网社区禁言数月,并且停止了和媒体以及公众的通信。于是,揭露其真实身份的尝试以失败告终。
锁定居住在俄罗斯的目标
2016年5月至6月期间,多起数据泄露事件中的信息开始浮出水面,提醒人们注意网络账户的安全。其中最大规模的数据泄露事件影响多家公司的数百万账户:LinkedIn(1.67亿)、Myspace(3.6亿)、Tumblr(6500万)、Twitter(3200万)以及俄罗斯社交网络 VK(1.7亿)。
RecordedFuture 公司表示调查将 tessa88 和生活在俄罗斯奔萨的 Maksim Vladimirovich Donakov 关联在一起。
2016年,InfoArmor 发布报告称,tessa88 只是一个向“Group E”黑客出售账户和个人可识别信息的代理商。2016年5月,他被指和另外一名同样出售个人可识别信息的黑客 Peace_of_Mind 共享信息。但随后因为客户开始抱怨所出售数据的质量不高,两人心生间隙。
在调查期间,Recorded Future 公司的研究人员设法将 tessa88 和多种聊天和邮件账户关联在一起,包括 Twiiter、Imgur 和 YouTube 账户。最终研究人员获得 Maksim Donakov 的照片以及他目前所居住的地方俄罗斯奔萨。
幕后黑手不满30岁
研究人员还将从照片中观察到的多种详情和发表在公开可获取的被分析的网络账户中的视频关联在一起,判断出所有账户背后的那个人正是 Donakov。他于1989年7月2日出生在乌克兰波沃玛耶斯克。
Recorded Future 公司还发现 Donakov 通过已证实的 tessa88 比特币钱包中收到至少168个比特币(当时价值9万美元)。这些资金经过流行的点对点交换服务 LocalBitcoins 洗钱。2017年8月之前,该钱包一直在使用。
安全研究人员表示,“Insikt Group 坚信 tessa88 只是 Maksim Donakov 在地下犯罪论坛上出售高级别数据库时使用的众多化名中的一个。另外,Donakov 可能至少在2012年就活跃在暗网上,而且曾使用过化名 Paranoy777、Daykalif 和 tarakan72511。”
2016年,捷克警方和 FBI 合作逮捕了一名俄罗斯籍人 Yevgeniy Nikulin。他被指和 LinkedIn 数据泄露时间有关。研究人员认为这起案件可能也会给 tessa88 案件带来更多启发。
本文由360代码卫士翻译自SecurityWeek
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
