Un hacker inglés de 18 años con autismo fue sentenciado a un hospital mental de por vida: Arion Kurtaj, miembro del grupo cibercriminal Lapsus$, fue el responsable de acceder a información interna de Rockstar Games y filtrar videos del videojuego GTA VI, además de hackear a Uber.
Según la Justicia, Kurtaj fue una pieza clave en el grupo, que a base de ingeniería social (engaños a través de phishing y otras técnicas) extorsionaba a las compañías afectadas a cambio de no filtrar la información robada.
El grupo, conformado por ingleses y brasileños, fue responsable del acceso no autorizado a compañías en todo el mundo, desde Microsoft, Samsung y Nvidia hasta Mercado Libre y Globant en Argentina. Fuerzas de la ley estiman que lograron recaudar cerca de 10 millones de dólares a partir de ciberataques.
Kurtaj fue sentenciado este jueves en la Corte Southwark Crown, en Londres, según informó la BBC -que cubrió el caso- a permanecer en un hospital mental de por vida, salvo que nuevas pericias determinen que ya no constituye un peligro para la sociedad.
La situación que lo complicó fue, principalmente, que un reporte médico aseguró que el hacker “siguió expresando intenciones de regresar al cibercrimen lo antes posible: estaba altamente motivado”, reconstruyó Joe Tidy, reportero de la BBC que siguió el caso.
Esto es congruente con el historial de Kurtaj, quien, incluso, entró a los sistemas de Rockstar Games de una forma casi insólita: desde un cuarto de hotel con un Amazon Fire Stick, cuando estaba bajo custodia.
“No soy un empleado de Rockstar, soy un atacante”
Video
Rockstar Games, una de las desarrolladoras más importantes del mundo, anunció hoy que el primer tráiler de GTA 6 saldrá el próximo mes de diciembre de este 2023. El año pasado, un usuario filtró videos e imágenes de la saga de Grand Theft Auto y Rockstar terminó confirmando su desarrollo, hasta fechas de estreno.
Lapsus$ se caracterizó por atacar a base de ingeniería social, esto es, engañando a usuarios de compañías para suplantar identidad y tomar control interno de información sensible.
El caso más resonante que involucró a Kurtaj fue el de Rockstar Games, una de las desarrolladoras de videojuegos más grandes del mundo, muy conocida por su saga Grand Theft Auto (GTA), que desarrolla desde hace años la sexta entrega del juego. El año pasado, el hacker filtró videos internos de cómo se ve el juego (gameplay), algo que fue levantado por medios de todo el mundo.
La técnica de ataque fue muy llamativa. La Justicia británica determinó que, durante el año pasado, el hacker había comprado un Fire Stick de Amazon -un dispositivo que se conecta al puerto HDMI de un televisor para acceder a servicios de streaming- un teléfono nuevo, un mouse y un teclado.
Desde allí accedió a servicios de cloud computing y al poco tiempo publicó videos de GTA VI, un juego que todavía no fue lanzado por Rockstar Games. Kurtaj se encontraba bajo fianza por hackear a Nvidia, en un Hotel Travelodge en Gran Bretaña.
Este fue sin dudas uno de sus ataques más resonantes ya que Rockstar Games es una de las compañías de videojuegos más grandes del mundo. El estudio está desarrollando GTA VI por lo menos desde 2015, una esperada secuela de la reconocida saga.
El año pasado, Kurtaj logró robar videos con material del juego y los publicó online. De hecho, antes de liberar los videos, mandó un mensaje en el Slack (chat laboral) de la compañía y dijo: “No soy un empleado de Rockstar, soy un atacante”.
El imputado admitió haber descargado y extorsionado a Rockstar con publicar código fuente de la compañía si no lo contactaban en 24 horas. En total, publicó 90 videos de GTA VI en un foro bajo el usuario “TeaPotUberHacker”, en referencia a Uber, otra compañía a la que hackeó.
En el juicio, que duró seis semanas, su defensa argumentó que el éxito del lanzamiento del tráiler del juego, que cosechó 130 millones de reproducciones en tan sólo cuatro días, fue favorecido por el hackeo.
Lapsus$, pura ingeniería social
“Lapsus$ siempre presentó retos para los casos judiciales. A diferencia de la mayoría de las empresas de ciberdelincuentes, su motivación no era sólo económica, lo que les hacía impredecibles”, explica a Clarín Brett Callow, analista de amenazas de Emsisoft.
Entre sus miembros se sabe, en el ambiente de la inteligencia de amenazas (threat intel) que han pasado brasileños, británicos y hasta argentinos.
A la compañía que fabrica chips para placas de video le exigieron que abrieran el código -es decir, que hicieran open source– de los drivers, algo por lo cual Nvidia ha sido cuestionada por sus prácticas restrictivas para otros sistemas operativos que no son Windows.
“Es probable que los escenarios de una empresa contemplen las demandas de rescate financiero, pero no estaría tan seguro de que especifiquen qué se debe hacer en caso de una demanda de hacer de código abierto los controladores”, agrega Callow.
“La actividad observada del grupo LAPSUS$/DEV-0537 es variada y extensa. Entre sus TTPs (técnicas, tácticas y procedimientos) podemos encontrar eventos tanto simples, como la utilización de credenciales filtradas, la explotación de aplicaciones públicas y servicios de acceso remoto, la creación de cuentas ‘fantasma’ para mantener persistencia, hasta técnicas más avanzadas como el robo de códigos de segundo factor de autenticación y la firma de código malicioso”, contextualiza a este medio Mauro Eldritch, director de Birmingham Cyber Arms y analista de amenazas.
“El grupo ha sido observado utilizando múltiples herramientas, algunas avanzadas y pertenecientes a esquemas de Malware como Servicio como el stealer Redline, otras tan comunes y simples como NordVPN o Mimikatz. También, el grupo ha optado en ocasiones por simplemente destruir la información de sus víctimas, sin más”, complementó.
El impacto de estos hackeos es muy grave para la industria, que manejan mucha expectativa entre los fans y crean una industria en torno a este concepto (hype). A principios de mes, Rockstar dio a conocer el avance oficial de GTA IV y cosechó 130 millones de visualizaciones en menos de una semana.
En el juicio, la empresa dijo que el hackeo de Kurtaj le costó cerca de 5 millones de dólares.
Kurtaj fue sentenciado junto a otro joven de 17 años en el juicio, que sólo tendrá que pasar 18 meses en rehabilitación, supervisión y la prohibición de usar VPNs, es decir, la imposibilidad de enmascarar su identidad online.
La suerte de Kurtaj no fue la misma y ahora depende de que, con el tiempo, una pericia determine que no es una amenaza para la sociedad. Mientras tanto, pasará sus días en una institución psiquiátrica.