Im September 2022 hatte ein massiver Hackerangriff die Spielebranche erschüttert – betroffen war Grand-Theft-Auto-Entwickler Rockstar Games. Wie mittlerweile bekannt ist, hatten Hacker:innen der berüchtigten Lapsus$-Gruppe den Quellcode von GTA 5 und GTA 6 in die Finger bekommen.

Darüber hinaus mindestens sollen mindestens 90 Videoclips gestohlen worden sein. In den vergangenen Monaten waren zahlreiche frühe Builds des Spiels geleakt worden. Rockstar zufolge soll deren Entwicklung das Unternehmen fünf Millionen US-Dollar und Tausende von Arbeitsstunden gekostet haben.

Der für den Rockstar-Angriff wahrscheinlich hauptverantwortliche 18-jährige Lapsus$-Hacker Arion Kurtaj war kurz vor Weihnachten zu einem unbefristeten Klinikaufenthalt verurteilt worden. Der aus Oxford stammende Kurtaj soll Autist und laut Gericht jederzeit bereit sein, erneut Firmen zu hacken.

So soll Kurtaj den Rockstar-Hack durchgeführt haben, während er wegen Angriffen auf Nvidia und und den britischen Telekomkonzern BT/EE in Polizeigewahrsam in einem Hotel festsaß. Weil sein Laptop beschlagnahmt worden war, hackte sich Kurtaj mit Hilfe eines Amazon Firesticks, des Hotelfernsehers und eines Mobiltelefons in die internen Rockstar-Systeme.

Offenbar als direkte Reaktion auf die Verurteilung Kurtajs haben dessen Kolleg:innen jetzt den GTA-5-Quellcode veröffentlicht – und zwar am Weihnachtsabend, wie Bleeping Computer berichtet. Links zum Download wurden demnach auf zahlreichen Kanälen geteilt, darunter auf Discord und einem Telegram-Kanal.

Der Telegram-Kanal, auf dem schon zuvor von Rockstar Game gestohlene Daten veröffentlicht worden waren, gehört einem Nutzer, der sich „Phil“ nennt. Dort wurde unter anderem ein Screenshot von einem Ordner gepostet, der die Echtheit des Materials zeigen soll.

Inwieweit sich „Phil“ tatsächlich im Besitz des Codes befunden hat und ob es sich bei den veröffentlichten Dateien wirklich um den echten GTA-5-Quellcode handelt, lässt sich derzeit nicht verifizieren. Eine entsprechende Anfrage hat Rockstar Games bisher nicht beantwortet.

Bekannt ist nur, dass Kurtaj im vergangenen Jahr versucht hatte, Rockstar Games zu erpressen. Später soll er versucht haben, den GTA-5-Code zu verkaufen – für mindestens 10.000 Dollar.

Die Lapsus$-Gruppe wird unter anderem mit Angriffen auf Uber, Microsoft, Rockstar Games, Nvidia, T-Mobile, Ubisoft, Vodafone und Samsung in Verbindung gebracht. Einige Mitglieder sollen mittlerweile in einem Hacking-Kollektiv namens Scattered Spider aktiv sein.

Wie zuvor Lapsus$ nutzen sie dabei Taktiken wie Social Engineering, Phishing oder Angriffe über SIM-Kartenwechsel. Die ausgefeilten Hackingtaktiken waren zuletzt von Sicherheitsbehörden analysiert worden – nicht zuletzt, um entsprechende Warnungen und Mahnungen zur Vorsicht veröffentlichen zu können.