Às 21h do dia 22 de setembro do ano passado, um grupo de policiais da cidade de Londres esperou do lado de fora do quarto M15 do Travelodge Bicester, um hotel econômico de uma estrela em Oxfordshire, Inglaterra, pelo momento certo para invadir. a porta era alguém que eles acreditavam estar por trás de dois sérios hacks de dados: um na Uber Technologies e o outro um vazamento de código sem precedentes para a sequência inédita de Grand Theft Auto da Rockstar Games.
Uma complicada operação de rastreamento e vigilância ajudou os policiais a localizar um usuário da plataforma de mensagens Telegram chamado @lilyhowarth. Atrás da porta, no entanto, não estava Lily Howarth, mas Arion Kurtaj, de 17 anos – já sob fiança por um grande e ousado hack contra a fabricante de chips Nvidia e uma intrusão no grupo telefônico do Reino Unido BT Group. Membro de um obscuro grupo internacional de extorsionários online pouco conectados que se autodenominavam Lapsus$, Kurtaj foi alojado na sala pela polícia para sua própria segurança depois de ser denunciado pela comunidade hacker. Lily Howarth era apenas mais um apelido por trás do qual ele se escondia por causa de suas atividades de hacking, descobriram os policiais.
Agora com 18 anos, Kurtaj esteve no centro de um julgamento criminal de sete semanas em Londres ao lado de um co-réu de 17 anos que não pode ser identificado porque é menor de idade. Os dois, que se conheceram online, enfrentaram uma acusação de 12 acusações, incluindo chantagem, fraude e acusações de hacking. Kurtaj, que foi o único responsável por metade das acusações, foi considerado inapto para ser julgado por um juiz antes de seu início por causa de seu complexo transtorno do espectro autista – o que significa que ele não pode ser considerado como tendo “intenção criminosa”, e pode receber uma ordem comunitária ou ser enviado para um centro de cuidados psiquiátricos, em vez de uma prisão, depois que um júri esta semana o considerou responsável por todas as acusações.
Os advogados de defesa argumentaram que as evidências que ligavam os dois aos incidentes não eram fortes o suficiente e que não havia como saber se Kurtaj era o responsável pelos hacks. Na quarta-feira, o júri decidiu o contrário. Um juiz decidirá posteriormente sobre o futuro de Kurtaj. Seu colega hacker foi considerado culpado em três acusações e inocente em outras duas. Ele já havia se declarado culpado de duas acusações relacionadas à BT.
“Apesar do resultado da decisão do júri, que pode ser objeto de recurso, esperamos que este caso ilumine a forma como indivíduos vulneráveis com perturbações graves do desenvolvimento neurológico interagem com a polícia e o sistema de justiça criminal”, Niamh Matthews-Murphy , disse o advogado de Kurtaj em comunicado à Bloomberg.
Os ataques audaciosos de empresas de tecnologia por parte do Lapsus$ confundiram os especialistas em segurança cibernética desde que iniciou uma série de ataques de alto perfil entre 2021 e 2022, causando milhões de dólares em danos aos seus alvos. O julgamento forneceu uma rara janela para o funcionamento desta reunião secreta de geeks da tecnologia, mostrando como as intrusões foram orquestradas e as motivações do grupo: notoriedade, dinheiro e também apenas “risos”. Não está claro quanto dinheiro o Lapsus$ ganhou – nenhuma das empresas admitiu ter pago algum dinheiro. A polícia não conseguiu acessar contas criptografadas associadas aos adolescentes.
A história de como estes jovens levaram a melhor sobre algumas das maiores empresas tecnológicas dos EUA foi compilada a partir de processos judiciais de Londres, documentos, depoimentos de testemunhas, investigação policial e fontes da indústria de cibersegurança. As autoridades do Reino Unido trabalharam com as autoridades policiais dos EUA, incluindo o Federal Bureau of Investigation. Um relatório de julho da Agência de Segurança Cibernética e de Infraestrutura dos EUA disse que, embora o Lapsus$ fosse como qualquer outro grupo cibercriminoso, ele “era único por sua eficácia, velocidade, criatividade e ousadia”.
Veja o caso Grand Theft Auto, por exemplo.
Com relativa facilidade e do quarto de hotel em Oxfordshire, Kurtaj – junto com outros membros desconhecidos do Lapsus$ – roubou códigos comercialmente sensíveis e imagens de vídeo do último capítulo da série Grand Theft Auto em desenvolvimento. De acordo com a promotoria, eles entraram nos sistemas da Rockstar em 16 de setembro de 2022 usando engenharia social, “se passando por um funcionário ou contratado que ‘perdeu’ ou ‘não conseguia lembrar’ sua senha”.
Depois de não conseguirem fazer login com as credenciais de um ex-funcionário, eles usaram uma conta vinculada a um empreiteiro chamado Siwar Jrad (siwar.jrad), disseram os promotores. Uma vez lá dentro, as credenciais do ex-funcionário “mohd.hidaytullah” foram usadas para acessar uma parte do sistema associada ao desenvolvimento de jogos, disseram. Os registros da Rockstar mostram que o dispositivo usado para o registro era exatamente do tipo e especificação do iPhone apreendido de Kurtaj no Travelodge Bicester.
Um dia depois de obter acesso, Kurtaj baixou uma série de vídeos e documentos de design para a sequência de GTA, bem como o código-fonte – todos altamente confidenciais – antes de vazar alguns deles. O vazamento ofereceu uma visão não autorizada de um dos jogos mais valiosos da indústria. Era tão raro que algumas pessoas duvidaram de sua autenticidade quando surgiu pela primeira vez, informou a Bloomberg anteriormente.
Kurtaj então usou um fórum de fãs do GTA para destacar o conteúdo vazado, autodenominando-se TeaPotUberHacker – uma homenagem a seu outro trabalho de hacking. Ele então acessou a conta do Slack Messenger da Rockstar para ameaçar liberar o código-fonte, a menos que a empresa o contatasse. Em 19 de setembro, a empresa desativou seu acesso e relatou o assunto ao FBI. Mas o estrago já estava feito.
“É uma das maiores propriedades de entretenimento de todos os tempos e algo assim estragaria nosso marketing”, disse Daniel Emerson, diretor jurídico da Take 2 Interactive Software, uma subsidiária da Rockstar, prestando depoimento no tribunal. Emerson estimou que a empresa gastou mais de US$ 1,5 milhão (cerca de Rs. 12,39 milhões) em escritórios de advocacia e comunicações, além de mais de US$ 2 milhões (cerca de Rs. 16,52 milhões) em fornecedores terceirizados e centenas de horas perdidas para funcionários seniores. A Rockstar se recusou a responder a perguntas sobre como isso foi tão facilmente conquistado pelos adolescentes e quais barreiras foram impostas desde então.
O próximo Grand Theft Auto VI está em desenvolvimento de alguma forma desde 2014 e é tão aguardado que quando o Take 2 reconheceu sua existência pela primeira vez em 2022, o estoque disparou. O novo jogo contará com uma protagonista feminina jogável pela primeira vez.
Kurtaj era tão hábil em hackear que poucos dias antes ele havia usado táticas semelhantes para entrar nos sistemas da Uber e da fintech do Reino Unido. Os advogados da Revolut explicaram que Kurtaj tentou acessar 74.000 registros de clientes da Revolut, supostamente para vender essas informações no mercado negro. O número exato de clientes afetados é desconhecido. Para o hack do Uber, Kurtaj enviou mensagens provocativas aos funcionários, o que forçou a empresa a encerrar temporariamente todo o aplicativo. A Uber disse que sua perda financeira foi de cerca de US$ 2,8 milhões (cerca de Rs. 23,14 milhões).
Quando a polícia invadiu o quarto de hotel de Kurtaj, encontrou um IPhone 13 Pro Max ligeiramente debaixo das cobertas, disse um investigador no julgamento. Este telefone foi posteriormente conectado a alguns dos hacks nos quais ele estava implicado. A polícia não conseguiu acessar o dispositivo porque Kurtaj se recusa a compartilhar o PIN. O primeiro lote de crimes dos quais Kurtaj e o adolescente não identificado foram acusados de participar foi uma onda de troca de SIM contra usuários do serviço telefônico EE da BT em 2021. A troca de SIM ocorre quando os fraudadores assumem o controle de um número de telefone para receber mensagens e chamadas que permitir-lhes acessar contas bancárias e carteiras criptografadas.
Daria Jasinska, uma cliente de EE que foi vítima, disse em depoimento de testemunha que todo o conteúdo – mais de £ 54.000 (US$ 69.000 ou cerca de Rs. 57 lakh) – de sua conta online Coinbase foi retirado. Robert Molloy, outra vítima, teve £ 2.000 drenados de sua conta bancária online em Monzo. Mais tarde naquele dia, ele recebeu um e-mail dos agressores dizendo “obrigado pelo PS mano” – uma gíria para dinheiro.
Uber, Revolut e EE não responderam aos pedidos de comentários.
Kurtaj e o adolescente foram presos pela polícia em janeiro de 2022. O adolescente se declarou culpado de alguns aspectos das acusações envolvendo BT. Ele admitiu estar envolvido na condução das trocas e fraudes, mas negou as acusações de chantagem.
O segundo hack que os dois adolescentes empreenderam, ao lado de outros membros do Lapsus$, foi um ataque audacioso contra a Nvidia em 15 de fevereiro de 2022. No momento em que as tensões aumentavam na fronteira com a Ucrânia, o governo dos EUA inicialmente temeu que o hack pudesse ter vindo da Rússia, de acordo com dois funcionários que falaram com Bloomberg na época. Não por muito tempo. Lapsus$ logo estava discutindo o sucesso do hack nos bate-papos online do Telegram, disseram os investigadores. Usando seus métodos de assinatura, assumiu o controle das contas dos prestadores de serviço e conseguiu roubar 1 terabyte de software comercialmente sensível da empresa, conhecido como firmware. Os membros do grupo liberaram 80 GB dele ao público e depois exigiram que a Nvidia pagasse um resgate se quisesse bloquear a publicação do restante.
Os advogados da promotoria disseram que investigadores policiais e especialistas conseguiram vincular Kurtaj e seu colega hacker aos vários incidentes por meio de uma rede de endereços de protocolo da Internet, e-mails, grupos de bate-papo do Telegram e seus métodos de assinatura. O que cada hack tinha em comum era a engenharia social, roubando detalhes de jogadores legítimos para entrar nos sistemas, capturando dados e tentando extorquir dinheiro para eles e um cartão telefônico assinado na forma de uma imagem grosseira – no hack do Uber, por exemplo , uma foto de um “pênis ereto nu” foi carregada.
“Um desejo juvenil de apontar dois dedos para aqueles que estão atacando”, disse o advogado de acusação Kevin Barry. Para a defesa, eram esforços de adolescentes bobos em busca de risadas.
Nos anos anteriores aos incidentes, Kurtaj morava em casa em Oxfordshire com sua mãe e seu irmão mais novo. Durante o julgamento, o médico de infância de Kurtaj, Nicholas Hindley, descreveu-o como “um indivíduo particularmente deficiente”, acrescentando que o seu primeiro contacto com o jovem ocorreu depois de a escola de necessidades especiais que frequentava não ter conseguido controlá-lo. O autismo, o TDAH e outros diagnósticos de saúde complexos de Kurtaj significam que ele funciona, na melhor das hipóteses, no nível de 1% de seus pares, disse Hindley ao tribunal.
Kurtaj, que terminou a sua educação formal no início da adolescência, foi brevemente levado para a assistência social por agredir fisicamente a sua mãe. Isso acabou quando ele próprio foi agredido por um funcionário, que foi condenado pelo ato. A mãe de Kurtaj o aceitou de volta, mas supervisionar o uso do computador tem sido difícil para ela. Claudia Camden-Smith, a médica responsável por seus cuidados quando adulto, disse que a pirataria lhe deu “credibilidade nas ruas”.
“Ele não quer ser diferente, quer ser como todos os outros, quer ser visto como moderno e arriscado”, disse ela ao tribunal, acrescentando que o seu diagnóstico não capta totalmente o quão vulnerável ele é.
Desde que Kurtaj quebrou sua fiança com os ataques do GTA e do Uber, ele está detido no Feltham Young Offenders Institute, onde os médicos disseram que ele está extremamente angustiado, jogando urina nos guardas e destruindo a infraestrutura da prisão. Caberá agora à juíza Patricia Lees decidir o que o espera.
“Apesar de não receber educação formal desde os 14 anos, descobriu-se que ele cometeu uma série de violações de segurança que se infiltraram e expuseram fraquezas nos sistemas das maiores empresas globais, que gastam milhões tentando tornar a sua segurança cibernética impenetrável. ”, disse o advogado de Kurtaj, Matthews-Murphy. “Tem de haver um sistema melhor que permita que as competências de tais indivíduos sejam utilizadas de uma forma mais positiva, que proteja as empresas, reconheça e apoie as necessidades médicas dos perpetradores vulneráveis e ofereça um resultado mais mutuamente benéfico para todas as partes interessadas nestas situações. .”
© 2023 Bloomberg LP
source – www.gadgets360.com
