ФБР использовала идентификатор Windows 11 для ареста за распространение программы-вымогателя

от автора

Министерство юстиции США при содействии ФБР и Национального бюро расследований Финляндии арестовало молодого человека, которого считают членом группировки Scattered Spider. 19-летний Питер Стоукс, имеющий двойное гражданство США и Эстонии, пытался сесть на рейс из Хельсинки в Японию, когда его задержали сотрудники правоохранительных органов. 

В задержании Стоукса также сыграла роль система GDID компании Microsoft. Обвиняемый ожидает суда, ему предъявлены обвинения в сговоре, киберпреступлениях и мошенничестве.

Scattered Spider — одна из крупнейших киберпреступных группировок в мире, которая, по данным Министерства юстиции, вымогала более $100 млн в качестве выкупа. Группа также действует под названиями Octo Tempest, UNC3944 и Oktapus и известна своими методами социальной инженерии. Таким образом, основное уголовное обвинение против Стоукса связано с атакой на дилера ювелирных изделий класса люкс, базирующегося в США, в мае 2025 года.

Злоумышленники, по всей видимости, позвонили в службу поддержки IT компании, используя Google Voice и представившись сотрудниками. Им удалось убедить службу поддержки сбросить свои учётные данные, что позволило им проникнуть в три аккаунта, два из которых имели права администратора. После этого группа похитила важные данные и потребовала выкуп в размере $8 млн в криптовалюте.

В конечном итоге компания восстановила доступ к своей инфраструктуре и избежала выплаты выкупа, но сбой в работе всё же привел к предполагаемым убыткам в размере $2 млн. Это послужило толчком к аресту Стокса в Хельсинки, поскольку прокуратура постепенно отслеживала бумажные и цифровые следы, оставленные злоумышленниками. Microsoft сыграла ключевую роль в этом процессе, предоставив ФБР данные GDID, чтобы помочь им задержать предполагаемого преступника.

GDID расшифровывается как Global Device Identifier (глобальный идентификатор устройства); это уникальный идентификатор, присваиваемый каждой установке Windows, который отслеживает телеметрию, специфичную для устройства. Именно поэтому иногда замена важного компонента в вашем ПК может привести к аннулированию лицензии Windows. Судебные документы по делу показывают, что Стокс использовал Windows, благодаря чему следователи смогли связать его физическое оборудование с конкретной интернет-активностью и местоположением. В GDID практически заранее подготовили исчерпывающий отчёт о Стоксе ещё до того, как обвинение начало собирать доказательства, и оставалось лишь соединить точки. Веб-активность Стокса, история видеоигр, IP-адреса, использование инструментов (включая Ngrok), статус Azure и многое другое были зарегистрированы с отметками времени и предоставлены следователям компанией Microsoft.

Это поднимает вопросы о том, насколько детальной и потенциально инвазивной может быть телеметрия Microsoft. Технически подкованные потребители давно жалуются на её избыточность. 

Ранее в этом году Microsoft впервые публично отдала ключи BitLocker по ордеру ФБР.

ссылка на оригинал статьи https://habr.com/ru/articles/1055906/