Cómo el FBI y Mandiant atraparon a un ‘hacker en serie’ que intentó fingir su propia muerte
En las primeras horas del 20 de enero de 2023, la cuenta de usuario de un médico inició sesión en el Sistema de Registro Electrónico de Defunciones de Hawaii desde fuera del estado para certificar la muerte de un hombre llamado Jesse Kipf. El certificado de defunción enumeraba la causa como “síndrome de dificultad respiratoria aguda” debido a COVID-19 una semana antes. Y con eso, Kipf fue registrado sin contemplaciones como fallecido en varias bases de datos gubernamentales.
El mismo día, un hacker apodado “FreeRadical” publicó el mismo certificado de defunción en un foro de piratería en un intento de monetizar el acceso que tenían al sistema. “El nivel de acceso es certificador médico, lo que significa que puedes crear y certificar una muerte en este panel”, escribió el hacker.
En la publicación, el hacker incluyó una captura de pantalla parcial del certificado de defunción falso, pero también cometió un error crítico. FreeRadical olvidó redactar el supuesto estado de nacimiento de la persona en el certificado de defunción y dejó una pequeña parte del sello del gobierno estatal en la esquina de la captura de pantalla.
Al otro lado del país, en Colorado, Austin Larsen, analista senior de amenazas de la firma de seguridad cibernética Mandiant de Google, junto con sus colegas vieron la publicación en línea como parte de su recopilación rutinaria de inteligencia sobre amenazas, que incluye el monitoreo de foros de delitos cibernéticos. Al centrarse en la captura de pantalla mal recortada del certificado de defunción falso, Larsen y sus colegas se dieron cuenta de que la publicación en el foro era evidencia de que FreeRadical había pirateado el gobierno del estado estadounidense de Hawái.
Tres días después de encontrar la publicación en el foro de piratería, Larsen notificó a los funcionarios del estado de Hawái que sus sistemas gubernamentales habían sido pirateados.
“Es probable que el actor haya comprometido una cuenta de certificador médico”, decía la notificación, según una captura de pantalla del mensaje de Larsen compartido con TechCrunch en una entrevista a principios de septiembre.
La advertencia de Larsen puso en marcha una investigación federal que revelaría que la cuenta de usuario del médico utilizada para presentar el certificado de defunción estaba comprometida nada menos que por el propio Jesse Kipf, la persona que supuestamente había muerto. Los fiscales alegarían más tarde en un documento judicial que Kipf fingió su propia muerte para evitar pagarle a su ex esposa alrededor de 116.000 dólares que le debían para mantener a su hija.
Kipf, a quien los fiscales llamaron más tarde un “hacker en serie” con “amplio conocimiento técnico para ganarse la vida robando a otros”, había cometido una serie de errores, incluido el uso de Internet en su casa desde Somerset, Kentucky, para conectarse directamente al registro de defunciones de Hawái. sistema, que finalmente llevó a los agentes federales directamente a su puerta.
Como resultado, el Departamento de Justicia de EE. UU. acusó penalmente a Kipf a finales de noviembre de 2023 de una serie de delitos de piratería informática. Kipf, alegaron los fiscales, había pirateado sistemas informáticos pertenecientes a tres estados de EE. UU., así como a dos proveedores de grandes cadenas hoteleras. El comunicado de prensa del Departamento de Justicia, así como la acusación publicada al mismo tiempo, no incluían muchos de los detalles que los fiscales habían afirmado que había hecho Kipf. Forbes había informado unos días antes que Kipf supuestamente había pirateado el Departamento de Salud de Hawái.
A principios de septiembre, Larsen de Mandiant, junto con el agente especial del FBI Andrew Satornino y la fiscal federal adjunta para el Distrito Este de Kentucky Kate Dieruf, se sentaron con TechCrunch para revelar cómo encontraron a Kipf y lo llevaron ante la justicia. Los tres hablaron con TechCrunch antes de una charla que dieron en la conferencia de ciberseguridad de Mandiant, mWISE.
Kipf, según Larsen, Satornino y Dieruf, así como los documentos judiciales de su caso, era un hacker prolífico con múltiples identidades.
Satornino dijo que Kipf era un “corredor de acceso inicial”, es decir, un hacker que irrumpe en los sistemas y luego intenta vender el acceso a esos sistemas a otros ciberdelincuentes. En declaraciones juradas que respaldan las órdenes de registro contra Kipf, el agente especial del FBI escribió que Kipf había cometido fraude con tarjetas de crédito para comprar alimentos en servicios de entrega de alimentos y fue arrestado por ello en 2022; usó números de Seguro Social falsos para solicitar préstamos, tenía más de una docena de licencias de conducir estadounidenses en su computadora; y que había pirateado a los proveedores de hoteles Marriott.
Es probable que Kipf haya obtenido las credenciales que utilizó en el hackeo de Hawái a partir de un malware de robo de información que infectó la computadora del médico anónimo, que luego terminó en un canal de Telegram para piratas informáticos. El propio Kipf utilizó el apodo “GhostMarket09” para operar un servicio de robo de credenciales, dijo Larsen.
Además de GhostMarket09, Larsen dijo que Mandiant identificó varios otros apodos que Kipf usó en diferentes foros de piratería, así como en Telegram, que incluían: “theelephantshow”, “yelichanter” y “ayohulk”. Al tener esa lista de apodos, Larsen dijo que revisó manualmente miles de mensajes enviados por Kipf bajo sus diversos personajes en línea, revisando una base de datos que Mandiant creó raspando foros de piratería, “chats semipúblicos” y canales de Telegram.
Larsen dijo que Mandiant identificó a los personajes FreeRadical y GhostMarket09 como conectados con lo que la compañía llama UNC3944, o Scattered Spider, un prolífico grupo de piratería informática y cibercrimen supuestamente detrás del hackeo de MGM Resorts, y vinculado al mundo criminal más amplio detrás de una serie de crímenes violentos. conocido como “el Com”.
Según Larsen, Kipf, como GhostMarket09, proporcionó credenciales robadas para el gigante de envíos UPS a un presunto miembro de Com que usa el apodo “lopiu” o “lolitleu”. Larsen dijo que Kipf no era parte de Com, sino parte del ecosistema cibercriminal que lo permitía.
“Yo diría que es un hacker común y corriente. Parecía como si él tampoco temiera las consecuencias”, dijo Larsen. “Estuvo involucrado de manera adyacente en otras partes de la comunidad criminal, pero en realidad, donde entró en juego fue vendiendo credenciales para permitir otras intrusiones”.
Paralelamente, y sin que Mandiant lo supiera, el FBI había recibido un informe de la National Cyber Forensics Training Alliance, una organización sin fines de lucro que monitorea la web oscura y colabora con las fuerzas del orden y el sector privado, que incluía una serie de apodos utilizados en la red. web oscura por un hacker ubicado en Kentucky.
La investigación condujo a Kentucky porque aparentemente Kipf se había olvidado de usar una VPN al menos una vez al acceder a los sistemas de registro de defunciones de Hawái, exponiendo la dirección IP de su casa en Somerset, Kentucky, según Larsen y documentos judiciales.
Luego, en mayo de 2023, la Fiscalía General de Hawái, que estaba investigando el hackeo de su registro de defunciones, alertó a la Fiscalía General de Kentucky de que alguien en el estado del sureste utilizó las credenciales de inicio de sesión de un médico real, que tenía “derechos a nivel del sistema para ingresar datos”. hojas de cálculo de defunción”, para acceder al sistema de registro de defunciones de Hawái y presentar un certificado de defunción de un hombre llamado Jesse Kipf, según un documento judicial.
El 13 de julio de 2023, agentes federales estadounidenses arrestaron a Kipf en su casa en Somerset y lo detuvieron. En una entrevista posterior con las autoridades, Kipf confesó haber cometido una serie de delitos cibernéticos que, según dijo, le permitieron no tener un trabajo regular durante cinco años.
“¿Cómo dejaste escapar tu propiedad intelectual?” preguntaron los entrevistadores a Kipf, refiriéndose a la dirección IP de su casa que Kipf usaba para conectarse al sistema de Hawaii. “Simplemente pereza… simplemente ya no me importaba”, respondió Kipf, según una transcripción parcial de la entrevista. Kipf dijo que “dejó de importarle un carajo”.
De hecho, más adelante en la investigación, las autoridades se enteraron de que Kipf había utilizado la misma dirección IP de su casa para intentar “visitar y extraer datos de los dominios de Internet y los servidores internos de Marriott” entre el 9 de febrero y el 22 de mayo de 2023: un total de 1.423 veces. El objetivo, según Satornino, era vender el acceso a esas redes a otros piratas informáticos en foros utilizados por los ciberdelincuentes.
Kipf también dijo en la entrevista que había accedido a los sistemas de registro de defunciones de Arizona, Connecticut, Tennessee y Vermont, sólo para ver lo fácil que sería, dicen los documentos judiciales. En el sistema de registro de defunciones de Arizona, Kipf presentó con éxito un certificado de defunción en el que puso el nombre “Crab Rangún”, un tipo de wonton chino crujiente relleno de queso, como el nombre del fallecido, según una captura de pantalla del certificado vista por TechCrunch.
Sin embargo, tenía algo parecido a un plan. Kipf dijo a los entrevistadores que había creado un perfil crediticio falsificado con un número de Seguro Social falso para usarlo después de fingir su muerte, según documentos judiciales.
El hacker también confesó haber vendido información personal de las víctimas del hackeo a personas en Argelia, Ucrania y Rusia, y haber proporcionado acceder a la información del sistema de proveedores de Marriott para los rusos, según muestran documentos judiciales.
Una vez que el FBI pudo revisar los dispositivos de Kipf, encontraron búsquedas anteriores en Google en su historial de navegación que sugerían que estaba tratando de encontrar información sobre cómo evitar pagar la manutención de los hijos, dijo Satornino.
Finalmente, Kipf también fue acusado de piratear GuestTek y Milestone, dos proveedores que trabajaban con los hoteles Marriott. También en esos hacks, Kipf usó la dirección IP de su casa.
Quizás debido a todas las pruebas que Mandiant y el FBI habían reunido sobre el historial de delitos cibernéticos de Kipf y su confesión en la entrevista con las autoridades, el hacker llegó a un acuerdo con los fiscales. Kipf admitió formalmente haber causado cerca de 80.000 dólares en daños al gobierno y a las redes corporativas que pirateó, y 116.000 dólares por la manutención infantil impaga de su ex esposa. También admitió haber cometido robo de identidad, por utilizar credenciales robadas de un médico en el hackeo de Hawaii para crear el certificado de defunción.
“El acusado es un hacker en serie, que roba información de identificación personal e se infiltra con abandono en redes informáticas protegidas de empresas y entidades gubernamentales”, escribió Dieruf en un memorando pidiendo al tribunal que condenara a Kipf a siete años de prisión. “Causó un daño significativo, tanto monetario como en forma de respuestas tecnológicas, a sus víctimas corporativas y gubernamentales”.
Dieruf añadió: “Al intentar suicidarse para evitar las obligaciones de manutención de los hijos, (Kipf) continúa revictimizando a su hija y a su madre, a quienes se les deben más de 116.000 dólares en obligaciones de manutención de los hijos”.
En el memorando de sentencia presentado por el abogado de Kipf, Thomas Miceli, el abogado admitió que Kipf “comprende y no niega la gravedad de su conducta”. Miceli, que no respondió a la solicitud de comentarios de TechCrunch, escribió en ese momento que a Kipf le diagnosticaron delirios paranoicos y tendencias esquizofrénicas, y que su “salud mental se disparó después de la conclusión de su servicio militar” en Irak, lo que “incrementó su consumo de drogas”. adicción.”
Kipf fue sentenciado a prisión por 81 meses, poco menos de siete años. Según el comunicado de prensa del Departamento de Justicia que anunció su sentencia en agosto, Kipf debe cumplir al menos el 85 por ciento de su sentencia de prisión (más de cinco años) según la ley federal.