V Británii probíhá soud se dvěma teenagery, členy mezinárodní kyberkriminální organizace Lapsus$, kteří zřejmě stáli za řadou kybernetických útoků na významné technologické i herní společnosti, mezi něž patří i loňská aféra se zveřejněním materiálů z rozpracované verze Grand Theft Auto VI.
Jeden podezřelý je osmnáctiletý Arion Kurtaj, druhý pak jeho sedmnáctiletý komplic, jehož jméno nebylo zveřejněno kvůli tomu, že je nezletilý. S pácháním kybernetických zločinů začali poté, co se potkali na internetu v roce 2021. Prvním jejich cílem se za podpory skupiny Lapsus$ stala telekomunikační společnost BT a operátor EE. Pachatelé se měli dostat k serverovým datům a požadovat čtyři miliony dolarů za to, že je nezveřejní.
Výkupné nakonec nedostali, ale u soudu padlo, že Kurtaj použil data z ukradených SIM karet k tomu, aby vybílil kryptoměnové účty pěti obětí, čímž si přišel na zhruba sto tisíc liber.
Oba podezřelí pak byli zadržení 22. ledna 2022, ale další vyšetřování probíhalo na svobodě. Dvojice se nenechala odradit a pokračovala v kriminalitě: Hned o měsíc později se jí podařilo proniknout do serverů Nvidie a ukrást citlivá data, načež opět požadovala výkupné za jejich nezveřejnění.
K útoku podle všeho posloužilo především sociální inženýrství – výpisy z chatu dokládají, že hackeři použili postup, který je až zarážejícím způsobem primitivní: Někoho najali, aby volal na podporu Nvidie a předstíral, že je zaměstnanec, který zapomněl své přihlašovací údaje.
Další oblíbenou metodou pak bylo třeba vydávat se za zaměstnance IT a opakované rozesílat výzvy k potvrzení dvoufázového ověření tak často, až tím zacílené jedince unavili natolik, že oběti výzvu potvrdily. Skupina Lapsus$ také často podplácela zaměstnance, aby jim prozradili odpovědi na bezpečnostní otázky, což pak využívala k dalším průnikům.
Oba teenageři pak byli 31. března opět zatčeni, ale vzhledem k tomu, že si Kurtaje krátce před tím kvůli rozepřím ohledně serveru Doxbin vyhmátl konkurenční hacker a zveřejnil jeho identitu, adresu rodiny i fotky, byl mladík na kauci umístěn do hotelu pro vlastní ochranu. Měl tam zakázáno přistupovat k internetu, ale moc těžkou hlavu si s tím nedělal, obstaral si Amazon Fire Stick, telefon, klávesnici a myš a už sám, bez komplice útočil na Revolut, Uber a právě zmiňovaný Rockstar.
Následovalo známé zveřejnění rozpracovaných materiálů, ale Kurtaj se ještě k tomu připojil i k internímu chatu společnosti, kde vyhrožoval zveřejněním kompletního zdrojového kódu a, následuje svůj klasický modus operandi, požadoval peníze. Obratem byl opět zatčen a ve vazbě setrval až do soudu.
Jenže ten, kdo by čekal, že za podobnou recidivu musí u soudu nutně přijít nějaká pořádná vězeňská pálka, bude dost možná na omylu. Soud totiž Kurtaje kvůli jeho autismu shledal po psychiatrických posudcích nezpůsobilým k soudnímu procesu. Což nedokážu pochopit, vzhledem k tomu, že k podvádění, krádežím, hackování a vydírání byl evidentně způsobilý víc než dost. Ale podobné posudky snad raději přenechám povolanějším odborníkům.
Faktem zůstává, že se soud kvůli tomu musel namísto rozsudku o vině či zločinném záměru omezit na prosté zjišťování, zda mládenec diskutované skutky opravdu spáchal. Kurtaj momentálně čeká na výsledek ve vazbě, jeho mladistvý komplic je na kauci na svobodě. Co se bude dít dál, není jasné, ale vzhledem k psychiatrickému posudku je možné, že se Kurtaj půjde místo do basy léčit někam do ústavu a následně opět zamíří na svobodu. Jaká je situace ohledně jeho nezletilého kolegy, taktéž zveřejněno nebylo.
