Киберпреступность

Windows-идентификатор вывел ФБР на участника Scattered Spider

Маша Даровская
By Маша Даровская , IT-редактор и автор
Windows-идентификатор вывел ФБР на участника Scattered Spider
Обложка © Anonhaven

В США раскрыли детали дела 19-летнего Питера Стокса, которого следствие называет участником Scattered Spider. В судебных документах он проходит под никами Bouquet, Spencer и Jordan. Главная техническая деталь дела — Microsoft Global Device Identifier, или GDID: постоянный идентификатор установки Windows, помог связать ngrok-аккаунт, IP-адреса, активность в браузере и личные аккаунты подозреваемого.

Министерство юстиции США сообщило, что Стокс имеет гражданство США и Эстонии, был задержан в Финляндии в апреле 2026 года по красному уведомлению Интерпола, затем экстрадирован в США и 30 июня впервые предстал перед федеральным судом в Чикаго. Суд оставил его под стражей. Ему предъявлены обвинения в сговоре, компьютерном вторжении и мошенничестве.

Дело связано с Scattered Spider — группой, также известной как Octo Tempest, UNC3944 и 0ktapus. Минюст США описывает её как преступную кибергруппу, которая получала доступ к корпоративным аккаунтам через обман сотрудников, крала или шифровала данные, затем требовала криптовалюту за возврат доступа или отказ от публикации украденной информации. Ведомство указывает, что Scattered Spider связывают с более чем 100 сетевыми вторжениями и выплатами выкупов свыше $100 млн.

В материалах дела отдельно описан взлом неназванной компании F — крупного продавца предметов роскоши. Следствие пишет, что инцидент начался 12 мая 2025 года с фишинговых звонков в ИТ-службу поддержки. Атакующие выдавали себя за сотрудников компании и просили сбросить пароль и устройство для многофакторной аутентификации. За два-три часа они скомпрометировали три аккаунта, включая два аккаунта ИТ-администраторов.

Дальше злоумышленники использовали привилегированные учётные записи для доступа к платформам виртуальных серверов и облачной инфраструктуры компании. На одном из серверов был установлен агент ngrok — легитимного сервиса для создания защищённых туннелей. В обычной разработке ngrok помогает открыть локальный сервис наружу. В атаке он стал каналом для постоянного несанкционированного доступа к дата-центру жертвы.

По версии обвинения, через этот доступ украли данные компании, после чего атакующие потребовали около $8 млн в криптовалюте. Выкуп не стали выплачивать, но компания всё равно потеряла не менее $2 млн из-за простоя, расследования и восстановления.

Самая обсуждаемая часть дела — как следствие связало ngrok-аккаунт с конкретным человеком. В жалобе указано, что ngrok-аккаунт был создан 12 мая 2025 года в 19:21 UTC с IP-адреса VPN/proxy-сервиса Tzulo. Записи ngrok показывали пять событий подключения и 12 событий туннелирования к серверу компании F в даты атаки.

Дальше в дело вошли записи Microsoft. Судебный документ указывает, что ngrok-аккаунт был создан через устройство с Global Device Identifier g:6755467234350028. Представитель Microsoft описал GDID как постоянный идентификатор уровня устройства в экосистеме Windows, который уникально определяет конкретную установку Windows на физическом устройстве или виртуальной машине в отдельных сервисах и сценариях Microsoft. Идентификатор сохраняется при обновлениях Windows, но меняется при переустановке системы. В этом деле именно вокруг идентификатора следствие собрало остальные совпадения: ngrok, IP-адреса, посещение сайта компании-жертвы, Snapchat, Apple, Facebook и поездки.

Microsoft-записи показали, что устройство с этим GDID в момент создания ngrok-аккаунта открывало страницу регистрации ngrok. Через несколько часов то же устройство, по данным Microsoft, заходило на сайт компании F с того же VPN/proxy-адреса.

Затем следствие сопоставило GDID с личными аккаунтами Стокса. В документе перечислены совпадения по IP: в июне 2024 года устройство с GDID использовало адрес в Таллине, где жил Стокс, и тот же адрес применялся для входа в его Facebook и Snapchat. В ноябре 2024 года тот же GDID пересекался с IP в Нью-Йорке, который также использовался для доступа к Apple-аккаунту и Snapchat. В феврале 2025 года аналогичное совпадение появилось в Таиланде.

В материалах дела фигурируют записи о поездках, фотографии из Snapchat и отели. Например, устройство с GDID посещало сайт Empire Hotel в Нью-Йорке, а затем в Snapchat-аккаунте появилась фотография, которую следствие сопоставило с интерьером номера этого отеля. В Таиланде аккаунт публиковал изображения, связанные с Waldorf Astoria Bangkok.

Отдельный блок доказательств связан с Microsoft-аналитиками. В жалобе указано, что 29 октября 2024 года Microsoft передала в ФБР сведения, по которым адрес jordanspencer@riseup.net оценивался как использовавшийся Стоксом. Там же отмечено, что другой участник дела подтвердил использование Стоксом ника Bouquet.

Профильные издания обратили внимание именно на GDID. iTnews пишет, что Microsoft передала идентификатор следствию после судебного запроса, а затем ФБР сопоставило историю IP-активности этого GDID с логинами в Snapchat, Apple и Facebook. Такие идентификаторы обычно применяются для диагностики, отчётов о сбоях, анализа использования функций и выявления злоупотреблений вроде многократного получения пробных лицензий с одной машины.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.