Згідно з результатами останнього засідання, присяжні визнали двох підлітків винними в участі у кіберзлочинному угрупованні, яке здобуло собі репутацію всього за один минулий рік. LAPSUS$ не були схожі на купку дітлахів – навпаки, вони видавалися грізними й химерними хакерами, що мають схильність до полювання на великі цілі, які успішно й захоплює. Саме їхні дії спричинили хаос у Кремнієвій долині після зламу кількох найбільших світових компаній усього за кілька місяців.

Дивіться також Космічні телескопи у США стали жертвами невідомих хакерів

Що відомо

  • Уже 18-річний Аріон Куртадж був одним із ключових членів групи. Маючи діагностований аутизм, він проводив особисто, а також допомагав іншим проводити багато кібератак банди в період з кінця 2021 до початку 2022 року. Особистість Куртаджа раніше була опублікована в мережі конкуруючою фракцією кіберзлочинців, але через його вік влада не ідентифікувала його особу публічно. Психіатри визнали хлопця неосудним, тому він не з'явився в суді.
  • Інший підліток з аутизмом, який досі не досяг повноліття й особистість якого не розголошується, також був визнаний винним в участі у LAPSUS$.

Про інших членів групи поки нічого не відомо.

На їхньому рахунку були такі компанії, як Uber, Nvidia, Microsoft, Samsung, Ubisoft, Rockstar Games та багато інших. Вважалося, що вона також пов'язана з низкою витоків даних, які використовували зламані поштові скриньки правоохоронних органів для запиту інформації від таких компаній, як Apple, Meta і Snapchat.

Вони діяли винахідливо

Експерти зазначають, що підлітки діяли нестандартно й сміливо, перевершуючи галузеві стандарти безпеки. Часом це буле дуже прості й банальні дії, але вони давали результат, бо їх ніхто не міг передбачити. Звісно ж, слідство не розголошує конкретні методи, до яких вдавалися злочинці.

Відомо, що деяких зі своїх найбільших цілей, включаючи Rockstar Games, Uber і Nvidia, вони зламали, коли вийшли під заставу за свої попередні хакерські злочини.

Цікаво, що здебільшого вони навіть не намагалася просити викуп за викрадені дані, а просто викладали їх в інтернет, діючи "не як досвідчена злочинна група, а як банда інформаційних терористів, яким потрібно щось довести", пише Gizmodo.

У звіті зазначається: "LAPSUS$, схоже, працювали у різний час заради слави, фінансової вигоди або розваги й поєднував різноманітні методи, деякі складніші, ніж інші, з проблисками креативності... Вони проникали в корпоративні мережі, викрадали початковий код, вимагали платежі, рідко контролюючи їх виконання, розміщували політичні повідомлення на тіньових онлайн-форумах і швидко переходили до наступних цілей. Ці кібератаки не були справою рук держав, і вони не завжди були пов'язані з особливо складними або передовими інструментами чи методами. Проте ці атаки були незмінно ефективними проти деяких з найбільш забезпечених ресурсами й добре захищених компаній у світі".

Джерело підсумовує, що навіть найбільшим компаніям явно потрібно задуматися над посиленням своєї кібербезпеки, якщо купка нудьгуючих старшокласників може так легко подолати їхній цифровий захист.