Министерство юстиции США объявило о задержании 19-летнего Питера Стокса, которого следователи считают одним из участников крупной киберпреступной сети Scattered Spider. Операцию проводили совместно ФБР, Национальное бюро расследований Финляндии и подразделение Microsoft GDID. Стокса, имеющего гражданство США и Эстонии, остановили в аэропорту Хельсинки, когда он собирался вылететь в Японию.

Сейчас он ожидает дальнейших процедур в рамках судебного разбирательства. Американская сторона предъявляет обвинения в сговоре, несанкционированном доступе к компьютерным системам и мошенничестве. В материалах при этом подчеркивается: речь идет не о единичном эпизоде, а о расследовании деятельности одной из наиболее известных группировок в сфере кибервымогательства.
Scattered Spider фигурирует в отчетах и расследованиях и под другими именами — Octo Tempest, UNC3944 и Oktapus. По данным Минюста США, участники этой сети получили более 100 млн долларов выкупов. Особую репутацию группа заработала тем, что сочетает технический взлом с развитой социальной инженерией — доступ к системам нередко добывается через обман сотрудников компаний.
Какой эпизод лег в основу обвинений
Главный эпизод, который связывают со Стоксом, относится к маю 2025 года. Объектом атаки, как утверждается, стал американский ритейлер ювелирных изделий премиального сегмента. Следствие считает, что злоумышленники сначала связались с ИТ-поддержкой компании через сервис Google Voice, после чего начали выдавать себя за сотрудников организации.
Далее, по версии обвинения, сработал типовой сценарий: службе поддержки внушили необходимость сброса учетных данных, что открыло доступ сразу к трем учетным записям. Критически важным стало то, что две из них имели административные права — именно это, как полагают прокуроры, позволило углубиться во внутреннюю инфраструктуру и похитить конфиденциальную информацию.
После этого группа, в которую, по мнению следствия, мог входить и Стокс, потребовала 8 млн долларов в криптовалюте. Однако выплат добиться не удалось: компания восстановила контроль над системами. Тем не менее полностью уйти от ущерба не получилось — по оценке, даже без перечисления выкупа простой и последствия инцидента обошлись примерно в 2 млн долларов.
Сценарий атаки в материалах описывается так:
контакт с ИТ-службой под видом сотрудников;
сброс учетных данных и захват трех аккаунтов;
получение доступа с административными привилегиями;
кража данных и требование крупного выкупа.
Какую роль сыграла телеметрия Microsoft
Отдельной темой в деле стала система GDID — Global Device Identifier. Это уникальный идентификатор, который назначается каждой установке Windows и привязывается к телеметрии конкретного устройства. Именно через этот механизм, как утверждается, следователи смогли соотнести физическое оборудование Стокса с определенной сетевой активностью и географическими точками.
Судебные документы указывают, что у Microsoft оказался обширный массив данных: временные метки веб-активности, история, связанная с видеоиграми, IP-адреса, использование ряда инструментов (включая Ngrok), а также сведения о статусе Azure. После сопоставления этих данных Microsoft передала материалы ФБР, что, как отмечается, заметно продвинуло расследование.
В итоге именно этот цифровой — и, как подчеркивается, бумажный — след вывел следствие на фигуранта. Также известно, что личность Стокса установили еще в 2024 году, но тогда он был несовершеннолетним и перемещался между Эстонией и ОАЭ, поэтому правоохранительным органам фактически пришлось ждать подходящего момента для активных действий.
Уточняется, что:
при задержании у Стокса нашли два жестких диска с компрометирующими материалами;
после ареста его экстрадировали в Соединенные Штаты;
30 июня 2026 года он впервые предстал перед федеральным судом в Чикаго;
в настоящее время обвиняемый остается под стражей.
История вновь привлекла внимание к вопросу о глубине телеметрии современных ОС. В данном случае она сыграла против предполагаемого хакера, однако критики давно заявляют, что механизмы сбора данных в Windows фиксируют слишком детализированную информацию, а полностью отключить или удалить их простыми средствами, по сути, невозможно.
Источник: naavtotrasse.ru