Два парня входили в хакерскую группу, которую киберэксперты назвали «уникальной благодаря своей эффективности, скорости, креативности и смелости». Их мотивация: известность, деньги и просто «поугарать», пишет Bloomberg.
В 9 часов вечера 22 сентября прошлого года группа полицейских лондонского Сити ждала возле комнаты М15 однозвездочного бюджетного отеля Travelodge Bicester в Оксфордшире, Англия, подходящего момента, чтобы туда ворваться. По другую сторону двери находился тот, кто, по их мнению, стоял за двумя серьезными хакерскими атаками: на Uber Technologies Inc. и беспрецедентной утечкой кода для неизданного продолжения Grand Theft Auto от Rockstar Games Inc.
Сложная операция по отслеживанию и наблюдению вывела полицейских на пользователя мессенджера Telegram под ником @lilyhowarth. Однако за дверью была не Лили Ховарт, а 17-летний Арион Куртадж, уже находящийся под залогом за дерзкий и крупномасштабный взлом производителя чипов Nvidia Corp. и британской телефонной компании BT Group Plc. Куртадж, член теневой международной группировки онлайн-вымогателей, называющих себя Lapsus$. А Лили Ховарт была всего лишь одной из масок, под которой скрывался хакер.
Сейчас 18-летний Куртадж находился в центре семинедельного уголовного процесса в Лондоне вместе с 17-летним сообвиняемым, имя которого не разглашается по причине юного возраста. Обоим приятелям, знакомым исключительно онлайн, было предъявлено обвинение по 12 пунктам, включая шантаж, мошенничество и компьютерный взлом. Куртадж, который несет единоличную ответственность за половину обвинений, был признан судьей неспособным предстать перед судом еще до начала процесса, из-за у него серьезного расстройства аутистического спектра. Это значит означает, что у него нельзя установить наличие «преступного намерения», обвиняемого могут отправить в психиатрическую лечебницу, а не в тюрьму после того, как присяжные на этой неделе признали его ответственным по всем обвинениям.
Адвокаты защиты утверждают, что доказательства, связывающие этих двоих с инцидентами, недостаточно убедительны и что невозможно узнать, несет ли Куртадж ответственность за взломы. В среду присяжные вынесли иное решение. Судья позже примет решение о будущем Куртаджа. Его коллега-хакер был признан виновным по трем пунктам обвинения и невиновным по двум другим. Ранее он признал себя виновным по двум обвинениям, связанным с BT.
«Несмотря на решение присяжных, которое может быть обжаловано, мы надеемся, что это дело прольет свет на то, как уязвимые люди с тяжелыми нарушениями нервно-психического развития взаимодействуют с полицией и системой уголовного правосудия», — заявил адвокат Куртаджа Ниам Мэтьюз-Мерфи.
Дерзкие взломы технологических компаний со стороны Lapsus$ привели в замешательство экспертов по кибербезопасности. В период с 2021 по 2022 год группировка хакеров провела целую серию громких атак, причинив ущерб на миллионы долларов. Суд предоставил редкую возможность взглянуть на работу этого секретного собрания технических фанатов, показав, как были организованы вторжения и мотивы группы: известность, деньги, а также просто «ради прикола». Неясно, сколько денег заработал Lapsus$ — ни одна из компаний не призналась, что платила ему деньги. Полиции не удалось получить доступ к крипто-аккаунтам, связанным с подростками.
История о том, как эти молодые люди одержали верх над некоторыми крупнейшими технологическими компаниями США, была составлена на основе лондонских судебных разбирательств, документов, показаний свидетелей, полицейского расследования и источников в индустрии кибербезопасности. Власти Великобритании работали с правоохранительными органами США, включая ФБР. В июльском отчете Агентства кибербезопасности и безопасности инфраструктуры США говорится, что, хотя Lapsus$ похожа на любую другую киберпреступную группу, она «уникальна своей эффективностью, скоростью, креативностью и смелостью».
Возьмем, к примеру, дело Grand Theft Auto. С относительной легкостью из гостиничного номера в Оксфордшире Куртадж вместе с другими неизвестными членами Lapsus$ похитил коммерчески секретный код и видеозапись последней части находящейся в разработке серии Grand Theft Auto. По версии обвинения, хакеры проникли в системы Rockstar 16 сентября 2022 года с помощью социальной инженерии, «выдавая себя за сотрудников или подрядчиков, которые «потеряли» или «не могут вспомнить» свой пароль.
По словам прокуроров, не сумев войти в систему с учетными данными бывшего сотрудника, они использовали учетную запись, связанную с подрядчиком по имени Сивар Джрад (siwar.jrad). По их словам, когда они вошли внутрь, учетные данные бывшего сотрудника mohd.hidaytullah были использованы для доступа к части системы, связанной с разработкой игр. Данные Rockstar показывают, что устройство, использованное для регистрации, было точно таким же по типу и характеристикам, как iPhone, конфискованный у Куртаджа в отеле Travelodge Bicester.
На следующий день после получения доступа Куртадж скачал серию видеороликов и проектной документации для сиквела GTA, а также исходный код — все строго конфиденциально — прежде чем раскрыть часть из них. Утечка позволила получить несанкционированный доступ к одной из самых ценных игр в индустрии. Это было настолько невероятно, что некоторые люди поставили под сомнение подлинность данных, когда они впервые появились.
Сообщение Куртаджа во внутреннем приложении обмена сообщениями Rockstar Slack, в котором он объявляет себя хакером. Источник: Полиция лондонского Сити.
Затем Куртадж воспользовался форумом фанатов GTA, чтобы рассказать об утечке контента, назвав себя TeaPotUberHacker — намек на другие его хакерские работы. После этого он зашел в аккаунт мессенджера Rockstar в Slack и пригрозил опубликовать исходный код, если фирма не свяжется с ним. К 19 сентября компания отключила ему доступ и сообщила об этом в ФБР. Но ущерб уже был нанесен.
«Это один из крупнейших развлекательных объектов всех времен, и подобное испортило наш маркетинг», — сказал Дэниел Эмерсон, главный юрисконсульт Take 2 Interactive Software Inc., дочерней компании Rockstar, давая показания в суде. По оценкам Emerson, компания потратила более 1,5 млн долларов на юридические и коммуникационные фирмы, а также более 2 млн долларов на сторонних поставщиков и сотни потерянных часов для старших сотрудников. Rockstar отказалась отвечать на вопросы о том, как подросткам так легко удалось заполучить эту возможность и какие барьеры она создала с тех пор.
Предстоящая Grand Theft Auto VI в той или иной форме находится в разработке с 2014 года, и ее так ждут, что, когда Take 2 впервые признала ее существование в 2022 году, это привело к резкому росту акций компании. В новой игре впервые будет возможность сделать главным героем женщину.
Куртадж был настолько искусен во взломе, что всего несколькими днями ранее он использовал аналогичную тактику, чтобы проникнуть в системы Uber и британской компании Revolut Ltd. Юристы объяснили, что Куртадж пытался получить доступ к 74 тысячам записям клиентов Revolut, предположительно, чтобы продать эту информацию на черном рынке. Точное количество пострадавших клиентов неизвестно. В связи со взломом Uber Куртадж отправил сотрудникам насмешливые сообщения, что вынудило фирму временно закрыть приложение. Uber заявил, что его финансовые потери составили около 2,8 млн долларов.
Когда полиция провела обыск в гостиничном номере Куртаджа, она обнаружила IPhone 13 Pro Max под одеялом, сообщил следователь на суде. Позже этот телефон удалось связать с некоторыми взломами, в которых он был замешан. Но полиция не смогла получить доступ к устройству, поскольку Куртадж отказывается сообщить PIN-код. Первой серией преступлений, в которых обвинили Куртаджа и неназванного подростка, стала подмена SIM-карт пользователей телефонной службы BT EE в 2021 году. Подмена SIM-карты — это когда мошенники берут под свой контроль номер телефона, чтобы затем получать сообщения и звонки, которые предоставить им доступ к банковским счетам и криптокошелькам.
Дарья Ясинская, клиентка EE, ставшая жертвой взлома, в свидетельских показаниях заявила, что все средства — более 54 тысячи фунтов стерлингов (69 тысячи долларов США) — из ее онлайн-аккаунта Coinbase были украдены. У Роберта Моллоя, еще одной жертвы, с онлайн-счета в банке Monzo было списано 2 тысячи фунтов стерлингов. Позже в тот же день он получил электронное письмо от злоумышленников, в котором говорилось: «Спасибо за PS, братан», PS — жаргонное обозначение денег.
Uber, Revolut и EE не ответили на запросы о комментариях.
Текстовое SMS-сообщение, полученное некоторыми клиентами EE от группы Lapsus$, по-видимому, было отправлено самим EE. Источник: Полиция лондонского Сити. Источник: Полиция лондонского Сити.
Куртадж и его несовершеннолетний сообщник были арестованы полицией в январе 2022 года. Подросток признал себя виновным по некоторым эпизодам обвинений, связанных с BT. Он признал свою причастность к обмену и мошенничеству, но отверг обвинения в шантаже.
Вторым взломом, который совершили двое подростков вместе с другими участниками Lapsus$, стала дерзкая атака на Nvidia 15 февраля 2022 года. Используя свои методы подписи, они получили контроль над учетными записями подрядчиков и сумели похитить 1 терабайт коммерчески секретного программного обеспечения компании, известного как встроенное ПО. Члены группы выложили в открытый доступ 80 ГБ, а затем потребовали от Nvidia заплатить выкуп, если она хочет заблокировать публикацию остальных.
Адвокаты обвинения заявили, что полицейским следователям и экспертам удалось связать Куртаджа и его коллегу-хакера с различными инцидентами через сеть адресов интернет-протокола, электронные письма, чат-группы Telegram и их методы подписи. Общим для каждого взлома была социальная инженерия, заключавшаяся в краже данных для проникновения в системы, сборе данных и попытках вымогательства для них денег, а также оставление «визитной карточки» в виде обсценного изображения — например, в случае взлома Uber была загружена фотография «голого эрегированного пениса».
«Это юношеское желание показать средний палец тем, на кого они нападают», — считает представитель обвинения Кевин Бэрри. С точки зрения защиты, это были всего лишь грубые шутки подростков, ищущих повод для смеха.
За несколько лет до инцидентов Куртадж жил дома в Оксфордшире со своей матерью и младшим братом. Во время суда детский врач Куртаджа Николас Хиндли описал его как «человека с особыми нарушениями», добавив, что его первый контакт с мальчиком произошел после того, как школа для детей с особыми потребностями, которую он посещал, не смогла его контролировать. По словам Хиндли, аутизм, СДВГ и другие сложные медицинские диагнозы Куртаджа означают, что он функционирует в лучшем случае на уровне 1% своих сверстников.
Куртадж, который закончил свое формальное образование в раннем подростковом возрасте, был на короткое время помещен под опеку за физическое насилие над своей матерью. Это закончилось тем, что на него самого напал сотрудник, осужденный за это действие. Мать Куртаджа забрала его обратно, но ей было трудно контролировать использование им компьютера. Лечащий врач Клаудия Камден-Смит сказала, что хакерство принесло ее пациенту «уличный авторитет».
«Он не хочет отличаться от других, он хочет быть таким, как все, хочет, чтобы его считали модным и рискованным», — заявила она суду, добавив, что его диагноз не полностью отражает, насколько он уязвим.
С тех пор как Куртадж нарушил свой залог из-за атак GTA и Uber, он содержится в Институте для молодых правонарушителей Фелтэма, где врачи говорят, что он был крайне расстроен, обливал охранников мочой и разрушал тюремную инфраструктуру. Теперь судья Патрисия Лис будет решать, что его ждет впереди.
«Несмотря на отсутствие формального образования с 14 лет, было установлено, что он совершил ряд преступлений против общественной безопасности, которые выявили слабые места в системах крупнейших мировых компаний, тратящих миллионы, пытаясь сделать свою кибербезопасность непроницаемой. — заявил адвокат Куртаджа Мэтьюз-Мерфи. — Нужна более совершенная система, которая позволит использовать навыки таких людей более позитивным образом, защищая корпорации, признавая и поддерживая медицинские потребности уязвимых преступников и предлагая более взаимовыгодный результат для всех заинтересованных сторон в таких ситуациях».