GTA 6’yı sızdıran 18 yaşındaki otizmli genç hackera ömür boyu hastanede kalma cezası verildi.
İngiltere’de bir mahkeme, Rockstar Games’in GTA oyununun görüntülerini sızdıran 18 yaşındaki otizmli hacker Arion Kurtaj’a süresiz hastane kalmasına karar verdi.
Lapsus$ çetesinin önemli bir üyesi olduğu iddia edilen Kurtaj’ın dizüstü bilgisayarına el konsa dahi televizyon ve telefon kullanarak Rockstar Games’e sızdığı belirtildi.
KAYNAK KODLARINI SIZDIRDI
Kurtaj, 2025’te çıkacağı bilinen Rockstar Games’in dünyaca ünlü oyunu Grand Theft Auto 6’nın yaklaşık 90 klibini sızdırmakla kalmamış, bir forumda TeaPotUberHacker kullanıcı adıyla klipleri ve oyunun kaynak kodlarını paylaşmıştı.
Uber, Nvidia ve Rockstar Games gibi teknoloji devlerine yönelik saldırıları firmalara yaklaşık 10 milyon dolar zarar ettiren Lapsus$ çetesinin üyesi olmakla gözaltına alınan Kurtaj, bir otelde kaldığı sırada dizüstü bilgisayarı olmadan televizyon ve telefon aracılığıyla Rockstar Games’e sızmaya devam etmişti.
ÖMÜR BOYU HASTANEDE KALABİLİR
Yargılandığı ilk mahkemede doktorlar, “ağır otizmli olduğu gerekçesiyle Kurtaj’ın mahkemeye çıkmaya uygun olmadığı” yönünde görüş sunmuş, bununla birlikte Kurtaj, jüri tarafından kefaletle serbest bırakılmıştı.
Serbest bırakılsa da polis koruması altında tutulan Kurtaj, siber saldırılarına devam etmesi nedeniyle yeniden tutuklanmıştı.
Bir akıl sağlığı değerlendirmesinde Kurtaj’ın “mümkün olan en kısa sürede siber suçlara geri dönme niyetini ifade etmeye devam etmesi ve yüksek motivasyona sahip olması” nedeniyle yeniden yargılandığı mahkemede karar açıklandı
Yargıç, Kurtaj’ın yetenekleri ve siber suç işleme arzusunun, halk için yüksek risk oluşturmaya devam ettiği anlamına geldiğini söyleyerek Kurtaj’ın ömür boyu güvenli bir hastanede kalmasına hükmetti.
Doktorlar artık tehlike arz etmediğine karar vermezlerse Kurtaj ömür boyu güvenli bir hastanede kalacak.
AYNI DAVADA BİR LAPSUS$ ÜYESİ DAHA SUÇLU BULUNDU
Southwark Crown Court’ta altı hafta süren aynı davada 17 yaşında olan ve yaşı nedeniyle ismi açıklanamayan bir başka Lapsus$ üyesi de suçlu bulundu.
Kurtaj ve Lapsus$’un diğer üyeleriyle birlikte çalışarak teknoloji devi Nvidia ve telefon şirketi BT/EE’yi hackleyen 17 yaşındaki Lapsus$ üyesi, yoğun gözetim ve çevrimiçi VPN kullanma yasağı da dâhil olmak üzere 18 ay sürecek rehabilitasyona mahkûm edildi.
Aynı zamanda 17 yaşındaki Lapsus$ üyesi, bilgisayar korsanlığı suçlarının yanı sıra, hakimin iki genç kadına yönelik “nahoş ve korkutucu bir takip ve taciz modeli” olarak tanımladığı suçlardan da mahkûm edildi.
İngiltere’de bir mahkeme, 18 yaşındaki bir gencin büyük teknoloji firmalarına yönelik bir siber saldırıdan sorumlu uluslararası bir siber suç çetesinin parçası olduğuna hükmetti
Mahkemeden Arion Kurtaj isimli gencin Uber, Nvidia ve Rockstar Games gibi şirketlere siber saldırı düzenleyen Lapsus$ adlı siber suç grubunun önemli bir üyesi olduğu kararı çıktı.
OYUN DÜNYASINI SARSAN GRUP: LAPSUS$
Oyun dünyası, Lapsus$ tarafından 2021 ve 2022 yıllarında gerçekleştirilen çeşitli siber saldırılarla sarsılmıştı.
Çoğunlukla gençlerden oluştuğu düşünülen çete, teknoloji devi Microsoft ve dijital bankacılık grubu Revolut gibi çok uluslu şirketlere erişim sağlamak, Uber, Nvidia ve Rockstar Games gibi şirketlere siber saldırı düzenlemek için siber saldırıların yanı sıra dolandırıcılık benzeri çeşitli yöntemler de kullanmıştı.
Gerçekleştirdikleri siber saldırılardan sonra düzenli olarak suçlarını halka açık bir şekilde paylaşan ve sosyal ağ uygulaması Telegram’da İngilizce ve Portekizce olarak kurbanlarla alay eden grup üyelerinden birinin 18 yaşındaki Arion Kurtaj olduğu tespit edildi.
Mahkeme, psikiyatristler tarafından otizmli olduğu gerekçesiyle mahkemeye çıkmaya uygun bulunmayan Kurtaj’ın kefaletle serbest bırakılacağı sırada, henüz yayınlanmamış Grand Theft Auto 6 oyununun kliplerini sızdırdığı haberini aldı.
Aynı zamanda mahkeme, Lapsus$ çetesinin faaliyetlerine karıştığını tespit ettiği, yine otizmli olan ve 17 yaşında olduğu gerekçesiyle ismi açıklanmayan bir kişiyi daha gözaltına almıştı.
TUTUKLAMALAR CAYDIRMADI
Mahkeme, adı açıklanmayan gencin Temmuz 2021’de internette tanıştığı Kurtaj ile bilgisayar korsanlığına başladığını tespit etti.
Kurtaj, Lapsus$ ortaklarının yardımıyla telekom şirketi BT ve mobil operatör EE’nin sunucularını ve veri dosyalarını hackledi ve 1 Ağustos 2021’de 4 milyon dolar (3,1 milyon sterlin) fidye talep etmişti.
Fidye ödenmese de mahkeme 17 yaşındaki Kurtaj’ın beş kurbandan çalınan SIM bilgilerini kullanarak, ele geçirilen cep telefonu SIM kimlikleriyle güvence altına alınan kripto para cüzdanlarından toplamda yaklaşık 100.000 sterlin bulunduğunu tespit etti.
Her iki sanık da ilk olarak 22 Ocak 2022 tarihinde tutuklansa da daha sonra soruşturma kapsamında serbest bırakıldı.
Söz konusu tutuklama, Lapsus$ ile şirketlere siber saldırı düzenlemeye devam eden ve Şubat 2022’de yapay zekâ sohbet robotları için çip üreten bir Silikon Vadisi teknoloji devi olan Nvidia’ya başarıyla sızan ikiliyi caydırmadı.
Tutuklanmasından kısa bir süre önce Kurtaj, rakip bilgisayar korsanları tarafından ifşalandı. Kurtaj’ın ve ailesinin iletişim bilgileri, sosyal medyadaki fotoğraf ve videolarıyla birlikte çevrim içi olarak yayınlandı.
Kurtaj, güvenliği için Bicester’da özel bir otele yerleştirildi ve internete girme yasağı da dâhil olmak üzere sıkı koşullar altında tutuldu.
TUTULDUĞU OTELDE ROCKSTAR’A SALDIRDI
Ancak Kurtaj, tutulduğu otel odasında suçüstü yakalandı.
Rockstar’ın son derece popüler video oyunu serisi Grand Theft Auto 6’nın tüm verilerini indirdiğini ilan eden Kurtaj, “Rockstar 24 saat içinde benimle Telegram üzerinden iletişime geçmezse kaynak kodunu yayınlamaya başlayacağım.” dedi.
Bu esnada, merakla beklenen yeni oyunun tamamlanmamış oynanışına ait 90 video klip bir hayran forumunda yayınlandı.
Kurtaj yeniden tutuklandı ve duruşmasına kadar gözaltında tutuldu.
ÇOCUK GÖSTERİŞİ
Savcılık avukatı Kevin Barry, Kurtaj ve suç ortaklarının defalarca “saldırdıkları kişilere parmak sallamaya yönelik çocukça bir arzu” gösterdiklerini ifade etti.
Çetenin eylemlerinin genellikle düzensiz olduğu ve amaçlarının kötü şöhret, mali kazanç veya eğlence arasında gidip geldiği ifade edildi.
Kurtaj hâlâ gözaltında tutulurken 17 yaşındaki sanığın kefaletle serbest kalma durumu devam ediyor. Ancak ikisinin de yakın bir zamanda tutuklanarak cezaevine gönderileceği belirtildi.
Onlar hack dünyasının yeni çocukları, “gasp ve yıkıma” yönelik saldırıları gigabaytlarca hassas veriyi yerinden oynatıyor.
Liderlerinin çocuk yaşta olduğu söyleniyor. Saldırı motivasyonlarına dair çeşitli spekülasyonlar var. Haklarında henüz net bilgiler yok ama alışılmışın dışında tekniklere sahip bir siber suç çetesi olduğu kesin. İşte 10 maddede Lapsus$’u benzer siber çetelerden ayıran özellikleri:
1. HEDEFLERİNDE BÜYÜK ŞİRKETLER VAR
Çetenin hedefleri oldukça büyük. Microsoft, Samsung, Nvidia, Ubisoft ve en son kimlik doğrulama şirketi Okta, Lapsus$’un oldukça aşağılayıcı siber saldırıların hedefi oldu. Saldırıların neredeyse tamamında, Lapsus$, şirketlerin ağlarına girdi ve daha sonra tescilli yazılımın dijital DNA’sı sayılan kaynak kod parçalarını çaldı. Daha sonra, çete neredeyse hep internet üzerinden kodu sızdırdı, kurbanı zor durumda bıraktı ve şirket sırlarını ortalığa döktü.
2. DÜŞÜNÜLENİN AKSİNE AMATÖRLERDEN OLUŞUYOR
Grubun hackerlık zekâsı onu milyarlarca dolarlık şirketlerin en derindeki mahrem alanlarına götürse de bazı güvenlik araştırmacıları Lapsus$’un nihayetinde amatörlerden oluştuğunu ifade ediyor. Gerçekten de grup üyelerinin bir kısmı gerçek anlamda çocuk.
İngiliz yetkililer çeteyle bağlantılı olduğu söylenen ve yaşları 16 ile 21 arasında değişen yedi kişinin tutuklandığını açıkladılar. Bu arada çetenin elebaşısının İngiltere’nin Oxford kentinden 16 yaşında bir çocuk olduğu biliniyor. “White” takma adını kullanan bu bilgisayar korsanı, son zamanlarda kimliğini rakip bir siber suç grubu tarafından internete sızdırmış gibi görünüyor.
“Radarın altında kalan çoğu grubun aksine Lapsus$, izlerini örtüyor gibi görünmüyor. Saldırılarını sosyal medyaya duyurmaya ya da hedef kuruluşların çalışanlarından kimlik bilgileri satın alma niyetlerinin reklamını yapmaya kadar gidiyorlar. Ayrıca Microsoft’un izlediği diğer tehdit aktörleri tarafından daha az kullanılan çeşitli taktikler kullanıyorlar.
4. PARADAN ÇOK KAOS MOTİVASYONU İLE HAREKET EDİYORLAR
Silikon Vadisi’nin en büyük şirketlerinden bazılarını hacklemeye devam etmeden önce, LAPSUS $, 2022 yılının ocak ayını, para kazanmaktan ziyade anarşi yoluyla eğlenme yolunu seçerek geçirdi. Örneğin, yılın ilk hacklerinden birinde çete, Brezilyalı bir araba kiralama şirketine saldırdı ve işletmenin ana sayfasını birkaç saat boyunca bir porno web sitesine yönlendirdi. Başka bir olay sırasında çete, Portekizli bir gazetenin doğrulanmış Twitter hesabını ele geçirmiş ve şu şekilde tweet atmıştı: “LAPSUS $ RESMEN PORTEKİZ’İN YENİ BAŞKANI.”
5. RANSOMWARE ÇETESİ GİBİ GÖRÜNSE DE FİDYE YAZILIMI KULLANMIYORLAR
Lapsus$ ile ilgili yayınlanan bir raporda grup kısmen çalınan verileri sızdırma alışkanlığı nedeniyle “fidye yazılımı çetesi” olarak sınıflandırılmaya çalışıldı. Yüzeysel olarak bu değerlendirme doğru olabilir ancak Lapsus$ aslında fidye yazılımı kullanmadı. Çete, kötü amaçlı yazılımlardan kaçınarak tamamen gaspçı bir modelle faaliyet gösteriyor.
Kurbanların verilerini şifrelemek yerine, onları çalıyor ve fidye ödenmezse onu sızdırmakla tehdit ediyor. Genel olarak, çoğu fidye yazılımı çetesi hırsızlık ve gasp için oldukça organize ve sofistike dijital makineler kullanıyorlar.
Lapsus$ ise aksine işlevsiz bir start-up gibi çalışıyor. Bazı durumlarda, fidye istemek için gerekli olan disiplinden dahi yoksunmuş gibi hareket etti. Bunun yerine bir finansal talebi atlamayı ve saldırıya uğramış verileri sızdırmayı tercih ediyor. Microsoft güvenlik araştırmacıları, bu tarzı grubun kaotik çalışma tarzını uygun bir şekilde tanımlayan bir ifade olan “safi gasp ve imha modeli” olarak adlandırıyor.
6. REDLINE STRATEJİSİNDEN YARARLANIYORLAR
Lapsus$’un açıkça başarılı olduğu bir alan izinsiz giriş. Ancak ağlara ve sistemlere girmek için mutlaka yenilikçi teknikler kullanması gerekmiyor. Grup, “Redline” adı verilen parola hırsızı kötü amaçlı yazılımın kullanımı da dahil olmak üzere bir dizi meşhur stratejiden yararlandı.
Redline, çeşitli sosyal mühendislik hileleri ve darknet forumlarında hesap kimlik bilgilerinin ve oturum tanımlayıcılarının satın alınmasını kapsayan bir kötü amaçlı yazılım. Aynı zamanda, çete sık sık hedef şirketlerin kendi çalışanlarından bilgi sızdırmaya yönelik girişimlerde bulundu. Bir olayda, grubun iddia edilen lideri, Verizon ve AT&T çalışanlarına, “içerideki işleri” yürütmek için haftada 20 bin dolar teklif etti.”
7. SALDIRILARIN ETKİ ALANI OLDUKÇA GENİŞ
Lapsus$’un çeşitli hedef belirleme yöntemleri oldukça başarılı. Örneğin Microsoft’un hacklenmesinin, arama motoru Bing’in kaynak kodunun yüzde 90’ının yanı sıra Bing Maps ve sanal asistan Cortana’nın kaynak kodunun neredeyse yarısı da dahil olmak üzere çok sayıda veriyi tehlikeye attığına inanılıyor. Bu arada çetenin Okta’ya saldırmasının, kimlik doğrulama firmasının dışındaki şirketler için de etkileri oldu.
Okta, güvenlik hizmetlerini binlerce başka şirkete sattığı için, sistemlerinin açığa çıkmasının müşterileri için de güvenlik etkileri bulunuyor. Okta, müşterilerinin yaklaşık 366’sının verilerinin son Lapsus$ saldırısından potansiyel olarak etkilendiğini itiraf etti.
8. TELEGRAM VE SOSYAL MEDYAYI AKTİF OLARAK KULLANIYORLAR
Çetenin pervasız olarak değerlendirilebilecek eğilimlerinin bir başka göstergesi de çoğu siber suç çetesinde sık rastlanmayan yarı şifreli sohbet uygulaması Telegram’ı kullanıyor olmaları. Fdiye yazılım hackerlarının çoğu hacklenen malzemeyi sergilemek ve kurbanlarını para vermezse daha fazlasını yayınlamakla tehdit ettikleri kendilerine ait “sızıntı siteleri” kuruyor.
Siteler genellikle seyrek ve kontrollü ortamlardır. Lapsus$, ise Telegram ve diğer sosyal medya hesaplarını bir tür megafon olarak kullanıyor. Bu da halkla daha yüksek sesle ve daha etkileşimli bir ilişki geliştirmesine izin veren bir strateji.
Çetenin şu anda yaklaşık 48 bin Telegram takipçisi bulunuyor ve izleyicilerini sızıntılar hakkında yorum yapmaya, üyelerle e-posta yoluyla yazışmaya ve genellikle bilgisayar korsanlığı maceralarını takip etmeye aktif olarak teşvik ediyor. Sosyal medyada aktif olmaları, Lapsus$ ‘ın potansiyel olarak paradan daha çok dikkat çekmekten hoşlandığını ortaya koyuyor.
9. DİSİPLİNDEN YOKSUNLAR AMA BAŞARILI SALDIRILARA İMZA ATIYORLAR
Gizmodo’ya açıklama yapan siber güvenlik analistleri, başarılı saldırı tekniklerine rağmen, Lapsus$ ‘un düzen ve disiplin konusunda yetersiz olduğu konusunda hemfikir. Yani, grup bir suç organizasyonunu yönetmekten ziyade hacklemede başarılılar. Siber güvenlik firması Emsisoft’un tehdit analisti Brett Callow, çetenin bazı davranışlarının verimlilik ve organizasyon eksikliğini açıkça gösterdiğini söyledi.
Callow, Gizmodo’ya gönderdiği bir e-postada, “Saldırılar daha organize bir siber suç operasyonu veya devlet destekli bir aktör tarafından gerçekleştirilmiş olsaydı, sonuç çok daha kötü olabilirdi. Bu, Lapsus$ gibi grupların temsil edebileceği tehdidi küçümsemek anlamına gelmiyor. Motivasyonlarının diğer siber suç operasyonları kadar net bir şekilde tanımlanmamış olması, onlarla başa çıkmalarını zorlaştırabilir.”
Microsoft ve Okta’ya yönelik siber saldırılarıyla gündeme gelen Lapsus$ hacker grubunun 7 üyesi olduğu iddia edilen genç yaştaki şüpheliler tutuklandı.
BBC’nin haberine göre Londra polisi, yaşları 16 ile 21 arasında değişen 7 kişiyi yakaladı. Tutuklananlar arasında White ya da Breachbase takma adını kullanan kişinin 14 milyon dolar değerindeki bitcoin çaldığı öne sürüldü.
Şüphelilerden birinin babası, çocuğunun siber saldırılarla ilgili hiç konuşmadığını ve bilgisayarda devam oyun oynadığını zannettiğini söyledi.
Siber güvenlik araştırmacısı Brian Krebs’e göre grubun elebaşısı geçen yıl çalıntı kişisel verilerin satıldığı illegal platform Doxbin’i satın almıştı. Elebaşı, daha sonra Doxbin’deki verileri Telegram üzerinden paylaşmıştı.
Hacker grubunun geçtiğimiz kasım ayından bu yana Reddit ve Telegram gibi kanallar üzerinden işe alımlar gerçekleştirdiği belirtiliyor. Lapsus$’u Telegram’da 47 bin kullanıcı takip ediyor.
Çete geçtiğimiz günlerde ‘içeriden’ bilgi verebilecek insider arayışına girmiş ve bunu bir ilanla paylaşmıştı.
Lapsus$ Fidye Yazılımı çetesi, büyük teknoloji şirketlerine ve internet servis sağlayıcılara uzaktan erişim satacak şirket içinden köstebekler arıyor.
Lapsus$ fidye yazılımı çetesi, 10 Mart’ta Microsoft, Apple, EA Games ve IBM gibi büyük teknoloji devleri ile internet servis sağlayıcıları için çalışan insiderları işe almaya başladıklarını açıkladı. Çetenin ilgi alanları arasında Claro, Telefonica ve AT & T gibi büyük telekomünikasyon şirketleri bulunmakta.
Uzaktan VPN erişimi satın almak isteyen tehdit aktörleri potansiyel insiderlardan Telegram aracılığıyla kendileriyle özel olarak iletişim kurmalarını istiyor, ardından verilen erişim karşılığında bu insider’lara ödeme yapılıyor.
Siber güvenlik uzmanları, bu tür faaliyetlerin büyük bir risk oluşturduğu ve muhtemelen dark web’deki çeşitli tehdit aktörleri tarafından bu durumdan daha aktif olarak yararlanılacağı konusunda hemfikir.
DARKWEB’DEKİ AKTÖRLER DURUMU SUİSTİMAL EDEBİLİR
Los Angeles merkezli siber güvenlik şirketi Resecurity’nin CTO’su Christian Lees, bu tür taktiklerin daha önce bazı siber suç ve APT grupları tarafından “büyük şirketlerin çalışanları Linkedn ve / veya kişisel e-postalar yoluyla benzer teklifler alması suretiyle” gizlice kullanıldığını söyledi ve ekledi: ”Araştırmamıza dayanarak, grubun faaliyetlerinde başarılı olduğunu ve bu tür taktiklerin özellikle pandemi sonrası zamanlarda ve küresel olarak jeopolitik gerilimlerin artmasında, erişim brokerleri için dark web’de yeni bir trend oluşturabilir.”
Lapsus’un duyurusu, Nvidia ve Samsung özelinde 2 büyük teknoloji devinden çalınan verilerin yayınlanmasından hemen sonra geldi.
