Участника группы Scattered Spider отследили через идентификатор установки Windows - «Новости»
- 14:30, 10-июл-2026
- Новости / Изображения / Преимущества стилей / Добавления стилей / Вёрстка / Заработок / Линии и рамки / Текст / Сайтостроение / Отступы и поля
- Gilson
- 0
В материалах дела 19-летнего Питера Стоукса (Peter Stokes), которого власти США связывают с хак-группой Scattered Spider, обнаружили интересную деталь. Следователи идентифицировали подозреваемого благодаря Microsoft Windows Global Device Identifier (GDID) — постоянному идентификатору установки Windows, который помог связать устройство с кибератакой, VPN-сервисом и личными аккаунтами Стоукса.
Речь идет об атаке на неназванного продавца ювелирных изделий и предметов роскоши, произошедшей в мае 2025 года. По информации следствия, тогда участники Scattered Spider позвонили в ИТ-поддержку компании с помощью Google Voice и представились сотрудниками, которые потеряли доступ к своим аккаунтам. Хакеры убедили операторов сбросить пароли, а также отвязать мобильные устройства, использовавшиеся для двухфакторной аутентификации.
В результате всего за несколько часов атакующие захватили три учетные записи, включая аккаунты двух ИТ-администраторов. Затем они установили ngrok и Teleport, выгрузили в облако Amazon не менее 77 Гбайт данных и попытались развернуть в сети компании шифровальщик.
Специалисты организации успели заблокировать атаку до начала шифрования и закрыли хакерам доступ. Однако вымогатели все равно потребовали у компании 8 млн долларов США в криптовалюте, угрожая опубликовать украденные данные. Пострадавшая организация отказалась платить выкуп, но простой, восстановление инфраструктуры и ликвидация последствий обошлись ей более чем в 2 млн долларов США.
Согласно судебным документам, выйти на Стоукса правоохранителям помог аккаунт ngrok, созданный во время атаки. По данным Microsoft, 12 мая 2025 года, в 19:21, страницу регистрации ngrok открыли на устройстве с идентификатором GDID g:6755467234350028, и в ту же минуту был создан новый аккаунт. Спустя примерно три часа компьютер с тем же GDID обратился к сайту пострадавшей компании через VPN-сервис Tzulo.

В документации Microsoft Global Device Identifier описывается как постоянный ID конкретной установки Windows. Этот ID сохраняется после обновлений операционной системы и меняется при ее переустановке. Идентификатором пользуются разные сервисы Windows, а связанные с ним данные хранятся в инфраструктуре Microsoft.
Следователи сопоставили данные GDID с IP-адресами, с которых исходила активность аккаунтов Snapchat, Apple и Facebook, предположительно принадлежавших Стоуксу. Совпадения были зафиксированы в Таллине, где жил подозреваемый, а также в Нью-Йорке и Таиланде (эти перемещения подтверждались данными о поездках Стоукса, полученными от Госдепартамента США).
Как мы писали ранее, весной 2026 года Стоукса задержали в аэропорту Хельсинки, когда он собирался вылететь в Японию. Позже его экстрадировали в США, где предъявили обвинения в мошенничестве, сговоре и компьютерных взломах, связанных с вымогательством миллионов долларов у крупных компаний. Теперь следствию предстоит доказать вину Стоукса в суде.
Напомним, что хак-группа Scattered Spider (она же 0ktapus, Octo Tempest, Scatter Swine, UNC3944 и Muddled Libra) появилась в 2022 году. Это не обычная хакерская группировка в привычном понимании этого термина, а англоязычное сообщество, в основном состоящее из подростков и молодых людей из США, Великобритании и ряда европейских стран.
Исследователи из компании Group-IB отмечают, что отдельные аресты вряд ли остановят атаки группы. Куда важнее может оказаться содержимое изъятых у Стоукса накопителей, если на них сохранились контакты, данные, связанные с инфраструктурой Scattered Spider, или инструменты других участников группировки.













Комментарии (0)