Telemetria systemu Windows od lat budzi kontrowersje wśród użytkowników, którzy zarzucają Microsoftowi zbieranie zbyt dużej ilości informacji o komputerach. Tym razem jednak dane diagnostyczne odegrały kluczową rolę w śledztwie prowadzonym przez amerykańskie służby. To właśnie dzięki nim udało się powiązać komputer podejrzanego z serią głośnych cyberataków i doprowadzić do jego ekstradycji do Stanów Zjednoczonych.
Przed amerykańskim sądem stanął 19-letni Peter Stokes, posiadający obywatelstwo USA i Estonii. Co istotne, śledczy wiążą go z grupą Scattered Spider, odpowiedzialną za ponad sto włamań do sieci firm na całym świecie. Według amerykańskiego Departamentu Sprawiedliwości cyberprzestępcy mieli wyłudzić od swoich ofiar ponad 100 milionów dolarów w okupach ransomware.
Śledczy wiążą Stokesa z grupą Scattered Spider, odpowiedzialną za ponad sto włamań do sieci firm na całym świecie.
Atak rozpoczął się od telefonu do działu IT
Jednym z głównych zarzutów jest udział w ataku na luksusową firmę jubilerską w maju 2025 roku. Przestępcy mieli zastosować socjotechnikę, podszywając się pod pracowników podczas rozmowy z działem wsparcia IT. W efekcie uzyskali dostęp do trzech kont użytkowników, z czego dwa posiadały uprawnienia administratora.
Po przejęciu infrastruktury skopiowano dane firmy i zażądano okupu w wysokości 8 milionów dolarów w kryptowalutach. Przedsiębiorstwo odmówiło zapłaty, jednak samo usuwanie skutków incydentu i przestoje wygenerowały straty szacowane na około 2 miliony dolarów.
VPN nie ukrył identyfikatora Windows
Najciekawszym elementem śledztwa okazał się tzw. Global Device Identifier (GDID), czyli unikalny identyfikator przypisywany instalacji systemu Windows i wykorzystywany przez Microsoft do celów telemetrycznych. To właśnie ten identyfikator pozwolił śledczym powiązać aktywność podejrzanego z konkretnym komputerem.
Choć Stokes korzystał z sieci VPN oraz usługi tunelowania ngrok, próbując zamaskować swoją lokalizację, identyfikator GDID pozostał niezmieniony. Po uzyskaniu nakazu sądowego Microsoft przekazał odpowiednie dane organom ścigania, które zestawiły je z logami ngrok oraz aktywnością na kontach Snapchat, Apple i Facebook. Analiza wykazała zgodność z adresami IP pojawiającymi się m.in. w Estonii, USA i Tajlandii.
Dowody znaleziono także przy zatrzymaniu
Śledztwo zakończyło się w kwietniu zatrzymaniem podejrzanego na lotnisku w Helsinkach, podczas próby wylotu do Japonii. Podczas kontroli Stokes miał przy sobie dwa dyski twarde zawierające materiał dowodowy. Jak ujawniono, śledczy znali jego tożsamość już od 2024 roku, jednak ze względu na jego wiek i częste przemieszczanie się między Estonią a Zjednoczonymi Emiratami Arabskimi zdecydowali się poczekać z zatrzymaniem do momentu zgromadzenia pełnego materiału dowodowego.
Spodobało Ci się? Podziel się ze znajomymi!

Pokaż / Dodaj komentarze do:
Haker powiązany ze słynną grupą ransonware złapany. Dzięki funkcji Windowsa