Bloomberg — Às 9 horas da noite em 22 de setembro do ano passado, um grupo de policiais de Londres esperou do lado de fora da sala do M15 (serviço britânico de inteligência) no Travelodge Bicester, um hotel econômico de uma estrela em Oxfordshire, Inglaterra, o momento certo para invadir.
Do outro lado da porta estava alguém que eles acreditavam estar por trás de dois sérios ataques de roubos de dados: um contra a Uber Technologies (UBER), e o outro, um vazamento de código sem precedentes para a sequência inédita do GTA (Grand Theft Auto), game da Rockstar Games.
Uma intrincada operação de rastreamento e vigilância havia ajudado a polícia a focar em um usuário da plataforma de mensagens Telegram chamado @lilyhowarth.
Atrás da porta, entretanto, não estava Lily Howarth, mas Arion Kurtaj, de 17 anos — já em liberdade condicional por um audacioso ataque em larga escala contra a fabricante de chips Nvidia (NVDA) e uma invasão no grupo de telefonia do Reino Unido BT Group.
Membro de um obscuro grupo internacional de extorsões online vagamente conectadas que se autodenominou Lapsus$, Kurtaj estava alojado no quarto pela própria polícia para sua segurança, após ser exposto pela comunidade hacker. Lily Howarth era apenas outro apelido que ele usava para suas atividades de hacking, descobriram os policiais.
Aos 18 anos, Kurtaj estava no centro de um julgamento criminal de sete semanas em Londres ao lado de um co-acusado de 17 anos do sexo masculino que não pode ser nomeado por ser menor de idade. Os dois, que se conheceram online, enfrentaram uma acusação de 12 delitos, incluindo chantagem, fraude e hacking.
Kurtaj, que era exclusivamente responsável por metade das acusações, foi considerado inapto para julgamento por um juiz antes do início do mesmo devido ao seu complexo transtorno do espectro autista - o que significa que ele não pode ser considerado como tendo “intenção criminosa”.
Ele pode receber uma pena comunitária ou ser enviado a uma instituição de cuidados psiquiátricos em vez de ser preso, depois que um júri esta semana o considerou culpado de todas as acusações.
Os advogados de defesa argumentaram que as evidências que ligavam os dois aos incidentes não eram suficientemente fortes e que não havia como saber se Kurtaj era o responsável pelos hacks. Na quarta-feira (23), o júri decidiu o contrário.
Um juiz decidirá em uma data posterior sobre o futuro de Kurtaj. Seu companheiro hacker foi considerado culpado por três acusações e inocente por outras duas. Ele havia se declarado culpado anteriormente de duas acusações relacionadas ao BT.
“Apesar do resultado da decisão do júri, que pode estar sujeita a recurso, esperamos que este caso ajude a evidenciar a forma como indivíduos vulneráveis com transtornos severos do neurodesenvolvimento interagem com a polícia e o sistema de justiça criminal”, disse Niamh Matthews-Murphy, advogada de Kurtaj, em comunicado à Bloomberg.
Como funcionava o grupo geek
Os audaciosos hacks de empresas de tecnologia realizados pelo Lapsus$ têm confundido especialistas em cibersegurança desde que iniciaram uma série de ataques de alto perfil entre 2021 e 2022, causando milhões de dólares em danos para seus alvos.
O julgamento proporcionou uma rara visão sobre o funcionamento desse grupo secreto de geeks de tecnologia, mostrando como as intrusões foram orquestradas e as motivações do grupo: notoriedade, dinheiro e também apenas “trolagem”.
Não está claro quanto dinheiro o Lapsus$ arrecadou - nenhuma das empresas admitiu ter pago qualquer quantia a eles. A polícia não conseguiu acessar as contas de criptomoedas associadas aos adolescentes.
A história de como esses jovens superaram algumas das maiores empresas de tecnologia dos EUA foi compilada a partir dos procedimentos judiciais em Londres, documentos, depoimentos de testemunhas, investigação policial e fontes da indústria de cibersegurança.
As autoridades do Reino Unido trabalharam com as forças policiais dos EUA, incluindo o FBI (polícia federal americana). Um relatório de julho da Agência de Segurança e Infraestrutura Cibernética dos EUA afirmou que, embora o Lapsus$ fosse como qualquer outro grupo criminoso cibernético, ele “era único por sua eficácia, rapidez, criatividade e audácia”.
O caso do GTA
Tomemos o caso de GTA (Grand Theft Auto), por exemplo.
Com relativa facilidade e a partir de um quarto de hotel em Oxfordshire, Kurtaj - junto com outros membros desconhecidos do Lapsus$ - roubou código comercialmente sensível e imagens de vídeo da mais recente edição do jogo ainda em desenvolvimento da série Grand Theft Auto.
De acordo com a acusação, eles invadiram os sistemas da Rockstar em 16 de setembro de 2022 usando engenharia social, “se passando por um funcionário ou contratante que havia ‘perdido’ ou ‘não se lembrava’ da senha”.
Depois de não conseguirem fazer login com as credenciais de um ex-funcionário, eles usaram uma conta vinculada a um fornecedor chamado Siwar Jrad (siwar.jrad), disseram os promotores. Uma vez lá dentro, as credenciais do ex-funcionário “mohd.hidaytullah” foram usadas para acessar uma parte do sistema associada ao desenvolvimento de jogos, disseram.
Os registros da Rockstar mostram que o dispositivo usado para a inscrição era exatamente do tipo e da especificação do iPhone apreendido de Kurtaj no Travelodge Bicester.
Um dia depois de obter acesso, Kurtaj baixou uma série de vídeos e documentos de design para a sequência de GTA, bem como o código-fonte – todos altamente confidenciais – antes de vazar alguns deles. O vazamento ofereceu uma visão não autorizada de um dos jogos mais valiosos da indústria. Era tão raro que algumas pessoas duvidaram de sua autenticidade quando surgiu pela primeira vez, informou a Bloomberg News anteriormente.
Kurtaj então usou um fórum de fãs do GTA para destacar o conteúdo vazado, autodenominando-se TeaPotUberHacker – uma homenagem a seu outro trabalho de hacking. Ele então acessou a conta do Slack Messenger da Rockstar para ameaçar liberar o código-fonte, a menos que a empresa o contatasse. Em 19 de setembro, a empresa desativou seu acesso e relatou o assunto ao FBI. Mas o estrago já estava feito.
“É uma das maiores propriedades de entretenimento de todos os tempos e algo assim estragaria nosso marketing”, disse Daniel Emerson, diretor jurídico da Take 2 Interactive Software, uma subsidiária da Rockstar, em depoimento no tribunal.
Emerson estimou que a empresa gastou mais de US$ 1,5 milhão em escritórios de advocacia e comunicações, além de mais de US$ 2 milhões em fornecedores terceirizados e centenas de horas desperdiçadas com funcionários seniores. A Rockstar se recusou a responder a perguntas sobre como isso foi tão facilmente conquistado pelos adolescentes e quais barreiras foram impostas desde então.
O próximo Grand Theft Auto VI está em desenvolvimento de alguma forma desde 2014 e é tão aguardado que quando o Take 2 reconheceu sua existência pela primeira vez em 2022, a ação disparou. O novo jogo contará com uma protagonista femininapela primeira vez.
Kurtaj era tão hábil em hackear que poucos dias antes havia usado táticas semelhantes para entrar nos sistemas da Uber e da fintech britânica Revolut.
Os advogados explicaram que Kurtaj tentou acessar 74 mil registros de clientes da Revolut, supostamente para vender essas informações no mercado negro. O número exato de clientes afetados é desconhecido.
Para o hack do Uber, Kurtaj enviou mensagens provocativas aos funcionários, o que forçou a empresa a encerrar temporariamente todo o aplicativo. A Uber disse que seu prejuízo financeiro foi de cerca de US$ 2,8 milhões.
Quando a polícia invadiu o quarto de hotel de Kurtaj, encontrou um IPhone 13 Pro Max ligeiramente sob as cobertas, disse um investigador no julgamento. Esse telefone foi posteriormente conectado a alguns dos hacks nos quais ele estava implicado.
A polícia não conseguiu acessar o dispositivo porque Kurtaj se recusou a compartilhar o PIN. O primeiro lote de crimes dos quais Kurtaj e o adolescente não identificado foram acusados de participar foi uma onda de troca de SIM contra usuários do serviço telefônico EE da BT em 2021.
A troca de SIM ocorre quando os fraudadores assumem o controle de um número de telefone para receber mensagens e chamadas que permitir-lhes acessar contas bancárias e carteiras criptografadas.
Daria Jasinska, uma cliente da EE (operadora de redes de telefonia móvel britânica da BT) que também foi uma vítima, disse em uma declaração de testemunha que todo o conteúdo - mais de £ 54.000 (US$ 69.000) - de sua conta online Coinbase foi retirado.
Robert Molloy, outra vítima, teve £2.000 retirados de sua conta online no banco inglês Monzo. Mais tarde, naquele dia, ele recebeu um e-mail dos atacantes dizendo “obrigado pelo EUR irmão” - um termo popular para dinheiro.
Uber, Revolut e EE não responderam aos pedidos de comentário.
Kurtaj e o adolescente foram presos pela polícia em janeiro de 2022. O adolescente se declarou culpado de alguns aspectos das acusações envolvendo a BT. Ele admitiu estar envolvido na condução das trocas e nos golpes, mas negou as acusações de chantagem.
Ataque à Nvidia
O segundo ataque hacker que os dois adolescentes realizaram, junto com outros membros do grupo Lapsus$, foi contra a Nvidia em 15 de fevereiro de 2022.
À medida que as tensões aumentavam na fronteira ucraniana, o governo dos EUA inicialmente temeu que o ataque hacker pudesse ter vindo da Rússia, de acordo com dois oficiais que falaram com a Bloomberg News na época. Não por muito tempo. O Lapsus$ logo começou a discutir o sucesso do ataque em bate-papos online no Telegram, disseram os investigadores.
Usando seus métodos característicos, eles assumiram o controle das contas dos contratados e conseguiram roubar 1 terabyte de software comercialmente sensível da empresa, conhecido como firmware. Membros do grupo divulgaram 80 GB dele para o público e depois exigiram que a Nvidia pagasse um resgate se quisesse bloquear a publicação do restante.
Advogados da acusação disseram que investigadores da polícia e especialistas conseguiram vincular Kurtaj e seu colega hacker aos vários incidentes por meio de uma rede de endereços de Protocolo de Internet, e-mails, grupos de bate-papo no Telegram e seus métodos característicos.
O que cada ataque cibernético tinha em comum era a engenharia social, roubando detalhes de jogadores legítimos para acessar sistemas, pegando dados e tentando extorquir dinheiro deles, e um cartão de visita em forma de imagem grosseira.
“Um desejo juvenil de provocar aqueles que eles estão atacando”, disse o advogado de acusação Kevin Barry. Para a defesa, eram os esforços de adolescentes bobos em busca de uma risada.
Nos anos anteriores aos incidentes, Kurtaj morava em Oxfordshire com sua mãe e irmão mais novo. Durante o julgamento, o médico de infância de Kurtaj, Nicholas Hindley, descreveu-o como “um indivíduo particularmente prejudicado”, acrescentando que seu primeiro contato com o jovem foi depois que a escola para necessidades especiais que ele frequentava não conseguiu controlá-lo.
O autismo, TDAH e outros diagnósticos de saúde complexos de Kurtaj significam que ele funciona no máximo no nível de 1% de seus pares, disse Hindley ao tribunal.
Kurtaj, que encerrou sua educação formal na adolescência, foi brevemente colocado em cuidados sociais por agredir fisicamente sua mãe. Isso terminou quando ele mesmo foi atacado por um membro da equipe, que foi condenado pelo ato. A mãe de Kurtaj o levou de volta, mas a supervisão de seu uso do computador tem sido difícil para ela.
Claudia Camden-Smith, a médica responsável por seus cuidados quando adulto, disse que a pirataria lhe deu “credibilidade nas ruas”.
“Ele não quer ser diferente, quer ser como todo mundo, quer ser visto como moderno e arriscado”, disse ela ao tribunal, acrescentando que seu diagnóstico não capta totalmente o quão vulnerável ele é.
Desde que Kurtaj quebrou sua fiança com os ataques do GTA e do Uber, ele está detido no Feltham Young Offenders Institute, em que os médicos disseram que ele está extremamente angustiado, destruindo a infraestrutura da prisão. Caberá agora à juíza Patricia Lees decidir o que o espera.
“Apesar de não receber educação formal desde os 14 anos, descobriu-se que ele cometeu uma série de violações de segurança que se infiltraram e expuseram fraquezas nos sistemas das maiores empresas globais, que gastam milhões tentando tornar a sua segurança cibernética impenetrável“, disse o advogado de Kurtaj, Matthews-Murphy.
“Tem que haver um sistema melhor que permita que as competências de tais indivíduos sejam utilizadas de uma forma mais positiva, que proteja as empresas, reconheça e apoie as necessidades médicas dos perpetradores vulneráveis e ofereça um resultado mais mutuamente benéfico para todas as partes interessadas nestas situações.”
Veja mais em Bloomberg.com
Leia mais
Carros autônomos e táxis robô ganham inimigos ao circularem por São Francisco