28.05.2024
1 хв
2190
На відміну від багатьох 10-річних хакерів, він не витрачав вкрадені мільйони на дорогі покупки або дизайнерський одяг, тому історія Аріона дивує. Навпаки, він вирішив витратити ці гроші на покупку експлойтів для проведення все більш масштабних хакерських атак. Він хотів отримати доступ до інформації, яку компанії намагалися як найкраще захистити від громадськості, але зовсім не піклувався про наслідки. Так, у віці 17 років він з метою особистої безпеки зупинився в дешевому готельному номері в очікуванні суду і був заарештований.
” 18-го числа у випуску “Bottle Uber hacker” Аріон опублікував повідомлення на фан-сайті Grand Theft Auto “Привіт, 90 ходів з GTA6. Можливо, незабаром ви зможете злити більше даних, включаючи вихідний код. Використовуючи зламаний обліковий запис працівника, Аріон попросив когось зв’язатися з ним або злити вихідний код на канал Rockstar у Slack. Але Аріон так і не став особливо розшукуваним хакером для ФБР “
Як і більшість кіберзлочинців, народжених у 2005 році, він уперше спробував свої сили у зломі PvP-серверів Minecraft. У 2017 році стало відомо, що він активно захоплювався цією грою, переважно використовуючи три акаунти. Увагу до його персонажа привернуло відео під назвою “Dog Iz”, у якому його звинуватили у використанні шахрайського програмного забезпечення в Minecraft для отримання переваги в PvP. Відразу після цього він написав на форумі сервера, намагаючись розблокувати свій акаунт, що свідчить про щирість його скарги.
На перший погляд, ці події можуть здатися дитячими, але вони є ключем до розуміння того, як він поступово переходив до більш серйозних злочинів. На форумах, де обговорювали злом Minecraft, був розділ, присвячений хакерству та кіберзнущанням у ширшому масштабі. Як і багато дітей, він почав проявляти дедалі більший інтерес до цих тем.
До середини 2018 року він переключив свою увагу на складніші форми злому Minecraft. У звітах адміністратора сервера зазначено, що він використовував експлойт для входу в гру під ім’ям адміністратора, що дозволило йому зламати сервер. Це вимагало більше зусиль, ніж просто завантаження чит-клієнта. Він виявив помилку в коді сервера, яка надала йому доступ до привілеїв, до яких він не мав права доступу. І це була цілком усвідомлена дія, оскільки після цього він звернувся до Hypixel із пропозицією запровадити програму bug bounty для винагородження за виявлення подібних уразливостей. Його пропозиція була відхилена.
Все було просто. Багато хакерів WNT заходили на bucket.org і читали повідомлення про помилки в популярних серверних плагінах, а потім використовували їх до того, як розробники встигали їх виправити. Здається, у його свідомості щось переключилося і цей метод злому став основою того, як Аріон згодом атакуватиме багато найбільших компаній світу.
До грудня 2019 року йому було вже майже 15 років, і він перейшов від Minecraft до експериментів зі зламами веб-сайтів. Вони зламали сторінку nasa.gov і розмістили на ній усі свої імена, оскільки подібні речі були найкращою рекламою, щоб похвалитися перед хакерськими спільнотами. Якщо погуглити деякі з цих імен, можна побачити, що ці хлопці мають певну репутацію. Один із них раніше був заарештований за злам каналу VEVO на YouTube, змінивши мініатюри та описи популярних музичних кліпів, зокрема “Despacito”. Крім цього, деякі члени групи причетні до кількох гучних витоків даних.
Було очевидно, що саме так Аріон завів нових друзів, але, можливо, в реальному житті йому не щастило. Вірогідно, він мав важке дитинство. За словами його педіатра Ніколаса Генрі, Аріон залишив офіційну освіту у 10 років і був переведений до школи для дітей з особливими потребами. Крім того, його тимчасово вилучили з дому та помістили під соціальну опіку після випадку фізичного насильства щодо матері. Однак після нападу з боку одного із співробітників установи мати Аріона повернула його назад.
На додачу до всіх цих проблем його батьки, схоже, розлучилися, а сам Аріон, за словами Генрі, мав діагноз аутизму, СДУГ та низку інших складних медичних станів. Він “справляється з цим на рівні 1% своїх однолітків”. Однак, попри свої діагнози, це не завадило йому стати хакером.
Аріон прагнув визнання серед нових друзів, які захоплювалися онлайн-вандалізмом. Проблема в тому, що це замкнене коло: зламати щось, похвалитися, зробити це в ще більшому масштабі – і так доти, доки когось із учасників не спіймають. Для Аріона цей цикл розпочався у 2021 році. 16-річний Аріон, який працював під ніком Peter, об’єднався з іншим хакером під ніком Everlin, щоб створити нову групу під назвою Infinity Recursion.
Повідомлення, розміщене на форумі crack.to. Цей ресурс широко відомий як центр обговорень і майданчик для незаконної діяльності в мережі, тож цілком природно, що вони рекламували там свої послуги. Використовуючи зламані електронні пошти правоохоронних органів, вони надсилали підроблені юридичні запити компаніям, вимагаючи надання даних про конкретних осіб. І це не лише ваше реальне ім’я, адреса та номер телефону, а, можливо, й кожне відправлене вами повідомлення.
Якщо фотографія, якою ви поділилися з другом, потрапить у руки не тієї людини, чи може вона бути використана проти вас? Дивно, що вони вирішили почати продавати послуги, які порушують конфіденційність, причому за досить скромну плату. Сума в 250 доларів виглядає сміховинно в порівнянні з тим, що вони самі заробляли на такій діяльності.
Основним напрямком роботи групи була заміна SIM-карт – прийом, що дозволяє зловмисникам отримати доступ до номера телефону, скинути пароль і відкрити доступ до акаунту для злому. Великі власники криптовалют, які зберігали активи на онлайн-біржах, часто ставали жертвами таких атак. Але найскладнішою частиною цього процесу завжди було визначення адреси електронної пошти та номера телефону жертви. Використання підробленої повістки – ідеальний спосіб отримати цю цінну інформацію, і вже відомо, що Аріон брав участь у масштабному фінансовому шахрайстві разом із цією групою.
Небезпека в тому, що жертви завжди шукають справедливості. Тому для приховування слідів потрібна особлива хитрість.
До кінця 2021 року Аріон та його спільники вирішили створити нову організацію під назвою Lapsis. Цілком імовірно, що він був розчарований тим, що Infinite Recursion не здобула популярності у ЗМІ. Ймовірно, він прагнув визнання, мріяв створити легендарну історію та стати одним із найвідоміших хакерів. Їхніми новими мішенями стали значно серйозніші компанії.
Аріон і його команда активно використовували Google для збору особистої інформації про потенційних жертв. Сучасні пошукові системи стали аналогом телефонної книги, і базові курси для початківців хакерів завжди містили розділи про те, як знаходити персональні дані людей за допомогою цих інструментів. Часто це відбувається без відома самих жертв:
Ваш номер телефону може змінитися, але шахраї вже мають старі дані.
Ваш бізнес-партнер або родич може стати об’єктом фішингової атаки.
Ваші персональні дані можуть опинитися у відкритому доступі через брокерів даних.
Цей список можна продовжувати нескінченно. Але важливо розуміти, що ці “пошукові брокери” приречені – продаючи особисті дані, вони надають хакерам доступ до цінної інформації, яку ті використовують для атак.
За законом компанії зобов’язані видалити вашу інформацію, якщо ви їх про це попросите, але це дуже складно. Аріон любить зламувати компанії та зливати їх бази даних у мережу. Серед таких витоків часто трапляються і паролі. Є дуже багато нелегальних сайтів, на яких можна заплатити гроші за пошук вашої електронної пошти.
За кілька тижнів до Різдва Lapsis вийшла на ринок із великим успіхом. Вони атакували веб-сайт Міністерства охорони здоров’я Бразилії, замінивши його сторінкою з вимогою повернути понад 50 терабайт викрадених даних. Це викликало широкий резонанс, особливо з огляду на те, що їхньою мішенню стали ключові медичні послуги країни.
Нові хакерські атаки відбуваються щодня, і на перший погляд Lapsis не виглядала як щось особливе. Зазвичай такі атаки передбачають зашифрування даних за допомогою програм-вимагачів і подальше їх видалення, що виглядає дещо аматорськи. Ба більше, незрозуміло, чи вдалося групі отримати вигоду від своїх дій.
У результаті, після кількох тижнів простою Міністерство змогло самостійно відновити доступ до веб-сайту та повернути дані з непошкодженої резервної копії.
Ніхто не міг зрозуміти, хто стоїть за Lapsis, але одного дня все змінилося. Лише через місяць після першого злому ім’я та адреса Аріона з’явилися на Doc-Spin. Уявіть: ви прокидаєтеся одного ранку й бачите, що вся ваша особиста інформація розміщена на численних форумах та веб-сайтах. Незнайомці замовляють доставку всіляких товарів на вашу домашню адресу, а в повідомлення приходять погрози. Вас щойно «заблокували». Doc-Spin був відомим веб-сайтом для публікації подібної інформації.
Виявилося, що все не так просто. Насправді Аріон купив Doc-Spin у власника КТ за кілька тижнів до запуску атак Lapsis. Однак він не мав жодного уявлення про управління сайтом або просто не приділяв цьому уваги, що призвело до його жалюгідного стану. До 1 травня справи стали настільки поганими, що Аріон погодився продати Doc-Spin назад КТ всього за 20% від початкової ціни. У результаті він фактично втратив 775 000 доларів і був у нестямі від злості.
Розчарований і, можливо, ображений, він спробував повернути контроль над сайтом через систему vanity URL у Discord. Але його спроба провалилася, і КТ відновив доступ до ресурсу всього за кілька годин. Ще більше розлючений тим, що його так легко перехитрили, Аріон зламав Twitter-акаунт Doc-Spin і запропонував 100 000 канадських доларів кожному, хто надасть повну інформацію про особу КТ. Однак через п’ять годин КТ знову відновив контроль і почав публічно висміювати Аріона за його невдалі спроби обійти його.
На цьому Аріон не зупинився. У відчаї він виклав усю базу даних Doc-Spin у відкритий доступ через Telegram, після чого остаточно передав сайт КТ. Але шкоду вже було завдано. Вся спільнота Doc-Spin була в люті, адже їхні власні дані опинилися у відкритому доступі. А це не та група людей, яких варто злити.
Протягом двох днів розроблявся стратегічний план відплати. Команда КТ відправила своїх найвідданіших послідовників, щоб зняти кілька відео та фотографій будинку Аріона для залякування. Потім вони постукали у двері та запитали, чи може він вийти до них. Його мати сказала, що його немає вдома, тож вони вирушили до будинку батька Аріона, який знаходився за 20 хвилин ходьби. Але вона встигла попередити свого колишнього чоловіка по телефону, і до того моменту, коли «відвідувачі» прибули, біля будинку вже була припаркована поліцейська машина. Побачивши це, вони швидко втекли на Uber.
Наступного дня на сайті з’явився найдокладніший докс, який розкривав не лише особистість Аріона, але й, що ще гірше, його причетність до Lapsis. Вперше було назване ім’я, пов’язане з цим хакерським угрупуванням. До всього цього додавалася велика кількість звинувачень і викриттів. У них стверджувалося, що Аріон викрав понад 300 біткоїнів на суму 14 мільйонів доларів під час різних кіберзлочинних операцій.
Це повідомлення з’явилося 8 січня, а вже 22 січня стало відомо про його арешт. Усього за місяць до свого 17-річчя Аріон був затриманий разом із невідомим 16-річним спільником.
П’ять місяців раніше британський телекомунікаційний гігант BT зазнав атаки хакерів-вимагачів, які вимагали 14 мільйонів доларів. Ці гроші так і не були виплачені, але хлопців також звинуватили у використанні несанкціонованого доступу для заміни SIM-карт п’яти клієнтів, унаслідок чого з їхніх біткоїн-рахунків було викрадено загалом 100 000 доларів.
Аріон визнав себе винним за деякими пунктами звинувачення. Він зізнався у замінах SIM-карт, але заперечував звинувачення у шантажі. Незважаючи на це, і Аріон, і його спільник були відпущені на волю до подальшого розслідування.
Швидше за все, у влади просто не було достатньо доказів, щоб утримувати їх під вартою.
Ця функція мала вирішити проблему дефіциту відеокарт, розширивши доступ для людей, яким вони потрібні для відеоігор. Звичайно, майнери були в люті, тому що нікому не сподобалася ідея обмеження програмного забезпечення апаратними ресурсами.
Оскільки відкритий код не тільки забезпечує більшу прозорість, а й дозволяє модифікувати програмне забезпечення, щоб повністю обійти це обмеження хешування, люди почали замислюватися про справжні мотиви Lapsis.
Що ж це за хакери, які діють так самовіддано? Вони могли б попросити у Nvidia мільйони доларів. Натомість їхні дії виглядали як спроба висміяти компанію та стати сучасним Робіном Гудом, який допомагає людям. Але через три дні з’явилися погані новини. Подивіться на це повідомлення, опубліковане в їхньому Telegram. За їхніми словами, Nvidia здійснила власну контратаку на комп’ютер, який вони використовували для крадіжки даних, що зробило його практично непридатним для використання.
Хакери стверджували, що у них є резервні копії, але багато хто їм не повірив. У відповідь на критику група опублікувала облікові дані понад 71 000 співробітників Nvidia, довівши, що вони справді зламали сервер.
Проте реальний витік 1 ТБ так і не стався, і, можливо, у них не було резервної копії, як вони заявляли. Але саме це стало початком їхнього найбільшого божевілля.
Вони завантажили 190 ГБ внутрішніх даних Samsung на торрент, включаючи вихідний код телефону Galaxy. Це була інформація, яку багато технічних ентузіастів намагалися отримати від компанії протягом багатьох років.
Хоча багато хто хвалив Lapsis, порівнюючи їх із Anonymous, це була лише вершина айсберга. Протягом наступних кількох днів Аріон та його друзі зламали Ubisoft та T-Mobile. Кожен міг пояснити це по-своєму, але світ кібербезпеки задавався питанням: як вони змогли так легко проникнути в системи найбільших технологічних компаній світу? 20 вересня Аріон заявив, що його можна було б навіть не помітити, якби він зламав Microsoft.
Але у Microsoft були інші плани.
Спочатку Lapsis опублікував скріншот сервера Azure DevOps і завантажив ZIP-файл об’ємом 37 ГБ, що містив вихідний код із сервера Microsoft.
Цей інцидент миттєво змусив Microsoft задіяти всі ресурси для пошуку хакерів. Всього через день вони були додані до списку найбільш розшукуваних ФБР. Очевидно, це налякало Аріона. Після всього, що він зробив, щоб ускладнити життя і знищити Doc-Spin, він тепер відчайдушно шукав допомоги.
Він намагався змусити КТ видалити файл і поширити неправдиву інформацію, що він не має жодного зв’язку з Lapsis. Але ця ідея з тріском провалилася. Всього через два дні після публікації повідомлення ФБР КТ оновив документ і розповів про все. Ситуація стала надзвичайно напруженою.
Того ж дня Microsoft опублікувала детальний звіт про безпеку, в якому описувалося, як саме працює група. Результати цього дослідження здивували всіх. Виявилося, що основним методом злому корпоративних мереж було використання соціальної інженерії, а не складного коду чи експлуатації вразливостей. Microsoft послалася на свої «10 постійних законів безпеки» і пояснила, що Lapsis використовував один із них.
Це був шостий пункт, у якому йдеться про те, що якщо зловмисник може переконати вас запустити його програму на вашому комп’ютері, то це вже не ваш комп’ютер, а настільки безпечний пристрій, наскільки може довіряти його адміністратор.
У компанії Аріона чудово розуміли, що найпростішою точкою входу для злому будь-якої корпорації є її співробітники. Можна було б припустити, що вони використовували найсучасніші тактики та інструменти соціальної інженерії для здійснення настільки вражаючих атак. Але реальність виявилася набагато приземленішою.
Якщо зазирнути в їхній Telegram, усе виглядає набагато менш вражаюче. Вони буквально відкрито пропонували хабарі корумпованим співробітникам, які були готові продати свої облікові дані та доступи до VPN.
У більшості випадків вони купували ці доступи за 20 000 доларів на тиждень, що значно спрощувало їм зломи без необхідності використовувати складні методи хакерства.
Незважаючи на все це, Аріон та його команда явно не дуже серйозно ставилися до власної безпеки, адже вже 24 березня, всього через чотири дні після злому Microsoft, з’явилися новини про те, що британська поліція затримала сімох осіб, наймолодшому з яких було 15 років, а найстаршому 21 рік. Усі вони підозрювалися у причетності до Lapsis.
Здавалося б, це кінець історії, але Telegram-канал Lapsis залишався активним. Очевидно, правоохоронці зловили не всіх.
Менше ніж за місяць після арештів вони опублікували зображення, які підтверджували їхній злом компанії Globant – великої IT-фірми з 23 000 співробітниками, що співпрацює з усіма провідними технологічними компаніями.
Атаки на співробітників компаній давно стали звичайною тактикою Lapsis. На опублікованих ними зображеннях були помітні папки з назвами Apple Health App, Facebook та DHL, що свідчило про те, що вони могли отримати доступ до даних цих компаній.
Але перш ніж вкрадені дані могли бути використані, Аріон та інший підліток були остаточно заарештовані. Йому щойно виповнилося 17 років, і він був звинувачений за кількома статтями, що передбачало серйозний судовий розгляд. Винесення вироку — це не швидкий процес, але, на щастя, йому не довелося чекати у в’язниці.
Наступного дня він був звільнений під заставу, а суд наклав на нього місячні обмеження на доступ до інтернету. Він мав повернутися до суду 29-го числа, і його було засуджено до позбавлення волі.
Втім, деталі справи так і не стали публічними, оскільки на момент арешту він був неповнолітнім. Його захист заявив, що він психічно не готовий до судового розгляду, що потребує ретельного медичного обстеження. Через це винесення вироку відкладалося на місяці.
У якийсь момент, через постійний тиск ЗМІ, переслідування та ризики, поліція вирішила розмістити його в готелі, щоб ізолювати від зовнішнього світу. Але на початку 9 травня Аріон зайшов у сусідній магазин Argos і зробив незвичайну покупку — Amazon Fire Stick, пристрій, який зазвичай використовують для перегляду фільмів і телешоу. Повернувшись у готельний номер, він підключив Fire Stick до телевізора, під’єднав клавіатуру та мишу через Bluetooth і змайстрував собі тимчасовий комп’ютер. Ймовірно, він завантажив веб-браузер з App Store, після чого отримав віддалений доступ до приватного віртуального сервера, який раніше використовувала його група.
15 вересня стало відомо, що кіберзлочинець-одинак зламав Uber. Злам виявив конфіденційну інформацію про клієнтів, а також внутрішні інструменти компанії. Як повідомлялося, мільйони клієнтів Uber зазнали ризиків безпеки, проте жодні дані так і не були опубліковані у відкритому доступі.
Telegram-канал Lapsis залишався неактивним з моменту витоку даних Globant, опублікованого за кілька днів до арешту Аріона. Очевидно, що він втратив доступ до нього після конфіскації обладнання. І хоча він не намагався повторно зламати Uber, цей злам привернув увагу ЗМІ. Його мета була досягнута — інцидент серйозно зашкодив репутації Uber, підірвавши довіру громадськості до її систем безпеки. Але Аріон хотів більшого. І протягом наступних 24 годин він здійснив свій найвідоміший злочин, який буквально збожеволив увесь інтернет.
Отримавши список співробітників Rockstar Games, що містив їхні номери телефонів та електронні адреси, він прикинувся працівником, який забув свій пароль. Цей трюк не одразу спрацював, адже обліковий запис, який він отримав, не мав необхідного рівня доступу. Він спробував ще раз. Цього разу йому вдалося отримати контроль над акаунтом реального співробітника. Тепер, маючи доступ до Slack-каналу компанії, він зміг отримати логіни співробітників, які мали прямий доступ до внутрішніх каналів, пов’язаних із розробкою ігор. Серед них були конфіденційні файли, відеозаписи, а також довгоочікуваний вихідний код Grand Theft Auto 6.
Гра розроблялася майже 10 років, а її вартість оцінювалася в мільярд доларів. Через два дні після отримання доступу, під псевдонімом «teapot Uber hacker», він публікує повідомлення на фан-сайті Grand Theft Auto:
“Привіт, ось 90 роликів з Grand Theft Auto 6. Можливо, скоро я викладу ще більше даних, включаючи вихідний код”.
На цей момент чекали мільйони фанатів. Але спершу йому ніхто не повірив. Багато хто думав, що посилання на скачування – це вірус. Але коли він переконав людей, реальність вдарила з подвійною силою – це справді були злиті матеріали GTA 6.
Чотири дні о 21:00 група лондонських поліцейських чекала біля кімнати M15 відповідного моменту, щоб увірватися всередину. Везіння Аріона закінчилося. Вилучивши його саморобний комп’ютер, поліцейські знайшли під ліжком iPhone 13 Pro Max. Аріон відмовився повідомити PIN-код, але пізніше їм вдалося з’ясувати, що телефон тієї ж моделі використовувався для входу в зламані акаунти Rockstar. Оскільки він порушив умови звільнення під заставу, його відразу ж помістили до центру для неповнолітніх правопорушників Фелтхема в очікуванні суду.
Лікарі офіційно заявили, що він був дуже засмучений, кидався на охоронців. У серпні 2023 року, через 11 місяців після рейду в готель, він нарешті отримає можливість залишити центр, але тільки для того, щоб постати перед лондонським судом на 7-тижневому процесі, будучи звинуваченим разом із тим же неназваним хакером, замішаним у справі BT. Їм було пред’явлено звинувачення у шантажі, шахрайстві та зломі за 12 пунктами.
Адвокати захисту стверджували, що докази були недостатньо вагомими і що не було жодної можливості довести, що Аріон відповідальний за зломи. Присяжні вирішили інакше, визнавши Аріона винним за всіма пунктами звинувачення, тоді як його колегу було визнано винним лише за трьома. Але складний розлад аутистичного спектру Аріона призвів до того, що суд визнав його непридатним до суду, незважаючи на його головну роль у скоєнні злочинів. Таким чином, він не може бути визнаний винним у злочинному намірі, і як варіанти покарання залишаються тільки громадські роботи або психіатричне лікування.
Остаточне рішення мала ухвалити суддя Патриція Ле, і їй було над чим подумати. Lapsis завдала багатомільйонних збитків, але жодна з компаній не зізналася у виплаті викупу, а поліція не змогла отримати доступ до криптовалютних рахунків, пов’язаних із підлітками. Судячи з усього, група прагнула популярності, грошей і просто хаосу. Адвокати звинувачення заявили, що поліцейське розслідування та експерти змогли пов’язати Аріона та його товаришів з різними інцидентами через IP-адреси, електронні листи, чат-групи Telegram.
За оцінками представника Rockstar, компанія витратила понад $3,5 млн на юридичні консультації та оплату послуг постачальників через злом. Трейлер GTA 6 офіційно вийшов 4 грудня, і з того часу Аріон був поміщений до лікарні на 12 тижнів, де у нього діагностували психічний розлад через його поведінку в інституті для малолітніх злочинців. Психіатр доктор Клаудія Камден-Сміт заявила на слуханнях 8 грудня, що Аріон прямо сказав, що планує повернутися до кіберзлочинного життя після звільнення. Під час обстеження з’ясувалося, що для реабілітації Аріона мало що можна зробити. Швидше за все, на нього чекає майбутнє в психіатричній клініці, а не у в’язниці.
Рішення за його вироком залишається невизначеним, неодноразово відкладалося, і немає точних тимчасових заходів, що вказують на дату прийняття остаточного рішення. На даний момент Lapsis залишається неактивним після витоку інформації з Globant. Обставини щодо інших заарештованих членів групи залишаються маловідомими. Ймовірно, багато хто з них продовжує свою діяльність під новими псевдонімами, але вже вживає більш складних заходів оперативної безпеки і виявляє підвищену обережність.
