vodyanoe-ohlazhdenie-dlya-videokarty.ru

Scattered Spider пойман. Microsoft сдала всё

Scattered Spider пойман. Microsoft сдала всё
Foto: vodyanoe-ohlazhdenie-dlya-videokarty.ru

Автор vodyanoe-ohlazhdenie-dlya-videokarty.ru, июл 07, 2026

Scattered Spider пойман. Microsoft сдала всё

19-летний предполагаемый участник крупнейшей хакерской группировки задержан в Хельсинки - его выдала телеметрия Windows

Питер Стоукс не успел сесть на рейс до Токио. Прямо в хельсинкском аэропорту его перехватили финские и американские правоохранители. 19-летний гражданин США и Эстонии считается членом Scattered Spider - группировки, которая выбила из жертв более $100 млн выкупа и давно стоит в топе приоритетов ФБР.

Атака на ювелирный бренд и $8 млн в крипте

Главное обвинение против Стоукса связано с майской атакой 2025 года на люксового ювелирного дилера из США. Схема - классическая для Scattered Spider: злоумышленники позвонили в IT-поддержку компании через Google Voice, представились сотрудниками и убедили службу сбросить учётные данные. Это дало доступ к трём аккаунтам, двое из которых имели права администратора. Дальше - кража данных и требование $8 млн в криптовалюте.

Компании удалось восстановить инфраструктуру без выплаты. Но простой обошёлся в $2 млн - и именно это стало формальным поводом для возбуждения уголовного дела. Стоукс ожидает суда по обвинениям в сговоре, мошенничестве и киберпреступлениях.

Кто такие Scattered Spider и почему их так сложно ловить

Группировка действует под несколькими именами: Octo Tempest, UNC3944, Oktapus. Специализация - социальная инженерия. Никаких экзотических уязвимостей нулевого дня: только звонки, убеждение, человеческий фактор. Именно поэтому традиционные защитные периметры против них работают слабо.

  • Суммарный ущерб от деятельности группировки - свыше $100 млн вымогательских выплат
  • Участники, как правило, молодые англоязычные люди, часть из них - граждане США и Великобритании
  • Ранее атаковали MGM Resorts, Caesars Entertainment, Twilio и десятки других крупных компаний

Задержать кого-либо из ядра группировки всегда было непросто: участники умело скрывали следы. Дело Стоукса стало возможным отчасти потому, что он работал с Windows.

GDID: как телеметрия Microsoft раскрыла хакера

Ключевую роль в поимке сыграла система Microsoft под названием GDID - Global Device Identifier. Это уникальный идентификатор, встроенный в каждую установку Windows и собирающий телеметрию, привязанную к конкретному железу. Именно он позволил следователям связать физическое устройство Стоукса с конкретной сетевой активностью, IP-адресами, геолокацией и используемыми инструментами - в том числе Ngrok.

Microsoft передала данные GDID ФБР по запросу, и к моменту, когда прокуратура начала выстраивать доказательную базу, большая часть цифрового портрета подозреваемого уже существовала: история активности, статус в Azure, временны́е метки сессий, даже история видеоигр. Оставалось лишь соединить точки.

Это ставит неудобный вопрос. Телеметрия Windows давно вызывает споры среди технически грамотных пользователей - и случай Стоукса наглядно показывает, насколько детальной она бывает на практике. Примечательно, что ранее в этом году Microsoft впервые публично выдала ключи BitLocker по ордеру ФБР - прецедент, который тоже не прошёл незамеченным в профессиональном сообществе.

Для правоохранителей - инструмент. Для всех остальных - повод задуматься, что именно Windows знает о своих пользователях.