Прокуратура США пов’язала ймовірного учасника угруповання Scattered Spider зі зламом великого ювелірного ритейлера, використавши як ключовий доказ постійний ідентифікатор пристрою Windows. Згідно з розсекреченим федеральним обвинувальним висновком, записи Microsoft дали змогу прив’язати конкретний пристрій спочатку до облікового запису, використаного для закріплення в мережі жертви в травні 2025 року, а згодом — до особистих акаунтів 19-річного Пітера Стоукса, громадянина США та Естонії. Справа демонструє як можливості цифрової криміналістики щодо атрибуції атак, так і фундаментальну вразливість корпоративних служб підтримки до соціальної інженерії.
Хронологія атаки: від дзвінка в службу підтримки до вимагання
За даними обвинувального висновку, у період з 12 по 15 травня 2025 року зловмисники телефонували до IT-служби підтримки ритейлера з номерів Google Voice, представлялися співробітниками, нібито заблокованими у своїх облікових записах, і переконували фахівців скинути паролі та прив’язані до багатофакторної автентифікації мобільні пристрої.
Протягом кількох годин атакувальники отримали контроль над трьома обліковими записами, два з яких належали IT-адміністраторам. Далі вони:
- встановили інструменти тунелювання ngrok і Teleport для організації прихованого доступу
- перемістили дані в хмарне сховище Amazon
- ексфільтрували щонайменше 77 гігабайтів інформації
- ймовірно, спробували розгорнути програму-вимагач, однак команда безпеки ритейлера заблокувала розгортання і витіснила атакувальників з мережі
Попри невдачу з шифруванням, зловмисники надіслали лист із вимогою викупу — тема повідомлення містила характерну друкарську помилку: «IMPORTANT: WE STOLE THE DATA, CONTACT UMMEDIATELY [sic]» — і згодом зажадали 8 мільйонів доларів у криптовалюті. Компанія відмовилася платити, однак, як зазначається в обвинуваченні, зазнала збитків близько 2 мільйонів доларів на ліквідацію наслідків, розслідування та відновлення роботи.
Ідентифікатор пристрою як цифровий відбиток
Ключовим елементом розслідування став механізм, який Microsoft позначає як Global Device Identifier, — постійний ідентифікатор, прив’язаний до конкретної інсталяції Windows. Згідно з описом в обвинувальному висновку, цей ідентифікатор зберігається під час оновлень операційної системи, але змінюється під час перевстановлення Windows.
Записи Microsoft показали, що пристрій з ідентифікатором g:6755467234350028 відвідав сторінку реєстрації ngrok о 19:21 UTC 12 травня 2025 року — в ту саму хвилину, коли було створено обліковий запис ngrok, використаний в атаці. Приблизно через три години той самий пристрій звернувся до вебсайту ритейлера через той самий проксі-сервер.
Далі слідчі встановили, що цей пристрій неодноразово з’являвся на тих самих IP-адресах і в ті самі проміжки часу, що й акаунти Snapchat, Apple та Facebook, які, за версією обвинувачення, належать Стоуксу. Географічна кореляція охопила Таллінн (червень 2024 року), Нью-Йорк (листопад 2024 року) і Таїланд (лютий 2025 року), що підтверджувалося записами Державного департаменту про подорожі.
Обвинувачення змальовує портрет оператора, який приховував атаку — за VPN, проксі-серверами, інструментами тунелювання та псевдонімами, — але не приховував себе. За даними слідства, в акаунті Snapchat, пов’язаному зі Стоуксом (відомим під псевдонімом «Bouquet»), демонструвалися готівка, годинники та діамантові ланцюги з написом «HACK THE PLANET», а також фотографії з тих самих міст, включно зі знімком естонського поліцейського відділку з насмішливим коментарем на адресу правоохоронних органів.
Контекст загрози: чому один арешт не розв’язує проблему
Стоуксу пред’явлено обвинувачення у змові, комп’ютерному вторгненні та шахрайстві. Згідно з пресрелізом Міністерства юстиції, його було екстрадовано з Фінляндії, і вперше він постав перед судом у Чикаго 30 червня. Фінська поліція затримала його в аеропорту Гельсінкі під час спроби сісти на рейс до Японії та вилучила два жорсткі диски обсягом 2 терабайти кожен. Стоукс вважається невинуватим до винесення вироку.
Прокуратура описує Scattered Spider як єдине угруповання, що стоїть за більш ніж 100 вторгненнями та вимаганням на суму понад 100 мільйонів доларів. Однак дослідження Group-IB пропонує іншу модель: за оцінкою аналітиків, Scattered Spider — це не єдина організація, а розрізнений колектив із невеликих незалежних осередків, як правило, не більш як п’ять осіб, об’єднаних спільними методами, інструментами та каналами комунікації, а не єдиним керівництвом. Group-IB порівнює це явище з рухом Anonymous і прямо вказує, що арешти окремих осередків «не зупинять саму загрозу».
Саме така децентралізована структура пояснює, чому активність угруповання триває, попри серію кримінальних переслідувань у різних юрисдикціях. Кожен арешт усуває конкретного оператора, але загальний набір тактик, технік і процедур залишається доступним через спільні чати та спільноти.
Практичні рекомендації
Цей інцидент підкреслює, що вектором атаки стала не програмна, а процесна вразливість — соціальна інженерія через службу підтримки. Організаціям варто зосередитися на таких заходах:
- Верифікація особи під час скидання облікових даних: запровадьте обов’язковий зворотний дзвінок на номер, уже зафіксований у системі, підтвердження від безпосереднього керівника або відеоверифікацію — особливо для привілейованих облікових записів
- Апаратна багатофакторна автентифікація: розгортання ключів FIDO2 нейтралізує фішингові атаки на MFA, але не захищає від ситуації, коли оператор служби підтримки скидає прив’язку пристрою за телефонним дзвінком
- Моніторинг інструментів тунелювання: виявлення та блокування несанкціонованого використання ngrok, Teleport та аналогічних засобів у корпоративній мережі
- Контроль масової ексфільтрації: налаштуйте сповіщення на аномальні обсяги вихідного трафіку, особливо в напрямку хмарних сховищ
- Обмеження привілеїв: мінімізуйте кількість облікових записів із правами IT-адміністратора та застосовуйте до них посилені процедури автентифікації
Справа Стоукса показує, що цифрова криміналістика здатна пов’язати конкретного оператора з атакою навіть за використання VPN і проксі, — але для організацій-жертв це слабка втіха. Ключовий урок цього інциденту не в технології атрибуції, а в тому, що один-єдиний телефонний дзвінок до служби підтримки відкрив доступ до адміністративних облікових записів і 77 гігабайтів даних. Поки процедура скидання пароля не вимагає надійної верифікації особи, ані ключі FIDO2, ані EDR-рішення не компенсують цю прогалину.