Ένας 18χρονος χάκερ που διέρρευσε αποσπάσματα ενός επερχόμενου παιχνιδιού Grand Theft Auto (GTA), καταδικάστηκε σε αόριστη επιτήρηση σε ψυχιατρικό νοσοκομείο.
Ο Arion Kurtaj από την Οξφόρδη, που πάσχει από αυτισμό, ήταν ένας βασικός μέλος της διεθνούς συμμορίας Lapsus$.
Οι επιθέσεις της συμμορίας σε τεχνολογικούς γίγαντες, συμπεριλαμβανομένων των Uber, Nvidia και Rockstar Games, κόστισαν στις εταιρείες σχεδόν 10 εκατομμύρια δολάρια.
Ο δικαστής δήλωσε ότι οι ικανότητες του Kurtaj και η επιθυμία του να διαπράττει εγκλήματα στον κυβερνοχώρο σήμαιναν ότι παρέμενε υψηλός κίνδυνος για το κοινό.
Θα παραμείνει σε ασφαλές νοσοκομείο για όλη του τη ζωή εκτός αν οι γιατροί τον κρίνουν μη πλέον επικίνδυνο.
Ακούστηκε στο δικαστήριο ότι ο Kurtaj είχε εκδηλώσει βίαιη συμπεριφορά ενώ ήταν κρατούμενος με δεκάδες αναφορές τραυματισμών ή ζημιών σε περιουσίες.
Οι γιατροί κρίνανε τον Kurtaj ανίκανο να δικαστεί λόγω του έντονου αυτισμού του, γι’αυτό και το δικαστήριο ζήτησε από την επιτροπή κρίσης να αποφανθεί εάν διέπραξε τα υποτιθέμενα πράξεις – όχι εάν το έκανε με εγκληματική πρόθεση.
Μια αξιολόγηση της ψυχικής του υγείας, που χρησιμοποιήθηκε ως μέρος της διαδικασίας της ποινής, ανέφερε ότι “συνέχιζε να εκφράζει την πρόθεσή του να επιστρέψει στον κυβερνοχώρο το συντομότερο δυνατόν. Είναι ιδιαίτερα κινητοποιημένος”.
Στην επιτροπή ειπώθηκε ότι ενώ ήταν υπό εγγύηση για το χάκινγκ των Nvidia και BT/EE και υπό προστασία της αστυνομίας σε ένα ξενοδοχείο Travelodge, συνέχιζε το χάκινγκ και πραγμάτωσε το πιο διάσημο του χάκινγκ.
Παρά το ότι του κατασχέθηκε το φορητό του υπολογιστή, ο Kurtaj κατάφερε να εισβάλει στη Rockstar, την εταιρεία πίσω από το GTA, χρησιμοποιώντας ένα Amazon Firestick, την τηλεόραση του ξενοδοχείου του και ένα κινητό τηλέφωνο.
Ο Kurtaj έκλεψε 90 αποσπάσματα από το ακόμη μη κυκλοφορημένο και πολύ αναμενόμενο Grand Theft Auto 6.
Εισήλθε στο εσωτερικό σύστημα μηνυμάτων της εταιρείας για να δηλώσει “αν η Rockstar δεν επικοινωνήσει μαζί μου στο Telegram μέσα σε 24 ώρες, θα αρχίσω να δημοσιεύω τον πηγαίο κώδικα”.
Στη συνέχεια ανέβασε τα αποσπάσματα και τον πηγαίο κώδικα σε ένα φόρουμ υπό το ψευδώνυμο TeaPotUberHacker.
Επανασυνελήφθη και κρατήθηκε ως τη δίκη του.
Στις αρχές αυτού του μήνα, κυκλοφόρησε το τρέιλερ για το GTA 6, σημειώνοντας 128 εκατομμύρια προβολές στο YouTube σε μόλις 4 ημέρες.
Κατά τη διάρκεια των ακροάσεων για την ποινή, η ομάδα υπεράσπισης του Kurtaj υποστήριξε ότι η επιτυχία του τρέιλερ του παιχνιδιού δείχνει ότι ο χάκερ Kurtaj δεν προκάλεσε σοβαρή ζημιά στον προγραμματιστή του παιχνιδιού και ζήτησε να ληφθεί υπόψη αυτό κατά την επιβολή της ποινής.
Ωστόσο, η Κυρία Δικαστής Λις είπε ότι υπήρχαν πραγματικά θύματα και πραγματική ζημιά που προκλήθηκε από τις πολλαπλές άλλες εισβολές του σε ατομικά άτομα και στις εταιρείες που επιτέθηκε με την Lapsus$.
Η Rockstar Games μόνο της ανέφερε στο δικαστήριο ότι ο χάκερ άφησε πίσω του ζημιά ύψους 5 εκατομμυρίων δολαρίων και χιλιάδες ώρες εργασίας προσωπικού για να αποκατασταθεί η κατάσταση.
Ένας άλλος μέλος της Lapsus$, ηλικίας 17 ετών και που δεν μπορεί να αποκαλυφθεί λόγω της ηλικίας του, βρέθηκε ένοχος στην ίδια δίκη, που διήρκεσε έξι εβδομάδες στο Εφετείο του Southwark.
Συνεργάστηκε με τον Kurtaj και άλλα μέλη της Lapsus$ για να χακεύσουν τον τεχνολογικό γίγαντα Nvidia και την τηλεφωνική εταιρεία BT/EE και να κλέψουν δεδομένα προτού ζητήσουν ένα λύτρα ύψους τεσσάρων εκατομμυρίων δολαρίων, το οποίο δεν καταβλήθηκε.
Επίσης, έκλεψαν άμεσα από άτομα μέσω των κρυπτονομισμάτων τους.
Ο 17χρονος καταδικάστηκε σε περίοδο 18 μηνών Εντατικής Αποκατάστασης Νέων, συμπεριλαμβανομένης έντονης επίβλεψης και απαγόρευσης χρήσης εικονικών ιδιωτικών δικτύων στο διαδίκτυο.
Εκτός από τις παραβιάσεις στον κυβερνοχώρο, το αγόρι καταδικάστηκε για ό,τι ο δικαστής χαρακτήρισε ως “ανησυχητική και τρομακτική πρακτική εκφοβισμού” δύο νεαρών γυναικών.
Ο Kurtaj και ο 17χρονος είναι τα πρώτα μέλη της ομάδας Lapsus$ που καταδικάστηκαν, αλλά πιστεύεται ότι άλλα μέλη παραμένουν ελεύθερα.
Οι τολμηρές επιθέσεις της ομάδας το 2021 και το 2022 σοκάρισαν τον κυβερνοχώρο. Η ομάδα από το Ηνωμένο Βασίλειο και πιθανώς από τη Βραζιλία περιγράφηκε στο δικαστήριο ως “ψηφιακοί ληστές”.
Η συμμορία – που πιθανώς απαρτίζεται κυρίως από έφηβους – χρησιμοποίησε αποπλάνηση και ψεύτικες μεθόδους καθώς και χακινγκ για να αποκτήσει πρόσβαση σε διεθνείς εταιρείες όπως η Microsoft, η τεχνολογική γιγαντιαία εταιρεία και η ψηφιακή τραπεζική ομάδα Revolut.
Κατά τη διάρκεια της περιόδου των επιθέσεών τους, οι χάκερ συχνά γιόρταζαν δημοσίως τα εγκλήματά τους και προκαλούσαν τα θύματά τους στο κοινωνικό δίκτυο Telegram στα αγγλικά και τα πορτογαλικά.
Αυτό οδήγησε τις κυβερνοαρχές των ΗΠΑ να εκδώσουν ένα αναλυτικό αναφορά για την Lapsus$ και άλλες ομάδες νεανικών χάκερ.
Συμπέρανε ότι η Lapsus$ “έκανε σαφές πόσο εύκολο ήταν για τα μέλη της (ανήλικα, σε ορισμένες περιπτώσεις) να διεισδύσουν σε οργανισμούς που είχαν καλή προστασία”.
Δεν είναι σαφές πόσα χρήματα έχει κερδίσει η Lapsus$ από τα κυβερνοεγκλήματά της. Καμία εταιρεία δεν έκανε δημόσια δήλωση για πληρωμή στους χάκερ και οι χάκερ δεν παρείχαν τους κωδικούς πρόσβασης στα κατασχεμένα κρυπτονομίσματα.