Американські правоохоронці затримали 19-річного Пітера Стокса, якого пов’язують із кіберзлочинною групою Scattered Spider. За даними слідства, саме телеметрія Microsoft і унікальний ідентифікатор пристрою Windows допомогли ФБР пов’язати підозрюваного з атаками.
Стокса, який має громадянство США та Естонії, затримали у Фінляндії під час спроби вилетіти до Японії. Пізніше його екстрадували до США, де він постав перед федеральним судом у Чикаго. Йому інкримінують змову, комп’ютерні вторгнення та шахрайство.
Як Windows допомогла слідству
Ключовим елементом у справі став Global Device Identifier, або GDID. Це унікальний ідентифікатор, пов’язаний із конкретною інсталяцією Windows. За даними судових документів, Microsoft передала ФБР інформацію, яка дозволила пов’язати один і той самий пристрій із підозрілою активністю та акаунтами, які слідство пов’язує зі Стоксом.
Навіть використання VPN і зміна IP-адрес не допомогли повністю приховати сліди. Слідчі порівняли ідентифікатор пристрою, часові мітки, IP-адреси та іншу активність, після чого змогли вийти на конкретну людину.
У чому його підозрюють
Стокса пов’язують із групою Scattered Spider, також відомою під назвами Octo Tempest, UNC3944 та Oktapus. Цю групу вважають причетною до численних атак на великі компанії, зокрема з використанням соціальної інженерії, викрадення облікових даних і вимагання грошей.
В одному з епізодів ідеться про атаку на американського продавця ювелірних виробів у травні 2025 року. За версією слідства, зловмисники отримали доступ до внутрішніх систем компанії, викрали дані та вимагали 8 млн доларів у криптовалюті. Компанія не заплатила викуп, але заявлені збитки від інциденту становили щонайменше 2 млн доларів.
Справа викликала дискусію про приватність
Затримання знову підняло питання про те, скільки даних збирають сучасні операційні системи та як ці дані можуть використовуватися правоохоронцями. З одного боку, телеметрія допомогла вийти на підозрюваного у серйозних кіберзлочинах. З іншого — сама можливість відстеження пристрою через стійкий ідентифікатор викликає занепокоєння серед користувачів.
Експерти зазначають, що випадок показує важливу річ: навіть якщо людина приховує IP-адресу, використовує VPN або змінює акаунти, цифрові сліди можуть залишатися на рівні пристрою, системи та сервісів, якими вона користується.
Наразі Стокс вважається невинуватим, доки його провину не доведуть у суді. Але сама справа вже стала показовою для кібербезпеки: у сучасному інтернеті користувача можуть видати не лише логіни, IP-адреси чи листування, а й технічні ідентифікатори його комп’ютера.




