Mastodon Mastodon Mastodon Mastodon

Как persistent-идентификатор устройства Windows помог ФБР выйти на участника Scattered Spider

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

Прокуратура США связала предполагаемого участника группировки Scattered Spider со взломом крупного ювелирного ритейлера, используя в качестве ключевой улики постоянный идентификатор устройства Windows. Согласно рассекреченному федеральному обвинительному заключению, записи Microsoft позволили привязать конкретное устройство сначала к учётной записи, использованной для закрепления в сети жертвы в мае 2025 года, а затем — к личным аккаунтам 19-летнего Питера Стоукса, гражданина США и Эстонии. Дело демонстрирует как возможности цифровой криминалистики для атрибуции атак, так и фундаментальную уязвимость корпоративных служб поддержки перед социальной инженерией.

Хронология атаки: от звонка в службу поддержки до вымогательства

По данным обвинительного заключения, в период с 12 по 15 мая 2025 года злоумышленники звонили в IT-службу поддержки ритейлера с номеров Google Voice, представлялись сотрудниками, якобы заблокированными в своих учётных записях, и убеждали специалистов сбросить пароли и привязанные к многофакторной аутентификации мобильные устройства.

В течение нескольких часов атакующие получили контроль над тремя учётными записями, две из которых принадлежали IT-администраторам. Далее они:

  • Установили инструменты туннелирования ngrok и Teleport для организации скрытого доступа
  • Переместили данные в облачное хранилище Amazon
  • Эксфильтровали не менее 77 гигабайт информации
  • Предположительно попытались развернуть программу-вымогатель, однако команда безопасности ритейлера заблокировала развёртывание и вытеснила атакующих из сети

Несмотря на неудачу с шифрованием, злоумышленники отправили письмо с требованием выкупа — тема сообщения содержала характерную опечатку: «IMPORTANT: WE STOLE THE DATA, CONTACT UMMEDIATELY [sic]» — и впоследствии потребовали 8 миллионов долларов в криптовалюте. Компания отказалась платить, однако, как сообщается в обвинении, понесла убытки около 2 миллионов долларов на ликвидацию последствий, расследование и восстановление работы.

Идентификатор устройства как цифровой отпечаток

Ключевым элементом расследования стал механизм, который Microsoft обозначает как Global Device Identifier — постоянный идентификатор, привязанный к конкретной установке Windows. Согласно описанию в обвинительном заключении, этот идентификатор сохраняется при обновлениях операционной системы, но меняется при переустановке Windows.

Записи Microsoft показали, что устройство с идентификатором g:6755467234350028 посетило страницу регистрации ngrok в 19:21 UTC 12 мая 2025 года — в ту же минуту, когда была создана учётная запись ngrok, использованная в атаке. Примерно через три часа то же устройство обратилось к веб-сайту ритейлера через тот же прокси-сервер.

Далее следователи установили, что это устройство неоднократно появлялось на тех же IP-адресах и в те же временные промежутки, что и аккаунты Snapchat, Apple и Facebook, которые, по версии обвинения, принадлежат Стоуксу. Географическая корреляция охватила Таллин (июнь 2024), Нью-Йорк (ноябрь 2024) и Таиланд (февраль 2025), что подтверждалось записями Государственного департамента о поездках.

Обвинение рисует портрет оператора, который скрывал атаку — за VPN, прокси-серверами, инструментами туннелирования и псевдонимами, — но не скрывал себя. По данным следствия, в Snapchat-аккаунте, связанном со Стоуксом (известным под псевдонимом «Bouquet»), демонстрировались наличные, часы и бриллиантовые цепочки с надписью «HACK THE PLANET», а также фотографии из тех самых городов, включая снимок эстонского полицейского участка с насмешливым комментарием в адрес правоохранительных органов.

Контекст угрозы: почему один арест не решает проблему

Стоуксу предъявлены обвинения в сговоре, компьютерном вторжении и мошенничестве. Согласно пресс-релизу Министерства юстиции, он был экстрадирован из Финляндии и впервые предстал перед судом в Чикаго 30 июня. Финская полиция задержала его в аэропорту Хельсинки при попытке сесть на рейс в Японию и изъяла два жёстких диска ёмкостью 2 терабайта каждый. Стоукс считается невиновным до вынесения приговора.

Прокуратура описывает Scattered Spider как единую группировку, стоящую за более чем 100 вторжениями и вымогательством на сумму свыше 100 миллионов долларов. Однако исследование Group-IB предлагает иную модель: по оценке аналитиков, Scattered Spider — это не единая организация, а рыхлый коллектив из небольших независимых ячеек, как правило, не более пяти человек, объединённых общими методами, инструментами и каналами коммуникации, а не единым руководством. Group-IB сравнивает это явление с движением Anonymous и прямо указывает, что аресты отдельных ячеек «не остановят саму угрозу».

Именно эта децентрализованная структура объясняет, почему активность группировки продолжается, несмотря на серию уголовных преследований в разных юрисдикциях. Каждый арест устраняет конкретного оператора, но общий набор тактик, техник и процедур остаётся доступным через общие чат-каналы и сообщества.

Практические рекомендации

Данный инцидент подчёркивает, что вектором атаки послужила не программная уязвимость, а процессная — социальная инженерия через службу поддержки. Организациям следует сосредоточиться на следующих мерах:

  • Верификация личности при сбросе учётных данных: внедрите обязательный обратный звонок на номер, уже зафиксированный в системе, подтверждение от непосредственного руководителя или видеоверификацию — особенно для привилегированных учётных записей
  • Аппаратная многофакторная аутентификация: развёртывание ключей FIDO2 нейтрализует фишинговые атаки на MFA, но не защищает от ситуации, когда оператор службы поддержки сбрасывает привязку устройства по телефонному звонку
  • Мониторинг инструментов туннелирования: обнаружение и блокировка несанкционированного использования ngrok, Teleport и аналогичных средств в корпоративной сети
  • Контроль массовой эксфильтрации: настройте оповещения на аномальные объёмы исходящего трафика, особенно в направлении облачных хранилищ
  • Ограничение привилегий: минимизируйте количество учётных записей с правами IT-администратора и применяйте к ним усиленные процедуры аутентификации

Дело Стоукса показывает, что цифровая криминалистика способна связать конкретного оператора с атакой даже при использовании VPN и прокси — но для организаций-жертв это слабое утешение. Ключевой урок этого инцидента не в технологии атрибуции, а в том, что единственный телефонный звонок в службу поддержки открыл доступ к административным учётным записям и 77 гигабайтам данных. Пока процедура сброса пароля не требует надёжной верификации личности, ни FIDO2-ключи, ни EDR-решения не компенсируют этот разрыв.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.