Lebukott a Scattered Spider hackere: a Windows 11 diagnosztikája vezetett a bilincsig

cybersecurity

Nem védte meg a VPN azt a 19 éves hackert, akit a Microsoft digitális lábnyomai alapján azonosított az FBI. A cyberbűnöző hiába rejtőzött titkosított hálózatok mögé, a Windows 11 beépített egyedi azonosítója és a közösségi média buktatta le.

A mindent látó Windows-telemetria

A digitális rejtőzködésnek megvannak a maga korlátai, és ezt most a saját bőrén tapasztalhatja meg az amerikai-észt kettős állampolgárságú Peter Stokes. A tizenkilenc éves fiatalt, aki online a Bouquet álnevet használta, a hírhedt Scattered Spider zsarolócsoport tagjaként azonosították a hatóságok. Bár a bűnöző szigorúan ügyelt arra, hogy az internetes adatforgalmát VPN-szervereken és az ngrok nevű biztonságos alagútkezelő szolgáltatáson keresztül futtassa, egyetlen apró hardveres részletről teljesen megfeledkezett.

A nyomozást vezető FBI bírósági végzéssel kötelezte a Microsoftot, hogy adja át a gyanúsított gépéhez köthető diagnosztikai adatokat. A techóriás szakértői az ngrok időbélyeges belépési naplói alapján kiszűrték a kérdéses Windows-telepítéshez tartozó egyedi globális eszközazonosítót, a GDID-t (Global Device Identifier). Ez az azonosító kód alapvetően a rendszer összeomlási jelentéseiért és a hibák nyomon követéséért felel, a hatóságok kezében viszont tökéletes nyomkövető eszközzé vált, mert a hálózati trükkök ellenére is fixen azonosította a fizikai számítógépet.

Luxusélet és lebukás Finnországban

A megszerzett hardveres azonosítót az FBI összekötötte a célszemély egyéb online tevékenységeivel. A Microsoft által biztosított GDID történetében szereplő IP-címek tökéletes egyezést mutattak azokkal a helyszínekkel és időpontokkal, amikor Stokes bejelentkezett a saját Snapchat, Apple és Facebook fiókjaiba Tallinntól kezdve New Yorkon át egészen Thaiföldig. A fiatal hacker ráadásul nem bánt csínján a pénzzel: a Snapchaten rendszeresen dicsekedett méregdrága luxusszállodákból posztolt képekkel, miközben a Scattered Spider több mint 100 nagyvállalati rendszer feltörésével és nagyjából 100 millió dollárnyi váltságdíj kicsikarásával bénította meg az amerikai infrastruktúrát.

A csapda végül egy finnországi repülőtéren zárult be, amikor a hatóságok az Interpol vörös riasztása alapján őrizetbe vették a Japánba tartó járatra felszállni készülő hackert. Sokáig nem maradt európai őrizetben, ugyanis a napokban sikeresen lezajlott a kiadatási eljárása, és már egy chicagói szövetségi bíróság előtt kell felelnie a tetteiért.

Milliós károk egyetlen ékszerboltnál

A vádirat központi eleme egy luxusékszereket forgalmazó vállalat elleni, 2025 májusi kibertámadás. Stokes és társai klasszikus pszichológiai manipulációval, az informatikai ügyfélszolgálatot megtévesztve szereztek adminisztrátori jogosultságokat, majd 8 millió dollár értékű kriptovalutát követeltek váltságdíjként. Bár a cég biztonsági csapata végül fizetés nélkül kiakolbStandardította a betolakodókat a hálózatból, az incidens így is komoly nyomot hagyott a könyvelésben.

A Scattered Spider ügy részletei Érték / Adat
Gyanúsított életkora és állampolgársága 19 év, amerikai-észt kettős állampolgár
Követelt váltságdíj a luxusbolttól 8 000 000 dollár kriptovalutában
A megtámadott ékszerbolt valós kára Legalább 2 000 000 dollár (helyreállítás és kiesés)
A zsarolócsoporthoz köthető globális zsarolási összeg Több mint 100 000 000 dollár

Az ékszerboltnak a leállások, a vizsgálatok és a rendszerbiztonság foltozása miatt így is legalább 2 millió dolláros veszteséggel kellett számolnia. Az amerikai igazságügyi minisztérium közleménye szerint Peter Stokes jelenleg is előzetes letartóztatásban van, és a számítógépes csalás, valamint az összeesküvés vádja miatt akár évtizedekre rács mögé kerülhet, bizonyítva, hogy a telemetriai adatok korában már a legdörzsöltebb kiberbűnözők sem láthatatlanok.