Logo Bloomberg Technoz

Sebagai anggota kelompok pemeras online internasional yang terhubung secara longgar yang menyebut diri mereka Lapsus$, Kurtaj ditahan oleh polisi demi keselamatannya sendiri setelah ketahuan oleh komunitas peretas. Lily Howarth hanyalah nama samaran yang ia gunakan untuk menyembunyikan aktivitas peretasannya, kata para petugas. 

Sekarang berusia 18 tahun, Kurtaj menjadi pusat persidangan pidana selama tujuh peka di London bersama dengan seorang terdakwa pria berusia 17 tahun yang tidak dapat disebutkan namanya karena masih di bawah umur.

Keduanya bertemu secara online, menghadapi 12 dakwaan termasuk pemerasan, penipuan, dan peretasan. Kurtaj, yang hanya bertanggung jawab atas setengah dari dakwaan tersebut, dinyatakan tidak layak untuk diadili oleh hakim sebelum persidangan dimulai karena gangguan spektrum autisme yang kompleks, yang berarti dia tidak dapat ditemukan memiliki "niat kriminal", dan dapat diberikan perintah komunitas atau dikirim ke fasilitas perawatan psikiatri daripada dipenjara setelah juri pekan ini menyatakan bahwa dia bertanggung jawab atas semua dakwaan. 

Pengacara pembela berpendapat bahwa bukti yang menghubungkan keduanya dengan insiden tersebut tidak cukup kuat dan tidak ada cara untuk mengetahui bahwa Kurtaj bertanggung jawab atas peretasan tersebut. Pada abu, juri memutuskan sebaliknya.

Seorang hakim akan memutuskan di kemudian hari tentang masa depan Kurtaj. Rekan peretasnya dinyatakan bersalah atas tiga dakwaan dan tidak bersalah untuk dua dakwaan lainnya. Dia sebelumnya mengaku bersalah atas dua tuduhan terkait BT.

"Terlepas dari hasil keputusan juri, yang dapat diajukan banding, kami berharap kasus ini akan menyoroti cara individu yang rentan dengan gangguan perkembangan saraf yang parah berhubungan dengan polisi dan sistem peradilan pidana,'' kata Niamh Matthews-Murphy, pengacara Kurtaj, dalam sebuah pernyataan kepada Bloomberg. 

Peretasan perusahaan teknologi yang dilakukan oleh Lapsus$ telah membingungkan para ahli keamanan siber sejak ia melakukan serangan besar-besaran antara tahun 2021 dan 2022, menyebabkan kerugian jutaan dolar bagi para targetnya.

Persidangan ini memberikan jendela langka ke dalam cara kerja kelompok rahasia yang terdiri dari para ahli teknologi ini, yang menunjukkan bagaimana intrusi diatur dan motivasi kelompok ini: ketenaran, uang, dan juga "lolz".

Tidak jelas berapa banyak uang yang dihasilkan Lapsus$ - tidak ada satu pun perusahaan yang mengaku membayarnya. Polisi belum dapat mengakses akun kripto yang terkait dengan para remaja tersebut.

Kisah tentang bagaimana para remaja ini berhasil mengalahkan beberapa perusahaan teknologi terbesar di AS dikumpulkan dari proses pengadilan di London, dokumen, keterangan saksi, penyelidikan polisi, dan sumber-sumber di industri keamanan siber.

Pihak berwenang Inggris bekerja sama dengan penegak hukum AS, termasuk Biro Investigasi Federal (FBI). Sebuah laporan pada bulan Juli dari Badan Keamanan Siber & Infrastruktur AS mengatakan bahwa meskipun Lapsus$ sama seperti kelompok kriminal siber lainnya, kelompok ini "unik karena keefektifan, kecepatan, kreativitas, dan keberaniannya."

Kini berusia 18 tahun, Kurtaj menjadi pusat dari persidangan kriminal selama tujuh pekan di London bersama dengan seorang terdakwa pria berusia 17 tahun yang tidak dapat disebutkan namanya karena masih di bawah umur. Keduanya, yang bertemu secara online, menghadapi 12 dakwaan termasuk pemerasan, penipuan, dan peretasan.

Kurtaj, yang hanya bertanggung jawab atas setengah dari dakwaan tersebut, dinyatakan tidak layak untuk diadili oleh hakim sebelum persidangan dimulai karena gangguan spektrum autisme yang kompleks - yang berarti dia tidak dapat ditemukan memiliki "niat kriminal", dan dapat diberikan perintah komunitas atau dikirim ke fasilitas perawatan psikiatri daripada dipenjara setelah juri minggu ini menyatakan bahwa dia bertanggung jawab atas semua dakwaan. 

Pengacara pembela berpendapat bahwa bukti yang menghubungkan keduanya dengan insiden tersebut tidak cukup kuat dan tidak ada cara untuk mengetahui bahwa Kurtaj bertanggung jawab atas peretasan tersebut. Pada Rabu, juri memutuskan sebaliknya.

Seorang hakim akan memutuskan pada kemudian hari tentang masa depan Kurtaj. Rekan peretasnya dinyatakan bersalah atas tiga dakwaan dan tidak bersalah untuk dua dakwaan lainnya. Dia sebelumnya mengaku bersalah atas dua tuduhan terkait BT.

"Terlepas dari hasil keputusan juri, yang dapat diajukan banding, kami berharap kasus ini akan menyoroti cara individu yang rentan dengan gangguan perkembangan saraf yang parah berhubungan dengan polisi dan sistem peradilan pidana,'' kata Niamh Matthews-Murphy, pengacara Kurtaj, dalam sebuah pernyataan kepada Bloomberg

Peretasan perusahaan teknologi yang dilakukan oleh Lapsus$ telah membingungkan para ahli keamanan siber sejak ia melakukan serangan besar-besaran antara 2021 dan 2022, menyebabkan kerugian jutaan dolar bagi para targetnya.

Persidangan ini memberikan jendela langka ke dalam cara kerja kelompok rahasia yang terdiri dari para ahli teknologi ini, yang menunjukkan bagaimana intrusi diatur dan motivasi kelompok ini: ketenaran, uang, dan juga "lolz".

Tidak jelas berapa banyak uang yang dihasilkan Lapsus$ - tidak ada satu pun perusahaan yang mengaku membayarnya. Polisi belum dapat mengakses akun kripto yang terkait dengan para remaja tersebut.

Kisah tentang bagaimana para remaja ini berhasil mengalahkan beberapa perusahaan teknologi terbesar di Amerika Serikat (AS) dikumpulkan dari proses pengadilan di London, dokumen, keterangan saksi, penyelidikan polisi, dan sumber-sumber di industri keamanan siber.

Pihak berwenang Inggris bekerja sama dengan penegak hukum AS, termasuk Biro Investigasi Federal (FBI). Sebuah laporan pada Juli dari Badan Keamanan Siber & Infrastruktur AS mengatakan bahwa meskipun Lapsus$ sama seperti kelompok kriminal siber lainnya, kelompok ini "unik karena keefektifan, kecepatan, kreativitas, dan keberaniannya."

Ambil contoh kasus Grand Theft Auto. 

Dengan relatif mudah dan dari kamar hotel di Oxfordshire, Kurtaj - bersama dengan anggota Lapsus$ yang tidak dikenal lainnya - mencuri kode dan rekaman video yang sensitif secara komersial dari seri terbaru dari seri Grand Theft Auto yang sedang dikembangkan.

Menurut jaksa penuntut, mereka masuk ke sistem Rockstar pada 16 September 2022 menggunakan rekayasa sosial, "dengan menyamar sebagai karyawan atau kontraktor yang 'kehilangan' atau 'tidak dapat mengingat' kata sandi mereka." 

Setelah gagal masuk dengan kredensial mantan karyawan, mereka menggunakan akun yang ditautkan ke kontraktor bernama Siwar Jrad (siwar.jrad), kata jaksa. Begitu masuk, kredensial mantan karyawan "mohd.hidaytullah" digunakan untuk mengakses bagian dari sistem yang terkait dengan pengembangan game, kata mereka.

Catatan Rockstar menunjukkan bahwa perangkat yang digunakan untuk pendaftaran adalah jenis dan spesifikasi yang sama persis dengan iPhone yang disita dari Kurtaj di Travelodge Bicester.

Sehari setelah mendapatkan akses, Kurtaj mengunduh serangkaian video dan dokumen desain untuk sekuel GTA serta kode sumber - semuanya sangat rahasia - sebelum membocorkan beberapa di antaranya. Bocoran tersebut memberikan pandangan yang tidak sah pada salah satu game paling berharga di industri ini. Bocoran tersebut sangat langka sehingga beberapa orang meragukan keasliannya saat pertama kali muncul, demikian dilaporkan Bloomberg. 

Kurtaj kemudian menggunakan forum penggemar GTA untuk menyoroti konten yang bocor, menyebut dirinya TeaPotUberHacker - sebuah anggukan pada karya peretasannya yang lain. Dia kemudian menggunakan akun messenger Slack milik Rockstar untuk mengancam akan merilis kode sumber kecuali jika perusahaan tersebut menghubunginya. Pada 19 September, perusahaan telah menonaktifkan aksesnya dan melaporkan masalah ini ke FBI. Tetapi kerusakan telah terjadi. 

"Ini adalah salah satu properti hiburan terbesar sepanjang masa dan hal seperti ini akan merusak pemasaran kami," kata Daniel Emerson, kepala bagian hukum Take 2 Interactive Software Inc, anak perusahaan Rockstar, saat memberikan kesaksian di pengadilan.

Emerson memperkirakan bahwa perusahaan menghabiskan lebih dari US$1,5 juta untuk firma hukum dan komunikasi, selain lebih dari US$2 juta untuk vendor pihak ketiga dan ratusan jam kerja yang terbuang untuk karyawan senior. Rockstar menolak untuk menanggapi pertanyaan tentang bagaimana game tersebut dapat dengan mudah dimiliki oleh para remaja dan hambatan apa yang telah mereka terapkan sejak saat itu.

Grand Theft Auto VI yang akan datang telah dikembangkan dalam beberapa bentuk sejak tahun 2014, dan sangat dinanti-nantikan sehingga ketika Take 2 pertama kali mengakui keberadaannya pada tahun 2022, hal itu membuat sahamnya melonjak. Game baru ini akan menampilkan tokoh utama wanita yang dapat dimainkan untuk pertama kalinya.

Kurtaj sangat mahir dalam meretas sehingga beberapa hari sebelumnya ia menggunakan taktik serupa untuk masuk ke sistem Uber dan perusahaan fintech Inggris Revolut Ltd. Pengacara menjelaskan bahwa Kurtaj mencoba mengakses 74.000 data pelanggan Revolut, diduga untuk menjual informasi tersebut di pasar gelap. Jumlah pasti pelanggan yang terkena dampak tidak diketahui.

Untuk peretasan Uber, Kurtaj mengirimkan pesan-pesan ejekan kepada para staf, yang memaksa perusahaan untuk menutup sementara seluruh aplikasi. Uber mengatakan bahwa kerugian finansial yang diderita adalah sekitar US$2,8 juta. 

Ketika polisi menggerebek kamar hotel Kurtaj, mereka menemukan iPhone 13 Pro Max sedikit di bawah selimut tempat tidur, kata seorang penyelidik di persidangan. Ponsel ini kemudian terhubung dengan beberapa peretasan yang melibatkannya. Polisi belum berhasil mengakses perangkat tersebut karena Kurtaj menolak untuk membagikan PIN-nya.

Pelanggaran pertama yang dituduhkan kepada Kurtaj dan remaja yang tidak disebutkan namanya itu adalah aksi penukaran SIM terhadap pengguna layanan telepon EE BT pada tahun 2021. Penukaran SIM adalah ketika penipu mengambil alih nomor telepon untuk kemudian menerima pesan dan panggilan yang memungkinkan mereka mengakses rekening bank dan dompet kripto. 

Daria Jasinska, seorang pelanggan EE yang menjadi korban, mengatakan dalam sebuah pernyataan saksi bahwa seluruh konten - lebih dari £ 54.000 ($ 69.000) - dari akun Coinbase online-nya telah ditarik. Robert Molloy, korban lainnya, memiliki £ 2000 yang dikuras dari rekening bank Monzo online-nya. Kemudian pada hari itu dia mendapatkan email dari para penyerang yang mengatakan "terima kasih untuk ps bro" - istilah slang untuk uang.

Uber, Revolut dan EE tidak menanggapi permintaan komentar.

Kurtaj dan remaja tersebut ditangkap oleh polisi pada Januari 2022. Remaja tersebut mengaku bersalah atas beberapa aspek dari tuduhan yang melibatkan BT. Dia mengakui terlibat dalam melakukan pertukaran dan penipuan tetapi membantah tuduhan pemerasan.

Peretasan kedua yang dilakukan kedua remaja tersebut, bersama dengan anggota Lapsus$ lainnya, adalah serangan yang berani terhadap Nvidia pada 15 Februari 2022. Terjadi ketika ketegangan meningkat di perbatasan Ukraina, pemerintah AS awalnya khawatir peretasan tersebut mungkin berasal dari Rusia, menurut dua pejabat yang berbicara kepada Bloomberg pada saat itu.

Tidak lama. Lapsus$ segera mendiskusikan keberhasilan peretasan tersebut dalam obrolan online Telegram, kata para penyelidik. Dengan menggunakan metode khasnya, kelompok ini berhasil mengambil alih kendali atas akun-akun kontraktor dan berhasil mencuri 1 terabyte perangkat lunak perusahaan yang sensitif secara komersial, yang dikenal sebagai firmware. Anggota kelompok tersebut merilis 80 GB di antaranya ke publik dan kemudian menuntut Nvidia membayar uang tebusan jika ingin memblokir publikasi sisanya. 

Pengacara penuntut mengatakan para penyelidik polisi dan para ahli berhasil menghubungkan Kurtaj dan rekan-rekan peretasnya dengan berbagai insiden tersebut melalui jaringan alamat Protokol Internet, email, grup obrolan Telegram, dan metode tanda tangan mereka.

Kesamaan dari setiap peretasan adalah rekayasa sosial dengan mencuri rincian pemain yang sah untuk masuk ke sistem, mengambil data dan mencoba memeras uang dari mereka dan kartu panggil tanda tangan dalam bentuk gambar kasar - dalam peretasan Uber, misalnya, sebuah gambar "penis telanjang yang sedang ereksi" diunggah.

"Keinginan remaja untuk mengacungkan dua jari kepada mereka yang mereka serang," kata pengacara penuntut, Kevin Barry. Bagi pihak pembela, itu adalah upaya para remaja yang konyol untuk mendapatkan tawa. 

Pada tahun-tahun sebelum kejadian, Kurtaj tinggal di rumah di Oxfordshire bersama ibu dan adik laki-lakinya. Selama persidangan, dokter masa kecil Kurtaj, Nicholas Hindley, menggambarkannya sebagai "individu yang memiliki gangguan khusus," dan menambahkan bahwa kontak pertamanya dengan anak tersebut terjadi setelah sekolah berkebutuhan khusus yang ia ikuti tidak dapat mengendalikannya.

Autisme, ADHD, dan diagnosis kesehatan kompleks lainnya yang diderita Kurtaj membuat kemampuannya hanya setara dengan 1% dari teman-temannya, kata Hindley kepada pengadilan.

Kurtaj, yang mengakhiri pendidikan formalnya di usia remaja, sempat masuk ke dalam perawatan sosial karena menyerang ibunya secara fisik. Hal itu berakhir ketika dia sendiri diserang oleh seorang anggota staf, yang dihukum karena tindakan tersebut.

Ibu Kurtaj menerimanya kembali, namun pengawasan terhadap penggunaan komputernya menjadi sulit baginya. Claudia Camden-Smith, dokter yang bertanggung jawab atas perawatannya saat dewasa, mengatakan bahwa peretasan memberinya "kepercayaan diri.

"Dia tidak ingin menjadi berbeda, dia ingin menjadi seperti orang lain, ingin terlihat trendi dan berisiko," katanya kepada pengadilan, seraya menambahkan bahwa diagnosisnya tidak sepenuhnya menggambarkan betapa rentannya dia.

Sejak Kurtaj melanggar jaminannya dengan serangan GTA dan Uber, dia telah ditahan di Feltham Young Offenders Institute, di mana para dokter mengatakan bahwa dia sangat tertekan, melemparkan air seni ke arah para sipir dan menghancurkan infrastruktur penjara. Sekarang Hakim Patricia Lees yang akan memutuskan apa yang akan terjadi padanya. 

"Meskipun tidak menerima pendidikan formal sejak usia 14 tahun, dia telah terbukti melakukan sejumlah pelanggaran keamanan yang telah menyusup dan mengekspos kelemahan dalam sistem perusahaan-perusahaan global terbesar, yang menghabiskan jutaan dolar untuk mencoba membuat keamanan siber mereka tidak dapat ditembus," kata pengacara Kurtaj, Matthews-Murphy.

"Harus ada sistem yang lebih baik yang memungkinkan keterampilan individu-individu tersebut digunakan dengan cara yang lebih positif yang melindungi perusahaan, mengakui dan mendukung kebutuhan medis para pelaku yang rentan, serta menawarkan hasil yang lebih menguntungkan bagi semua pemangku kepentingan dalam situasi seperti ini." 

--Dengan bantuan dari Andrew Martin dan William Turton.

(bbn)

No more pages