Μοναδικό αναγνωριστικό των Windows οδήγησε στη σύλληψη φερόμενου μέλους της ομάδας χάκερ Scattered Spider

χάκερ, ασφάλεια

Ένα μόνιμο αναγνωριστικό συσκευής των Windows έπαιξε καθοριστικό ρόλο στον εντοπισμό και τη σύλληψη ενός φερόμενου μέλους της διαβόητης ομάδας κυβερνοεγκλήματος Scattered Spider, σύμφωνα με ομοσπονδιακή δικογραφία που κατατέθηκε στις Ηνωμένες Πολιτείες.

Ο 19χρονος Πίτερ Στόουκς, με αμερικανική και εσθονική υπηκοότητα, συνελήφθη στις 10 Απριλίου 2026 στη Φινλανδία, ενώ επιχειρούσε να επιβιβαστεί σε πτήση με προορισμό την Ιαπωνία. Κατά τη σύλληψή του είχε στην κατοχή του δύο σκληρούς δίσκους χωρητικότητας 2 TB. Μετά την έκδοση «Red Notice» από την Interpol, εκδόθηκε στις ΗΠΑ, όπου αντιμετωπίζει κατηγορίες για κυβερνοεπιθέσεις, απάτη και συνωμοσία.

Το αναγνωριστικό GDID αποκάλυψε την ταυτότητα

Σύμφωνα με τα δικαστικά έγγραφα, καθοριστικό στοιχείο της έρευνας αποτέλεσε το Microsoft Global Device Identifier (GDID), ένας μοναδικός κωδικός που συνδέεται με κάθε εγκατάσταση των Windows.

Το GDID χρησιμοποιείται από τη Microsoft για υπηρεσίες όπως η διαγνωστική τηλεμετρία, οι αναφορές σφαλμάτων, η ανάλυση χρήσης λειτουργιών και η επαλήθευση της άδειας χρήσης του λειτουργικού συστήματος. Επειδή παραμένει σταθερό, ακόμη και όταν αλλάζουν ορισμένα στοιχεία του υπολογιστή, μπορεί να λειτουργήσει ως ψηφιακό αποτύπωμα μιας συσκευής.

Η κυβερνοεπίθεση σε μεγάλη εταιρεία

Οι εισαγγελικές αρχές υποστηρίζουν ότι η ομάδα ξεκίνησε την επίθεση εναντίον μιας μεγάλης εταιρείας ειδών πολυτελείας στις 12 Μαΐου 2025, χρησιμοποιώντας τηλεφωνικές επιθέσεις κοινωνικής μηχανικής. Οι δράστες προσποιήθηκαν υπαλλήλους της εταιρείας, πέτυχαν επαναφορά ελέγχων ταυτότητας πολλαπλών παραγόντων (MFA) και απέκτησαν πρόσβαση σε τρεις λογαριασμούς, μεταξύ των οποίων δύο λογαριασμοί διαχειριστών πληροφορικής.

Στη συνέχεια εγκατέστησαν το εργαλείο ngrok σε εικονικό διακομιστή της εταιρείας, δημιουργώντας κρυπτογραφημένη σύνδεση που παρέκαμψε τα συστήματα ασφαλείας του δικτύου.

Οι ερευνητές διαπίστωσαν ότι ο λογαριασμός ngrok δημιουργήθηκε μέσω συγκεκριμένης διεύθυνσης IP, η οποία χρησιμοποιούσε υπηρεσία VPN.

Η σύνδεση του υπολογιστή με τον ύποπτο

Παρότι το VPN απέκρυπτε την πραγματική τοποθεσία του χρήστη, τα στοιχεία της Microsoft έδειξαν ότι η ίδια εγκατάσταση των Windows – μέσω του GDID – χρησιμοποιήθηκε τη στιγμή δημιουργίας του λογαριασμού ngrok και αργότερα για πρόσβαση στην ιστοσελίδα της εταιρείας-στόχου.

Το FBI συνέκρινε το ιστορικό των διευθύνσεων IP που σχετίζονταν με το συγκεκριμένο GDID με λογαριασμούς του υπόπτου σε υπηρεσίες όπως Apple, Snapchat, Facebook και ακόμη και στον λογαριασμό του στο παιχνίδι Growtopia της Ubisoft.

Οι ίδιες συσχετίσεις εμφανίστηκαν σε τοποθεσίες όπως η Εσθονία, η Νέα Υόρκη και η Ταϊλάνδη, ενώ συνέπιπταν τόσο με ταξιδιωτικά στοιχεία του αμερικανικού υπουργείου Εξωτερικών όσο και με δημοσιεύσεις του ίδιου στα μέσα κοινωνικής δικτύωσης.

Το δίδαγμα για την ανωνυμία στο διαδίκτυο

Η υπόθεση αναδεικνύει ότι η χρήση VPN ή άλλων τεχνολογιών ανωνυμίας προστατεύει κυρίως τη δικτυακή σύνδεση και όχι απαραίτητα την ίδια τη συσκευή. Ένα σταθερό αναγνωριστικό, όπως το GDID των Windows, μπορεί να επιτρέψει στις αρχές να συνδέσουν διαφορετικές διαδικτυακές δραστηριότητες με τον ίδιο υπολογιστή.

Παράλληλα, επισημαίνεται ότι δεν υπάρχει δημόσια διαθέσιμη πολιτική της Microsoft που να εξηγεί αναλυτικά πότε τα δεδομένα GDID κοινοποιούνται στις διωκτικές αρχές, ούτε γνωστός μηχανισμός που να επιτρέπει στους καταναλωτές να απενεργοποιήσουν πλήρως τη συλλογή αυτού του αναγνωριστικού.

Scroll to Top