FBI truy vết hacker Scattered Spider nhờ định danh thiết bị Windows
Một cáo trạng liên bang vừa được công bố tiết lộ cách FBI sử dụng định danh thiết bị Windows (Windows Device ID) để lần ra dấu vết của một hacker thuộc nhóm Scattered...
Trong một vụ án an ninh mạng gần đây, các công tố viên Hoa Kỳ đã thành công trong việc liên kết một nghi phạm thuộc nhóm hacker khét tiếng Scattered Spider với vụ tấn công vào một nhà bán lẻ trang sức cao cấp. Chìa khóa của cuộc điều tra nằm ở một định danh thiết bị Windows (Windows Device ID) bền vững.
Table Of Content
Kỹ thuật tấn công qua bộ phận hỗ trợ
Vụ xâm nhập diễn ra vào tháng 5/2025, khi các đối tượng tấn công sử dụng phương thức social engineering để đánh lừa bộ phận IT help desk. Bằng cách giả danh nhân viên bị khóa tài khoản, chúng đã yêu cầu đặt lại mật khẩu và thiết lập lại các thiết bị di động dùng cho xác thực đa yếu tố (MFA). Chỉ trong vài giờ, kẻ tấn công đã chiếm quyền kiểm soát ba tài khoản, trong đó có hai tài khoản quản trị viên IT.
Sau khi xâm nhập, chúng cài đặt các công cụ tunneling như ngrok và Teleport để đánh cắp ít nhất 77GB dữ liệu lên cloud storage của Amazon. Dù nỗ lực triển khai ransomware của chúng bị đội ngũ bảo mật ngăn chặn, kẻ tấn công vẫn gửi email tống tiền đòi 8 triệu USD bằng tiền điện tử. Mặc dù công ty không trả tiền, thiệt hại từ quá trình gián đoạn và khắc phục sự cố lên tới 2 triệu USD.
Dấu vết từ Windows Device ID
Cơ quan điều tra đã truy ngược lại nghi phạm Peter Stokes (19 tuổi, mang hai quốc tịch Mỹ và Estonia) thông qua định danh thiết bị g:6755467234350028. Theo Microsoft, đây là một định danh cố định gắn liền với một bản cài đặt Windows cụ thể, tồn tại qua các bản cập nhật hệ điều hành.
Dữ liệu từ Microsoft cho thấy thiết bị này đã truy cập trang đăng ký ngrok vào đúng thời điểm tài khoản được tạo và sau đó kết nối với website của nạn nhân. Sự trùng khớp về địa chỉ IP và thời gian hoạt động giữa thiết bị này với các tài khoản mạng xã hội của Stokes (Snapchat, Facebook, Apple) đã giúp FBI củng cố bằng chứng. Dù sử dụng VPN và các công cụ ẩn danh, nghi phạm đã vô tình để lộ dấu vết thông qua chính các bài đăng khoe khoang lối sống xa hoa trên mạng xã hội.
Thách thức từ cấu trúc phi tập trung
Việc bắt giữ Stokes là một bước tiến, nhưng các chuyên gia từ Group-IB cảnh báo rằng Scattered Spider không phải là một tổ chức tập trung. Thay vào đó, đây là một mạng lưới các nhóm nhỏ, hoạt động độc lập và liên kết với nhau qua các công cụ, kỹ thuật và diễn đàn chung. Cấu trúc này khiến việc triệt phá hoàn toàn trở nên vô cùng khó khăn, tương tự như cách vận hành của phong trào Anonymous.
Vụ bắt giữ Stokes tại sân bay Helsinki cùng với việc thu giữ các ổ cứng chứa dữ liệu quan trọng được kỳ vọng sẽ cung cấp thêm manh mối về hạ tầng và các thành viên khác trong mạng lưới tội phạm này, tiếp nối chuỗi các vụ truy tố thành viên Scattered Spider đang diễn ra trên toàn cầu.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.