Começou no dia 20 deste mês uma autêntica guerra de clãs no mundo do hacking que se tem arrastado pelas redes sociais. Agora que se passaram uns dias desde o ataque à Microsoft, é altura de fazer uma apresentação inicial (provavelmente final) deste grupo que espalhou o caos por todo lado, até ter incomodado diretamente outros grupos da mesma praça de atividade.
É sempre prudente adiantar que este é um grupo ligeiramente diferente dos que existem mundo fora; este é meramente um grupo destrutivo e associado a piratas mais jovens, que são comummente denominados de crackers porque apenas ou primeiramente visam destruir, e foi por aqui que o apanharam. Não, não foi a polícia, foram outros hackers.
Quem me lê já há algum tempo sabe que a minha opinião e perfil traçado a esta instituição não a localizava como uma entidade unicamente sul-americana, mas sim uma entidade com base, origem e interesses mais globais e eu também acho que, face à forma tão estratégica e orientada dos ataques que este grupo leva a cabo, poderá ser uma manipulação política de interesses que usufruem da necessidade de fama dos elementos que fazem parte do Lapsus e os orquestra a seu bel-prazer.
Este grupo, que a Microsoft recentemente batizou como DEV-0537, tem atuado mundo fora, inclusive em Portugal, contra a Impresa, Vodafone e outros, tendo como ponto de início de trabalhos a América do Sul. É caracterizado por ser um grupo de ataque destruição primeiramente e só depois como um grupo que alavanca os seus ataques para passar à extração do conhecimento das vítimas, passando depois à extorsão. Este é um grupo que não faz questão de se esconder, aliás, faz questão de fazer imensa publicidade aos seus feitos e à forma como atua. É aqui que ele se destaca da sua concorrência porque gosta de humilhar publicamente as vítimas e, em muitos casos, não pede sequer resgate e passa logo à distribuição do material capturado (que o diga a Samsung e agora a Microsoft). Estas ações não passaram em claro a um grupo de investigadores, mas já lá vamos.
Como investigador desta temática, sempre achei estranha a forma atabalhoada e descontraída de comunicar os seus ataques destrutivos. Embora seja um fã e acredite na segurança de alguns sistemas como o Telegram, usar estas tecnologias a céu aberto para poder estar constantemente a provocar reações e fazer sobressair o óbvio, são estranhamente absurdas para não dizer mesmo infantis; em suma, nota-se que o pessoal-de-campo é maioritariamente composto por jovens de sangue-frio. Embora pareçam relaxados com o que fazem às maiores empresas do mundo e andarem aos tropeções às vezes, estes não andam em linha reta ou em fuga para a frente, alguém lhes dá as missões e na semana passada um elemento de topo foi identificado, portanto, vamos lá saber quem, como e o que vai fazer.
Sem estar a fazer publicidade à rede, estava eu no Twitter a seguir os grupos que me interessam, quando recebo uma mensagem para prestar atenção numa thread surpreendente. Rapidamente percebi que era coisa séria, primeiramente porque o nome me diz qualquer coisa de outras andanças, “D4RK R4BB1T” e porque depois as suas acusações, deduções, alegações, provas e conclusões eram de facto plausíveis. Dizer plausível neste meio é a mesma coisa que dizer que foi visto, analisado, medido e identificado e finalmente, terminado.
Este camarada de Twitter tinha claramente reconhecido, com recurso a várias técnicas das quais destaco a mais elementar o OSINT, o cabecilha ou um dos principais cabecilhas do Lapsus, e entre outros posts que identificavam os seus associados, estava a instanciar as autoridades e as empresas atacadas a lerem os seus posts e a tomar ações.
O visado bem que tentou, mas não conseguiu cabalmente defender-se até que se tornou óbvio de quem se tratava, de acordo com D4RK R4BB1T e não só, o principal responsável pelo LAPSUS é Arion Kurtaj. Ali rapidamente alguns comparsas do crime foram também trazidos à colação.
Prontamente o visado encenou um contra-ataque de defesa com dezenas e dezenas de respostas que lamentavelmente não guardei e que ele agora apressadamente apagou. À falta de resposta óbvia desapareceu e com ele a sua presença na rede. Com o claro objetivo de interromper as atividades do Lapsus, este vigilante avançou para o próximo passo lógico, a rede próxima de contactos, o pai, que negou e se mostrou surpreso com as atividades ligadas ao seu filho Arion. Aqui foi o fim e hoje já se encontram notícias na imprensa inglesa a dar nota da detenção de um jovem de 16/17 anos no bairro de Oxford que vivia na casa dos pais. Tivesse ele 39 anos e na mesma condição, era um clássico típico.
Chegar a Arion não foi muito difícil pois infelizmente, e apesar de este estar a seguir um percurso muito articulado, cometeu alguns erros que permitiram a sua identificação após ter deixado alguns dados seus visíveis no ataque à Microsoft e numa venda falhada de dados retirados do ataque ao Doxbin. Depois de identificado o processo foi fazer pressão, muita pressão e mais pressão ainda até que este cedesse assustado. Não foi de admirar que todo o grupo se assustasse em conjunto e anunciasse no seu Telegram que iam fazer uma pausa...
Mas o que se está a passar em pleno Twitter? Que grupos são estes com capacidade de atacar as maiores empresas do mundo e que conseguem fazer o que as autoridades não conseguem, isto é, identificar cabalmente e em menos de um mês os membros de um clã devastador?
Quem são estes justiceiros que andam pelas redes sociais a mostrar as suas capacidades? Não sabemos, mas sabemos que o impacto das suas ações que hoje são para o bem, amanhã poderão apontar para o outro polo.
