Két brit tinit ítéltek el a Lapsus$-támadások kapcsán

Egy több mint hét héten át zajló tárgyalás után egy londoni bíróság megállapította, hogy az azóta már 18. életévét betöltött oxfordi fiatal, Arion Kurtaj (White, Breachbase, WhiteDoxBin, TeaPotUberHacker) is kulcsfontosságú tagja volt a Lapsus$ hackercsoportnak, ami többek közt az Uber, az Nvidia és a Rockstar Games ellen követett el támadást. Kiderült többek közt, hogy Kurtaj akkor szivárogtatta ki a kiadatlan Grand Theft Auto 6 játékból származó klipeket, amikor óvadék ellenében egy szállódában tartózkodott.

Arion Kurtajt az eljárás részeként orvosi vizsgálatnak is alávetették, mely megállapította, hogy a vádlott autista, így a bíróság ugyan megállapíthatja, hogy a neki felrótt tetteket valóban elkövette-e, bűnösségét azonban nem mondhatja ki. Mivel a vádlott autista, és a pszichiáterek úgy ítélték meg, hogy nem alkalmas arra, hogy bíróság elé álljon, ezért nem jelent tanúskodni. Az ügyészség összesen tizenkét vádpontban kérte a vádlott bűnösségének a kimondását, így a nyomozás alapján többek között háromrendbeli zsarolás, kétrendbeli csalás, valamint hatrendbeli, számítógépes visszaélésre vonatkozó bűncselekmény írható a számlájára.

Promptolsz-e már padawan? Januári, juniorokkal foglalkozó adásunk a téma felsőoktatási aspektusait nem érintette. Ezen most változtatunk.

Egy másik 17 éves autista fiatalt is elítéltek a Lapsus$-szal összefüggésben, aki életkora miatt nem megnevezhető. A tinédzser 2021. júliusában kezdett el együtt dolgozni Kurtajjal, miután az interneten megismerték egymást. Mindkét vádlottat először 2022. január 22-én tartóztatták le, majd a nyomozás miatt szabadon engedték, de ez sem tántorította el a párost, akik 2022-ben utána sikeresen feltörték az Nvidiát és érzékeny adatokat loptak a cégtől. Egy Telegram-beszélgetés bizonyítja, hogy a két fiatal felbérelt valakit arra, hogy az Nvidia ügyfélszolgálati dolgozójának kiadva magát megszerezze a cég bejelentkezési adatait. Ez március végén újabb letartóztatáshoz vezetett.

Nem sokkal előtte Kurtajt személyazonosságát felfedte egy rivális hackerbanda, akik az elérhetőségek mellett Kurtajról készült képeket is közzétettek, így csak idő kérdése volt, hogy a hatóságok mikor állítják elő a fiatalt. Kurtajt a biztonsága érdekében egy bicesteri  szállodába költöztették, és szigorú óvadéki feltételeket kapott, beleértve az internetezéstől való eltiltást – ám ő ennek ellenére is folytatta a hackelést. A rendőrök egy Amazon Fire Stick-et találtak a szállodában használt tévéhez csatlakoztatva, ami lehetővé tette, hogy a hackerfiú egy újonnan vásárolt okostelefonnal, billentyűzettel és egérrel felhőszolgáltatásokhoz csatlakozzon. A bíróság megállapítása szerint ebből a szobából segítette a Revolut, az Uber és a Rockstar Games ellen intézett műveleteket. Kurtajt így újra letartóztatták, és a tárgyalásig fogva tartották. Kurtajt jelenleg előzetes letartóztatásba helyezik, a 17 éves vádlott pedig továbbra is szabadlábon van.

A hatóságok szerint a Lapsus$-nak még több tagja lehet szabadlábon. Októberben a brazil rendőrségnek sikerült letartóztatnia egy személyt, aki állítólag különböző brazil és portugál cégeket és állami szerveket tört fel a csoport tagjaként. Egyelőre nem lehet megbecsülni, mennyi pénzt kereshetett a csoport a számítógépes bűncselekményekkel, mivel nyilvánosan egy áldozattá vált cég sem ismerte el, hogy fizetett volna a támadóknak, a 17 éves gyanúsított pedig megtagadta, hogy a rendőrség hozzáférjen a kriptovaluta tárcájához.

Az Egyesült Államok belbiztonsági minisztériumának kiberbiztonsággal foglalkozó testülete (CSRB) a hónap elején adott ki jelentés a a Lapsus$ csoport által használt technikákról, amiket több tucat szervezet ellen használtak fel sikeresen, egyértelművé téve az ijesztő tényt, hogy fiatalnak számító kiberbűnözők milyen könnyen tudnak beszivárogni jól védett szervezetek rendszereibe.

A Lapsus$ jellemzően alacsony költségű, jól ismert, más szerepelők számára is elérhető technikákat alkalmazott, a kiberinfrastruktúrák gyenge pontjait kihasználva. Az elemzés kiemelt figyelmet szentel a SIM-cserés, azaz SIM-swapping módszernek, mivel a Lapsus$ több alkalommal is SIM-cserével fért hozzá a kiszemelt vállalatok belső hálózatához, hogy bizalmas és érzékeny adatokat, köztük forráskódokat, üzleti dokumentumokat szerezzen.

A jelentés ajánlásokat is tartalmaz az iparág szereplői számára a jövőbeli hasonló esetek elkerülésére, többek közt a jelszó nélküli környezetet, biztonságos identitás- és hozzáférés-kezelési megoldásokkal, valamint a kétfaktoros hitelesítésekhez az SMS-használatának mellőzését.