諾亞·厄本 (Noah Urban) 在臭名昭著的「Scattered Spider」團伙中扮演的角色是勸說人們在不知情的情況下讓犯罪分子獲取敏感電腦系統的存取權限。
2022 年 9 月的一個下午,在滿是金袋表情符號和小丑表情符號、充斥著「笑到快瘋了」(lmfaos)和「笑到不行」(loooools)的 Telegram 群聊中,出現了一張像素化的縮圖,畫面是一名滿身是血的少年。諾亞·厄本(Noah Urban)當時 18 歲,居住在佛羅里達州棕櫚海岸,他點開了影片。
影片中,這名少年哀求諾亞向他的綁匪轉帳 20 萬美元,綁匪正拿著槍對準他的頭。「埃利亞(Elijah),真的兄弟,你知道我們以前一起幹活過,」少年說道,稱呼諾亞為他的一個化名。他的臉腫脹,嘴裡滿是血,血滴到他穿著的白色 Hollister 衛衣上。「你知道我一直支持你。只要告訴我,我會做任何你想讓我做的事。」
諾亞立刻認出了這個少年。賈斯汀(Justin)曾為他工作,幫助他盜竊加密貨幣。他雖然不知道賈斯汀的全名,但他知道自己不能向綁匪妥協。此外,他認為,這段影片可能是偽造的。於是,他沒有轉帳任何資金。
這樣的片段可能會讓大多數青少年感到驚恐,但到 2022 年,諾亞已經見過太多類似的事情。當時,他正在逃避聯邦調查局(FBI)的追捕,作為一個網路犯罪團伙的成員,該團伙後來被稱為「Scattered Spider」(深潮注:也被稱為 UNC3944,是一個主要由青少年和年輕人組成的駭客組織,成員據信主要來自美國和英國。這個組織因其複雜的社會工程手段和網路攻擊而聞名)Margi Murphy。這個團伙已經成為全球最臭名昭著的網路犯罪組織之一,與數十起針對美國和英國公司的攻擊有關。其中最嚴重的包括:2023 年對米高梅國際度假村(MGM Resorts International)的勒索軟體攻擊,該攻擊導致賭場的電腦系統癱瘓,給公司造成了 1 億美元的損失;以及今年早些時候對英國零售商 Marks & Spencer Group Plc 的攻擊,預計將導致約 4 億美元的損失。
聯邦調查局和英國國家犯罪局已將「Scattered Spider」列為重點打擊目標。美國網路安全與基礎設施安全局(CISA)將該團伙描述為「對美國機構構成嚴重且持續威脅」。網路防禦公司 Mandiant 將其列為「影響歐洲和美國機構的最具侵略性和滲透性威脅行為者」之一。去年,《60 分鐘》節目還報導了「Scattered Spider」與俄羅斯勒索軟體駭客的聯繫。
諾亞在該團伙中扮演了關鍵角色,擔任「電話詐騙員」(caller)。他的經歷是一則警示故事,講述了一名沒有多少技術能力的高中生如何從遊戲過渡到快速盜竊加密貨幣,再到通過電話詐騙進入電信和科技公司的電腦網路以竊取敏感資料。他在佛羅里達中部的一個中產家庭長大,小時候常穿著 Crocs 涼鞋和衝浪短褲去釣魚,去鱷魚樂園(Gatorland)體驗高空滑索,或者到奧蘭多的環球影城遊玩——這些都是普通男孩的活動。然而,隨著他的犯罪行為升級,虛擬世界的活動開始蔓延到現實世界。綁架、火焰炸彈襲擊以及性勒索案件引起了執法部門的注意。諾亞在網上結交的朋友如今面臨長期監禁。
這篇報導是通過法院文件、Discord 上的對話以及 Telegram 訊息整理而成,同時採訪了數十位威脅情報分析師、執法人員以及熟悉諾亞犯罪生涯的其他人士。其中包括諾亞本人,他在佛羅里達州的一所監獄裡通過幾十次電話與《彭博商業週刊》交談,並提出條件,要求在他被判刑之前不得報導這些對話。
「你好,我叫凱文(Kevin),我正在代表 T-Mobile 內部安全管理部門打電話。」
諾亞其實並不是真正的駭客。他出生於 2004 年,也就是 Facebook 推出的那一年。他喜歡游泳和橄欖球,而不是編程。他有幾個朋友和一個高中的戀人,但大多數時候他獨來獨往,在課堂上也不怎麼參與。「我是個怪孩子,」諾亞回憶道。「我沒有很多朋友,所以我沒學到那種從與人交往中學到的社交暗示。」畢業後三年,他最喜歡的老師甚至不記得他。
諾亞 8、9 歲時開始玩《我的世界》(Minecraft),15 歲時通過遊戲認識了一些人,並首次聽說了 SIM 卡交換(SIM-swapping)騙局。這種騙局涉及將某人的電話號碼轉移到你擁有的手機上,以便攔截安全代碼、接管他們的線上帳戶並轉移資金。這種操作不需要任何編程技能,關鍵技能是社會工程學——說服或賄賂電信公司員工為你「激活」號碼。
諾亞很快展現了出色的談話能力,擁有一副與年齡不符的低沉嗓音,能夠欺騙受害者交出個人資訊。他還將自己的社交工程能力歸功於父母,「禮貌和尊重,這兩項是我小時候學到的最重要的東西,」他說。
通過《我的世界》認識的 SIM 交換團伙領導人,每次諾亞成功通過電話導致加密貨幣被盜,就支付他 50 美元。他在第一週就賺了 3000 美元。
諾亞並不缺錢。他的父母在他還是幼兒時就分開了,但生活都很舒適。他的母親在奧蘭多北部一個封閉社區裡擁有一套房子,從事人力資源工作;他的父親是一名海軍退役軍人,經營一家線上行銷公司,在附近擁有一處帶泳池和按摩浴缸的住宅。
然而,SIM 卡交換帶來的腎上腺素飆升,以及在現實生活中難以找到的友情,讓諾亞深深著迷。「如果你在沃爾瑪旁邊排隊站著 10 個人,你可能不會找到很多與你合得來的人,」他說,「但如果你可以在線挑選你想要的朋友——大家都有共同的興趣愛好——那就特別容易相處。」
諾亞加入了一個由大約 15 名玩家組成的團體,其中包括來自俄勒岡州波特蘭的 17 歲少年丹尼爾·賈恩克(Daniel Junk)和來自蘇格蘭的另一名 17 歲少年泰勒·布坎南(Tyler Buchanan)。諾亞說,他們購買了一份從加密錢包公司 Ledger SAS 盜取的資料庫,該資料庫提供了加密貨幣持有者及其電子郵件地址的名單。下一步是進入這些電子郵件帳戶,他們開始尋找任何使用 Outlook、AOL 或 Yahoo!帳戶的人。他們告訴諾亞,這些帳戶是最容易攻破的。
這些新朋友是所謂「Com」(社群)地下網路的一部分,這個網路廣泛分佈在 Discord 和 Telegram 上,匯集了許多年輕人,他們尋找珍貴的用戶名、視頻遊戲戰利品以及可以通過帳戶接管盜取的加密貨幣。聯邦調查局(FBI)從 2018 年開始調查「Com」,據探員估計,到那時,該團體已經盜竊了 5000 萬美元。
隨著更多「Com」成員發現盜取加密貨幣的簡單性,對 SIM 卡交換的需求也隨之增加。一些人猜測哪家電信公司,比如 T-Mobile US Inc. 或 AT&T Inc. 的呼叫中心支援承包商員工最容易被欺騙。還有人僱傭孩子跑進手機店偷客戶代表的 iPad。為了取樂,竊賊們經常拍攝這些行為並上傳到網上。
諾亞說,賈恩克發現了一種方法,可以通過將自己的個人電腦註冊到 T-Mobile 的企業網路,並使用遠端存取軟體進入公司的 SIM 卡激活工具,有時能夠持續數月。當 T-Mobile 檢測到可疑登入時,它會重置帳戶,將賈恩克鎖定在外。因此,他開始付錢給諾亞,讓他撥打電話欺騙員工交出登入資訊。諾亞假裝自己是資訊科技部門的員工,成功騙取了登入資訊。
其他參與 SIM 交換的人會在 Discord 上監聽諾亞撥打電話的過程,同時玩《反恐精英》(Counter-Strike)或《使命召喚》(Call of Duty),並閱讀賈恩克為他編寫的腳本。「你好,我叫凱文(Kevin),」腳本開頭寫道,「我正在代表 T-Mobile 內部安全管理部門打電話。」當毫無戒心的銷售代表不小心讓諾亞進入系統時,賈恩克和他的朋友們會屏息傾聽每一個字。當諾亞出錯時,他們會笑得前仰後合。(T-Mobile 的一位發言人表示,公司已經改進了安全措施,以「減少非法 SIM 卡交換」。)
隨著諾亞欺騙越來越多的人,他發現目標不僅是可預測的,而且本質上是善良的。雖然很難讓員工相信他們提交了 IT 工單,但他可以讓他們相信工單一定是錯誤地連結到他們的帳戶上——能否請他們幫忙關閉工單,以便他結束工作?他們幾乎總是配合。當諾亞通過談話攻入一個新帳戶時,來自新朋友的認可比《我的世界》帶來的滿足感還要強。
「令人震驚的是,這麼年輕的孩子居然有能力在世界某個地方煽動槍擊事件,而且幾乎不需要承擔責任。」
諾亞的母親開始懷疑他在搞什麼鬼。陌生人訂購的神秘披薩開始送到她家門口。她聽到關於 SIM 卡交換的對話。當她試圖制定更嚴格的規則時,16 歲的諾亞搬去和父親住。
羅伯特·厄本(Robert Urban)住在佛羅里達州德蘭的一棟五居室房子裡。車庫裡堆滿了工具,客廳擺滿了他伴侶兩個孩子的玩具。一隻白色的馬爾基犬在他腳邊吠叫。他說,當諾亞開始叫他「失敗者」(buster)時,他注意到了一些變化。那時諾亞大約 15 歲。「你不開法拉利,你還要支付房貸,你拼命工作,卻仍然在掙扎,」他回憶諾亞說過的話。從那時起,厄本發現兒子的行為發生了「劇烈變化」。
當設計師服裝送到家門口時,或者在罕見的社交場合中,諾亞戴著一塊鑲滿鑽石、價值 3.5 萬美元的勞力士手錶,穿著一雙路易威登的運動鞋時,他會告訴父親,他通過《我的世界》出售物品,用所得資金投資加密貨幣。厄本自己也喜歡比特幣,他還向朋友炫耀兒子的成功。
厄本試圖讓諾亞變現部分加密貨幣資產,用於更傳統的投資。「不,爸爸,」諾亞會對他說,「我有我的計劃。」相反,他花了 8 萬美元購買了一個用戶名為 Elijah 的《我的世界》帳戶,又花了 3 萬美元購買了 Twitter 上的 @e,此外還花了另一筆「荒謬」的金額購買了 @autistic。
諾亞很快開始僱用自己的電話詐騙員,包括他認識的賈斯汀。他會根據電信公司帳戶的安全等級支付從 60 美元到 1000 美元不等的報酬。如果電話詐騙員能讓員工安裝遠端存取工具,他會支付高達 4000 美元。當新冠疫情在全國範圍內關閉學校時,諾亞對員工額外的空閒時間感到非常滿意。
對電信公司的存取時有時無,導致一些 SIM 交換者開始互相盜竊。有些人開始進行「人肉搜索」(doxing),將其他駭客的真實姓名和個人資訊發布到網上以敲詐他們。《彭博商業週刊》查看了數十段 Discord 和 Telegram 影片,顯示年輕人在喊著各自 SIM 交換派系的名字時向住宅投擲磚塊,這種行為被稱為「投磚」(bricking)。他們還破解並洩露對手女友的裸照及個人資訊,鼓勵他人騷擾她們。甚至有專門的 Telegram 聊天群用於羞辱「Com」成員的女友。
賓夕法尼亞州東部威斯頓-東戈申警察局的偵探大衛·黑爾(David Hale)說,他在 2022 年 1 月了解到「Com」,當時他被叫到一個富裕郊區的住宅,該住宅有人向客廳開了八槍,屋內有三人。兩週前,該地區另一處房屋報告了一起火焰炸彈襲擊事件。這兩起攻擊的目標都是與「Com」有關的年輕女性。「令人震驚的是,這麼年輕的孩子居然有能力在世界某個地方煽動槍擊事件,而且幾乎不需要承擔責任,」黑爾說。
諾亞說,他沒有參與任何內部爭鬥,但他知道麻煩會找上門來。2021 年,駭客向他母親的家投擲磚塊,以為他還住在那裡。她收到了匿名訊息,威脅如果她兒子不轉移數十萬美元的加密貨幣,攻擊將繼續。諾亞拒絕了,最終攻擊停止了。
艾莉森·尼克松(Allison Nixon)對此感到越來越擔憂。作為網路安全公司 Unit221B 的首席研究官,她對駭客逃避警方審查感到沮喪,並對他們攻擊的侵略性表示擔憂。
網路安全領域的成年人通常對青少年駭客持寬容態度,試圖引導他們進入產業職業,以利用他們的才能。但在尼克松看來,這種方法已經不再奏效。「解決這個問題的唯一方法,」她說,「是政府像對待暴力街頭幫派一樣,歷史性地解決這個問題。」
她的建議沒有引起政府官員的共鳴。她形容這些官員「完全不知所措」,並表現得好像有更重要的事情要做,而不是在網上追逐孩子。她和其他網路安全調查人員警告執法官員,「Com」成員可能會成為更大的威脅。
到 2022 年,諾亞即將完成高中學業。他變得越來越疏離,錯過了集會和舞會,也沒有提交一段展示同學戴口罩的 YouTube 合集影片。根據法庭記錄,諾亞已經是百萬富翁,但他更專注於將自己的犯罪事業提升到新的層次。
「我只想要財務自由,整天和朋友們一起玩,聽音樂。」
尋找新的加密貨幣持有者名單時,諾亞想到了針對通信技術公司 Twilio Inc. 的主意。由於該公司的軟體被 5 萬家公司用於管理與客戶的簡訊和電話,諾亞認為它會擁有大量有價值的資料。2022 年 8 月,在他 18 歲生日的幾個星期前,他和朋友購買了一個偽造域名,該域名的網頁看起來像用戶認證公司 Okta Inc. 的登入頁面,並向 Twilio 員工發送了帶有連結的簡訊。
「警告!!!您的 Twilio 日程已更改。點擊 twilio-okta.com 查看更改!」
諾亞成功讓一名 Twilio 員工上當受騙。然而,當那個人沒有他想要的資料時,他登入了他們的 Slack 帳戶,並向他在 LinkedIn 上找到的一名更高級別員工發送了一條訊息。「我基本上告訴他們,我們需要這些資料用於審計目的或類似的事情,」諾亞說,「然後他們就導出了資料庫並發送給了我。」
通過 Twilio 的企業客戶存取碼,諾亞和同夥能夠攻入更多公司。總的來說,他們最終獲得了使用 Twilio 的 209 家公司的客戶資料,包括簡訊驗證碼。「我們感覺自己像神一樣,」諾亞說。
幾天後,一家協助 Twilio 客戶的網路安全公司 Group-IB 在部落格中宣布了資料盜竊事件,並將駭客命名為 0ktapus。受到驚嚇的諾亞丟掉了價值 3000 美元的電腦和手機,換了新設備。不久之後,一名 0ktapus 成員將資料分享給另一名 SIM 交換者,後者又進一步廣泛傳播。隨著越來越多的「Com」成員從資料庫中挑選名字,這些資料在黑市上不再具有任何價值。
諾亞所在團隊的成員暫時低調了一段時間,但當警方沒有上門時,他們變得更加大膽。據 Group-IB 表示,0ktapus 在 2022 年繼續盜取了數千名員工的憑證。當他們成功進入一個企業帳戶後,就會找出權限更高的員工並以他們為目標。同年 12 月,該團伙還盜取了由溫克爾沃斯兄弟(Winklevoss twins)擁有的加密貨幣交易所 Gemini Trust Co. 的 570 萬名客戶個人資訊,並將這些資訊放到犯罪論壇上出售。
在諾亞滿 18 歲後,他搬出了父親的家,住進了佛羅里達州棕櫚海岸一個安靜社區的長期 Airbnb。他為自己的住所添置了床、桌子、沙發、電視,還有一隻毛色像奧利奧餅乾的貓,名叫戴安娜(Diana)。他說:「我只想要財務自由,整天和朋友們一起玩,聽音樂。」
每週一次,他會開著道奇挑戰者(Dodge Challenger)去一個商業街,在橄欖園餐廳(Olive Garden)和一家鐵板燒餐廳之間選擇,並留下 100 到 200 美元的現金小費。他還喜歡在夜晚高速公路上飆車,聽 Lil Uzi Vert、Playboi Carti 和 Ken Carson 的音樂。
諾亞經常活躍在一個名為 Leakth.is 的論壇上,那裡的人會發布他們最喜歡藝術家的「珍品」(即未發行的曲目)。他決定針對環球音樂集團(Universal Music Group NV)和華納音樂集團(Warner Music Group Corp.)的員工,以便進入音效工程師和製作人的 Dropbox 或 iCloud 帳戶,懷疑他們的文件中有未發行的音樂。
2022 年,諾亞使用一個名為 King Bob 的 Twitter 帳戶發布了一段他聲稱是 Playboi Carti 未發行歌曲《Money N Drugs》的珍品片段。這個名字是向《卑鄙的我》(Despicable Me)中的小黃人致敬。他的帳戶粉絲數一夜之間飆升至 11,000 人。關於 King Bob 身份的各種理論在網上傳播開來,粉絲們猜測他可能是音樂工作室的推廣者或叛變的製作助理。(唱片公司拒絕置評,Playboi Carti 的經理沒有回應置評請求。)
諾亞稱,他並不是唯一一個使用 King Bob 化名盜取音樂的人,而且他認為發布珍品是推廣行為,而不是盜竊。然而,被他攻擊的人卻有不同的看法。納西爾·彭伯頓(Nasir Pemberton),一位為侃爺(Kanye West)、A$AP Rocky 和 Playboi Carti 工作的製作人,指控諾亞盜取了他數百首歌曲,並在 Discord 上分享了他的 Dropbox 截圖。「他差點毀了我的生活,」彭伯頓說。
「這完全是關於他們社群中的地位。這只是炫耀權。」
0ktapus 並不是「Com」中唯一引發關注的團體。另一個派系——後來與諾亞的團隊聯手後被暱稱為「Scattered Spider」——也想超越 SIM 交換的領域。該派系包括一些曾屬於 Lapsus$ 的成員,這個團體曾攻擊過英偉達(Nvidia Corp.)和優步(Uber Technologies Inc.)。其中一名成員是一位名叫 Jack 的駭客,他吹噓自己與勒索軟體提供商有關係,並擁有繞過高級安全工具的軟體。(另一名成員 Thalha Jubair,據檢方稱代號為 EarthtoStar,本月在英國被捕。美國檢方於 9 月 18 日公開了一項指控,稱現年 19 歲的 Jubair 幫助敲詐了 47 家美國公司,總金額達 1.15 億美元。他的英國律師拒絕置評。)
諾亞覺得與他們合作會很酷。他開始與 Jack 建立聯繫,Jack 對 Twilio 的入侵感到印象深刻,但卻貶低諾亞和他朋友們通過攻入公司盜取資料庫的策略。Jack 認為,通過敲詐被攻入的公司賺錢要快得多。
諾亞說,他們一起通過談話進入加密貨幣交易平台 Crypto.com 的一名員工帳戶。他們還利用聯合包裹服務公司(UPS)的系統收集潛在受害者的個人資料。(Crypto.com 的一位發言人表示,此次針對其平台的攻擊此前未被媒體報導,涉及的資訊僅影響「極少數個人」,且沒有客戶資金被存取。UPS 在 2023 年表示已修復問題,但拒絕為本文提供進一步細節。)
該團體渴望獲取更多資料。諾亞稱,在虛擬課堂間隙,他使用 ChatGPT 研究哪些組織可以存取盜取加密貨幣所需的個人詳細資訊,以及哪些類型的員工可能擁有這些資訊。2023 年 1 月,他們攻入了影片遊戲公司 Riot Games Inc.,盜取了其熱門遊戲《英雄聯盟》(League of Legends)的原始碼以及一些反作弊工具。他們要求支付 1000 萬美元以歸還這些資料,這是該團體首次提出勒索要求。Riot Games 拒絕支付。
諾亞說,他沒有參與勒索企圖,但他此前通過自己的電話詐騙技巧進入了該公司。他在盜竊期間對自己個人的 Riot Games 帳戶進行升級,這成為調查人員認為的重要線索——此外還有檢方稱他在幾天後發送的一條似乎承認攻擊的訊息。
2023 年 3 月 1 日清晨,一切開始崩塌。當諾亞帶著他的貓從獸醫那裡回家時,二十多名 FBI 探員和警察包圍了他的車,要求他打開車門。他猶豫了一下,擔心戴安娜會跑出去,這讓他們起初懷疑他在隱藏什麼。當他解釋後,警察允許他把貓帶進屋。
諾亞坐在沙發上閱讀搜查令,而探員們翻遍了他的住所,沒收了他的電腦和 iPhone。他拒絕提供密碼。當他要求打電話給父親時,一名 FBI 探員同意了,並將諾亞的手機舉到他臉前試圖解鎖。「好嘗試,」諾亞心想,同時躲開了。
檢方稱,聯邦探員總共查獲了約 400 萬美元的加密貨幣、10 萬美元現金和價值 10 萬美元的珠寶,包括勞力士手錶和另外五塊手錶。他們還拿走了一台點鈔機和諾亞的索尼 PlayStation 5。諾亞說,他們只給他留下 16 美元和一本護照。
「像其他所有的父親一樣,我心碎了,但我會永遠愛他,並在我死之前不會放棄他。」
諾亞當天沒有被逮捕,但 FBI 探員指控他攻入 Riot Games 以及涉及幾起加密貨幣盜竊事件。「他們讓我坐下,說,『我們知道你是一個社會工程師,』」諾亞回憶道。「『我們知道你是 Scattered Spider 的一員。』」
事實證明,FBI 自 2021 年起就一直在追蹤諾亞,當時他因在俄勒岡州波特蘭的一起 SIM 交換事件中被標記為低級參與者。儘管諾亞缺乏技術技能,但他仍然是「我們當時所知的頂級交換者之一,」負責波特蘭辦公室的特別探員道格拉斯·奧爾森(Douglas Olson)說,他參與了此案。「他非常非常擅長欺騙員工交換受害者電話號碼並獲取個人資訊,從而實施犯罪。」
諾亞搬回了父親家,他的父親表示,當他聽到兒子涉嫌犯罪的程度時感到震驚。同月,他們與律師一起飛往俄勒岡州,那裡 FBI 探員一直在追蹤賈恩克,諾亞的某位合作夥伴。據法庭文件顯示,諾亞在那裡向檢方承認,從 2020 年底到 2023 年初,他盜竊了多達 1500 萬美元。他表示自己不會再接觸加密貨幣或進行駭客活動。
儘管諾亞在採訪中的言論,FBI 的奧爾森認為他「完全沒有表現出悔意」。奧爾森說,諾亞的整個社交生活都圍繞著實施網路犯罪,這使他對受害者變得麻木。事實上,諾亞告訴探員,他的大部分收益幾乎是獲得後立即花在加密貨幣賭博和遊戲網站上。「這完全是關於他們社群中的地位,」奧爾森說。「這只是炫耀權。」
即使在家中被突襲後,諾亞仍繼續進行社會工程學和盜竊音樂活動,據一名參與調查但要求匿名的 FBI 探員稱。網路犯罪研究人員表示,Scattered Spider 在突襲後似乎安靜了一段時間。同年 9 月,該團伙涉嫌攻入凱撒娛樂公司(Caesars Entertainment Inc.),並敲詐這家賭場公司 1500 萬美元。據知情人士透露,凱撒沒有回應置評請求。
幾天後,米高梅度假村(MGM Resorts)發現駭客已經進入了其系統,盜取了員工的 Okta 密碼。米高梅關閉了其電腦系統。在拉斯維加斯的賭場大廳裡,老虎機的支付功能停止工作。包括時任聯邦貿易委員會主席莉娜·汗(Lina Khan)在內的客人被鎖在房間外。公司沒有支付贖金,但估計此次攻擊造成了 1 億美元的損失。
這一事件令人震驚。勒索軟體通常是俄語團體的專屬領域,而現在的證據表明,這種軟體被離家更近的駭客所使用。
網路安全公司 CrowdStrike Holdings Inc. 和 Mandiant 表示,Scattered Spider 幾個月來一直在積極追蹤他們的客戶。這些公司與網路安全公司分享了 Scattered Spider 與其客戶服務員工之間的錄音,研究人員驚訝地聽到熟悉的口音。加密貨幣交易所 Coinbase Global Inc. 的首席資訊安全官傑夫·隆格霍費爾(Jeff Lunglhofer)在 2023 年描述他們為「年輕、口齒伶俐的男性」,「反應迅速,甚至很機智。」
米高梅攻擊發生一個月後,微軟公司(Microsoft Corp.)在部落格文章中描述了 Scattered Spider 的勒索信變得越來越具有攻擊性。成員們使用家庭地址和家族姓名以及身體威脅來迫使人們分享密碼或代碼,微軟表示。同年 11 月,美國國土安全部警告稱 Scattered Spider 與勒索軟體團體 AlphV 合作,後者的成員講俄語,並為贖金分成提供現成的惡意軟體。
諾亞否認參與賭場攻擊或部署勒索軟體,他也沒有因這些罪行被起訴。但政府懷疑他沒有完全改邪歸正。檢方後來聲稱,2023 年 8 月,諾亞從一個 FBI 正在追蹤的錢包中提取了價值 1 萬美元的比特幣,儘管他承諾不再接觸加密貨幣。他們發現了諾亞給朋友的 Discord 訊息。其中一條寫道:「我今天和一個聯邦律師談過。他們說如果我很快沒有被起訴,我很可能會贏得這場官司。你無法想像如果我沒有啟動『核模式』(指刪除電腦上的所有內容)會有多糟糕。」
FBI 對諾亞帳戶的分析顯示,2022 年中期,他幫助通過加密貨幣交易所和線上賭博服務轉移了約 7600 萬美元。諾亞說,這個數字不完全準確,但「也差不多。」
隨著執法部門逐漸逼近諾亞,他的一些同夥陷入了另一種麻煩。賈恩克於 2023 年 3 月認罪,承認共謀進行電信欺詐。他在保釋期間繼續進行駭客活動。同年 11 月,當他返回波特蘭的公寓時,三名男子將他拖進了一輛貨車。他們將他的手綁在背後,套上頭罩。綁架者多次取下頭罩詢問賈恩克的加密貨幣藏匿地點,當他不回答時,又將頭罩緊緊套回他的脖子。他們不知道聯邦探員已經從他那裡查獲了 400 萬美元的加密貨幣。
「該死,」賈恩克回憶道,他在加州洛姆波克聯邦監獄的探視室裡坐在一個兒童大小的椅子上講述了這次綁架。「我可能要死了。」
第二天早晨,一名慢跑者在一個十字路口發現了賈恩克,他被綁在一根柱子上,遍體鱗傷。賈恩克在離開重症監護病房後一個月再次被捕,並被判處六年監禁。他說,現在在監獄裡是一種解脫,他的手腕上仍然可見一條電纜束帶留下的疤痕,上面刺有《飛出個未來》(Futurama)角色本德(Bender)的紋身。他說,他的家人可以重建他們的生活,不再受到騷擾,而他自己也不再有駭客的誘惑。「我們做的事情,我想,確實挺糟糕的,」他說。
2024 年 10 月,四名男子因與賈恩克綁架案有關而被捕。他們都不認罪,目前正在等待審判。檢方稱,另外兩名男子負責綁架賈斯汀,即那名在影片中請求諾亞幫助他的男孩。兩人因入室盜竊和加密貨幣盜竊被定罪。賈斯汀設法逃脫,並在距離家 120 英里的佛羅里達高速公路上被一名州警發現。他無法聯繫置評。
諾亞於 2024 年 1 月被捕,距離警方搜查他在棕櫚海岸的住所已有九個月。他被關押期間不得保釋。隨後,加州檢方對他及另外四人提起了涉及駭客攻擊 13 家公司的指控,包括 AT&T、T-Mobile、Verizon Communications Inc.、Twilio 和 Riot Games。這些指控中包括他的蘇格蘭遊戲好友泰勒·布坎南(Tyler Buchanan),後者於 2024 年 6 月在西班牙被捕並被引渡至美國,他對指控表示不認罪。布坎南本人及其律師均未回應置評請求。AT&T、T-Mobile、Verizon、Twilio 和 Riot Games 也拒絕置評。
諾亞並未因盜竊音樂而受到指控,但檢方在起訴書中提到了 King Bob,而他的拘留照片迅速成為網路上的表情包。在線上,Playboi Carti 的粉絲呼籲 FBI 公開諾亞盜取的音樂收藏。一名 Reddit 用戶指責諾亞的父母對其犯罪行為負有責任,這促使諾亞的父親在網站上作出回應。「有時候人們會做出違背他們所受教育的選擇,」厄本寫道,「像其他所有的父親一樣,我心碎了,但我會永遠愛他,並在我死之前不會放棄他。」
美國佛羅里達中區的檢察官格雷戈里·基奧(Gregory Kehoe)預測,像諾亞這樣的人很難徹底擺脫犯罪。「這不僅僅是上癮,這是他們的生活方式,」他說。「如果你的整個社交網路都圍繞著多個平台上的線上交流,即使你遇到了一些挫折,你又有多大可能不會重新回到那種生活?」
諾亞表現出他還未準備好放棄線上生活的跡象。他曾因使用偷運的手機被兩次關進單獨監禁。2024 年 8 月,他在 X(原 Twitter)帳戶上發了一條貼文:「無聊。」負責他案件的法官遭到駭客攻擊,檢方 accuses 這是諾亞的一名同夥所為。
「像 AT&T 和 T-Mobile 這樣的財富 500 強公司居然被一群青少年孩子輕易地欺騙了。」
被捕幾週後,諾亞從監獄打電話給《商業週刊》的一名記者,回應採訪請求。在接下來的一年裡,他幾乎每週都會從佛羅里達州斯塔克的監獄打電話,講述他的經歷。他言詞禮貌、冷靜,且擁有一種令人放鬆的幽默感。他說,起初大多數囚犯都對這個因「電腦指控」而被關押的白人小孩持懷疑態度——通常「電腦指控」是性犯罪的代名詞。但當他的拘留照片出現在關於米高梅駭客事件的《60 分鐘》節目片段中時,他們開始對他改觀。
2024 年 4 月,諾亞對電信欺詐和嚴重身份盜竊罪表示認罪。在 7 月的一次視訊通話中,他蜷縮在他生活了 19 個月的 30 人宿舍的雙層床底部,距離判刑還有幾週。在之前的電話中,他聽起來很自信,談論如何贏得囚犯的尊重,以及用方便麵賭博而不是用數百萬美元。然而,這次,他頭髮梳在額頭上,顯得年輕而笨拙。他談起一個曾經喜歡的女孩,他們在學校一起打排球。
當聽到英國逮捕了四名「Scattered Spider」嫌疑人的消息時,他的眼神幾乎沒有變化。諾亞說,只要年輕人繼續招募彼此,這種犯罪就會繼續。「希望它會結束,但我看不到這種可能性。」
2024 年 8 月 20 日,諾亞穿著一件背後印有「囚犯」字樣的海軍藍色囚服,出現在傑克遜維爾的聯邦法院接受判刑。在前一晚的電話中,他說自己「既緊張又興奮」,預計不會超過八年監禁,並對律師提出的五年請求感到樂觀。
他的律師凱瑟琳·謝爾頓(Kathryn Sheldon)告訴法庭,諾亞受到了年長的共謀者的教唆,並捲入了他認為是遊戲的活動。「不是要把責任推到 Coinbase 或其他組織身上,」她說,「但像 AT&T 和 T-Mobile 這樣的財富 500 強公司居然被一群青少年孩子輕易地欺騙了。」
諾亞向受害者和家人道歉,承諾將傳播他所負責的剝削行為的意識。「無論什麼時候我能出來,我都想專注於改善自己,」他說。
但他並沒有得到他所希望的寬恕。美國地區法官哈維·施萊辛格(Harvey Schlesinger)是一名 85 歲的前檢察官,自 1991 年起擔任法官,他宣讀了諾亞幾名受害者的聲明,包括一名前消防員,他本指望自己的加密貨幣儲備來支付試管嬰兒治療費用;還有一名退休人員,他在失去錢後不得不找份快遞員的工作。一名來自明尼阿波利斯的企業主,他的數十萬美元加密貨幣本是為孩子準備的,被諾亞盜走,他坐在旁聽席上聽判。
法官判處諾亞 10 年監禁——比檢方要求的刑期還要長。法官表示,儘管諾亞的大部分犯罪行為是在未成年時進行的,但他顯然「比大多數人聰明」。較長的刑期希望能起到威懾作用。他在法官宣讀他欠債的一長串受害者名單並命令他支付 1340 萬美元賠償時幾乎沒有動作。
第二天晚上,諾亞從監獄打來電話。他說自己後悔傷害了家人和受害者,但他似乎對自己建立的友誼充滿希望。「我並不是說我做的事情是好事,這是一個可怕的社群,而我做的事情是壞的,」諾亞說。「但我愛我的生活。我喜歡我自己。我很高興我能以我自己的方式活過這一生。」
