Google Voice către help desk
Apelanții s-au dat drept angajați Company F și au cerut resetarea parolei și a dispozitivului MFA.
În mai 2025, un grup asociat cu Scattered Spider a intrat în rețeaua unei companii americane printr-un telefon la help desk. Un an mai târziu, o plângere federală arată cum un identificator Windows a legat contul ngrok folosit în atac de conturi Google, loguri de social media și trasee de călătorie, până la un suspect: Peter Stokes.
Plângerea este o acuzație, iar Stokes este prezumat nevinovat; pagina citește documentul ca material public de intelligence.
intrarea în rețea
continuitatea operatorului
Apelurile au cerut resetarea parolei și a dispozitivului MFA. În două-trei ore, atacatorii controlau trei conturi Company F.
lanțul operațional
Plângerea descrie o intruziune construită din pași banali: apel, resetare, cont cu privilegii, tunel, exfiltrare, presiune financiară. Partea sofisticată începe abia după ce verificarea identității la help desk cedează.
Apelanții s-au dat drept angajați Company F și au cerut resetarea parolei și a dispozitivului MFA.
În aproximativ două-trei ore, trei conturi erau sub controlul atacatorilor, două de administrator IT.
Conturile standard au deschis drumul către conturi high-privilege folosite pe platformele de virtualizare și cloud.
Un agent ngrok a creat tuneluri către infrastructura Company F, cu tokenul legat de un cont ngrok proaspăt creat.
Persistența și exfiltrarea au continuat prin Teleport.sh și S3, în paralel cu încercările echipei de securitate de a închide accesul.
După evacuare, atacatorii au trimis mesajul „IMPORTANT: WE STOLE THE DATA" și au cerut $8 milioane.
proba de continuitate
În descrierea Microsoft citată de FBI, identificatorul aparține instalării Windows de pe un dispozitiv sau o mașină virtuală. Aici stă diferența față de un IP: proxy-ul se închiriază, dar instalarea care folosește proxy-ul reapare în alte loguri.
ngrok datează atunci crearea contului folosit în intruziune. Microsoft plasează dispozitivul cu GDID pe pagina dashboard.ngrok.com/signup în același minut.
Contul ngrok a fost creat de pe 68.235.46.168, un VPN proxy. Dispozitivul cu GDID a folosit același server Tzulo în mai 2025.
La puțin peste trei ore după crearea contului ngrok, același GDID apare asociat cu o vizită pe site-ul Company F, prin proxy-ul .168.
Un cont Google legat de unul dintre numerele folosite la apelurile de phishing apare și în datele de abonat pentru ngrok.
Același cont Google apare în datele de abonat pentru conturile Teleport.sh folosite la exfiltrare.
GDID-ul împarte IP-uri cu conturi Snapchat, Facebook și Apple atribuite lui Stokes și se potrivește cu trasee prin Tallinn, New York și Thailanda.
reziduuri de atribuire
Puterea anchetei vine din suprapunerea a patru registre independente: dispozitiv, conturi, unelte și stil de viață. Fiecare registru e contestabil singur; împreună, formează continuitatea pe care plângerea o atribuie unei singure persoane.
GDID-ul face instalarea Windows vizibilă în logurile Microsoft chiar când traficul trece prin proxy.
mașinaGoogle, ngrok și Teleport leagă numere de telefon, emailuri și date de abonat de uneltele folosite în intruziune.
identitatea operaționalăngrok, Teleport și S3 lasă evenimente de conexiune, tokenuri și tipare de transfer.
infrastructuraConturile sociale și travel records adaugă timp și loc peste IP-urile deja prezente în loguri.
prezența fizicăcitirea pentru apărători
Atacul a început cu o procedură care a funcționat exact cum era scrisă. Cazul e util defensiv pentru că fiecare verigă din lanț are o contramăsură organizatorică, disponibilă înaintea oricărei investiții în detecție.
Resetarea parolei sau a MFA pentru conturi privilegiate se întoarce la o identitate verificată anterior, niciodată la numărul din apelul curent.
Un cont standard compromis rămâne fără drum direct către acces high-privilege: aprobare de manager, step-up verification, jurnal de acces.
Instalarea lor pe servere sensibile, evenimentele noi de tunel și egress-ul neobișnuit către storage public se corelează imediat, cu prioritate de incident.
Când IP-ul e zgomotos, corelația vine din provider logs. Retenția este condiția ca ancheta internă să treacă de concluzia „a fost un proxy".
Company F a evitat criptarea, dar datele au ieșit oricum. Playbook-ul măsoară pierderea, pe lângă închiderea accesului.
Aceeași granularitate care ajută o anchetă poartă risc de abuz. Accesul, retenția și auditul identificatorilor persistenți se tratează ca decizii de politică, cu răspunderi clare.
surse
United States v. Peter Stokes, superseding complaint, semnată pe 16 aprilie 2026, făcută publică în iulie 2026. Lanțul tehnic al paginii urmează ¶20–22 (intruziunea Company F), ¶23–27 (ngrok, proxy, GDID), ¶28–30 (corelările de conturi, IP-uri și călătorii) și ¶31 (probable cause).
Swati Khandelwal, „Court Filing Reveals Windows Device ID Helped FBI Trace Alleged Scattered Spider Hacker", 7 iulie 2026.
Dosarul este în faza de acuzare: plângerea susține probable cause, iar vinovăția rămâne de stabilit în instanță. Compania victimă apare în document doar ca „Company F", iar pagina păstrează anonimizarea și omite detaliile operaționale care ar ajuta repetarea intruziunii.
„Scattered Spider", „Octo Tempest", „UNC3944" și „0ktapus" apar în plângere ca denumiri pentru aceeași zonă de activitate. „Reziduu de atribuire" este eticheta editorială a paginii pentru urmele de continuitate dintre dispozitiv, conturi și loguri.