Windows l-ar fi dat de gol pe un presupus hacker Scattered Spider: identificatorul ascuns care a ajutat FBI
Un dosar federal recent desecretizat arată cum anchetatorii americani au legat un presupus membru al grupării Scattered Spider de un atac asupra unui retailer de bijuterii de lux, folosind un identificator persistent de dispozitiv Windows. Potrivit The Hacker News, datele furnizate de Microsoft au conectat același Global Device Identifier la contul folosit de atacatori pentru a menține accesul în rețeaua victimei și, ulterior, la mai multe conturi online despre care procurorii spun că îi aparțin lui Peter Stokes, un tânăr de 19 ani cu dublă cetățenie americană și estonă.
Stokes, cunoscut online sub numele „Bouquet”, a fost extrădat din Finlanda și a apărut pentru prima dată în fața unei instanțe federale din Chicago pe 30 iunie. El este acuzat de conspirație, intruziune informatică și fraudă, dar este prezumat nevinovat până la o decizie definitivă a instanței. Cazul este important nu doar pentru acuzațiile formulate, ci și pentru felul în care anchetatorii au reconstruit traseul digital al atacului.
Atacul a început cu un telefon la help desk
Potrivit documentelor, atacul a avut loc între 12 și 15 mai 2025. Infractorii nu ar fi exploatat o vulnerabilitate software complicată, ci au folosit o metodă mult mai veche și eficientă: ingineria socială. Au sunat la departamentul IT al retailerului, folosind numere Google Voice, și s-au dat drept angajați care nu se mai puteau autentifica.
Prin aceste apeluri, au convins personalul de suport să reseteze parolele și dispozitivele asociate autentificării multifactor pentru mai multe conturi. În doar câteva ore, atacatorii ar fi preluat controlul asupra a trei conturi, dintre care două aparțineau unor administratori IT. Este exact tipul de scenariu în care tehnologia avansată cade în fața unei proceduri interne slabe.
După ce au obținut accesul, atacatorii au instalat ngrok și un alt instrument de tunelare, Teleport, pentru a menține conexiunea cu rețeaua compromisă. Apoi au mutat date către infrastructură cloud Amazon și au extras cel puțin 77 GB de informații. Au încercat, potrivit anchetatorilor, și să lanseze ransomware, dar echipa de securitate a companiei a blocat atacul și i-a eliminat din rețea.
Chiar și fără criptarea completă a sistemelor, atacatorii au trimis o cerere de răscumpărare de 8 milioane de dolari în criptomonede. Compania nu a plătit, dar incidentul ar fi costat aproximativ 2 milioane de dolari în întreruperi, investigații și curățarea infrastructurii. Cazul se potrivește cu noua realitate a atacurilor de tip ransomware și extorcare cibernetică, unde furtul de date poate fi la fel de valoros ca blocarea sistemelor.
Identificatorul Windows care a legat conturile între ele
Elementul-cheie al anchetei a fost un Global Device Identifier, descris de Microsoft ca un identificator persistent asociat unei instalări Windows. Acesta poate supraviețui actualizărilor sistemului de operare, dar se schimbă atunci când Windows este reinstalat. Procurorii susțin că același identificator a fost asociat dispozitivului care a accesat pagina de înscriere ngrok exact în minutul în care a fost creat contul folosit în atac.
Mai târziu, același dispozitiv ar fi accesat site-ul retailerului prin același proxy. Ancheta a mers apoi mai departe: același identificator și aceleași intervale de activitate au fost corelate cu adrese IP folosite și de conturi Snapchat, Apple și Facebook atribuite lui Stokes. Datele de localizare digitală ar fi coincis cu orașe în care acesta se afla, inclusiv Tallinn, New York și Thailanda, potrivit documentelor menționate în plângerea federală.
Cazul arată cât de greu este să dispari complet online, chiar și atunci când folosești VPN-uri, aliasuri și instrumente de tunelare. Atacatorul ar fi încercat să ascundă operațiunea, dar nu și-ar fi separat suficient de bine identitatea personală de infrastructura folosită în atac. Pentru companii, lecția principală nu este doar tehnică, ci procedurală: un help desk care resetează conturi fără verificări solide poate deveni punctul de intrare într-o breșă majoră.
De aceea, verificarea identității înainte de resetarea parolelor este esențială. Un callback către un număr deja înregistrat, aprobarea managerului sau verificări video pentru conturile privilegiate pot preveni atacuri care nu au nevoie de exploatări sofisticate. Măsuri precum MFA rămân importante pentru protecția datelor, dar nu ajută suficient dacă un angajat de suport poate reseta accesul doar pe baza unei conversații telefonice.
De ce o singură arestare nu oprește amenințarea
Scattered Spider este descrisă de procurori ca o grupare implicată în peste 100 de intruziuni și în răscumpărări de peste 100 de milioane de dolari. Totuși, unele firme de securitate spun că numele desemnează mai degrabă un ecosistem decât o bandă clasică. Ar fi vorba despre celule mici, independente, conectate prin metode, instrumente și canale comune, nu neapărat printr-o conducere unică.
Asta explică de ce arestările individuale nu opresc fenomenul. Alți suspecți asociați cu Scattered Spider au fost urmăriți penal în ultimii ani, inclusiv în SUA și Marea Britanie, dar tacticile au continuat să circule. Într-un astfel de mediu, hard diskurile și datele confiscate pot fi mai importante decât condamnarea unei singure persoane, dacă ele dezvăluie infrastructură, contacte sau instrumente folosite de alte celule.
Pentru utilizatorii obișnuiți, cazul aduce și o altă întrebare: cât de mult poate fi urmărit un dispozitiv prin identificatori interni ai sistemului de operare? În acest dosar, datele au fost folosite pentru o anchetă penală, dar discuția despre telemetrie, confidențialitate și trasabilitate va continua. În același timp, atacurile cu date furate arată că atât companiile, cât și utilizatorii trebuie să trateze identitatea digitală ca pe o țintă permanentă.