
Телеметрия Windows помогла вычислить 19-летнего хакера: он заработал миллионы, но попался из-за одного идентификатора
Стоукс, имеющий гражданство США и Эстонии, был задержан 10 апреля в Финляндии во время попытки вылететь из Хельсинки в Японию. Позже его экстрадировали в США, где предъявили обвинения сразу по шести статьям, включая компьютерный взлом, мошенничество и участие в преступном сговоре.
Следствие связывает Стоукса с группировкой Scattered Spider, на счету которой более 100 успешных кибератак. По данным Министерства юстиции США, деятельность этой организации принесла злоумышленникам около 100 млн долларов.
Одним из самых громких эпизодов стала атака на компанию, занимающуюся продажей элитных ювелирных изделий. Преступники воспользовались социальной инженерией:
позвонили в IT-службу через Google Voice, выдав себя за сотрудников компании;
убедили специалистов предоставить данные для входа в корпоративные учетные записи;
получили доступ к трем аккаунтам, два из которых обладали правами администратора.
После проникновения в систему злоумышленники похитили корпоративные данные и потребовали 8 млн долларов в криптовалюте. Компания отказалась выполнять требования, однако восстановление инфраструктуры и простой бизнеса обошлись ей примерно в 2 млн долларов.
Несмотря на попытки скрыть следы с помощью VPN, Стоукс допустил ошибку, которая в итоге стала решающей. После регистрации в сервисе ngrok, предназначенном для маскировки источника интернет-трафика, его устройство все равно оставило цифровой след в виде GDID — глобального идентификатора устройства Windows.
Этот уникальный идентификатор создается при установке операционной системы и используется в составе телеметрических данных. Согласно материалам суда, Microsoft предоставила следователям информацию о GDID, сопоставив ее с журналами ngrok и временными отметками.
Полученные данные позволили
Читать на ilenta.com
