OSINT Recherchen mit Datenleaks
Weiterführende Open-Source-Techniken zur Personensuche
291 KB groß war die Datei. Ein Bild, das eine Quelle, die schwer bewaffnet nun im Dschungel Myanmars sitzt, an Journalisten vermittelte. Ein Bild einer Szene aus einem grell beleuchteten Konferenzraum. Im Hintergrund eine koreanische Flagge. Ein langer Holztisch und schwarze Lederstühle stehen herum. Am Tischende sitzt ein weißhaariger Mann, kantiges Gesicht, aus Westeuropa, ungefähr Mitte 50. Die Augenbrauen tief angespitzt. Er ist konzentriert. Vor ihm liegt ein dicker Ordner. Er blättert, kümmert sich jedoch nicht darum auf die Seiten zu schauen. Seine Augen, vertieft ins Gespräch, sind auf einen der sieben asiatischen Männer gerichtet, die auch am Tisch sitzen.
Sie tragen gelbe Warnwesten. Ihren Ohren sind gespitzt. Sie hören gespannt zu, was der Europäer zu erzählen hat. Die asiatischen Männer sind Ingenieure. Schiffsingenieure der Marine Myanmars. Der Meetingraum ist in Südkorea. Die Männer lauschen einer Einweisung eines neuen Schiffes, das einige Experten heute als Kriegsschiff bezeichnen und eine entscheidende Kampfkraft der Militärjunta darstellt. In dem Schiff sind deutsche Motoren verbaut. Das Schiff wird gerade an den Kunden geliefert.
Der Europäer kennt sich mit den aus Europa entwickelten Motoren exzellent aus. Die Männer gehören dem Militär an, der damaligen burmesischen Regierung. Aber seit dem Coup ist alles anders. Seit 2021 will die Quellen nicht mehr Teil des Junta-Apparates sein. Myanmar ist jetzt Embargoland, nachdem die Militärregierung Tausende Regimekritiker tötete oder Protestanten in Gefängnisse wirft. Myanmar fällt in einen Bürgerkrieg mit Widerständlern der nationalen Einheitsregierung Myanmars. Bis heute dauert der Konflikt an. Das Meeting findet einige Jahre vor dem Coup statt. Die Quelle aus dem Dschungel war dabei. Leider weiß er nicht mehr, wie der Europäer im weißen Overall heißt. Eine spannende Suche im Internet beginnt.
Der Mann könnte entscheidend sein. Ermittlern könnte er zum Beispiel erzählen, ob die Burmesischen Marine damals schon plante das Schiff im Krieg als Kriegsschiff verwenden zu wollen.
Ihn zu finden, stellt sich als schwieriger heraus als gedacht. Das Bild ist zu unscharf für eine weiterführende Suche mit Facial Rekognition System, PimEyes oder Ähnlichem. Die Suche startet im Netz, auf professionellen Social-Media-Plattformen wie LinkedIn. Man nimmt an, dass der Mann als Ingenieur der deutschen Firma ein Profil führt. Mit gezielten Suchbegriffen lässt sich ein möglicher Kandidat finden. Sein Profilbild zeigt einen weißhaarigen Herrn der auf einem überdimensionierten Rohr sitzt. Die Füße sind nach links und rechts ausgestreckt. Grinsend. “Eine Art Witz, wie eine Peniskanone“, sagt ein Kollege und lacht als er das Bild sieht.
Mit Leakdaten eines amerikanischen Telekommunikationsanbieters lässt sich dem Namen des Profils eine E-Mail-Adresse zuordnen. Die E-Mail hängt an einer amerikanischen Telefonnummer dran. Die Nummer hängt wiederum an mehreren Online-Profilen, darunter auch ein Microsoft-Konto, mit Bild von Kindern beim Halloween feiern. In den USA aufgenommen. Seine Frau wahrscheinlich. Sein Standort ist Houston, Texas. Das passt mit dem LinkedIn-Profil überein. Eigentlich ist der Ingenieur aber Däne. Er war oft und lange in seiner Karriere im Ausland stationiert. Seit einigen Jahren ist er hier in Houston. Das Leben der dänischen Frau hat sich auch angepasst. Eine weitere Verbindung zu der Telefonnummer zeigt ihr LinkedIn-Profil. Sie arbeitet in einer Führungsposition in Texas. Im dänischen Generalkonsulat. Ob sie weiß, dass ihr Partner half, ein Kriegsschiff an eine brutale Militärregierung zu verkaufen? Wir kontaktieren den Mann. Aus mehreren Anfragen reagiert er jedoch nicht.
Es ist nur ein Beispiel aus vielen, wie sogenannte Leak oder Breachdaten — also Datensätze von personenbezogenen Daten aus dem Internet — in weiterführenden Rechercheschritten helfen weiterzukommen. In diesem Post werden wir uns einige dieser Techniken genauer anschauen.
Russland und Leakdaten
Wer professionell zu Russland recherchiert, kennt die Macht von Leak und Breachdaten. Spätestens mit einigen Russland bezogenen Bellingcat Geschichten wurde vielen klar: Professionelle Recherchen stützen sich immer häufiger auf personenbezogenen Datenleaks. Zwar bleiben große konzernbezogene Leaks wie die Panama Paper immer noch relevant. Immer öfter liefern jedoch Leakdaten Kontaktinfos für Quellen, um eine Smoking Gun, als den unmissverständlichen Beweis einer Tat, zu recherchieren. Hinweise zu Bewegungen und Personendetail, werden immer zentraler für wer am Ende eine Geschichte recherchieren kann und den zentralen Hinweis bekommt.
Immer prominenter werden Leakdaten-Bots auf Telegram. Sie versprechen eine Antwort auf einen Input, der unter anderem aus einem VK-Profil, einem Bild oder einem Namen und Geburtsdatum bestehen kann. Sie spuken das aus, was in aggregierten Leakdaten hergeben oder wofür ein Algorithmus einen Output ermittelt. Manche Bots kosten ein paar Euro in Krypto, andere sind umsonst. Ein Output sind dann oft personenbezogene Daten und Links für Social Media Seiten der Personen, die möglicherweise die Recherche befeuern kann. Wie Betreiber der Bots an diese Daten kommen, will man oft nicht wissen. Unklar oft auch: Wer steckt hinter dem Angebot und nutzt man es gegen die Person und effektiv für Russland?
Ein simples Beispiel ist der Telegram-Chatbot Userbox. Ein Feld verifiziert den Nutzen. Für einen russlandfreundlichen AFD-Politiker gibt folgende Antwort.
Daten des AfD-Bundestagsabgeordneten Eugen Schmidt sind auch in den Userbox Daten vertreten. Rund 300 Mal, wobei möglicherweise nicht alles auf den Herrn im Bundestag anwendbar ist. Solang es Personendaten gibt, gibt es False Positives. Schmidt bestätigte im Februar dem Spiegel Magazin, dass der in der Ukraine geborene Wladimir Sergijenko, der für den FSB in Russland gearbeitet haben soll, auch für Schmidt gearbeitet hat. Auch Sergijenko taucht in Leaks auf.
Um bei investigativen Recherchen Erfolge zu verzeichnen, brauchen Journalisten Quellen. Neu ist das nicht. Früher hat man eine Quelle vermittelt bekommen. Man erschien mit einer Sporttasche und viel Kleingeld zu einem Treffen. Die Sporttasche deshalb, weil die Quelle, wenn man Glück hatte, einen Stapel an Dokumentenordnern mit dem Redakteur teilte. “Sie wanderten in die Sporttasche”, so ein älterer Kollege. Dann machte man sich auf zum Kopierladen, um dort mit dem Kleingeld die Dokumente zu vervielfältigen. Dann wurden die Dokumente wieder zurückgebracht.
Heute sind es offene Daten aus dem Internet und dem Deep- und Darknet, die es ermöglichen, Quellen anzuschreiben. Vielleicht findet man eine Person, die in einer offenen oder geschlossenen Sozial Media-Gruppe zu einem Thema etwas Kritisches schreibt. Man versucht, einen Kontakt herzustellen. Natürlich gehört immer ein Quäntchen Glück dazu, die richtige Person zu finden, sie richtig anzusprechen. Der Rest ist routinierte Online-Recherche. Diesen Teil schauen wir uns hier an. Leakdaten können hier großartige Erfolge bescheren. Oft bieten sich Quellen nicht an, haben einen traumatischen Leidensweg oder schlichtweg Angst. Sie scheuen sich vielleicht, den ersten Schritt zu machen. Wer sie findet und kontaktieren kann, kann am Ende eine Geschichte erzählen. Die zweite Gruppe, die mit Leakdaten ermittelt werden kann, sind mutmaßliche Täter.
Breach Daten
Leakdaten sind häufig Millionen von personenbezogenen Daten, die sich auf die tausenden Webseiten beziehen, die Nutzerprofile angelegt haben. Ein Forum, Datingseite, eine Social-Media-Seite, ein Onlineshop, eine Networking-Plattform, eine Gamingseite, alle wollen Ihre Daten. Wenn diese ihre Daten verlieren, landen sie oft offen im Internet. Und mit Ihnen Daten von mutmaßlichen Kriminellen.
Die Datentypen, die hier freigelegt werden, sind häufig von ganz unterschiedlicher Natur. Meistens sind es E-Mail-Adressen und Personenprofile. Aus dem Profil lässt sich oft viel herauslesen. Wird ein Social Media Konto weiter genutzt, lässt es sich zu zeitlichen Eingrenzung und geografischen Verortung einer Person nutzen. Mit Bio über die Person und ein Bild lässt sich weiter recherchieren.
Über 4,000 weitere Datenleaks beinhalten häufig eine Telefonnummer, die mit einem Nutzernamen oder Klarnamen in Verbindung steht, oder eine Anschrift oder auch schon mal eine “Secret Answer”. Da oft Menschen persönlich Details teilen (der Name der Mutter oder der Katze zb) kann das möglicherweise zentrale Hinweise liefern, um Täterrecherchen weiterzubringen.
Generell gilt, dass diese Daten niemals das Ende einer Recherche darstellen können und sollen. Der Doxxing Paragraf ahndet, das Teilen von sensiblen Personendaten. Mit ihnen sollte man nur mit äußerster Vorsicht und einem Vieraugenprinzip arbeiten. Sie sollten zu weiteren Informationen oder Quellen führen, die diese Details bestätigen. Und die Recherche sollte die Schwelle des öffentlichen Interesses nehmen.
Die Liste solcher Leaks ist lang. Oft ist es Glücksache, ob ein Leak in einer speziellen Recherche weiterhelfen kann oder nicht.
Breachdaten von Firmen existieren im Darknet oder auf Aggregationsplattformen. Breaches, die es im Darknet gibt, werden häufig von Hackergruppen angeboten. Große Datenleaks werden oft über Telegram oder X geteilt oder zumindest angekündigt. Im Fall eines Leaks, das im Juni die Runde machte, hat Sicherheitsforscher Troy Hunt Initiative ergriffen und die Daten in die Database von HaveIBeenPawned. Das hilft Journalisten weiter zu verstehen, ob und ggf wo ein mutmaßlicher Täter Daten verloren hat. Die Daten selbst teilt Hunt nicht.
Zum Thema der ethischen Verwendung der Daten ist zu sagen, dass es immer wieder vorkommt, dass Betrugsnummern mit Leakdaten aus TelegramBots zu weiteren Ergebnissen führen können.
Meist wird auf Telegramkanälen am ehesten die Mitteilung eines Leaks oder die Daten selber, verbreitet (wie poenamarket, DBLeaks, oder viele weitere, wie hier Ransomlook auflistet). Sie sollten auf keinen Fall einfach so die Daten heruntergeladen werden, und selbst auf der Seite sollten Sie nur mit einem Torbrowser und einem VPN arbeiten. Seiten wie Privtools.github.io/ransomposts weisen über 12,000 Einträge von angeblichen Datenbreaches seit 2020 aus.
Wenn ein Datenleak von einer Firma vermutet wird, kann man hier suchen. Leider besteht nur selten die Möglichkeit, Daten nach langer Zeit noch herunterzuladen. Es kommt jedoch immer wieder vor — oft deshalb, weil die Gruppen Alternativlinks betreuen, wenn Zugänge gekappt werden.
Interessiert an einer bestimmten Firma oder Organisation, wird ein Leak im Darknet wohl die folgende Darstellung haben. Eine Seite, wie hier von der Gruppe Monti, die eine “Wall of Shame” führt, also die Firmen, die nicht ausbezahlt haben. Danach ein Downloadlink, eine Textdatei, die in eine Excelliste umgewandelt werden kann. Der Downloadlink wiederum eine Onion URL.
Nur selten ist das der Weg ins Ziel. Dennoch gibt es gute Beispiele, in denen sich ein Leak anbietet und damit die Recherche weiterkommt. Ein Leak zur Firma Fabrega Molino schien vielversprechend. Die Firma agiert ähnlich wie die einst aus Panama stammende offshore law Firma und corporate service Provider Mossack Fonseca. Gleicher Standort und ähnliche Klientel. Die Firma baut für Leute und Konzerne neue Firmen auf, sogenannte Shellfirmen oder Frontfirmen. Mit ihnen lässt sich alles Mögliche anstellen und verstecken. Wenn man an ein Leak wie Fabrega Molino als Journalist herangeht, dann nur, weil man an die Daten auf keine andere Weise herankommt.
Das System nennt sich Aleph, ermöglicht Nutzern eine Datenbank mit diesen Daten zu bespielen und dort zu analysieren. Auf Aleph lassen sich unter anderem die 193.000 Namen und rund 13,000 E-Mail-Adressen ausmachen, die in den Dokumenten enthalten sind. Vermutet man eine Zielperson in Panama, die eine Firma gründete, könnte man hier nach E-Mail-Adressen oder dem Namen suchen. Für die Personenrecherche kann man mit dem Leak Verbindungen zu Entitäten ziehen, die eventuell schon bekannt sind.
Für die Personenrecherche lassen mit dem Leak Verbindungen zu Entitäten ziehen, die eventuell schon bekannt sind. Die These, die die schon bei Mossack Fonseca Kunde waren, haben sich später für neue Firmen entschieden.
Dann gibt es noch Breachdaten von großen Social-Media-Anbietern. Ein so ein Leak ist gerade jetzt vor ein paar Tagen wieder bekannt geworden. Ein umfangreiches Leak der Plattform X oder Twitter: 9.4 GB oder 200Mio. Ähnliches ist bereits 2021 geschehen.
Nur selten möchte man sich die Daten komplett immer selbst herunterladen. Das ist das Problem der Malware. Viren in den Daten lassen sich nie ausschließen und eventuell nur mit einer Cloud Lösung richtig vermeiden (wenn die Daten bei Google Drive zum Beispiel in der Cloud abgefragt werden, verhindert man, dass die Malware möglicherweise die eigene Maschine angreift).
Bis vor einem Jahr gab es eine Plattform, namens „Search.illicit.services“. Sie wurden später geschlossen, aufgrund von illegalen Aktivitäten, wie der Betreiber Zero Trust verlauten ließ. Sie hatte aber schon hervorragend gezeigt, wie wichtig diese Daten in Recherchen sein können. Das Problem war nur, dass man auch die Passwörter geteilt hatte. Etwas, was zu Problemen führen kann und Recherchen schnell unter den Hacking-Paragrafen fallen lassen kann.
Um das zu vermeiden, bieten sich Breachdaten Aggregationsportalen an. Die jedoch vorsichtiger entscheiden, was für Resultate sie geben und welche nicht. Zum Beispiel beim Thema Passwörtern. Eine dieser Plattformen ist Constella Intelligence. Ich habe über Constella schon einmal geschrieben. Die Plattform erlaubt es, mit jeglichem Input in einem Datalake von Milliarden von Einträgen zu Breachdaten zu suchen.
Im Regelfall sind diese Plattformen besonders nützlich, um aus einem Namen eine E-Mail, eine Adresse, eventuell eine immer noch gültige Telefonnummer zu zaubern. Wenn die richtige Zielperson gefunden wurden, kann man hier die Verbindung zwischen gefakte Nutzernamen und einer Telefonnummer herstellen, die an andere Stelle mit dem echten Namen in Verbindung steht.
Eine weitere brillante Plattform ist OSINT.Industries. Die Unternehmung ist von Nathaniel Fried geleitet, der immer wieder in verschiedenen Ländern Europas Vorträge zu OSINT und der Nutzung seiner Plattform gibt. Er interessiert sich auch für den Bereich Investigativjournalismus und unterstützt mit seiner Plattform Reporter:innen. Die Daten API von OSINT.Industries lässt sich mit einer E-Mail-Adresse oder mit einer Telefonnummer anfragen. Das Ergebnis einer Suche sind Accounts von unter anderem Social Media und Chat-Messaging-Plattformen, Spielwebseiten und Lern- und Sporttracking Plattformen. Gelegentlich ist auch ein Apple SignUp Profil dabei. Dort sieht man dann eine Telefonnummer gegen. Hat mal also aus anderen Suchen bereits eine Nummer zu Hand, lässt sich die damit bestätigen. Oft hilft es auch mit der visuellen Bestätigung von Identitäten. So weißen häufig Profile auf Skype oder Github ein Bild des Erstellers aus. Ein Bild kann dann mit zahlreichen Gesichtserkennungsalgorithmen mit anderen Bildern verglichen werden, bzw. könnte dazu dienen weiterzusuchen (wie mit PimEyes).
Einige Profile weißen Standortdaten aus. Diese kommen aus API von Plattformen wie Strava (wo Leute ihre Laufdaten vergessen) oder Google Rezessionen. Beides kann extrem hilfreich sein, um stimmige Ergebnisse aus den Falschen herauszusieben.
Australiens größter Hackerangriff: Aleksandr Ermakov
Australien: Ein Hackerangriff gegen Medibank Privat legt 9,7 Millionen personenbezogene Daten von Kunden frei, einschließlich sogenannten Medicare Versicherungsdaten und sensible Gesundheitsinformationen von Kunden. Darin sollen Namen von HIV-Patienten und andere äußerst sensible Daten gewesen sein, so die Berichterstattung. Es ist wohl bis Dato der größte Hackerangriff Australiens. Wer ist der Mann, der jetzt in der Anklage steht und sanktioniert wurde?
Mit dem russischen Namen des jungen Mannes kann gearbeitet werden. Man findet schnell die E-Mail-Adresse (ae.erXXXX@yandex.ru) eines Mannes mit dem russischen Namen „ермаков александр геннадьевич”. Und eine Telefonnummer: +9162897XXX.
Wenn wir die OSINT.Industries API anfragen, bekommt man unter anderem gespeicherte Inhalte von Airbnb. Ein Foto, das mit dem Account verbunden ist, zeigt Ermakov vor zwei Baloone.
Es ist dasselbe Bild, des australischen “Department of Foreign Affairs and Trade”, und von Berichterstattung der ABC News, des australischen öffentlich-rechtlichen Senders übernommen wurde. Die russische Telefonnummer bekommen wir so auch bestätigt. Die Vorwahl gehört in der Regel in die Region Moskau oder in seltenen Fällen, in den Raum St. Petersburg. Weiter Breachdaten bestätigen sein Geburtsdatum, May 16, 1990.
Unter anderem hat Ernakov wohl ein Hosting mit der URL millioner1.com im Sommer 2022 registrieren lassen. Am 2. April wurde die Seite von Webarchive archiviert, es ist eine Testdomain von der Firma FirstVDS.
Was Ernakov damit später anstellte, bleibt unklar. Klar ist, dass er immer wieder Kunden mit IT-Dienstleistungen hilft, neben seinen Hackertätigkeiten. Ermakov ist Teil REvil Ransomware Hackergruppe. Sein Komplize hat zumindest schon vor gut 10 Jahren gestohlene Kreditkarten vertickt haben. Über den Telegram Parsing Databaseleak finden wir den Usernamen “gustavedore” auf Telegram.
Der Username ist mit Forumeinträgen in Verbindung zu bringen, in denen ein Gustavedore zugibt, mit der Firma Shtazi IT involviert zu sein. Die Firma bietet unter anderem “Ruf-Management” und IT Services an. Die Firma ist mit Mikhail Shefel in Verbindung zu bringen. Er ist ein bereits bekannter Kreditkartenbetrüger, laut Brian Krebs. Leakdaten und Domainregistrierungen zeigen im Detail, wie der Trickbetrüger Shefel mit Ermakov zusammenhängt.
Krebs prüft den Spitznamen Gustavedore mit den Daten von der Intelplatfrom intel471.com. Die Suche zeigt, dass ein Nutzer mit dem Namen im November 2021 ein Ransomware-Programm namens Sugar erschuf. Er soll sich auf Angriffe von einzelnen Computern und Endnutzern konzentriert haben.
Ein weiteres Tool (das umsonst ist) heißt Epieos (https://epieos.com/). Epieos verbindet E-Mail-Adressen und Telnummerb mit Social-Media-Accounts. Besonders für schnelle Recherchen ist Epieos hilfreich.
Für eine noch rasantere Alternative, ob eine E-Mail existiert, empfiehlt sich der E-Mail Verifier von hunter.io. Der Use Case ist oft der folgende. Man hat einen Namen, keine E-Mail-Adresse. Deshalb versucht man eine logische E-Mail-Syntax mit dem Namen nachzubauen. Besonders für Quellen ist das oft hilfreich. Sie möchten sich nicht verstecken und haben eine alte E-Mail, die sich aus “Vor.Nachnamn@gmail.com” zusammensetzt (oder eine Variante mit — oder Abkürzung, oder so). Wenn der Verifier anschlägt, besteht die Möglichkeit, dass wir die Zielperson kontaktieren könnten oder noch mehr Informationen aus weiteren Profilen ziehen können.
Maltego
Um die Verbindungen der Breachdaten Recherche zu visualisieren, bieten sich das System von Maltego an. Wenn man Zugang zu der Enterprise Version hat, lassen sich eigene Daten aus den Daten APIs und den sogenannten Transformationsbüchereien ziehen. Breachdaten lassen sich auch integrieren.
OSINT Industries betreibt seit Mitte Mai eine eigene neue Transform Integration in Maltego. Wenn man eine E-Mail-Adresse recherchiert, lassen sich auch die verbundenen Profile einzeichnen.
Unten, der Fall des Aleksandr Ermakov nocheinmal mithilfe von Maltego und der API von OSINT Indsutries dargestellt
Agregatoren wie DDSecrets
Eine weitere wichtige Anlaufstelle für Leakdaten ist DDSecrets. Einzelne, oft journalismusrelevante Datensätze lassen sich hier gezielter runterladen, jedoch mit keiner Versicherung gegen Malware. Wer eine bestimmte Firma oder Geschäftsfeld abdecken will, und dazu ein Leak benötigt um weiter arbeiten zu können, lässt sich deren Datenbasis durchsuchen.
Journalisten bekommen häufig Zugang zu Daten von Distributed Denial of Secrets (DDSecrets) Hunter Plattform. Hunter erlaubt Datensätze, die bereits hochgeladen wurden, zu durchforsten und mit eigenem Input zu vergleichen. Besonders russischen Namen, E-Mail-Adressen und Standorte lassen sich dort oft finden.
Im weitesten Sinne ist die Datenbank https://avon.ccc.de/, die Einträge deutscher Bürger aus Gelden Seiten archiviert, auch ein Leak. Einige Male konnten wir Einträge zu Adressen, Familienmitgliedern einer Quelle oder eines Verdächtigen mit Avon.ccc bestätigt werden können.
Wer Anmerkungen zu Tools und Techniken hat oder weitere Informationen weiterleiten möchte, gern via Twitter (@Techjournalisto) eine DM senden.
