Ein Gericht im Vereinigten Königreich hat festgestellt, dass ein 18-Jähriger aus Oxford, Arion Kurtaj, Teil der Hackergruppe Lapsus$ war, die für Hackerangriffe auf eine Reihe von Technologiefirmen verantwortlich war, darunter Nvidia und Rockstar Games. Diese Eingriffe führten zu einem großen Durchsickern von Filmmaterial aus dem kommenden Grand Theft Auto 6, einem Spiel, das Rockstar noch nicht offiziell enthüllt hat, und das Gericht hörte, dass Kurtaj die Clips aus einem Travelodge-Hotel durchsickern ließ, während er nach seiner Verhaftung bereits auf Kaution saß ein weiterer Hack.
Der Prozess fand vor dem Southwark Crown Court statt und dauerte sieben Wochen. Die Jury wurde gebeten, festzustellen, ob Kurtaj für die behaupteten Taten haftbar war und nicht, ob sie mit krimineller Absicht begangen wurden. Nach der Beurteilung durch Psychiater entschied der Richter, dass Kurtaj nicht vor Gericht stehen könne, weshalb der Angeklagte nicht aussagte.
Die Jury befand Kurtaj für alle 12 Anklagepunkte haftbar (über Bloomberg). Darüber hinaus bekannte sich ein 17-Jähriger, dessen Name aufgrund seines Alters nicht genannt werden kann, in zwei Hackerangriffen schuldig, wurde in einem weiteren für schuldig befunden und in zwei weiteren Fällen freigesprochen.
Das Paar hatte sich online kennengelernt, bevor es im Juli 2021 begann, gemeinsam zu hacken. Lapsus$ griff am 1. August 2021 die Telekommunikationsunternehmen BT und EE an und forderte ein Lösegeld in Höhe von 4 Millionen US-Dollar. Das Lösegeld wurde nicht gezahlt, aber SIM-Daten wurden verwendet, um Kryptowährung im Wert von 100.000 Pfund aus verknüpften Wallets zu stehlen.
Beide Hacker wurden am 22. Januar 2022 festgenommen und bis zu weiteren Ermittlungen freigelassen. Sie hackten weiter und waren nachweislich an Lapsus$‘ erfolgreichem Angriff auf Nvidia im Februar 2022 beteiligt gewesen. Die Gruppe stahl und ließ interne Daten von Nvidia durchsickern und drohte mit der Veröffentlichung weiterer Daten, sofern kein Lösegeld gezahlt würde. Dieser Hack zielte auf Nvidia-Mitarbeiter mit Telefonanrufen und nächtlichen Textnachrichten ab
Kurz darauf wurde Kurtaj von Rivalen gedoxxt, bevor beide Hacker am 31. März 2022 erneut verhaftet wurden. Aufgrund von Bedenken hinsichtlich seiner Sicherheit aufgrund des Doxxings wurde Kurtaj von der Polizei in einem Travelodge untergebracht und gegen Kaution verurteilt: einschließlich einer Internetverbot.
Hier war Kurtaj am Hacken von Rockstar Games beteiligt (wie von der BBC berichtet). Während dieses Angriffs hörte das Gericht, dass Kurtaj eine Nachricht auf Rockstars Slack (einem unternehmensweiten Nachrichtensystem) veröffentlichte, in der es hieß: „Ich bin kein Rockstar-Mitarbeiter, ich bin ein Angreifer.“ Er sagte, er habe alle Daten für Grand Theft Auto 6 und würde, wenn Rockstar nicht innerhalb von 24 Stunden Kontakt aufnehme, „mit der Veröffentlichung des Quellcodes beginnen“. 90 Clips des Spiels wurden dann vom Benutzer TeaPotUberHacker in einem GTA-Forum gepostet.
Als die Polizei später Kurtajs Hotelzimmer durchsuchte, fand sie im Fernseher einen Amazon Fire Stick, ein Smartphone, eine Tastatur und eine Maus: eine Einrichtung, die es ihm ermöglichte, online zu gehen. Oder wie es die Staatsanwaltschaft ausdrückte: Kurtaj wurde „auf frischer Tat ertappt“. Er wurde sofort erneut verhaftet und bis zum Prozess festgehalten.
Das Ausmaß des Erfolgs von Lapsus$ lässt sich zwar nicht leugnen, doch bei den verwendeten Methoden ging es sowohl um klassische Nachteile wie das Phishing von Mitarbeitern als auch um das Hacken selbst. Die Staatsanwälte bezeichneten sie als „digitale Banditen“ und wiesen insbesondere darauf hin, dass die Gruppe ihre Arbeit öffentlich feierte und wie verletzte Ziele anschließend verspottet und bedroht würden. Kurtaj und seine Lapsus$-Kollegen zeigten „einen jugendlichen Wunsch, denen, die sie angreifen, zwei Finger zu zeigen“, sagte der leitende Anwalt der Anklage, Kevin Barry.
Keines der gehackten Unternehmen hat öffentlich zugegeben, an Lapsus ein Lösegeld gezahlt zu haben, und es ist nicht bekannt, wie viel Geld die Gruppe mit ihren Aktivitäten verdient hat. Es wird angenommen, dass die Mitglieder von Lapsus$ weiterhin auf freiem Fuß sind. Im Oktober 2022 nahm die brasilianische Polizei eine mutmaßliche Person fest Teil der Gruppe gewesen zu seinhat jedoch kein späteres öffentliches Update darüber veröffentlicht, ob Anklage erhoben wurde oder erhoben wird.
Kurtaj sitzt in Untersuchungshaft, der 17-Jährige ist gegen Kaution frei. Beide werden zu einem späteren Zeitpunkt verurteilt, wobei der Richter entscheiden wird, ob Kurtaj ins Krankenhaus eingeliefert oder unter Aufsicht freigelassen wird.