Телеметрия Windows помогла вычислить 19-летнего хакера: он заработал миллионы, но попался из-за одного идентификатора
Стоукс, имеющий гражданство США и Эстонии, был задержан 10 апреля в Финляндии во время попытки вылететь из Хельсинки в Японию. Позже его экстрадировали в США, где предъявили обвинения сразу по шести статьям, включая компьютерный взлом, мошенничество и участие в преступном сговоре.
Вымогательство на $100 млн и атаки на десятки компаний
Следствие связывает Стоукса с группировкой Scattered Spider, на счету которой более 100 успешных кибератак. По данным Министерства юстиции США, деятельность этой организации принесла злоумышленникам около 100 млн долларов.
Одним из самых громких эпизодов стала атака на компанию, занимающуюся продажей элитных ювелирных изделий. Преступники воспользовались социальной инженерией:
позвонили в IT-службу через Google Voice, выдав себя за сотрудников компании;
убедили специалистов предоставить данные для входа в корпоративные учетные записи;
получили доступ к трем аккаунтам, два из которых обладали правами администратора.
После проникновения в систему злоумышленники похитили корпоративные данные и потребовали 8 млн долларов в криптовалюте. Компания отказалась выполнять требования, однако восстановление инфраструктуры и простой бизнеса обошлись ей примерно в 2 млн долларов.
Как Windows помогла следователям
Несмотря на попытки скрыть следы с помощью VPN, Стоукс допустил ошибку, которая в итоге стала решающей. После регистрации в сервисе ngrok, предназначенном для маскировки источника интернет-трафика, его устройство все равно оставило цифровой след в виде GDID — глобального идентификатора устройства Windows.

Этот уникальный идентификатор создается при установке операционной системы и используется в составе телеметрических данных. Согласно материалам суда, Microsoft предоставила следователям информацию о GDID, сопоставив ее с журналами ngrok и временными отметками.
Полученные данные позволили связать IP-адреса устройств, использовавшихся в Таллинне, Нью-Йорке и Таиланде, с входами в личные аккаунты Стоукса в Snapchat, Apple и Facebook.
Ошибка, которая поставила точку в расследовании
Дополнительные доказательства следователи нашли благодаря активности самого хакера. В Snapchat он регулярно публиковал фотографии из дорогих отелей, демонстрируя роскошный образ жизни.
Окончательно расследование завершилось после задержания в аэропорту Хельсинки. При себе у Стоукса находились два жестких диска, на которых, как утверждает следствие, были обнаружены доказательства его преступной деятельности.
При этом американские правоохранители установили личность подозреваемого еще в 2024 году. Однако тогда он был несовершеннолетним и постоянно перемещался между Эстонией и ОАЭ. Вместо немедленного задержания следователи решили продолжить наблюдение и дождались момента, когда собранных доказательств оказалось достаточно для ареста и последующей экстрадиции в США.
Источник: techspot
Mac OS X / Windows
