Il 20 gennaio 2023, un fatto insolito ha destato l’attenzione degli inquirenti sul sistema elettronico di registrazione dei decessi delle Hawaii. Un account medico è stato utilizzato per certificare la morte di un uomo, Jesse Kipf. Come causa era riportata una sindrome da stress respiratorio acuto, dovuta al COVID-19.
Ma quel certificato, apparentemente ordinario, nascondeva però un intrigo ben più complesso.
Nello stesso giorno, infatti, un hacker con lo pseudonimo “FreeRadical” pubblicava un certificato di morte su un forum di hacking, cercando di monetizzare l’accesso al sistema. L’errore di FreeRadical è stato includere nello screenshot informazioni che era meglio omettere, tra cui una piccola parte del sigillo governativo delle Hawaii.
Un dettaglio apparentemente irrilevante, sufficiente però ad attirare l’attenzione di Austin Larsen, analista della società di sicurezza informatica Mandiant, che monitorava tali forum.
Mandiant, per chi non lo sapesse, è una delle principali aziende di sicurezza informatica al mondo. Fondata nel 2004, nel 2022, è stata acquisita da Google, che l’ha integrata nel suo Google Cloud per potenziare ulteriormente le sue capacità di difesa contro le minacce informatiche avanzate.
Oggi Mandiant è considerata un’autorità nell’analisi delle minacce informatiche e nella risposta a incidenti di cybercrimine su scala globale. Una fama ampiamente meritata se è vero che, in pochi giorni, Larsen e il suo team hanno scoperto che il sistema delle Hawaii era stato compromesso e che la morte di Kipf era in realtà una farsa orchestrata dallo stesso “defunto”.
Jesse Kipf, un hacker seriale, aveva infatti finto il proprio decesso per evitare il pagamento di oltre 116.000 dollari di alimenti alla sua ex moglie.
Una foto, fornita da Mandiant, del falso certificato di morte depositato da Jesse Kipf.
Il Dipartimento di Giustizia ha incriminato Kipf a novembre 2023, rivelando una lunga carriera criminale fatta di hacking, frodi e furto d’identità. Kipf era coinvolto in una serie di attacchi contro sistemi governativi e aziende, incluso l’accesso a dati sensibili di catene alberghiere come Marriott.
Quest’ultima, in particolare, è stata uno dei suoi bersagli preferiti. Tra il 9 febbraio e il 22 maggio 2023, ha infatti hackerato i server di Marriott ben 1.423 volte. L’obiettivo, secondo gli esperti, era vendere l’accesso ad altri hacker su forum utilizzati dai criminali informatici.
Jesse Kipf, un broker di accesso iniziale
Kipf, secondo Larsen, era infatti un hacker con identità multiple che agiva come IAB. Dietro questo acronimo si cela la definizione Initial Access Broker (in Italiano, broker per l’accesso iniziale). Ossia, era un pirata informatico specializzato nell’introdursi nei sistemi, il cui accesso poi rivendeva ad altri criminali.
Secondo i documenti del tribunale, Kips ha confessato anche di aver venduto informazioni personali delle sua vittime a persone in Algeria, Ucraina e Russia, e di aver fornito informazioni di accesso al sistema di un fornitore Marriott a cittadini russi. Infine, Kipf è stato anche accusato di aver hackerato GuestTek e Milestone, due vendor che lavoravano con gli hotel Marriott.
L’inchiesta, che ha visto la collaborazione di Mandiant e dell’FBI, ha messo in luce le sofisticate tecniche utilizzate da Kipf ma anche i suoi errori banali, come l’uso del proprio indirizzo IP domestico. Questo dettaglio ha permesso alle autorità di rintracciarlo e arrestarlo nella sua casa in Kentucky nel luglio 2023.
Durante l’interrogatorio, Kipf ha confessato molti dei suoi crimini, ammettendo di aver vissuto per anni senza un lavoro regolare grazie alle sue attività illecite. E ha lasciato emergere una possibile spiegazione dei suoi errori.
Kipf aveva infatti utilizzato il suo indirizzo IP di casa per accedere al sistema delle Hawaii, un errore grossolano per un hacker esperto come lui. Quando le autorità lo hanno interrogato su come potesse aver commesso una svista così evidente, Kipf ha risposto con indifferenza: “Solo pigrizia… non me ne importava più niente”.
Il caso di Jesse Kipf si è concluso nell’agosto 2024 con una condanna a 81 mesi di carcere, poco meno di sette anni. Secondo il comunicato stampa del Dipartimento di Giustizia, dovrà scontare in prigione almeno l’85% della pena, cioè oltre cinque anni.
Tuttavia, la sua vicenda rappresenta solo la punta di un iceberg ben più ampio, legato a reti di cybercriminali e hacker che operano sul dark web. Un mondo nascosto dove identità e informazioni vengono vendute come merce di scambio, e dove la tecnologia è uno strumento di frode su larga scala.
