Geçen yıl 22 Eylül günü akşam saat 21.00’de, bir grup Londra Şehri polis memuru, İngiltere’nin Oxfordshire şehrindeki tek yıldızlı ekonomik otel Travelodge Bicester’in M15 numaralı odasının önünde içeri dalmak için doğru zamanı bekledi. kapı, iki ciddi veri hacklemesinin arkasında olduğuna inanılan kişiydi: biri Uber Technologies ile ilgili, diğeri ise Rockstar Games’in yayınlanmamış Grand Theft Auto devamı için benzeri görülmemiş bir kod sızıntısı.
Karmaşık bir izleme ve gözetleme operasyonu, polislerin Telegram mesajlaşma platformunun @lilyhowarth adlı kullanıcısını yakalamasına yardımcı oldu. Ancak kapının arkasında Lily Howarth değil, 17 yaşındaki Arion Kurtaj vardı; çip üreticisi Nvidia’ya karşı cüretkar, büyük bir saldırı ve Birleşik Krallık’taki telefon grubu BT Group’a izinsiz giriş nedeniyle zaten kefaletle serbest bırakılmıştı. Kendilerine Lapsus$ adını veren, birbiriyle gevşek bağlantıları olan çevrimiçi gaspçılardan oluşan karanlık bir uluslararası grubun üyesi olan Kurtaj, hacker topluluğu tarafından ifşa edildikten sonra kendi güvenliği için polis tarafından odaya kapatılmıştı. Memurlar, Lily Howarth’ın hackleme faaliyetleri için arkasına saklandığı lakaplardan biri olduğunu keşfetti.
Şu anda 18 yaşında olan Kurtaj, Londra’da reşit olmadığı için adı verilemeyen 17 yaşındaki bir erkek sanıkla birlikte yedi haftalık bir ceza davasının merkezinde yer alıyordu. İnternette tanışan ikili, aralarında şantaj, dolandırıcılık ve bilgisayar korsanlığı suçlamalarının da bulunduğu 12 maddelik bir iddianameyle karşı karşıya kaldı. Suçlamaların yarısından tek başına sorumlu olan Kurtaj, karmaşık otistik spektrum bozukluğu nedeniyle duruşma başlamadan önce bir hakim tarafından duruşmaya çıkmaya uygun görülmedi; bu da onun “suç kastına” sahip olduğunun tespit edilemeyeceği anlamına geliyor ve Bu hafta jürinin kendisini tüm suçlamalardan sorumlu bulmasının ardından toplum emri verilecek veya hapishane yerine psikiyatrik bakım tesisine gönderilecek.
Savunma avukatları, ikisini olaylarla ilişkilendiren kanıtların yeterince güçlü olmadığını ve hacklemelerden Kurtaj’ın sorumlu olduğunu bilmenin hiçbir yolu olmadığını ileri sürmüştü. Çarşamba günü jüri aksi yönde karar verdi. Yargıç Kurtaj’ın geleceğine ileriki bir tarihte karar verecek. Bilgisayar korsanı arkadaşı üç suçtan suçlu bulundu, diğer iki suçtan ise suçsuz bulundu. Daha önce BT ile ilgili iki suçlamayı kabul etmişti.
Niamh Matthews-Murphy, “Jüri kararının temyize tabi olabilecek sonucuna rağmen, bu davanın ciddi nörogelişimsel bozuklukları olan savunmasız bireylerin polis ve ceza adaleti sistemiyle etkileşim şekline ışık tutacağını umuyoruz.” Kurtaj’ın avukatı Bloomberg’e yaptığı açıklamada şunları söyledi.
Lapsus$’ın teknoloji firmalarını cüretkar hacklemeleri, 2021 ile 2022 yılları arasında yüksek profilli saldırılara yönelmesi ve hedeflerine milyonlarca dolarlık zarar vermesi nedeniyle siber güvenlik uzmanlarının kafasını karıştırdı. Duruşma, teknoloji meraklılarından oluşan bu gizli toplantının işleyişine dair ender bir pencere sunarak, izinsiz girişlerin nasıl planlandığını ve grubun motivasyonlarını gösterdi: şöhret, para ve ayrıca sadece “gülüyorum.” Lapsus$’ın ne kadar para kazandığı belli değil; hiçbir şirket ona herhangi bir para ödemeyi kabul etmedi. Polis gençlerle ilişkili kripto hesaplara erişemedi.
Bu gençlerin ABD’nin en büyük teknoloji şirketlerinden bazılarını nasıl alt ettiğinin öyküsü, Londra’daki mahkeme tutanaklarından, belgelerden, tanık ifadelerinden, polis soruşturmasından ve siber güvenlik sektöründeki kaynaklardan derlendi. Birleşik Krallık yetkilileri, Federal Soruşturma Bürosu da dahil olmak üzere ABD kolluk kuvvetleriyle çalıştı. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın Temmuz ayında yayınladığı bir raporda, Lapsus$’ın diğer siber suç grupları gibi olmasına rağmen “etkililiği, hızı, yaratıcılığı ve cesareti açısından benzersiz olduğu” belirtildi.
Mesela Grand Theft Auto vakasını ele alalım.
Kurtaj, Oxfordshire’daki otel odasından, Lapsus’un diğer bilinmeyen üyeleriyle birlikte, geliştirilmekte olan Grand Theft Auto serisinin en son bölümünün ticari açıdan hassas kodunu ve video görüntülerini nispeten kolay bir şekilde çaldı. İddia makamına göre, 16 Eylül 2022’de sosyal mühendislik kullanarak “şifresini ‘kaybeden’ veya ‘hatırlayamayan’ bir çalışan veya yüklenici kılığına girerek” Rockstar’ın sistemlerine girdiler.
Savcılar, eski bir çalışanın kimlik bilgileriyle giriş yapamadıktan sonra Siwar Jrad (siwar.jrad) adlı bir yükleniciye bağlı bir hesap kullandıklarını söyledi. İçeri girdikten sonra eski çalışan “mohd.hidaytullah”ın kimlik bilgilerinin sistemin oyun geliştirmeyle ilgili bir bölümüne erişmek için kullanıldığını söylediler. Rockstar’ın kayıtları, kayıt için kullanılan cihazın, Travelodge Bicester’da Kurtaj’dan ele geçirilen iPhone’un tam türü ve özellikleri olduğunu gösteriyor.
Erişim elde ettikten sonraki gün Kurtaj, GTA’nın devamı için bir dizi video ve tasarım belgesinin yanı sıra kaynak kodunu da (hepsi son derece gizli) indirdi ve bunların bir kısmını sızdırdı. Sızıntı, sektördeki en değerli oyunlardan birine izinsiz bir bakış sunuyordu. Bloomberg’in daha önce bildirdiğine göre, o kadar nadirdi ki, ilk ortaya çıktığında bazı insanlar orijinalliğinden şüphe duymuştu.
Kurtaj daha sonra sızdırılan içeriği vurgulamak için bir GTA hayran forumunu kullandı ve kendisine TeaPotUberHacker adını verdi; bu, diğer hackleme çalışmalarına bir selam niteliğindeydi. Daha sonra Rockstar’ın Slack mesajlaşma hesabını kullanarak firma kendisiyle iletişime geçmediği takdirde kaynak kodunu yayınlamakla tehdit etti. 19 Eylül itibarıyla şirket onun erişimini devre dışı bıraktı ve konuyu FBI’a bildirdi. Ama hasar verilmişti.
Rockstar’ın bir yan kuruluşu olan Take 2 Interactive Software’in baş hukuk sorumlusu Daniel Emerson mahkemede ifade verirken, “Bu, tüm zamanların en büyük eğlence mülklerinden biri ve bunun gibi bir şey pazarlamamızı bozar” dedi. Emerson, şirketin hukuk ve iletişim firmalarına 1,5 milyon dolardan fazla (yaklaşık 12,39 milyar Rupi) harcadığını, ayrıca üçüncü taraf satıcılara 2 milyon dolardan fazla (yaklaşık 16,52 milyar Rupi) harcadığını ve kıdemli çalışanlar için yüzlerce saatin boşa gittiğini tahmin etti. Rockstar, bunun gençler tarafından nasıl bu kadar kolay elde edildiğine ve o zamandan bu yana ne gibi engeller koyduğuna dair sorulara yanıt vermeyi reddetti.
Yaklaşan Grand Theft Auto VI, 2014’ten bu yana bir şekilde geliştiriliyor ve o kadar heyecanla bekleniyor ki Take 2, 2022’de varlığını ilk kez kabul ettiğinde stokları artırdı. Yeni oyunda ilk kez oynanabilir bir kadın kahraman yer alacak.
Kurtaj hackleme konusunda o kadar ustaydı ki, birkaç gün önce hem Uber’in hem de Birleşik Krallık’taki fintech şirketlerinin sistemlerine girmek için benzer taktikler kullanmıştı. Revolut Avukatları, Kurtaj’ın 74.000 Revolut müşteri kaydına erişmeye çalıştığını ve iddiaya göre bu bilgileri karaborsada satmaya çalıştığını açıkladı. Etkilenen müşterilerin kesin sayısı bilinmiyor. Uber saldırısı için Kurtaj’ın personele alaycı mesajlar göndermesi, firmanın tüm uygulamayı geçici olarak kapatmasına neden oldu. Uber, mali kaybının yaklaşık 2,8 milyon dolar (kabaca Rs. 23,14 crore) olduğunu söyledi.
Duruşmada bir müfettiş, polisin Kurtaj’ın otel odasına baskın yaptığında yatak örtüsünün biraz altında bir iPhone 13 Pro Max bulduğunu söyledi. Bu telefon daha sonra kendisinin karıştığı bazı hacklemelerle ilişkilendirildi. Kurtaj PIN’i paylaşmayı reddettiği için polis cihaza ulaşamadı. Kurtaj ve ismi açıklanmayan gencin katılmakla suçlandığı ilk suç grubu, 2021’de BT’nin EE telefon hizmeti kullanıcılarına karşı yapılan SIM değiştirme çılgınlığıydı. SIM değiştirme, dolandırıcıların bir telefon numarasının kontrolünü ele geçirerek daha sonra mesaj ve aramaları almasıdır. banka hesaplarına ve kripto cüzdanlara erişmelerini sağlayın.
Kurban olan bir EE müşterisi olan Daria Jasinska, bir tanık ifadesinde çevrimiçi Coinbase hesabının 54.000 £ (69.000 $ veya kabaca 57 lakh rupi) üzerindeki tüm içeriğinin geri çekildiğini söyledi. Başka bir kurban olan Robert Molloy’un çevrimiçi Monzo banka hesabından 2000 sterlin çekilmişti. O günün ilerleyen saatlerinde saldırganlardan “ps kardeşim için teşekkürler” (para için kullanılan argo bir terim) yazan bir e-posta aldı.
Uber, Revolut ve EE yorum taleplerine yanıt vermedi.
Kurtaj ve genç, Ocak 2022’de polis tarafından tutuklandı. Genç, BT ile ilgili suçlamaların bazı yönlerinde suçunu kabul etti. Takaslara ve dolandırıcılıklara karıştığını itiraf etti ancak şantaj suçlamalarını reddetti.
İki gencin, diğer Lapsus$ üyeleriyle birlikte gerçekleştirdiği ikinci hack, 15 Şubat 2022’de Nvidia’ya yönelik cüretkar bir saldırıydı. Ukrayna sınırında gerginlikler tırmanırken, ABD hükümeti başlangıçta hack’in Rusya’dan gelmiş olabileceğinden korkuyordu. O sırada Bloomberg’e konuşan iki yetkili. Uzun süre değil. Müfettişler, Lapsus $’ın yakında çevrimiçi Telegram sohbetlerinde hacklemenin başarısını tartışacağını söyledi. İmza yöntemlerini kullanarak yüklenicilerin hesaplarının kontrolünü ele geçirdi ve ürün yazılımı olarak bilinen ticari açıdan hassas 1 terabaytlık şirket yazılımını çalmayı başardı. Grubun üyeleri bunun 80 GB’ını kamuoyuna açıkladı ve ardından Nvidia’nın geri kalanın yayınlanmasını engellemek istemesi halinde fidye ödemesini talep etti.
İddia makamının avukatları, polis müfettişlerinin ve uzmanların, İnternet Protokolü adresleri, e-postalar, Telegram sohbet grupları ve imza yöntemleri aracılığıyla Kurtaj ve bilgisayar korsanı arkadaşını çeşitli olaylarla ilişkilendirmeyi başardıklarını söyledi. Her hack’in ortak noktası, sistemlere girmek için meşru oyuncuların ayrıntılarını çalarak, verileri ele geçirerek ve onlardan zorla para ve kaba bir görüntü biçiminde bir imza arama kartı almaya çalışarak sosyal mühendislikti (örneğin, Uber hack’inde). , “çıplak erekte penis” resmi yüklendi.
Savcılık avukatı Kevin Barry, “Saldırdıkları kişilere iki parmağını sokmak için çocukça bir istek” dedi. Savunma açısından bunlar aptal gençlerin gülmeye yönelik çabalarıydı.
Olaylardan önceki yıllarda Kurtaj, annesi ve küçük erkek kardeşiyle birlikte Oxfordshire’daki evde yaşıyordu. Duruşma sırasında Kurtaj’ın çocukluk doktoru Nicholas Hindley, onu “özellikle engelli bir birey” olarak tanımladı ve gençle ilk temasının, gittiği özel eğitim okulunun onu kontrol edememesi sonrasında gerçekleştiğini ekledi. Hindley mahkemeye Kurtaj’ın otizm, dikkat eksikliği ve hiperaktivite bozukluğu ve diğer karmaşık sağlık teşhislerinin onun akranlarının en iyi yüzde 1’i düzeyinde işlev gösterdiği anlamına geldiğini söyledi.
Örgün eğitimini ergenlik çağında tamamlayan Kurtaj, annesine fiziksel saldırıda bulunduğu gerekçesiyle kısa süreliğine sosyal bakıma alındı. Bu durum, kendisinin de bu eylemden dolayı mahkum olan bir personel tarafından saldırıya uğramasıyla sona erdi. Kurtaj’ın annesi onu geri aldı ancak bilgisayar kullanımının denetlenmesi onun için zor oldu. Yetişkin olarak onun bakımından sorumlu doktor Claudia Camden-Smith, bilgisayar korsanlığının kendisine “sokak itibarı” kazandırdığını söyledi.
Mahkemeye “Farklı olmak istemiyor, herkes gibi olmak istiyor, modaya uygun ve riskli görülmek istiyor” dedi ve teşhisinin onun ne kadar savunmasız olduğunu tam olarak yansıtmadığını ekledi.
Kurtaj, GTA ve Uber saldırılarıyla kefaletini bozduğundan bu yana Feltham Genç Suçlular Enstitüsü’nde tutuluyor. Burada doktorlar, gardiyanlara idrar atarak hapishane altyapısını tahrip ederek aşırı derecede sıkıntı yaşadığını söyledi. Artık kendisini nelerin beklediğine Yargıç Patricia Lees karar verecek.
“14 yaşından bu yana resmi bir eğitim almamasına rağmen, siber güvenliklerini aşılmaz hale getirmek için milyonlar harcayan en büyük küresel şirketlerin sistemlerine sızan ve sistemlerindeki zayıflıkları ortaya çıkaran bir dizi güvenlik ihlali gerçekleştirdiği tespit edildi. Kurtaj’ın avukatı Matthews-Murphy dedi. “Bu tür bireylerin becerilerinin daha olumlu bir şekilde kullanılmasını sağlayan, şirketleri koruyan, savunmasız faillerin tıbbi ihtiyaçlarını kabul eden ve destekleyen ve bu durumlarda tüm paydaşlar için karşılıklı olarak daha faydalı sonuçlar sunan daha iyi bir sistem olmalı .”
© 2023 Bloomberg LP