Aux premières heures du 20 janvier 2023, le compte utilisateur d'un médecin s'est connecté au système électronique d'enregistrement des décès d'Hawaï depuis l'extérieur de l'État pour certifier le décès d'un homme nommé Jesse Kipf. Le certificat de décès indiquait la trigger comme un « syndrome de détresse respiratoire aiguë » dû au COVID-19 une semaine plus tôt. Et avec cela, Kipf a été sans cérémonie enregistré comme décédé dans plusieurs bases de données gouvernementales.
Le même jour, un hacker surnommé « FreeRadical » a publié le même acte de décès sur un discussion board de hacking pour tenter de monétiser l’accès dont ils disposaient au système. « Le niveau d'accès est celui d'un certificateur médical, ce qui signifie que vous pouvez créer et certifier un décès dans ce panneau », a écrit le hacker.
Dans le message, le pirate informatique a inclus une seize d’écran partielle du fake certificat de décès, mais il a également commis une erreur critique. FreeRadical a oublié de caviarder le prétendu état de naissance de la personne dans le certificat de décès et a laissé une petite partie du sceau du gouvernement de l'État seen dans le coin de la seize d'écran.
De l'autre côté du pays, dans le Colorado, Austin Larsen, analyste principal des menaces chez Mandiant, la société de cybersécurité de Google, et ses collègues ont repéré la publication en ligne dans le cadre de leur collecte régulière de renseignements sur les menaces, qui comprend la surveillance des boards sur la cybercriminalité. En regardant la seize d'écran mal recadrée du fake certificat de décès, Larsen et ses collègues ont réalisé que le message du discussion board était la preuve que FreeRadical avait piraté le gouvernement de l'État américain d'Hawaï.
Trois jours après avoir découvert le message de piratage sur le discussion board, Larsen a informé les responsables de l'État d'Hawaï que ses systèmes gouvernementaux avaient été piratés.
« Il est possible que l'acteur ait compromis le compte d'un certificateur médical », indique la notification, selon une seize d'écran du message de Larsen partagé avec TechCrunch lors d'une interview plus tôt en septembre.
L'avertissement de Larsen a déclenché une enquête fédérale qui révélerait que le compte utilisateur du médecin utilisé pour déposer le certificat de décès avait été compromis par nul autre que Jesse Kipf lui-même, la personne qui était censée être décédée. Les procureurs allèguent plus tard dans un doc judiciaire que Kipf a simulé sa propre mort pour éviter de payer à son ex-femme environ 116 000 {dollars} dus pour subvenir aux besoins de leur fille.
Kipf, que les procureurs ont qualifié plus tard de « hacker en série » possédant « de vastes connaissances strategies pour gagner sa vie en volant les autres », avait commis une série d'erreurs, notamment en utilisant son Web domestique depuis Somerset, Kentucky, pour se connecter directement à la mort d'Hawaï. système d'enregistrement, qui a finalement conduit les brokers fédéraux jusqu'à sa porte.
En conséquence, le ministère américain de la Justice accusé au criminel Kipf fin novembre 2023 avec une série de délits de piratage informatique. Kipf, selon les procureurs, avait piraté des systèmes informatiques appartenant à trois États américains, ainsi que deux fournisseurs de grandes chaînes hôtelières. Le communiqué de presse du ministère de la Justice, ainsi que l'acte d'accusation publié au même second, n'incluaient pas beaucoup de détails que les procureurs prétendaient avoir faits par Kipf. Forbes avait rapporté quelques jours plus tôt, Kipf aurait piraté le ministère de la Santé d'Hawaï.
Plus tôt en septembre, Larsen de Mandiant, ainsi que l'agent spécial du FBI Andrew Satornino et la procureure adjointe des États-Unis pour le district oriental du Kentucky, Kate Dieruf, se sont entretenus avec TechCrunch pour révéler remark ils ont trouvé Kipf et l'ont traduit en justice. Les trois se sont entretenus avec TechCrunch avant une conférence qu'ils ont donnée lors de la conférence Mandiant sur la cybersécurité, mWISE.
Kipf, selon Larsen, Satornino et Dieruf, ainsi que les paperwork judiciaires de son cas, était un hacker prolifique aux identités multiples.
Satornino a déclaré que Kipf était un « courtier d’accès preliminary », c’est-à-dire un pirate informatique qui s’introduit dans les systèmes et tente ensuite de vendre l’accès à ces systèmes à d’autres cybercriminels. Dans des affidavits soutenant les mandats de perquisition contre Kipf, l’agent spécial du FBI a écrit que Kipf avait commis une fraude par carte de crédit pour acheter de la nourriture auprès de companies de livraison de nourriture – et avait été arrêté pour cela en 2022 ; utilisé de fake numéros de sécurité sociale pour demander des prêts ; avait plus d'une douzaine de permis de conduire américains sur son ordinateur ; et avait piraté les vendeurs des hôtels Marriott.
Kipf a probablement obtenu les informations d'identification qu'il a utilisées lors du piratage d'Hawaï grâce à un logiciel malveillant voleur d'informations qui a infecté l'ordinateur du médecin anonyme, qui s'est ensuite retrouvé sur une chaîne Telegram pour les pirates. Kipf a utilisé le surnom de « GhostMarket09 » pour exploiter un service de vol d'informations d'identification, a déclaré Larsen.
Outre GhostMarket09, Larsen a déclaré que Mandiant avait identifié plusieurs autres surnoms que Kipf utilisait sur différents boards de piratage, ainsi que sur Telegram, notamment : « theelephantshow », « yelichanter » et « ayohulk ». Disposant de cette liste de surnoms, Larsen a déclaré avoir examiné manuellement des milliers de messages envoyés par Kipf sous ses différents personnages en ligne, en passant par une base de données créée par Mandiant en grattant les boards de piratage, les « discussions semi-publiques » et les chaînes Telegram.
Larsen a déclaré que Mandiant avait identifié les personnages FreeRadical et GhostMarket09 comme étant connectés à ce que la société appelle UNC3944ou Scattered Spider, un groupe prolifique de piratage et de cybercriminalité qui serait à l'origine de le hack de MGM Resortset lié au monde criminel au sens massive derrière une série de crimes violents connu sous le nom de «le Com.»
Selon Larsen, Kipf – sous le nom de GhostMarket09 – a fourni des informations d'identification volées pour le géant du transport UPS à un membre présumé de la Com qui utilise le surnom de « lopiu » ou « lolitleu ». Larsen a déclaré que Kipf ne faisait pas partie du Com, mais de l'écosystème cybercriminel qui le permettait.
«Je dirais que c'est un hacker ordinaire. C'était comme s'il n'avait pas non plus peur des conséquences », a déclaré Larsen. « Il était également impliqué dans d'autres secteurs de la communauté criminelle, mais en réalité, son rôle était de vendre des informations d'identification pour permettre d'autres intrusions. »
Parallèlement, et à l'insu de Mandiant, le FBI avait reçu un rapport du Alliance nationale de formation en cybercriminalitéune organisation à however non lucratif qui surveille le darkish net et collabore avec les forces de l'ordre et le secteur privé, qui comprenait une série de surnoms utilisés sur le darkish net par un pirate informatique situé dans le Kentucky.
L'enquête a conduit au Kentucky parce que Kipf avait apparemment oublié d'utiliser un VPN au moins une fois lors de l'accès aux systèmes d'enregistrement des décès d'Hawaï, révélant ainsi son adresse IP personnelle à Somerset, Kentucky, selon Larsen et des paperwork judiciaires.
Puis, en mai 2023, le bureau du procureur général d'Hawaï, qui enquêtait sur le piratage de son registre des décès, a alerté le bureau du procureur général du Kentucky que quelqu'un dans l'État du sud-est avait utilisé les identifiants de connexion d'un vrai médecin, qui avait « des droits de saisie au niveau du système ». feuilles de travail sur la mort », pour accéder au système d'enregistrement des décès d'Hawaï et déposer un certificat de décès pour un homme nommé Jesse Kipf, selon un doc judiciaire.
Le 13 juillet 2023, des brokers fédéraux américains ont arrêté Kipf à son domicile du Somerset et l'ont placé en détention. Dans un entretien ultérieur avec les autorités, Kipf a avoué une série de cybercrimes qui, selon lui, lui ont permis de ne pas avoir d'emploi régulier pendant cinq ans.
« Remark avez-vous laissé filer votre adresse IP ? » » ont demandé les enquêteurs à Kipf, en faisant référence à l'adresse IP personnelle que Kipf utilisait pour se connecter au système d'Hawaï. « Juste de la paresse… Je m'en fichais », a répondu Kipf, selon une transcription partielle de l'interview. Kipf a déclaré qu'il « avait arrêté de donner des… ».
En fait, plus tard au cours de l'enquête, les autorités ont appris que Kipf avait utilisé la même adresse IP de son domicile pour tenter de « visiter et extraire des données des domaines Web et des serveurs internes de Marriott » entre le 9 février et le 22 mai 2023, soit un whole de 1 423. fois. L'objectif, selon Satornino, était de vendre l'accès à ces réseaux à d'autres pirates sur des boards utilisés par les cybercriminels.
Kipf a également déclaré dans l'interview qu'il avait accédé aux systèmes d'enregistrement des décès de l'Arizona, du Connecticut, du Tennessee et du Vermont, juste pour voir à quel level cela serait facile, selon les paperwork judiciaires. Dans le système d'enregistrement des décès de l'Arizona, Kipf a déposé avec succès un certificat de décès dans lequel il a mis le nom « Crab Rangoon » – un kind de wonton chinois croustillant fourré au fromage – comme nom du défunt, selon une seize d'écran du certificat vue par TechCrunch.
Il avait cependant un semblant de plan. Kipf a déclaré aux intervieweurs qu'il avait créé un fake profil de crédit avec un fake numéro de sécurité sociale afin de l'utiliser après avoir simulé sa mort, selon des paperwork judiciaires.
Le pirate informatique a également avoué avoir vendu les informations personnelles des victimes du piratage informatique à des personnes en Algérie, en Ukraine et en Russie, et avoir fourni accéder aux informations d'un système de fournisseur Marriott aux Russes, selon des paperwork judiciaires.
Une fois que le FBI a pu examiner les appareils de Kipf, ils ont trouvé des recherches Google dans son historique de navigation, suggérant qu'il essayait de trouver des informations sur la manière d'éviter de payer une pension alimentaire pour enfants, a déclaré Satornino.
Enfin, Kipf a également été accusé d'avoir piraté GuestTek et Milestone, deux fournisseurs qui travaillaient avec les hôtels Marriott. Dans ces hacks également, Kipf a utilisé son adresse IP personnelle.
Peut-être grâce à toutes les preuves que Mandiant et le FBI avaient rassemblées sur les antécédents de cybercriminalité de Kipf et à ses aveux lors de l'entretien avec les autorités, le pirate informatique a conclu un accord de plaidoyer avec les procureurs. Kipf a officiellement admis avoir causé près de 80 000 $ de dommages aux réseaux gouvernementaux et d'entreprise qu'il a piratés, ainsi que 116 000 $ pour la pension alimentaire impayée de son ex-femme. Il a également admis avoir usurpé son identité, pour avoir utilisé les informations d'identification volées d'un médecin lors du piratage d'Hawaï pour créer le certificat de décès.
« L'accusé est un pirate informatique en série, volant des informations d'identification personnelle et infiltrant sans abandon les réseaux informatiques protégés d'entreprises et d'entités gouvernementales », a écrit Dieruf dans un mémorandum demandant au tribunal de condamner Kipf à sept ans de jail. « Il a causé des dommages importants, à la fois monétaires et sous forme de réponses technologiques, à ses victimes commerciales et gouvernementales. »
Dieruf a ajouté : « En tentant de se suicider pour éviter les obligations alimentaires pour enfants, (Kipf) proceed de revictimiser sa fille et sa mère, à qui on doit plus de 116 000 $ en obligations alimentaires pour enfants. »
Dans le mémorandum de condamnation déposé par l'avocat de Kipf, Thomas Miceli, celui-ci a reconnu que Kipf « comprend et ne nie pas la gravité de sa conduite ». Miceli, qui n'a pas répondu à la demande de commentaires de TechCrunch, a écrit à l'époque que Kipf avait reçu un diagnostic de délires paranoïaques et de tendances schizophréniques, et que sa « santé mentale s'est détériorée après la fin de son service militaire » en Irak, ce qui « a augmenté sa consommation de drogue ». dépendance. »
Kipf a été condamné à 81 mois de jail, soit un peu moins de sept ans. Selon le ministère de la Justice communiqué de presse En annonçant sa condamnation en août, Kipf doit purger au moins 85 % de sa peine de jail, soit plus de cinq ans, en vertu de la loi fédérale.