Dosar public Windows GDID · Scattered Spider

VPN-ul a ascuns IP-ul. Windows a ținut minte mașina.

În mai 2025, un grup asociat cu Scattered Spider a intrat în rețeaua unei companii americane printr-un telefon la help desk. Un an mai târziu, o plângere federală arată cum un identificator Windows a legat contul ngrok folosit în atac de conturi Google, loguri de social media și trasee de călătorie, până la un suspect: Peter Stokes.

3 conturi compromise după apelurile la help desk, două de administrator IT
77+ GB de date exfiltrate, în principal prin Teleport.sh și Amazon S3
$8M ceruți drept răscumpărare după evacuarea atacatorilor din rețea
19:21 UTC minutul în care s-a creat contul ngrok și dispozitivul cu GDID a deschis pagina de signup
Drumul atacului / drumul atribuirii Company F, mai 2025

intrarea în rețea

ID-ul persistă prin update-uri de sistem și se schimbă la reinstalare, în descrierea Microsoft citată de FBI.

continuitatea operatorului

Apelurile au cerut resetarea parolei și a dispozitivului MFA. În două-trei ore, atacatorii controlau trei conturi Company F.

lanțul operațional

Intrarea a fost un telefon și o resetare acceptată.

Plângerea descrie o intruziune construită din pași banali: apel, resetare, cont cu privilegii, tunel, exfiltrare, presiune financiară. Partea sofisticată începe abia după ce verificarea identității la help desk cedează.

1

Google Voice către help desk

Apelanții s-au dat drept angajați Company F și au cerut resetarea parolei și a dispozitivului MFA.

2

Trei conturi compromise

În aproximativ două-trei ore, trei conturi erau sub controlul atacatorilor, două de administrator IT.

3

Privilegii ridicate

Conturile standard au deschis drumul către conturi high-privilege folosite pe platformele de virtualizare și cloud.

4

ngrok pe server

Un agent ngrok a creat tuneluri către infrastructura Company F, cu tokenul legat de un cont ngrok proaspăt creat.

5

Teleport și Amazon S3

Persistența și exfiltrarea au continuat prin Teleport.sh și S3, în paralel cu încercările echipei de securitate de a închide accesul.

6

Email de răscumpărare

După evacuare, atacatorii au trimis mesajul „IMPORTANT: WE STOLE THE DATA" și au cerut $8 milioane.

proba de continuitate

GDID-ul a legat contul ngrok de o instalare Windows anume.

În descrierea Microsoft citată de FBI, identificatorul aparține instalării Windows de pe un dispozitiv sau o mașină virtuală. Aici stă diferența față de un IP: proxy-ul se închiriază, dar instalarea care folosește proxy-ul reapare în alte loguri.

creare cont ngrok

12 mai 2025, 19:21 UTC

ngrok datează atunci crearea contului folosit în intruziune. Microsoft plasează dispozitivul cu GDID pe pagina dashboard.ngrok.com/signup în același minut.

proxy-ul .168

același traseu tehnic

Contul ngrok a fost creat de pe 68.235.46.168, un VPN proxy. Dispozitivul cu GDID a folosit același server Tzulo în mai 2025.

Company F

22:47 UTC

La puțin peste trei ore după crearea contului ngrok, același GDID apare asociat cu o vizită pe site-ul Company F, prin proxy-ul .168.

Google Voice

telefonul devine cont

Un cont Google legat de unul dintre numerele folosite la apelurile de phishing apare și în datele de abonat pentru ngrok.

Teleport.sh

aceeași identitate, alt tool

Același cont Google apare în datele de abonat pentru conturile Teleport.sh folosite la exfiltrare.

social + călătorii

loguri care se suprapun

GDID-ul împarte IP-uri cu conturi Snapchat, Facebook și Apple atribuite lui Stokes și se potrivește cu trasee prin Tallinn, New York și Thailanda.

reziduuri de atribuire

Locația se ascunde ușor. Continuitatea se ascunde greu.

Puterea anchetei vine din suprapunerea a patru registre independente: dispozitiv, conturi, unelte și stil de viață. Fiecare registru e contestabil singur; împreună, formează continuitatea pe care plângerea o atribuie unei singure persoane.

Reziduul de dispozitiv

GDID-ul face instalarea Windows vizibilă în logurile Microsoft chiar când traficul trece prin proxy.

mașina
Reziduul de cont

Google, ngrok și Teleport leagă numere de telefon, emailuri și date de abonat de uneltele folosite în intruziune.

identitatea operațională
Reziduul de unealtă

ngrok, Teleport și S3 lasă evenimente de conexiune, tokenuri și tipare de transfer.

infrastructura
Reziduul de stil de viață

Conturile sociale și travel records adaugă timp și loc peste IP-urile deja prezente în loguri.

prezența fizică

citirea pentru apărători

Apărarea începe la help desk, înaintea oricărei discuții despre malware.

Atacul a început cu o procedură care a funcționat exact cum era scrisă. Cazul e util defensiv pentru că fiecare verigă din lanț are o contramăsură organizatorică, disponibilă înaintea oricărei investiții în detecție.

resetări cu dovadă

Callback pe numărul deja înregistrat

Resetarea parolei sau a MFA pentru conturi privilegiate se întoarce la o identitate verificată anterior, niciodată la numărul din apelul curent.

privilegii temporare

JIT admin cu aprobare separată

Un cont standard compromis rămâne fără drum direct către acces high-privilege: aprobare de manager, step-up verification, jurnal de acces.

unelte legitime ca semnal

ngrok, Teleport, S3 în telemetrie

Instalarea lor pe servere sensibile, evenimentele noi de tunel și egress-ul neobișnuit către storage public se corelează imediat, cu prioritate de incident.

retenție utilă

Logurile SaaS se păstrează

Când IP-ul e zgomotos, corelația vine din provider logs. Retenția este condiția ca ancheta internă să treacă de concluzia „a fost un proxy".

răspuns la exfiltrare

Blocare plus contabilizare

Company F a evitat criptarea, dar datele au ieșit oricum. Playbook-ul măsoară pierderea, pe lângă închiderea accesului.

guardrails de privacy

Telemetria cere guvernanță

Aceeași granularitate care ajută o anchetă poartă risc de abuz. Accesul, retenția și auditul identificatorilor persistenți se tratează ca decizii de politică, cu răspunderi clare.

surse

Documentul, articolul, statutul.

Plângere federală

United States v. Peter Stokes, superseding complaint, semnată pe 16 aprilie 2026, făcută publică în iulie 2026. Lanțul tehnic al paginii urmează ¶20–22 (intruziunea Company F), ¶23–27 (ngrok, proxy, GDID), ¶28–30 (corelările de conturi, IP-uri și călătorii) și ¶31 (probable cause).

The Hacker News

Swati Khandelwal, „Court Filing Reveals Windows Device ID Helped FBI Trace Alleged Scattered Spider Hacker", 7 iulie 2026.

Statut

Dosarul este în faza de acuzare: plângerea susține probable cause, iar vinovăția rămâne de stabilit în instanță. Compania victimă apare în document doar ca „Company F", iar pagina păstrează anonimizarea și omite detaliile operaționale care ar ajuta repetarea intruziunii.

„Scattered Spider", „Octo Tempest", „UNC3944" și „0ktapus" apar în plângere ca denumiri pentru aceeași zonă de activitate. „Reziduu de atribuire" este eticheta editorială a paginii pentru urmele de continuitate dintre dispozitiv, conturi și loguri.