Американские спецслужбы арестовали 19-летнего киберпреступника из группировки Scattered Spider, задействовав встроенный в операционную систему Windows механизм сбора телеметрии. Согласно судебным документам, детали которых стали публичными 6 июля 2026 года, ФБР запросило у корпорации Microsoft данные служебного идентификатора Global Device ID. Этот шаг позволил связать активность подозреваемого с его личным компьютером и восстановить точное время посещения им ресурсов в интернете. Инцидент спровоцировал дискуссию о границах приватности, так как телеметрия от Microsoft способна деанонимизировать пользователя даже при использовании нескольких надежных VPN-сервисов одновременно.
Как следователи вышли на след подозреваемого
Питер Стокс был задержан финской полицией в апреле 2026 года при попытке сесть на международный рейс в Японию. При себе у молодого человека, имеющего двойное гражданство США и Эстонии, находились два переносных жестких диска объемом по два терабайта каждый. Федеральное бюро расследований считает Стокса ключевым участником хакерской группы Scattered Spider, которую аналитики безопасности Microsoft отслеживают под кодовым названием Octo Tempest. Эта преступная организация подозревается в компрометации более ста корпоративных сетей по всему миру и получении выкупов на общую сумму свыше 100 миллионов долларов.
В фокусе 39-страничного обвинительного заключения находится взлом инфраструктуры крупного продавца роскошных ювелирных изделий в мае 2025 года. Злоумышленник действовал предельно осторожно и скрывал свой IP-адрес с помощью виртуальных частных сетей. Хакер одновременно маршрутизировал трафик через три разные точки обхода блокировок. Однако следователи ФБР нашли нестандартный подход и обратились напрямую к разработчикам операционной системы, установленной на компьютере преступника.
Социальная инженерия вместо сложного кода
Взлом ювелирного ретейлера демонстрирует эволюцию методов современных хакеров и отход от классических программных эксплойтов. Атака в мае 2025 года началась с банальных телефонных звонков с номеров Google Voice. Злоумышленники звонили в службу технической поддержки компании, выдавая себя за реальных сотрудников, потерявших доступ к корпоративным системам. Их главной целью был сброс учетных данных, включая пароли и привязанные мобильные телефоны для многофакторной аутентификации.
Всего за несколько часов хакерам удалось полностью скомпрометировать три внутренние учетные записи без написания единой строчки вредоносного кода. Группировка Scattered Spider специализируется именно на таких операциях, профессионально применяя социальную инженерию против рядовых операторов технической поддержки. При этом техническая неосторожность и доверие к экосистеме от Microsoft в итоге свели на нет все попытки Стокса замаскировать свое сетевое присутствие.
Что такое Global Device ID и почему не спасает VPN
Фундаментом успешного расследования стало использование технологии Global Device ID или сокращенно GDID. Это уникальный цифровой отпечаток, который автоматически генерируется при первичной установке Windows. Он намертво привязывается к конкретной копии операционной системы.
«Согласно заявлению представителя Microsoft, глобальный идентификатор устройства в экосистеме Windows является постоянным идентификатором уровня устройства, предназначенным для уникальной идентификации установки операционной системы Windows на устройстве, будь то физическое устройство или виртуальная машина», — указывается в материале издания PCMag (перевод Digital Report).
Главная угроза для приватности заключается в том, что серверы Microsoft связывают GDID с запросами к сторонним веб-службам и фиксируют точные временные метки этих обращений. Судебные документы подтверждают, что корпорация передала ФБР логи с доказательствами того, как конкретный GDID обращался к серверам веб-хостинга Tzulo для управления атакой. Таким образом, даже если весь трафик пользователя зашифрован и направлен через туннели VPN, сама операционная система в фоновом режиме продолжает отправлять телеметрию в Редмонд. Эта скрытая передача данных позволила правоохранителям обойти защиту Стокса и собрать доказательную базу без необходимости взламывать серверы его провайдеров.
Реакция экспертов на скрытые инструменты слежки
Публикация судебных материалов вызвала закономерную критику в сообществе специалистов по информационной безопасности. Стало очевидно, что Microsoft обладает встроенной технической возможностью тотально отслеживать сетевую активность пользователей, не прибегая к файлам cookie в браузере. Учитывая отсутствие в Windows простого переключателя для отключения GDID, под угрозой деанонимизации могут оказаться любые пользователи, критически зависящие от сетевой конфиденциальности.
«Microsoft Windows является программным обеспечением для слежки», — заявил эксперт по кибербезопасности Мэттью Хики в статье PCMag (перевод Digital Report).
Практически единственным надежным способом сбросить глобальный идентификатор остается полная переустановка операционной системы. Согласно примечаниям в уголовном деле, каждое новое развертывание Windows генерирует свежий код. Следовательно, один физический компьютер может менять GDID с течением времени. Но независимые исследователи предупреждают, что алгоритмам Microsoft не составит труда связать старый и новый идентификаторы воедино, если владелец войдет в свою облачную учетную запись или продолжит использовать тот же домашний IP-адрес для авторизации. Тем, кто ищет максимальной анонимности, эксперты советуют переходить на открытые операционные системы на базе ядра Linux, лишенные коммерческой аппаратной телеметрии.
Подписывайтесь на телеграм канал Digital Report, чтобы первыми узнавать о главных событиях цифровой индустрии.
