Im Jahr 2022 machten einige spektakuläre Hacks von Nvidia, Ubisoft, Samsung, Microsoft und weiteren Tech-Unternehmen Schlagzeilen. Irgendwann gab es dann die Information, dass hinter der LAPSUS$ genannten Gruppe wohl sieben Teenager stecken. Im Nachgang kam es zu Festnahmen in Großbritannien. Jetzt hat ein Gericht in Großbritannien bei zwei Jugendlichen festgestellt, dass sie Teil dieser LAPSUS$ genannten Gruppe und an Hacks beteiligt waren.
Anzeige
Die LAPSUS$-Hacks
Es hat 2021/2022 schon mächtig Staub aufgewirbelt, als reihenweise Tech-Unternehmen Opfer der Hackergruppe LAPSUS$ wurden. Mitte September 2022 wurde bekannt, dass der US-Fahrdienstleister Uber Opfer eines Hacks geworden ist. Ein 18 Jähriger behauptete, "zum Spaß" in das Uber-System eingedrungen zu sein. Die Uber-Angestellten hielten das Ganze zunächst für einen Scherz, bis der Hacker vertrauliche Daten veröffentlichte.
Gleiches galt, als der Hack bei Rockstar Games bekannt wurde, wo wohl Quellcode von GTA 5 und 6 den Hacker in die Hände fiel. Der Hack und das Leak von Videos zu einem unveröffentlichten Spiel hatte wohl den Zweck, den Spieleentwickler Rockstar Games zu erpressen, wobei der Hacker behauptet, auch hinter dem Angriff auf Uber zu stehen. In der Folge gab es weitere Vorfälle bei Nvidia, Ubisoft, Samsung, Microsoft und weiteren Tech-Unternehmen (siehe Artikel am Beitragsende).
Die Vorgehensweise der Hackers bestand darin, sich Zugang über Social Engineering zu erschleichen, um dann den Hack auszuführen. Nach einigen Analysen gelang es Sicherheitsforschern die Identität der Mitglieder der LAPSUS$-Gruppe aufzudecken und den Strafverfolgungsbehörden zu übergeben. Dies führte dann zu Verhaftungen diverser Jugendlicher, teilweise erst 17 Jahre alt (siehe 7 Teenager im Zusammenhang mit den LAPSUS$-Hacks verhaftet und 17 Jähriger in England wegen Uber-Hack verhaftet, Mitglied der Lapsus$-Gruppe?).
Schuldspruch in London
Nun berichtet die BBC in diesem Artikel, dass ein britisches Gericht festgestellt hat, dass ein 18-Jähriger aus Oxford Teil einer internationalen Bande von Cyberkriminellen war, die für eine Hacking-Attacke auf große Technologieunternehmen verantwortlich war. Der Beschuldigte, dessen Name mit Arion Kurtaj angegeben wird, sei ein Schlüsselmitglied der Gruppe Lapsus$ gewesen, die sich in Unternehmen wie Uber, Nvidia und Rockstar Games gehackt hat.
Anzeige
Der BBC-Bericht schreibt, dass Kurtaj Clips des unveröffentlichten Spiels Grand Theft Auto 6 in einem Forum postete, während er auf Kaution in einem Travelodge-Hotel saß. Kurtaj wurde erneut festgenommen und bis zu seinem Prozess inhaftiert. Kurtaj ist Autist, der von Psychiatern als nicht verhandlungsfähig eingestuft wurde. Deshalb brauchte der Beschuldigte nicht vor Gericht zu erscheinen, um auszusagen.
Weiterhin wurde ein weiterer 17-Jähriger, der ebenfalls Autist ist und dessen Name wegen seines Alters nicht öffentlich genannt werden darf, wegen seiner Beteiligung an den Aktivitäten der Lapsus$-Bande verurteilt. Die Lapsus$-Gruppe, deren Mitglieder aus dem Vereinigten Königreich und angeblich auch aus Brasilien stammen, wurde vor Gericht als "digitale Banditen" bezeichnet.
Der leitende Staatsanwaltschaft, Kevin Barry, sagte, Kurtaj und die anderen Mitglieder der Gruppe hätten wiederholt den "jugendlichen Wunsch gezeigt, denjenigen, die sie angreifen, den Stinkefinger zu zeigen" und bezeichnete das Ganze als "Juvenile Angeberei". Hintergrund ist, dass die Hacker nach dem Eindringen in die Computernetzwerke von Unternehmens oft beleidigende Nachrichten auf Slack und Microsoft Teams hinterließen, um die Mitarbeiter zu erpressen. Die Aktionen der Bande seien oft unberechenbar gewesen, und die Motive schwankten offenbar zwischen dem Wunsch berühmt zu werden, finanziellem Gewinn oder Belustigung.
Die Hacks der LAPSUS$-Gruppe veranlasste die US-Cyber-Behörden Anfang August 2023 zu einer umfassenden Untersuchung, in der sie davor warnten, dass die Cyberabwehr verbessert werden müsse, um der wachsenden Bedrohung durch jugendliche Hacker zu begegnen. In dem Bericht heißt es, Lapsus$ habe "deutlich gemacht, wie einfach es für seine Mitglieder (in einigen Fällen Jugendliche) war, gut geschützte Organisationen zu infiltrieren".
Im Oktober verhaftete die brasilianische Polizei eine Person, die verschiedene brasilianische und portugiesische Unternehmen und öffentliche Einrichtungen mit Lapsus$ gehackt haben soll. Es wird aber vermutet, dass einige Mitglieder der Bande noch auf freiem Fuß sind. Kurtaj befindet sich in Untersuchungshaft, während der 17-jährige Angeklagte weiterhin auf Kaution frei ist.
Auch ist auch unklar, wie viel Geld Lapsus$ mit seinen Cyberverbrechen verdient hat. Kein Unternehmen gab öffentlich zu, die Hacker bezahlt zu haben. Der 17-Jährige weigerte sich, der Polizei Zugang zu seiner Kryptowährungs-Hardware-Wallet zu gewähren.
Die beiden britischen Teenager, die der Mitgliedschaft in der Hackergruppe Lapsus$ schuldig gesprochen wurden, werden zu einem späteren Zeitpunkt das Urteil von Richterin Lees erhalten. Der Prozess, der nun mit zwei Urteilssprüchen endete, fand laut BBC sieben Wochen lang im Southwark Crown Court in London statt. Der Fall zeigt einmal mehr, wie schlecht es um Cybersicherheit im IT-Bereich bestellt ist.
Ähnliche Artikel:
Uber-Datenleak: Millionen Nutzerdaten gestohlen
Fahrdienstleister Uber untersucht einen Hack (Sept. 2022)
Rockstar Games Leck: Source-Code und viele Spielevideos nach Hack veröffentlicht
Nvidia-Hack: Daten und Source-Code offen gelegt, Zertifikate gestohlen
Ubisoft durch Lapsus$-Cyber-Gang gehackt (März 2022)
Samsung bestätigt Hack, Quellcodes durch Lapsus$ geleakt
Authentifizierungsdienst OKTA durch Lapsus$ gehackt?
Lapsus$ veröffentlicht angeblich Quellcode von Microsoft Azure, Bing und Cortana
Lapsus$-Hacks: Stellungnahmen von Okta und Microsoft
Stecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe?
7 Teenager im Zusammenhang mit den LAPSUS$-Hacks verhaftet
Okta gesteht "Lapsus" bezüglich Offenlegung beim "Lapsus$-Hack" ein
Lapsus$: Zwei britische Teenager wegen Hackens angeklagt
Chats zeigen: LAPSUS$ hatte wohl auch T-Mobile mehrfach gehackt
LAPSUS$ deckt Sicherheitslücken bei Tech-Unternehmen auf
17 Jähriger in England wegen Uber-Hack verhaftet, Mitglied der Lapsus$-Gruppe?
Anzeige
Das sollte einem zu denken geben wenn ein paar Kinder bei solchen Konzernen "einbrechen" können.
Hallo,
naja, jugendliche Autisten, wahrscheinlich mit Sonderbegabung, sind eben nicht nur "ein paar Kinder".
Zum anderen sollen die sich die Zugänge mittels Social Engineering "erschlichen" haben. Also muss die Sonderbegabung nicht unbedingt im Bereich Technik liegen.
Einen Konzern vor seinen eigenen Mitarbeitern zu schützen ist halt nicht trivial. Letztlich wird man es wohl nie komplett verhindern können.
Also ich lese in dem Text nur von einem Autisten, keine Ahnung wie man dann auf mehrere schließen kann. Autist und "Social Engineering" klingt auch nicht gerade glaubwürdig.
"Weiterhin wurde ein weiterer 17-Jähriger, der ebenfalls Autist ist und dessen Name wegen seines Alters nicht öffentlich genannt werden darf, wegen seiner Beteiligung an den Aktivitäten der Lapsus$-Bande verurteilt."
Genau Lesen.
"ebenfalls Autist ist" Das kann auch heißen das jemand anderes, der Autist ist, dabei war und nicht zu den Angeklagten gehört. Das geht aus dem Text nicht hervor.
Nö steht doch genau da ebenso Autist und verurteilt! Da aber noch nicht Volljährig der Name nicht genannt werden darf!
Geht also ganz klar aus dem Text hervor!
Also mind. 2 Autisten und beide verurteilt! Was auch nicht verwunderlich ist da nen Autist enteweder Einzelgänger ist oder sich eher unter Gleichen bewegen als mit anderen.
Hallo,
auch, wenn es nur ein Autist gewesen wäre, so ist eine Gruppe durchaus nicht homogen. Es reicht auch schon, wenn einer die Fähigkeiten der anderen koordiniert einsetzt. Dann hat man eben einen, der sozial kompetent ist, einen, der eine besondere Begabung hat und evtl noch ein paar andere. Das ist tatsächlich nicht ungewöhnlich. Gemeinsam ist man stark…
Und das alles ändert nichts am Angriffsvektor. Und der hat tatsächlich nichts mir dem Alter der Angreifer zu tun.
naja schaut man sich mal an wer so alles auf Social Engineering und Phishing reinfällt, muss es dazu nicht mal ne besondere Begabung haben! Kriegts du ja gerade hier im Blog immer wieder vorgesetzt wie plump die Kampagnen eigentlich sind!
Echtes Hacken erfordert Können, Phishing braucht das nicht! Und hast du einmal Zugang ist der Rest jetzt auch kein Hexenwerk! Das Reinkommen ins Netzwerk ist der Kritische Teil. (aber eben nicht wenn es durch Phishing passiert)
/Edit/
vergleicht man das analog mit einem Bankraub:
ist Hacken: ein Bankräuber der sich in den Tresoraum gräbt und den Tresor knackt
währeden Phishing; der Bankräuber der einfach mit dem Hauptschlüssel in den Tresorraum spaziert!
Luzifer sagt:
24. August 2023 um 15:18 Uhr
/Edit/
[…]
währeden Phishing; der Bankräuber der einfach mit dem Hauptschlüssel in den Tresorraum spaziert!
Ich würde eher sagen Phishing ist dem Wachpersonal vorzugauckeln das zuhause der Herd noch an ist.
Und man die Schlüssel schon für Ihn verwaltet.
Er muss sich keine Gedanken machen..
Deshalb brauchte der Beschuldigte nicht vor Gericht erschien, um auszusagen.
= Deshalb brauchte der Beschuldigte nicht vor Gericht zu erscheinen, um auszusagen.
Der 17-Jährige weigerte sich, der Polizei Zugang zu seiner Kryptowährungs-Hardware-Walles zu gewähren.
Sollte wohl "Wallets" gemeint sein…
Danke für die Korrektur!