Die US-Staatsanwaltschaft hat einen mutmaßlichen Angehörigen der Gruppierung Scattered Spider mit dem Hack eines großen Schmuckeinzelhändlers in Verbindung gebracht und dabei als Schlüsselbeweis die permanente Windows-Gerätekennung genutzt. Laut einer entsiegelten bundesstaatlichen Anklageschrift ermöglichten Microsoft-Protokolle, ein bestimmtes Gerät zunächst mit dem Konto zu verknüpfen, das im Mai 2025 zur Etablierung von Persistenz im Netzwerk des Opfers genutzt wurde, und anschließend mit den Privatkonten des 19-jährigen Peter Stokes, Staatsbürger der USA und Estlands. Der Fall zeigt sowohl die Möglichkeiten der digitalen Forensik zur Attribuierung von Angriffen als auch die grundlegende Verwundbarkeit von Unternehmens-Supportdiensten gegenüber Social Engineering.
Zeitlicher Ablauf des Angriffs: vom Anruf beim Support bis zur Erpressung
Nach Angaben der Anklageschrift riefen die Angreifer im Zeitraum vom 12. bis 15. Mai 2025 von Google-Voice-Nummern bei der IT-Support-Hotline des Retailers an, gaben sich als Mitarbeiter aus, die angeblich aus ihren Konten ausgesperrt waren, und überredeten die Spezialisten, Passwörter sowie an die Multi-Faktor-Authentifizierung gebundene Mobilgeräte zurückzusetzen.
Innerhalb weniger Stunden erlangten die Angreifer die Kontrolle über drei Konten, von denen zwei IT-Administratoren gehörten. Anschließend:
- Installierten sie die Tunneling-Tools ngrok und Teleport, um verdeckten Zugriff einzurichten
- Verlagerten sie Daten in einen Cloud-Speicher von Amazon
- Exfiltrierten sie mindestens 77 Gigabyte an Informationen
- Versuchten sie mutmaßlich, eine Ransomware einzusetzen, jedoch blockierte das Sicherheitsteam des Retailers die Ausführung und drängte die Angreifer aus dem Netzwerk
Trotz des gescheiterten Verschlüsselungsversuchs schickten die Täter eine Erpresser-E-Mail – deren Betreff eine charakteristische Schreibweise enthielt: «IMPORTANT: WE STOLE THE DATA, CONTACT UMMEDIATELY [sic]» – und forderten später 8 Millionen US-Dollar in Kryptowährung. Das Unternehmen verweigerte die Zahlung, erlitt laut Anklage jedoch etwa 2 Millionen US-Dollar an Kosten für Schadensbeseitigung, Untersuchung und Wiederherstellung des Betriebs.
Gerätekennung als digitaler Fingerabdruck
Zentrales Element der Ermittlungen war ein Mechanismus, den Microsoft als Global Device Identifier bezeichnet – eine permanente Kennung, die an eine konkrete Windows-Installation gebunden ist. Nach der Beschreibung in der Anklageschrift bleibt diese Kennung bei Updates des Betriebssystems erhalten, ändert sich jedoch bei einer Neuinstallation von Windows.
Aufzeichnungen von Microsoft zeigten, dass das Gerät mit der Kennung g:6755467234350028 um 19:21 UTC am 12. Mai 2025 die Registrierungsseite von ngrok aufrief – genau in jener Minute, in der das ngrok-Konto erstellt wurde, das für den Angriff genutzt wurde. Rund drei Stunden später griff dasselbe Gerät über denselben Proxy-Server auf die Website des Retailers zu.
Im weiteren Verlauf stellten die Ermittler fest, dass dieses Gerät wiederholt über dieselben IP-Adressen und in denselben Zeiträumen auftauchte wie die Snapchat-, Apple- und Facebook-Konten, die nach Darstellung der Anklage Stokes gehören. Die geografische Korrelation umfasste Tallinn (Juni 2024), New York (November 2024) und Thailand (Februar 2025) und wurde durch Reisedaten des US-Außenministeriums untermauert.
Die Anklage zeichnet das Bild eines Operators, der den Angriff – hinter VPN, Proxy-Servern, Tunneling-Tools und Pseudonymen – verbarg, sich selbst jedoch nicht. Demnach wurden in dem mit Stokes verknüpften Snapchat-Account (bekannt unter dem Pseudonym «Bouquet») Bargeld, Uhren und diamantbesetzte Ketten mit der Aufschrift „HACK THE PLANET“ präsentiert, außerdem Fotos aus eben jenen Städten, darunter eine Aufnahme einer estnischen Polizeidienststelle mit spöttischem Kommentar gegenüber den Strafverfolgungsbehörden.
Bedrohungskontext: Warum eine Festnahme das Problem nicht löst
Stokes ist wegen Verschwörung, Computerintrusion und Betrugs angeklagt. Laut einer Pressemitteilung des Justizministeriums wurde er aus Finnland ausgeliefert und erschien am 30. Juni erstmals vor Gericht in Chicago. Die finnische Polizei nahm ihn am Flughafen Helsinki fest, als er an Bord eines Fluges nach Japan gehen wollte, und beschlagnahmte zwei Festplatten mit jeweils 2 Terabyte Kapazität. Bis zu einem Urteil gilt Stokes als unschuldig.
Die Staatsanwaltschaft beschreibt Scattered Spider als einheitliche Gruppierung, die hinter mehr als 100 Einbrüchen und Erpressungen im Gesamtumfang von über 100 Millionen US-Dollar steht. Allerdings bietet eine Untersuchung von Group-IB ein anderes Modell: Nach Einschätzung der Analysten ist Scattered Spider keine einheitliche Organisation, sondern ein lockerer Verbund kleiner, unabhängiger Zellen – in der Regel mit nicht mehr als fünf Personen –, die durch gemeinsame Methoden, Werkzeuge und Kommunikationskanäle verbunden sind, nicht aber durch eine zentrale Führung. Group-IB vergleicht dieses Phänomen mit der Bewegung Anonymous und stellt ausdrücklich fest, dass die Festnahme einzelner Zellen „die Bedrohung als solche nicht stoppen wird“.
Gerade diese dezentralisierte Struktur erklärt, warum die Aktivität der Gruppierung trotz einer Reihe strafrechtlicher Verfolgungen in verschiedenen Jurisdiktionen anhält. Jede Festnahme beseitigt einen konkreten Operator, doch das übergreifende Set an Taktiken, Techniken und Prozeduren bleibt über gemeinsame Chat-Kanäle und Communities verfügbar.
Praktische Handlungsempfehlungen
Dieser Vorfall macht deutlich, dass der Angriffsvektor keine Software-Schwachstelle, sondern ein Prozessproblem war – Social Engineering über den Support. Organisationen sollten sich auf die folgenden Maßnahmen konzentrieren:
- Verifizierung der Identität beim Zurücksetzen von Konten: Führen Sie verpflichtende Rückrufe an eine bereits im System hinterlegte Nummer, eine Bestätigung durch die direkte Führungskraft oder eine Videoverifizierung ein – insbesondere für privilegierte Konten
- Hardwarebasierte Multi-Faktor-Authentifizierung: Der Einsatz von FIDO2-Schlüsseln neutralisiert Phishing-Angriffe auf MFA, schützt jedoch nicht vor Situationen, in denen ein Support-Mitarbeiter die Gerätebindung nach einem Telefonanruf zurücksetzt
- Überwachung von Tunneling-Tools: Erkennen und blockieren Sie die unautorisierte Nutzung von ngrok, Teleport und ähnlichen Werkzeugen im Unternehmensnetz
- Kontrolle massenhafter Exfiltration: Richten Sie Alarme für ungewöhnlich hohe ausgehende Traffic-Volumina ein, insbesondere in Richtung von Cloud-Speichern
- Beschränkung von Privilegien: Minimieren Sie die Zahl der Konten mit IT-Administratorrechten und unterwerfen Sie diese verstärkten Authentifizierungsprozessen
Der Fall Stokes zeigt, dass digitale Forensik einen konkreten Operator auch dann mit einem Angriff verknüpfen kann, wenn VPN und Proxies eingesetzt werden – für die betroffenen Organisationen ist das jedoch nur ein schwacher Trost. Die zentrale Lehre aus diesem Vorfall liegt nicht in der Attributionstechnologie, sondern darin, dass ein einziger Anruf beim Support den Zugang zu Administratorkonten und 77 Gigabyte an Daten öffnete. Solange das Passwort-Reset-Verfahren keine verlässliche Identitätsprüfung verlangt, können weder FIDO2-Schlüssel noch EDR-Lösungen diese Lücke schließen.