Op 22 september vorig jaar om 21.00 uur wachtte een groep politieagenten van de City of London buiten kamer M15 van Travelodge Bicester, een budgethotel met één ster in Oxfordshire, Engeland, op het juiste moment om binnen te vallen. de deur was iemand van wie ze dachten dat hij achter twee serieuze datahacks zat: de ene op Uber Technologies en de andere een ongekend lek aan code voor het nog niet uitgebrachte Grand Theft Auto-vervolg van Rockstar Games.
Een ingewikkelde opsporings- en surveillanceoperatie had de politie geholpen een gebruiker van het berichtenplatform Telegram genaamd @lilyhowarth op te sporen. Achter de deur stond echter niet Lily Howarth, maar de 17-jarige Arion Kurtaj – al op borgtocht vrij voor een gedurfde, grote hack tegen chipmaker Nvidia en een inbraak bij de Britse telefoongroep BT Group. Kurtaj, lid van een schimmige internationale groep losjes verbonden online afpersers die zichzelf Lapsus$ noemden, was voor zijn eigen veiligheid door de politie in de kamer ondergebracht nadat hij door de hackergemeenschap was ontmaskerd. Lily Howarth was gewoon een bijnaam waar hij zich achter verborg vanwege zijn hackactiviteiten, ontdekten de agenten.
De nu 18-jarige Kurtaj stond centraal in een zeven weken durend strafproces in Londen, samen met een 17-jarige mannelijke medeverdachte die niet bij naam kan worden genoemd omdat hij minderjarig is. De twee, die elkaar online ontmoetten, werden geconfronteerd met een aanklacht van twaalf aanklachten, waaronder aanklachten wegens chantage, fraude en hacking. Kurtaj, die als enige verantwoordelijk was voor de helft van de aanklachten, werd door een rechter ongeschikt bevonden om terecht te staan voordat het proces begon vanwege zijn complexe autistisch-spectrumstoornis – wat betekent dat er niet kan worden vastgesteld dat hij ‘criminele bedoelingen’ heeft gehad, en mogelijk een taakstraf krijgen of naar een psychiatrische zorginstelling worden gestuurd in plaats van naar de gevangenis, nadat een jury hem deze week aansprakelijk achtte voor alle aanklachten.
Advocaten van de verdediging hadden betoogd dat het bewijsmateriaal dat de twee met de incidenten in verband bracht, niet sterk genoeg was en dat er geen manier was om te weten dat Kurtaj verantwoordelijk was voor de hacks. Woensdag oordeelde de jury anders. Een rechter zal op een later tijdstip beslissen over de toekomst van Kurtaj. Zijn collega-hacker werd op drie punten schuldig bevonden en op twee andere niet schuldig. Hij had eerder schuldig gepleit aan twee BT-gerelateerde aanklachten.
“Ondanks de uitkomst van de beslissing van de jury, die mogelijk vatbaar is voor beroep, hopen we dat deze zaak een licht zal werpen op de manier waarop kwetsbare individuen met ernstige neurologische ontwikkelingsstoornissen omgaan met de politie en het strafrechtsysteem”, aldus Niamh Matthews-Murphy , zegt de advocaat van Kurtaj in een verklaring aan Bloomberg.
De gedurfde hacks van technologiebedrijven door Lapsus$ hebben cyberbeveiligingsexperts in verwarring gebracht sinds het bedrijf tussen 2021 en 2022 een reeks spraakmakende aanvallen uitvoerde, waardoor de doelwitten miljoenen dollars aan schade kregen. Het proces bood een zeldzaam inzicht in de werking van deze geheime bijeenkomst van tech-nerds, en liet zien hoe de inbraken werden georkestreerd en wat de motivaties van de groep waren: bekendheid, geld en ook gewoon ‘lolz’. Het is onduidelijk hoeveel geld Lapsus$ heeft verdiend; geen van de bedrijven heeft toegegeven geld te hebben betaald. De politie heeft geen toegang gekregen tot crypto-accounts die verband houden met de tieners.
Het verhaal over hoe deze jongeren de overhand kregen op enkele van de grootste Amerikaanse technologiebedrijven is samengesteld uit rechtszaken in Londen, documenten, getuigenverklaringen, het politieonderzoek en bronnen in de cyberbeveiligingsindustrie. De Britse autoriteiten werkten samen met de Amerikaanse wetshandhavers, waaronder het Federal Bureau of Investigation. In een rapport uit juli van de Amerikaanse Cybersecurity & Infrastructure Security Agency stond dat Lapsus$ weliswaar net als elke andere cybercriminele groep was, maar “uniek was vanwege zijn effectiviteit, snelheid, creativiteit en durf.”
Neem bijvoorbeeld de Grand Theft Auto-zaak.
Met relatief gemak stal Kurtaj – samen met andere onbekende leden van Lapsus$ – vanuit de hotelkamer in Oxfordshire commercieel gevoelige code en videobeelden van het nieuwste deel van de in ontwikkeling zijnde Grand Theft Auto-serie. Volgens de aanklager zijn ze op 16 september 2022 met behulp van social engineering in de systemen van Rockstar terechtgekomen, “door zich voor te doen als een werknemer of opdrachtnemer die zijn wachtwoord ‘kwijt’ was of ‘zich niet kon herinneren’.”
Nadat ze er niet in waren geslaagd in te loggen met de inloggegevens van een voormalige werknemer, gebruikten ze een account dat was gekoppeld aan een aannemer genaamd Siwar Jrad (siwar.jrad), aldus aanklagers. Eenmaal binnen werden de inloggegevens van de voormalige medewerker “mohd.hidaytullah” gebruikt om toegang te krijgen tot een deel van het systeem dat verband hield met de ontwikkeling van games, zeiden ze. Uit de logboeken van Rockstar blijkt dat het apparaat dat voor de inschrijving werd gebruikt, het exacte type en de specificatie was van de iPhone die in beslag werd genomen bij Kurtaj in de Travelodge Bicester.
De dag nadat hij toegang kreeg, downloadde Kurtaj een reeks video’s en ontwerpdocumenten voor het GTA-vervolg, evenals de broncode (allemaal zeer vertrouwelijk) voordat hij een deel ervan lekte. Het lek bood een ongeoorloofde blik op een van de meest waardevolle games in de branche. Het was zo zeldzaam dat sommige mensen de authenticiteit ervan in twijfel trokken toen het voor het eerst opdook, meldde Bloomberg eerder.
Kurtaj gebruikte vervolgens een GTA-fanforum om de gelekte inhoud onder de aandacht te brengen en noemde zichzelf TeaPotUberHacker – een knipoog naar zijn andere hackwerk. Vervolgens ging hij naar het Slack-messengeraccount van Rockstar en dreigde de broncode vrij te geven tenzij het bedrijf contact met hem opnam. Op 19 september had het bedrijf zijn toegang geblokkeerd en de zaak gemeld bij de FBI. Maar de schade was al aangericht.
“Het is een van de grootste entertainmentproducten aller tijden en zoiets zou onze marketing bederven”, zei Daniel Emerson, de belangrijkste juridische functionaris van Take 2 Interactive Software, een dochteronderneming van Rockstar, als getuigenis voor de rechtbank. Emerson schatte dat het bedrijf meer dan $1,5 miljoen (ongeveer Rs. 12,39 crore) besteedde aan juridische en communicatiebedrijven, naast ruim $2 miljoen (ongeveer Rs. 16,52 crore) aan externe leveranciers en honderden verspilde uren voor senior werknemers. Rockstar weigerde te reageren op vragen over hoe het zo gemakkelijk was voor de tieners en welke barrières het sindsdien had opgeworpen.
De komende Grand Theft Auto VI is in een of andere vorm in ontwikkeling sinds 2014 en er wordt zo lang naar uitgekeken dat toen Take 2 voor het eerst het bestaan ervan in 2022 erkende, de aandelenkoers enorm steeg. De nieuwe game zal voor het eerst een speelbare vrouwelijke hoofdrolspeler bevatten.
Kurtaj was zo bedreven in hacken dat hij enkele dagen eerder soortgelijke tactieken had gebruikt om in de systemen van zowel Uber als de Britse fintech te komen. Revolut-advocaten legden uit dat Kurtaj probeerde toegang te krijgen tot 74.000 Revolut-klantgegevens, naar verluidt om die informatie op de zwarte markt te verkopen. Het precieze aantal getroffen klanten is onbekend. Voor de Uber-hack stuurde Kurtaj treiterende berichten naar het personeel, waardoor het bedrijf de hele applicatie tijdelijk moest afsluiten. Uber zei dat het financiële verlies ongeveer $ 2,8 miljoen bedroeg (ongeveer Rs. 23,14 crore).
Toen de politie de hotelkamer van Kurtaj binnenviel, vonden ze een iPhone 13 Pro Max iets onder de dekens, zei een onderzoeker tijdens het proces. Deze telefoon werd later verbonden met enkele van de hacks waarbij hij betrokken was. De politie is er niet in geslaagd toegang te krijgen tot het apparaat, omdat Kurtaj weigert de pincode te delen. De eerste reeks overtredingen waarvan Kurtaj en de niet bij naam genoemde tiener werden beschuldigd, waren een sim-swapping-golf tegen gebruikers van de EE-telefoondienst van BT in 2021. Bij sim-swapping nemen fraudeurs de controle over een telefoonnummer om vervolgens berichten en oproepen te ontvangen die hen in staat te stellen toegang te krijgen tot bankrekeningen en crypto-wallets.
Daria Jasinska, een EE-klant die slachtoffer was, zei in een getuigenverklaring dat de volledige inhoud – meer dan £ 54.000 ($69.000 of ongeveer Rs. 57 lakh) – van haar online Coinbase-account was ingetrokken. Van Robert Molloy, een ander slachtoffer, werd £ 2000 afgeschreven van zijn online Monzo-bankrekening. Later die dag kreeg hij een e-mail van de aanvallers met de mededeling “bedankt voor de ps bro” – een slangterm voor geld.
Uber, Revolut en EE hebben niet gereageerd op verzoeken om commentaar.
Kurtaj en de tiener werden in januari 2022 door de politie gearresteerd. De tiener bekende schuldig te zijn aan sommige aspecten van de aanklacht waarbij BT betrokken was. Hij gaf toe betrokken te zijn bij het uitvoeren van de ruiltransacties en de fraude, maar ontkende de beschuldigingen van chantage.
De tweede hack die de twee tieners samen met andere Lapsus$-leden ondernamen, was een gedurfde aanval op Nvidia op 15 februari 2022. Toen de spanningen aan de Oekraïense grens opliepen, vreesde de Amerikaanse regering aanvankelijk dat de hack uit Rusland zou kunnen komen, aldus twee functionarissen die destijds met Bloomberg spraken. Niet voor lang. Lapsus$ besprak al snel het succes van de hack in online Telegram-chats, aldus onderzoekers. Met behulp van zijn handtekeningmethoden had het de controle over de accounts van aannemers overgenomen en slaagde het erin om 1 terabyte aan commercieel gevoelige bedrijfssoftware, bekend als firmware, te stelen. Leden van de groep gaven 80 GB ervan vrij aan het publiek en eisten vervolgens dat Nvidia losgeld zou betalen als het de publicatie van de rest wilde blokkeren.
Advocaten van de aanklager zeggen dat politieonderzoekers en experts erin zijn geslaagd Kurtaj en zijn collega-hacker in verband te brengen met de verschillende incidenten via een web van Internet Protocol-adressen, e-mails, Telegram-chatgroepen en hun handtekeningmethoden. Wat elke hack gemeen had, was social engineering door details van legitieme spelers te stelen om in systemen te komen, gegevens te bemachtigen en te proberen geld voor hen af te persen en een handtekeningvisitekaartje in de vorm van een ruwe afbeelding – bijvoorbeeld in de Uber-hack. , er werd een foto van een “naakte penis in erectie” geüpload.
“Een jeugdig verlangen om twee vingers op te steken naar degenen die ze aanvallen”, zei aanklager Kevin Barry. Voor de verdediging waren het de pogingen van domme tieners die erop uit waren om te lachen.
In de jaren vóór de incidenten woonde Kurtaj thuis in Oxfordshire met zijn moeder en jongere broer. Tijdens het proces beschreef Kurtaj’s kinderarts, Nicholas Hindley, hem als ‘een bijzonder gehandicapt individu’, eraan toevoegend dat zijn eerste contact met de jongere kwam nadat de school voor speciaal onderwijs waar hij naar toe ging hem niet onder controle kon houden. Kurtaj’s autisme, ADHD en andere complexe gezondheidsdiagnoses zorgen ervoor dat hij op zijn best functioneert op het niveau van 1 procent van zijn leeftijdsgenoten, vertelde Hindley aan de rechtbank.
Kurtaj, die in zijn vroege tienerjaren zijn formele opleiding beëindigde, werd kortstondig opgenomen in de sociale zorg omdat hij zijn moeder fysiek had mishandeld. Daar kwam een einde aan toen hij zelf werd aangevallen door een medewerker, die voor de daad werd veroordeeld. Kurtaj’s moeder nam hem terug, maar toezicht op zijn computergebruik was moeilijk voor haar. Claudia Camden-Smith, de arts die verantwoordelijk was voor zijn zorg als volwassene, zei dat het hacken hem ‘straatwaarde’ gaf.
“Hij wil niet anders zijn, hij wil zijn zoals iedereen, wil gezien worden als trendy en riskant”, zei ze tegen de rechtbank, eraan toevoegend dat zijn diagnose niet volledig weergeeft hoe kwetsbaar hij is.
Sinds Kurtaj zijn borgtocht heeft verbroken met de GTA- en Uber-aanvallen, wordt hij vastgehouden in het Feltham Young Offenders Institute, waar artsen zeiden dat hij extreem overstuur was, urine naar bewakers gooide en de gevangenisinfrastructuur vernielde. Het is nu aan rechter Patricia Lees om te beslissen wat hem te wachten staat.
“Ondanks dat hij sinds zijn veertiende geen formeel onderwijs heeft genoten, heeft hij een aantal inbreuken op de beveiliging gepleegd die hebben geïnfiltreerd en zwakke punten hebben blootgelegd in de systemen van de grootste mondiale bedrijven, die miljoenen uitgeven aan pogingen om hun cyberbeveiliging ondoordringbaar te maken. ”, aldus Kurtaj’s advocaat Matthews-Murphy. “Er moet een beter systeem komen dat het mogelijk maakt de vaardigheden van zulke individuen op een positievere manier te gebruiken, dat bedrijven beschermt, de medische behoeften van kwetsbare daders erkent en ondersteunt, en een voor beide partijen voordeliger resultaat biedt voor alle belanghebbenden in deze situaties. .”
© 2023 BloombergLP
