O 18χρονος χάκερ που διέρρευσε αποσπάσματα του επερχόμενου παιχνιδιού Grand Theft Auto 6 (GTA VI) καταδικάστηκε σε νοσηλεία επ’ αόριστον.
Ο Arion Kurtaj από την Οξφόρδη, ο οποίος πάσχει από αυτισμό, ήταν βασικό μέλος της διεθνούς συμμορίας Lapsus$.
Οι επιθέσεις της συμμορίας σε τεχνολογικούς κολοσσούς, όπως η Uber, η Nvidia και η Rockstar Games, κόστισαν στις εταιρείες σχεδόν 10 εκατ. δολάρια.
Ο δικαστής δήλωσε ότι οι δεξιότητες και η επιθυμία του Kurtaj να διαπράττει εγκλήματα στον κυβερνοχώρο σήμαιναν ότι παρέμενε υψηλός κίνδυνος για το κοινό.
Θα παραμείνει ισόβια σε νοσοκομείο ασφαλείας, εκτός εάν οι γιατροί κρίνουν ότι δεν αποτελεί πλέον κίνδυνο.
Στο δικαστήριο αναφέρθηκε ότι ο Kurtaj ήταν βίαιος όσο βρισκόταν υπό κράτηση με δεκάδες αναφορές για τραυματισμούς ή υλικές ζημιές.
Οι γιατροί έκριναν τον Kurtaj ακατάλληλο να δικαστεί λόγω του αυτισμού του, οπότε οι ένορκοι κλήθηκαν να αποφασίσουν αν διέπραξε ή όχι τις φερόμενες πράξεις - όχι αν το έκανε με εγκληματική πρόθεση.
Μια αξιολόγηση ψυχικής υγείας που χρησιμοποιήθηκε ως μέρος της ακροαματικής διαδικασίας για την επιβολή της ποινής ανέφερε ότι «συνέχισε να εκφράζει την πρόθεση να επιστρέψει στο έγκλημα στον κυβερνοχώρο το συντομότερο δυνατό. Έχει ισχυρό κίνητρο».
Οι ένορκοι πληροφορήθηκαν ότι, ενώ βρισκόταν με εγγύηση για την παραβίαση της Nvidia και της BT/EE και υπό αστυνομική προστασία σε ένα ξενοδοχείο Travelodge, συνέχισε να κάνει κυβερνοεπιθέσεις.
Παρά την κατάσχεση του φορητού του υπολογιστή, ο Kurtaj κατάφερε να παραβιάσει τη Rockstar, την εταιρεία πίσω από το GTA, χρησιμοποιώντας ένα Amazon Firestick, την τηλεόραση του ξενοδοχείου του και ένα κινητό τηλέφωνο.
Ο Kurtaj έκλεψε 90 κλιπ του ακυκλοφόρητου και πολυαναμενόμενου Grand Theft Auto 6.
Εισέβαλε στο εσωτερικό σύστημα μηνυμάτων Slack της εταιρείας για να δηλώσει ότι «αν η Rockstar δεν επικοινωνήσει μαζί μου στο Telegram μέσα σε 24 ώρες θα αρχίσω να δημοσιεύω τον πηγαίο κώδικα».
Στη συνέχεια δημοσίευσε τα κλιπ και τον πηγαίο κώδικα σε ένα φόρουμ με το όνομα χρήστη TeaPotUberHacker.
Συνελήφθη εκ νέου και τέθηκε υπό κράτηση μέχρι τη δίκη του.
Νωρίτερα αυτό το μήνα, το τρέιλερ για το GTA 6 κυκλοφόρησε συγκεντρώνοντας 128 εκατ. προβολές στο YouTube σε μόλις 4 ημέρες.
Κατά την ακροαματική διαδικασία για την επιβολή της ποινής, η ομάδα υπεράσπισης του Kurtaj υποστήριξε ότι η επιτυχία του τρέιλερ του παιχνιδιού υποδεικνύει ότι το χακάρισμα του Kurtaj δεν είχε προκαλέσει σοβαρή ζημία στην εταιρεία ανάπτυξης του παιχνιδιού και ζήτησε να ληφθεί υπόψη αυτό στη δίκη.
Όμως η Δικαστής Lees δήλωσε ότι υπήρχαν πραγματικά θύματα και πραγματική ζημία που προκλήθηκε από τα άλλα πολλαπλά hacks του σε ιδιώτες και τις εταιρείες στις οποίες επιτέθηκε.
Η Rockstar Games δήλωσε στο δικαστήριο ότι η κυβερνοεπίθεση της κόστισε 5 εκατομμύρια δολάρια για να ανακάμψει και χιλιάδες ώρες εργασίας του προσωπικού της.
Ένα άλλο μέλος της Lapsus$, ο οποίος είναι 17 ετών και δεν μπορεί να κατονομαστεί λόγω της ηλικίας του, κρίθηκε ένοχος στην ίδια δίκη, η οποία διήρκεσε έξι εβδομάδες στο Southwark Crown Court.
Συνεργάστηκε με τον Kurtaj και άλλα μέλη της Lapsus$ για να παραβιάσουν τον τεχνολογικό γίγαντα Nvidia και την τηλεφωνική εταιρεία BT/EE και να κλέψουν δεδομένα πριν απαιτήσουν λύτρα ύψους τεσσάρων εκατομμυρίων δολαρίων, τα οποία δεν καταβλήθηκαν.
Έκλεβαν επίσης απευθείας από ιδιώτες μέσω των πορτοφολιών κρυπτονομισμάτων τους.
Ο 17χρονος καταδικάστηκε σε εντατική επιτήρηση και απαγόρευση χρήσης VPN στο διαδίκτυο για 18 μήνες.
Εκτός από τα αδικήματα που αφορούν στις κυβερνοεπιθέσεις, το αγόρι καταδικάστηκε για αυτό που ο δικαστής περιέγραψε ως «δυσάρεστο και τρομακτικό μοτίβο παρακολούθησης και παρενόχλησης» δύο νεαρών γυναικών.
Ο Kurtaj και ο 17χρονος είναι τα πρώτα μέλη της ομάδας Lapsus$ που καταδικάζονται, αλλά πιστεύεται ότι υπάρχουν άλλα που εξακολουθούν να είναι ελεύθερα.
Οι επιθέσεις της συμμορίας το 2021 και το 2022 συγκλόνισαν τον κόσμο της ασφάλειας στον κυβερνοχώρο. Η ομάδα από το Ηνωμένο Βασίλειο περιγράφηκε στο δικαστήριο ως «ψηφιακοί ληστές».
Η συμμορία - που πιστεύεται ότι ήταν κυρίως έφηβοι - χρησιμοποίησε κόλπα και χακάρισμα υπολογιστών για να αποκτήσει πρόσβαση σε πολυεθνικές εταιρείες όπως η Microsoft και ο ψηφιακός τραπεζικός όμιλος Revolut.
Κατά τη διάρκεια της δράσης τους, οι χάκερς μιλούσαν συχνά για τα εγκλήματά τους δημοσίως και χλεύαζαν τα θύματα στην εφαρμογή κοινωνικής δικτύωσης Telegram στα αγγλικά και τα πορτογαλικά.
Αυτό ώθησε τις αμερικανικές Αρχές του κυβερνοχώρου να εκδώσουν μια μακροσκελή έκθεση για τη Lapsus$ και άλλες συμμορίες εφήβων χάκερ.
Κατέληξε στο συμπέρασμα ότι η Lapsus$ «κατέστησε σαφές πόσο εύκολο ήταν για τα μέλη της (ανήλικοι, σε ορισμένες περιπτώσεις) να διεισδύσουν σε καλά προστατευμένους οργανισμούς».
Δεν είναι σαφές πόσα χρήματα έχει βγάλει η Lapsus$ από τα εγκλήματα στον κυβερνοχώρο. Καμία εταιρεία δεν παραδέχθηκε δημοσίως ότι πλήρωσε τους χάκερς και οι χάκερς δεν έδωσαν τους κωδικούς πρόσβασης στα κατασχεθέντα πορτοφόλια κρυπτονομισμάτων.