Na madrugada de 20 de janeiro de 2023, a conta de usuário de um médico de fora do estado se conectou ao Sistema Eletrônico de Registro de Morte do Havaí para certificar a morte de um homem chamado Jesse Kipf. A certidão de óbito listou a causa como “síndrome do desconforto respiratório agudo” devido ao COVID-19 uma semana antes. E com isso, Kipf foi registrado sem cerimônia como falecido em diversos bancos de dados do governo.
No mesmo dia, um hacker apelidado de “FreeRadical” postou a mesma certidão de óbito em um fórum de hackers na tentativa de monetizar o acesso que tinham ao sistema. “O nível de acesso é certificador médico, o que significa que você pode criar e certificar uma morte neste painel”, escreveu o hacker.
Na postagem, o hacker incluiu uma captura de tela parcial da certidão de óbito falsa, mas também cometeu um erro crítico. O FreeRadical esqueceu de redigir o suposto estado de nascimento da pessoa na certidão de óbito e deixou uma pequena parte do selo do governo estadual aparecendo no canto da captura de tela.
Do outro lado do país, no Colorado, Austin Larsen, analista sênior de ameaças da empresa de segurança cibernética do Google, Mandiant, junto com seus colegas, detectaram a postagem online como parte de sua coleta rotineira de inteligência sobre ameaças, que inclui o monitoramento de fóruns de crimes cibernéticos. Ao se concentrar na captura de tela mal cortada da certidão de óbito falsa, Larsen e seus colegas perceberam que a postagem no fórum era uma prova de que o FreeRadical havia hackeado o governo do estado americano do Havaí.
Três dias depois de encontrar a postagem no fórum de hackers, Larsen notificou as autoridades do estado do Havaí de que seus sistemas governamentais haviam sido hackeados.
“É provável que o ator tenha comprometido uma conta de certificador médico”, dizia a notificação, de acordo com uma captura de tela da mensagem de Larsen compartilhada com o TechCrunch em uma entrevista no início de setembro.
O alerta de Larsen deu início a uma investigação federal que revelaria que a conta de usuário do médico usada para arquivar a certidão de óbito foi comprometida por ninguém menos que o próprio Jesse Kipf, a pessoa que supostamente havia morrido. Mais tarde, os promotores alegariam em um documento judicial que Kipf fingiu sua própria morte para evitar pagar à ex-mulher cerca de US$ 116 mil devidos para sustentar sua filha.
Kipf, a quem os promotores mais tarde chamaram de “hacker em série” com “amplo conhecimento técnico para ganhar a vida roubando de outras pessoas”, cometeu uma série de erros, incluindo usar sua Internet doméstica em Somerset, Kentucky, para se conectar diretamente ao registro de óbitos do Havaí. sistema, o que acabou levando agentes federais direto à sua porta.
Como resultado, o Departamento de Justiça dos EUA acusou criminalmente Kipf no final de novembro de 2023 de uma série de crimes de hacking. Kipf, alegaram os promotores, havia hackeado sistemas de computadores pertencentes a três estados dos EUA, bem como a dois fornecedores de grandes redes de hotéis. O comunicado de imprensa do Departamento de Justiça, bem como a acusação publicada ao mesmo tempo, não incluíam muitos dos detalhes que os promotores alegaram que Kipf havia feito. A Forbes havia relatado alguns dias antes que Kipf supostamente hackeou o Departamento de Saúde do Havaí.
No início de setembro, Larsen, da Mandiant, junto com o agente especial do FBI, Andrew Satornino, e a procuradora-assistente dos EUA para o Distrito Leste de Kentucky, Kate Dieruf, conversaram com o TechCrunch para revelar como encontraram Kipf e o levaram à justiça. Os três conversaram com o TechCrunch antes de uma palestra que proferiram na conferência de segurança cibernética da Mandiant, mWISE.
Kipf, de acordo com Larsen, Satornino e Dieruf, bem como os documentos judiciais de seu caso, era um hacker prolífico com múltiplas identidades.
Satornino disse que Kipf era um “corretor de acesso inicial”, ou seja, um hacker que invade sistemas e depois tenta vender o acesso a esses sistemas a outros cibercriminosos. Em depoimentos que apoiam mandados de busca contra Kipf, o agente especial do FBI escreveu que Kipf cometeu fraude de cartão de crédito para comprar comida em serviços de entrega de comida – e foi preso por isso em 2022; usou números falsos de Seguro Social para solicitar empréstimos, tinha mais de uma dúzia de carteiras de motorista dos EUA em seu computador; e que ele havia hackeado fornecedores de hotéis Marriott.
Kipf provavelmente obteve as credenciais que usou no hack no Havaí de um malware de roubo de informações que infectou o computador do médico não identificado, que acabou em um canal do Telegram para hackers. O próprio Kipf usou o apelido “GhostMarket09″ para operar um serviço de roubo de credenciais, disse Larsen.
Além do GhostMarket09, Larsen disse que a Mandiant identificou vários outros apelidos que Kipf usou em diferentes fóruns de hackers, bem como no Telegram, que incluíam: “theelephantshow”, “yelichanter” e “ayohulk”. Tendo essa lista de apelidos, Larsen disse que revisou manualmente milhares de mensagens enviadas por Kipf sob suas várias personas online, passando por um banco de dados que a Mandiant criou ao coletar fóruns de hackers, “bate-papos semipúblicos” e canais do Telegram.
Larsen disse que a Mandiant identificou as personas FreeRadical e GhostMarket09 como estando conectadas ao que a empresa chama de UNC3944, ou Scattered Spider, um prolífico grupo de hackers e crimes cibernéticos supostamente por trás do hack do MGM Resorts, e ligado ao submundo criminoso mais amplo por trás de uma série de crimes violentos. conhecido como “o Com”.
De acordo com Larsen, Kipf – como GhostMarket09 – forneceu credenciais roubadas da gigante marítima UPS a um suposto membro do Com que usa o apelido “lopiu” ou “lolitleu”. Larsen disse que Kipf não fazia parte do Com, mas sim do ecossistema cibercriminoso que o possibilitava.
“Eu diria que ele é um hacker comum. Parecia que ele também não tinha medo das consequências”, disse Larsen. “Ele estava envolvido em outras partes da comunidade criminosa, mas, na verdade, onde ele entrou em jogo foi na venda de credenciais para permitir outras invasões.”
Paralelamente, e sem o conhecimento da Mandiant, o FBI recebeu um relatório da National Cyber Forensics Training Alliance, uma organização sem fins lucrativos que monitoriza a dark web e colabora com as autoridades policiais e o setor privado, que incluía uma série de apelidos usados no dark web por um hacker localizado em Kentucky.
A investigação levou a Kentucky porque Kipf aparentemente se esqueceu de usar uma VPN pelo menos uma vez ao acessar os sistemas de registro de óbitos do Havaí, expondo seu endereço IP residencial em Somerset, Kentucky, de acordo com Larsen e documentos judiciais.
Então, em maio de 2023, a Procuradoria-Geral do Havaí, que estava investigando a invasão de seu registro de óbitos, alertou a Procuradoria-Geral de Kentucky que alguém no estado do sudeste usou as credenciais de login de um médico real, que tinha “direitos de nível de sistema para inserir planilhas de óbito”, para acessar o sistema de registro de óbito do Havaí e registrar uma certidão de óbito para um homem chamado Jesse Kipf, de acordo com um documento judicial.
Em 13 de julho de 2023, agentes federais dos EUA prenderam Kipf em sua casa em Somerset e o levaram sob custódia. Numa entrevista posterior às autoridades, Kipf confessou uma série de crimes cibernéticos, que, segundo ele, lhe permitiram não ter um emprego regular durante cinco anos.
“Como você deixou seu IP escapar?” perguntaram os entrevistadores a Kipf, referindo-se ao endereço IP residencial que Kipf usou para se conectar ao sistema do Havaí. “Só preguiça… eu simplesmente não me importava mais”, respondeu Kipf, de acordo com uma transcrição parcial da entrevista. Kipf disse que ele “parou de se importar”.
Na verdade, mais tarde na investigação, as autoridades descobriram que Kipf havia usado seu mesmo endereço IP residencial para tentar “visitar e extrair dados dos domínios de Internet e servidores internos do Marriott” entre 9 de fevereiro e 22 de maio de 2023 – um total de 1.423 vezes. O objetivo ali, segundo Satornino, era vender o acesso a essas redes para outros hackers em fóruns usados por cibercriminosos.
Kipf também disse na entrevista que acessou os sistemas de registro de óbitos do Arizona, Connecticut, Tennessee e Vermont, apenas para ver como seria fácil, dizem os documentos judiciais. No sistema de registro de óbito do Arizona, Kipf apresentou com sucesso uma certidão de óbito onde colocou o nome “Crab Rangoon” – um tipo de wonton chinês crocante recheado com queijo – como o nome do falecido, de acordo com uma captura de tela do certificado vista pelo TechCrunch.
Ele, no entanto, tinha alguma aparência de plano. Kipf disse aos entrevistadores que criou um perfil de crédito forjado com um número de Seguro Social falso para usá-lo depois de falsificar sua morte, de acordo com documentos judiciais.
O hacker também confessou ter vendido informações pessoais de vítimas de hackers para pessoas na Argélia, Ucrânia e Rússia, e fornecidoacessar informações de um sistema de fornecedores da Marriott para russos, mostram documentos judiciais.
Assim que o FBI conseguiu acessar os dispositivos de Kipf, eles encontraram pesquisas anteriores do Google em seu histórico de navegação, sugerindo que ele estava tentando encontrar informações sobre como evitar o pagamento de pensão alimentícia, disse Satornino.
Por fim, Kipf também foi acusado de invadir GuestTek e Milestone, dois fornecedores que trabalhavam com hotéis Marriott. Também nesses hacks, Kipf usou seu endereço IP residencial.
Talvez por causa de todas as evidências que Mandiant e o FBI reuniram sobre o histórico de crimes cibernéticos de Kipf e sua confissão na entrevista com as autoridades, o hacker chegou a um acordo judicial com os promotores. Kipf admitiu formalmente ter causado cerca de US$ 80 mil em danos ao governo e às redes corporativas que ele invadiu, e US$ 116 mil pela pensão alimentícia não paga de sua ex-esposa. Ele também admitiu roubo de identidade, por usar credenciais roubadas de um médico no hack do Havaí para criar a certidão de óbito.
“O réu é um hacker em série, que rouba informações de identificação pessoal e se infiltra em redes de computadores protegidas de empresas e entidades governamentais”, escreveu Dieruf em um memorando pedindo ao tribunal que condenasse Kipf a sete anos de prisão. “Ele causou danos significativos, tanto monetariamente como na forma de respostas tecnológicas, às suas vítimas corporativas e governamentais.”
Dieruf acrescentou: “Ao tentar suicidar-se para evitar obrigações de pensão alimentícia, (Kipf) continua a vitimar novamente sua filha e sua mãe, a quem devem mais de US$ 116.000 em obrigações de pensão alimentícia”.
No memorando de sentença apresentado pelo advogado de Kipf, Thomas Miceli, o advogado admitiu que Kipf “compreende e não nega a seriedade de sua conduta”. Miceli, que não respondeu ao pedido de comentário do TechCrunch, escreveu na época que Kipf foi diagnosticado com delírios paranóicos e tendências esquizofrênicas, e que sua“saúde mental disparou após a conclusão do serviço militar” no Iraque, o que “aumentou seu uso de drogas vício.”
Kipf foi condenado à prisão por 81 meses, pouco menos de sete anos. De acordo com o comunicado de imprensa do Departamento de Justiça anunciando sua sentença em agosto, Kipf deve cumprir pelo menos 85% de sua pena de prisão – mais de cinco anos – de acordo com a lei federal.