Идентификатор Windows 11 помог отследить хакера из Scattered Spider после того, как Microsoft передала данные ФБР

кибербезопасность арест Scattered Spider вымогательство фбр телеметрия tomshardware.com

Питер Стоукс был арестован в Финляндии и экстрадирован в США по подозрению в связях с группировкой Scattered Spider; Microsoft оказала помощь в расследовании. Он находится под стражей в ожидании суда по уголовному иску, связанному с атакой в мае 2025 года на американского продавца предметов роскоши.

Министерство юстиции США при содействии ФБР и Национального бюро расследований Финляндии арестовало подростка, которого считают причастным к группировке Scattered Spider. 19-летний Питер Стоукс, гражданин США и Эстонии по двойному гражданству, был задержан правоохранительными органами в Хельсинки, когда пытался сесть на рейс в Японию. В задержании Стоукса также сыграла роль система GDID от Microsoft. Обвиняемый в настоящее время ожидает суда по обвинениям в сговоре, кибервторжении и мошенничестве. По данным Министерства юстиции, Scattered Spider — одна из крупнейших киберпреступных синдикатов на планете, вымогавшая более 100 миллионов долларов в виде выкупа. Группа также действует под псевдонимами Octo Tempest, UNC3944 и Oktapus и известна своими методами социальной инженерии. Таким образом, основная уголовная жалоба против Стоукса связана с атакой в мае 2025 года на американского дилера предметов роскоши. Злоумышленники, по всей видимости, позвонили в IT-службу поддержки компании через Google Voice, выдавая себя за сотрудников. Им удалось убедить службу поддержки сбросить их учетные данные, что позволило им проникнуть в три учетные записи, две из которых имели права администратора. Оттуда группа, предположительно, включая Стоукса, похитила важные данные и потребовала у ювелира выкуп в размере 8 миллионов платежей в криптовалюте. В конечном итоге компания восстановила доступ к своей инфраструктуре и избежала уплаты выкупа, но операционный сбой все же привел к предполагаемым убыткам в размере 2 миллионов долларов. Это послужило толчком к аресту Стоукса в Хельсинки, поскольку прокуроры медленно проследили бумажный и цифровой след, оставленный злоумышленниками. Microsoft сыграла ключевую роль в этом процессе, предоставив ФБР данные GDID для помощи в поимке предполагаемого преступника. GDID расшифровывается как Global Device Identifier (Глобальный идентификатор устройства); это уникальный идентификатор, присваиваемый каждой установке Windows, который отслеживает телеметрию, специфичную для устройства. Именно поэтому иногда замена основного компонента в вашем ПК может привести к аннулированию вашей лицензии Windows. В любом случае, судебные документы по делу показывают, что Стоукс использовал Windows, по данным которой следователи смогли связать его физическое оборудование с конкретной интернет-активностью и местоположениями. Насколько нам известно, у GDID уже был готов исчерпывающий отчет о Стоуксе еще до того, как обвинение сформировало свое дело, и оставалось лишь соединить точки. Веб-активность Стоукса, история видеоигр, IP-адреса, использование инструментов (включая Ngrok), статус Azure и многое другое было зафиксировано с временными метками и предоставлено следователям Microsoft. Конечно, это вызывает вопросы о том, насколько детальной и потенциально инвазивной может быть телеметрия Microsoft. В данном случае она использовалась для ареста предполагаемого хакера, но что, если доступ ко всем этим данным получит кто-то другой, с недобрыми намерениями? Технически подкованные потребители давно жалуются на избыточную телеметрию Windows; вся культура “debloating” (удаления лишнего ПО) является побочным продуктом этого прецедента, но GDID — это то, что нельзя удалить или отключить одним нажатием кнопки. Тем не менее, Стоукс вез с собой два жестких диска, полных улик, когда садился на рейс в Японию, что тоже помогло. Его настоящее имя было известно с 2024 года, но поскольку он был несовершеннолетним и жил попеременно в Эстонии и ОАЭ, за ним можно было только следить до наступления нужного момента. После ареста Стоукс был экстрадирован в США, где 30 июня 2026 года впервые предстал перед федеральным судом в Чикаго и остается под стражей.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:


Похожие новости: