Departamento de Justicia de EE. UU.
¿Alguien estaba jugando con el jumbotron gigante de los Jacksonville Jaguars?
El 16 de septiembre de 2018, los Jaguars jugaban contra los New England Patriots cuando la pantalla del estadio experimentó, en palabras del gobierno de EE. UU., «una pérdida en la sincronización de referencia que se manifestó como grandes líneas verdes horizontales». [sic] apareciendo en todo un tablero de video.»
El 18 de noviembre, durante un partido contra los Pittsburgh Steelers, volvió a suceder, pero esta vez, subpaneles de video completos se llenaron de verde.
Luego, el 2 de diciembre de 2018, los Indianapolis Colts llegaron a la ciudad y el jumbotron falló por tercera vez cuando «una sola placa de video experimentó un cambio en lo que parecía ser el zoom de uno de los gráficos base mostrados».
El personal de TI de los Jaguars no pudo en ese momento replicar ninguno de estos errores de video y comenzaron a sospechar que lo que estaban viendo no era un problema técnico sino algún tipo de ataque. Al investigar los archivos de registro, rápidamente descubrieron que la fuente del problema del 2 de diciembre era «un comando para cambiar un parámetro específico» del software de control de video.
¿De dónde vino la orden? Un servidor de control de vídeo Abekas Mira conocido como MIRA9120. El Abekas Mira estaba destinado a ayudar en la producción y exhibición de video de repetición instantánea que se mostraría en el estadio en el enorme jumbotron, pero este servidor en particular había sido desmantelado o se había mantenido a mano como repuesto. En cualquier caso, el equipo pensó que el servidor estaba almacenado. Pero cuando fueron a buscar, resultó que MIRA9120 estaba en la sala de servidores principal, instalado en un bastidor justo al lado de los servidores activos de Abekas Mira.
El personal de TI comenzó a husmear en MIRA9120 y encontró el software de acceso remoto TeamViewer, lo que sugiere que alguien había estado controlando MIRA9120 desde otro lugar. Pero sólo se pudieron obtener datos limitados sobre el culpable, porque la instancia de TeamViewer tenía el registro de conexión deshabilitado.
El 3 de diciembre, el personal de TI de los Jaguars desconectó MIRA9120 de los otros servidores de control de video, pero lo dejaron encendido y en su lugar. Luego volvieron a activar el registro de conexión de TeamViewer. La idea era montar un honeypot en caso de que el atacante regresara.
Durante el partido del 16 de diciembre contra Washington, TeamViewer registró otra conexión con MIRA9120. Se registró el número de cuenta de TeamViewer que accedió a la máquina y la información se pasó al FBI, que ahora estaba investigando activamente la situación. Los agentes enviaron una citación a TeamViewer, que en febrero de 2019 proporcionó la dirección IP de la máquina que había utilizado la cuenta en cuestión ese día.
Esta dirección IP estaba controlada por Comcast, por lo que una citación a Comcast finalmente arrojó la información que querían los Jaguars: se accedió a MIRA9120 el 16 de diciembre desde una casa en St. Augustine, Florida, una casa donde vivía Samuel Arthur Thompson.
El secreto
Los Jaguars conocían a Thompson. Había pasado casi cinco años como contratista del equipo de fútbol, ayudando a Jacksonville a diseñar e instalar la tecnología de pantallas de su estadio. Después de la instalación, Thompson ayudó a ejecutar el sistema durante los partidos de fútbol.
Thompson también tenía un secreto: había sido condenado por abusar sexualmente de un niño de 14 años en Alabama en 1988. Thompson tampoco había informado de esto a los Jaguars, aunque su contrato requería tal revelación.
Alguien se enteró de la condena y envió una carta anónima al respecto a la dirección de los Jaguars. Una vez que llegó la carta, los Jaguars rescindieron el contrato de Thompson. Su último día con el equipo fue el 23 de febrero de 2018. Se pensaba que la relación había terminado, pero tal vez no fue así.
Una búsqueda más detallada del tráfico de red y de los archivos de registro de ese día de febrero reveló que el propio Thompson había instalado TeamViewer en MIRA9120 a las 9:09 am. Entonces todas las piezas encajan: empleado descontento el último día de trabajo, la instalación de TeamViewer, la dirección IP en St. Augustine.
Pero el FBI no obtuvo una orden judicial hasta el verano de 2019. Recién en julio el FBI allanó la casa de Thompson con un estilo bastante educado, simplemente llamando a la puerta. (Thompson se quejaría más tarde en un expediente judicial de que los agentes deberían haber gritado quiénes eran y por qué estaban allí. Estaba muy disgustado por la sorpresa). El hijo de Thompson abrió la puerta. Cuando el propio Thompson se acercó, todavía tenía su iPhone desbloqueado en la mano y un agente lo agarró de inmediato.
Luego, el caso se convirtió en algo completamente distinto, porque el teléfono tenía material de abuso sexual infantil (CSAM).