In den frühen Morgenstunden des 20. Januar 2023 meldete sich das Benutzerkonto eines Arztes aus einem anderen Bundesstaat beim Hawaii Electronic Death Registration System an, um den Tod eines Mannes namens Jesse Kipf zu bestätigen. In der Sterbeurkunde wurde eine Woche zuvor als Ursache „akutes Atemnotsyndrom“ aufgrund von COVID-19 aufgeführt. Und damit wurde Kipf kurzerhand in mehreren Regierungsdatenbanken als verstorben registriert.
Am selben Tag veröffentlichte ein Hacker mit dem Spitznamen „FreeRadical“ dieselbe Sterbeurkunde in einem Hacker-Forum, um den Zugriff, den er auf das System hatte, zu Geld zu machen. „Zugriffsebene ist medizinischer Zertifizierer, was bedeutet, dass Sie in diesem Panel einen Todesfall erstellen und bestätigen können“, schrieb der Hacker.
In dem Beitrag fügte der Hacker einen teilweisen Screenshot der gefälschten Sterbeurkunde bei, machte aber auch einen kritischen Fehler. FreeRadical hat vergessen, den angeblichen Geburtsort der Person in der Sterbeurkunde zu schwärzen und einen kleinen Teil des Siegels der Landesregierung in der Ecke des Screenshots sichtbar zu lassen.
Auf der anderen Seite des Landes in Colorado entdeckten Austin Larsen, ein leitender Bedrohungsanalyst bei Googles Cybersicherheitsunternehmen Mandiant, und seine Kollegen den Beitrag online im Rahmen ihrer routinemäßigen Informationsbeschaffung zu Bedrohungen, zu der auch die Überwachung von Cyberkriminalitätsforen gehört. Als Larsen und seine Kollegen den schlecht beschnittenen Screenshot der gefälschten Sterbeurkunde untersuchten, erkannten sie, dass der Forumsbeitrag ein Beweis dafür war, dass FreeRadical die Regierung des US-Bundesstaates Hawaii gehackt hatte.
Drei Tage nachdem Larsen den Hacking-Forumsbeitrag gefunden hatte, teilte er Beamten des Staates Hawaii mit, dass die Regierungssysteme gehackt worden seien.
„Es ist wahrscheinlich, dass der Schauspieler ein medizinisches Zertifizierungskonto kompromittiert hat“, heißt es in der Benachrichtigung laut einem Screenshot von Larsens Nachricht, die er TechCrunch Anfang September in einem Interview mitgeteilt hatte.
Larsens Warnung löste eine bundesstaatliche Untersuchung aus, die ergeben sollte, dass das Benutzerkonto des Arztes, das zur Einreichung der Sterbeurkunde verwendet wurde, von niemand anderem als Jesse Kipf selbst, der angeblich verstorbenen Person, manipuliert wurde. Später behaupteten die Staatsanwälte in einem Gerichtsdokument, Kipf habe seinen eigenen Tod vorgetäuscht, um seiner Ex-Frau die Zahlung von etwa 116.000 US-Dollar zu entziehen, die er für den Unterhalt ihrer Tochter schulde.
Kipf, den die Staatsanwaltschaft später als „Serienhacker“ mit „ausreichendem technischem Wissen, um seinen Lebensunterhalt durch Diebstahl anderer zu bestreiten“ bezeichnete, hatte eine Reihe von Fehlern begangen, darunter die Nutzung seines Heim-Internets aus Somerset, Kentucky, um eine direkte Verbindung zum Hawaii-Todesfall herzustellen Registrierungssystem, das schließlich Bundesagenten direkt vor seine Tür führte.
Infolgedessen das US-Justizministerium strafrechtlich verfolgt Kipf Ende November 2023 mit einer Reihe von Hacking-Verbrechen. Die Staatsanwaltschaft behauptete, Kipf habe Computersysteme von drei US-Bundesstaaten sowie von zwei Anbietern großer Hotelketten gehackt. Die Pressemitteilung des Justizministeriums sowie die gleichzeitig veröffentlichte Anklageschrift enthielten nicht viele der Details, die die Staatsanwaltschaft von Kipf behauptet hatte. Forbes hatte berichtet Einige Tage zuvor soll Kipf angeblich das Gesundheitsministerium von Hawaii gehackt haben.
Anfang September setzte sich Larsen von Mandiant zusammen mit dem FBI-Spezialagenten Andrew Satornino und der stellvertretenden US-Staatsanwältin für den östlichen Bezirk von Kentucky Kate Dieruf mit TechCrunch zusammen, um zu enthüllen, wie sie Kipf gefunden und vor Gericht gestellt haben. Die drei sprachen mit TechCrunch im Vorfeld eines Vortrags, den sie auf der Mandiant-Cybersicherheitskonferenz mWISE hielten.
Kipf war laut Larsen, Satornino und Dieruf sowie den Gerichtsdokumenten seines Falles ein produktiver Hacker mit mehreren Identitäten.
Satornino sagte, Kipf sei ein „Initial Access Broker“, also ein Hacker, der in Systeme eindringt und dann versucht, anderen Cyberkriminellen Zugang zu diesen Systemen zu verkaufen. In eidesstattlichen Erklärungen zur Untermauerung der Durchsuchungsbefehle gegen Kipf schrieb der FBI-Spezialagent, dass Kipf Kreditkartenbetrug begangen habe, um Lebensmittel bei Lebensmittellieferdiensten zu kaufen – und dafür im Jahr 2022 verhaftet worden sei; verwendete gefälschte Sozialversicherungsnummern, um Kredite zu beantragen; hatte mehr als ein Dutzend US-Führerscheine auf seinem Computer; und hatte Marriott-Hotelanbieter gehackt.
Kipf erhielt die Zugangsdaten, die er beim Hawaii-Hack verwendete, wahrscheinlich von einer informationsstehlenden Malware, die den Computer des namentlich nicht genannten Arztes infizierte und dann auf einem Telegram-Kanal für Hacker landete. Kipf nutzte den Spitznamen „GhostMarket09“, um einen Dienst zum Diebstahl von Zugangsdaten zu betreiben, sagte Larsen.
Abgesehen von GhostMarket09 sagte Larsen, dass Mandiant mehrere andere Spitznamen identifiziert habe, die Kipf in verschiedenen Hacking-Foren sowie bei Telegram verwendet habe, darunter: „theelephantshow“, „yelichanter“ und „ayohulk“. Mit dieser Liste von Spitznamen sagte Larsen, er habe Tausende von Nachrichten, die Kipf unter seinen verschiedenen Online-Persönlichkeiten verschickte, manuell überprüft und dabei eine Datenbank durchsucht, die Mandiant durch Auslesen der Hacking-Foren, „halböffentlichen Chats“ und Telegram-Kanäle erstellt hatte.
Larsen sagte, Mandiant habe festgestellt, dass die Personas FreeRadical und GhostMarket09 mit den Namen des Unternehmens in Zusammenhang stehen UNC3944oder Scattered Spider, eine produktive Hacking- und Cyberkriminalitätsgruppe, die angeblich dahinter steckt der MGM Resorts-Hackund mit der größeren kriminellen Unterwelt verbunden hinter einer Reihe von Gewaltverbrechen bekannt als „die Com.”
Laut Larsen hat Kipf – als GhostMarket09 – gestohlene Zugangsdaten für den Versandgiganten UPS an ein mutmaßliches Mitglied der Com weitergegeben, das den Spitznamen „lopiu“ oder „lolitleu“ verwendet. Larsen sagte, Kipf sei nicht Teil des Com, sondern Teil des cyberkriminellen Ökosystems, das dies ermöglicht.
„Ich würde sagen, er ist ein gewöhnlicher Hacker. Es fühlte sich an, als hätte er auch keine Angst vor Konsequenzen“, sagte Larsen. „Er war daneben in andere Teile der kriminellen Gemeinschaft verwickelt, aber eigentlich kam er ins Spiel, indem er Referenzen verkaufte, um andere Einbrüche zu ermöglichen.“
Parallel dazu und ohne Mandiants Wissen hatte das FBI einen Bericht von der erhalten Nationale Allianz für Cyber-Forensik-Ausbildungeine gemeinnützige Organisation, die das Dark Web überwacht und mit Strafverfolgungsbehörden und dem privaten Sektor zusammenarbeitet, einschließlich einer Reihe von Spitznamen, die ein in Kentucky ansässiger Hacker im Dark Web verwendet.
Die Ermittlungen führten nach Kentucky, weil Kipf offenbar vergessen hatte, beim Zugriff auf die Sterberegistrierungssysteme auf Hawaii mindestens einmal ein VPN zu verwenden, wodurch seine private IP-Adresse in Somerset, Kentucky, preisgegeben wurde, so Larsen und Gerichtsdokumente.
Dann, im Mai 2023, alarmierte die Generalstaatsanwaltschaft von Hawaii, die den Hackerangriff auf ihr Sterberegister untersuchte, die Generalstaatsanwaltschaft von Kentucky, dass jemand im südöstlichen Bundesstaat die Anmeldedaten eines echten Arztes verwendet habe, der „Berechtigungen auf Systemebene zur Eingabe“ habe Laut einem Gerichtsdokument erhielt er Zugang zum Hawaii-Sterberegistrierungssystem und reichte eine Sterbeurkunde für einen Mann namens Jesse Kipf ein.
Am 13. Juli 2023 verhafteten US-Bundesbeamte Kipf in seinem Haus in Somerset und nahmen ihn in Gewahrsam. In einem späteren Interview mit den Behörden gestand Kipf eine Reihe von Cyberkriminalität, die es ihm seiner Aussage nach ermöglichte, fünf Jahre lang keinen regulären Job zu haben.
„Wie ist Ihnen Ihre IP entgangen?“ fragten die Interviewer Kipf und bezogen sich dabei auf die private IP-Adresse, die Kipf für die Verbindung zum Hawaii-System verwendet hatte. „Nur Faulheit … Es war mir einfach total egal“, antwortete Kipf laut einer teilweisen Abschrift des Interviews. Kipf sagte, dass er „aufgehört habe, Af- zu geben“.
Tatsächlich erfuhren die Behörden im weiteren Verlauf der Untersuchung, dass Kipf zwischen dem 9. Februar und dem 22. Mai 2023 dieselbe private IP-Adresse verwendet hatte, um zu versuchen, „Marriott-Internetdomänen und interne Server aufzurufen und Daten daraus zu extrahieren“ – insgesamt 1.423 mal. Laut Satornino bestand das Ziel dort darin, anderen Hackern in von Cyberkriminellen genutzten Foren Zugang zu diesen Netzwerken zu verkaufen.
Kipf sagte in dem Interview auch, dass er auf die Sterberegistrierungssysteme von Arizona, Connecticut, Tennessee und Vermont zugegriffen habe, nur um zu sehen, wie einfach es wäre, heißt es in den Gerichtsdokumenten. Im Sterberegistersystem von Arizona reichte Kipf erfolgreich eine Sterbeurkunde ein, in der er den Namen „Crab Rangoon“ – eine Art mit Käse gefüllter knuspriger chinesischer Wonton – als Namen des Verstorbenen angab, wie aus einem Screenshot der Bescheinigung hervorgeht, den TechCrunch eingesehen hat.
Er hatte jedoch den Anschein eines Plans. Laut Gerichtsdokumenten sagte Kipf den Interviewern, dass er ein gefälschtes Kreditprofil mit einer falschen Sozialversicherungsnummer erstellt habe, um es zu verwenden, nachdem er seinen Tod vorgetäuscht hatte.
Der Hacker gestand außerdem, die persönlichen Daten von Hacker-Opfern an Menschen in Algerien, der Ukraine und Russland verkauft und weitergegeben zu haben Zugriffsinformationen für ein Marriott-Verkäufersystem an Russen, wie Gerichtsdokumente zeigen.
Als das FBI Kipfs Geräte durchsuchen konnte, fanden sie in seinem Browserverlauf frühere Google-Suchanfragen, die darauf hindeuteten, dass er nach Informationen suchte, wie er die Zahlung von Kindesunterhalt vermeiden konnte, sagte Satornino.
Schließlich wurde Kipf auch beschuldigt, sich in GuestTek und Milestone gehackt zu haben, zwei Anbieter, die mit Marriott-Hotels zusammenarbeiteten. Auch bei diesen Hacks nutzte Kipf seine private IP-Adresse.
Vielleicht aufgrund all der Beweise, die Mandiant und das FBI zu Kipfs Geschichte der Cyberkriminalität gesammelt hatten, und seines Geständnisses im Interview mit den Behörden gelang es dem Hacker, mit der Staatsanwaltschaft eine Einigung zu erzielen. Kipf gab offiziell zu, den von ihm gehackten Regierungs- und Unternehmensnetzwerken Schaden in Höhe von fast 80.000 US-Dollar und 116.000 US-Dollar für den unbezahlten Unterhalt seiner Ex-Frau zugefügt zu haben. Er gab auch Identitätsdiebstahl zu, weil er bei dem Hawaii-Hack gestohlene Arztausweise zur Erstellung der Sterbeurkunde verwendet hatte.
„Der Angeklagte ist ein Serienhacker, der persönliche Identifikationsdaten stiehlt und mit Hingabe geschützte Computernetzwerke von Unternehmen und Regierungsstellen infiltriert“, schrieb Dieruf in einem Memorandum, in dem er das Gericht aufforderte, Kipf zu sieben Jahren Gefängnis zu verurteilen. „Er hat seinen Unternehmens- und Regierungsopfern erheblichen Schaden zugefügt, sowohl finanziell als auch in Form technologischer Reaktionen.“
Dieruf fügte hinzu: „Durch den Versuch, sich das Leben zu nehmen, um Unterhaltspflichten zu entgehen, macht (Kipf) weiterhin seine Tochter und ihre Mutter zu Opfern, denen Unterhaltsverpflichtungen in Höhe von über 116.000 US-Dollar zustehen.“
In dem von Kipfs Anwalt Thomas Miceli eingereichten Urteilsvermerk räumte der Anwalt ein, dass Kipf „die Schwere seines Verhaltens versteht und nicht leugnet“. Miceli, der auf die Bitte von TechCrunch um einen Kommentar nicht reagierte, schrieb damals, dass bei Kipf paranoide Wahnvorstellungen und schizophrene Tendenzen diagnostiziert worden seien und dass sich sein „geistiger Gesundheitszustand nach dem Ende seines Militärdienstes“ im Irak dramatisch verschlechtert habe, was „die Einnahme von Medikamenten erhöht habe.“ Sucht.”
Kipf wurde zu 81 Monaten Gefängnis verurteilt, also knapp sieben Jahren. Nach Angaben des Justizministeriums Pressemitteilung Kipf gab seine Verurteilung im August bekannt und muss nach Bundesgesetz mindestens 85 % seiner Haftstrafe – also mehr als fünf Jahre – verbüßen.
