Devatenáctiletý mladík podezřelý z členství v nechvalně známé hackerské skupině Scattered Spider se zřejmě dopustil zásadní chyby. K některým svým aktivitám používal zařízení s Windows 11, jehož unikátní identifikátor pomohl vyšetřovatelům propojit zdánlivě nesouvisející aktivity, IP adresy a internetové služby. Mladík byl nakonec zadržen ve Finsku a vydán do Spojených států, kde bude čelit soudu.
Podle informací vycházejících z obžaloby sehrál při vyšetřování důležitou roli takzvaný Global Device Identifier neboli GDID spojený se zařízením s operačním systémem Windows 11. Právě tento identifikátor společně s telemetrickými údaji umožnil vyšetřovatelům propojit aktivity podezřelého, které na první pohled nemusely mít nic společného. Úřady měly díky získaným údajům spojit stejné zařízení s IP adresami používanými v Estonsku, Thajsku a New Yorku. Současně se podařilo sledovat přístupy k různým internetovým službám a serverům.
Jeden počítač propojil různé aktivity
Právě schopnost identifikovat konkrétní zařízení se ukázala jako důležitá. Uživatel může změnit IP adresu, připojit se z jiné země nebo využívat různé internetové služby. Pokud je ale možné jednotlivé aktivity spojit se stejným zařízením, může vyšetřovatelům vzniknout mnohem přesnější obraz jeho činnosti. Podle obžaloby měl podezřelý například v květnu 2025 vytvořit účet pro nástroj Ngrok používaný k vytváření zabezpečených tunelů mezi zařízeními a internetem.
Jen o několik hodin později mělo být stejné zařízení použito k přístupu na webovou stránku jedné z napadených společností. Právě podobná digitální stopa měla vyšetřovatelům pomoci propojit jednotlivé události s konkrétním podezřelým. Finské bezpečnostní složky mladíka zadržely letos v dubnu. Následně byl vydán do Spojených států, kde se bude zodpovídat z údajných kybernetických útoků. Americké úřady jej spojují s hackerskou skupinou Scattered Spider, která patří mezi nejznámější kybernetické zločinecké skupiny posledních let. Skupina je známá také pod označeními Octo Tempest, UNC3944 nebo 0ktapus.
Hackeři měli napadnout více než 100 společností
Podle amerických úřadů pronikla Scattered Spider do sítí více než stovky společností. Útočníci měli krást citlivá data, šifrovat počítačové systémy pomocí ransomwaru a následně po napadených firmách požadovat výkupné. Celková hodnota požadovaného nebo získaného výkupného v kryptoměnách měla přesáhnout 100 milionů dolarů. Další milionové škody měly společnostem vzniknout kvůli výpadkům informačních systémů, obnově dat a odstraňování následků jednotlivých kybernetických útoků.
Jednou ze zvláštností Scattered Spider je nízký věk některých jejích členů. Skupina je známá tím, že mezi jejími údajnými členy a spolupracovníky se opakovaně objevují velmi mladí lidé. Útočníci navíc nespoléhají pouze na hledání technických bezpečnostních chyb. Jednou z jejich nejsilnějších zbraní má být sociální inženýrství. Hackeři například telefonují zaměstnancům společností nebo pracovníkům technické podpory a snaží se je přesvědčit, aby jim poskytli přístupové údaje nebo umožnili převzetí zaměstnaneckých účtů. Jakmile získají prvotní přístup do firemní infrastruktury, mohou pokračovat v dalších fázích útoku.
Po klenotnictví měli požadovat 8 milionů dolarů
Devatenáctiletý podezřelý měl být podle amerických úřadů zapojen mimo jiné do kybernetického útoku na blíže nespecifikovanou klenotnickou společnost v květnu 2025. Útočníci měli po firmě požadovat výkupné ve výši 8 milionů dolarů. Společnost podle dostupných informací částku nezaplatila. I bez zaplacení výkupného ale útok způsobil obrovské škody. Výpadky systémů, obnova infrastruktury a odstraňování následků útoku měly firmu stát přibližně 2 miliony dolarů.
Celý případ je zajímavý především způsobem, jakým se podařilo jednotlivé aktivity propojit. Uživatelé se často domnívají, že změna IP adresy, použití různých internetových služeb nebo připojení z několika zemí automaticky zabrání sledování jejich aktivit. Moderní zařízení a internetové služby ale vytvářejí velké množství dalších technických údajů, které mohou při vyšetřování posloužit jako digitální stopy. V tomto případě měl důležitou roli sehrát identifikátor zařízení s Windows 11 společně s telemetrickými daty. Vyšetřovatelům pomohl spojit aktivity probíhající přes různé IP adresy a internetové služby s jedním konkrétním zařízením. Devatenáctiletému podezřelému se tak mohl stát osudným právě počítač, který při svých aktivitách používal. Případ zároveň ukazuje, jak obtížné může být v současném digitálním světě skutečně skrýt všechny stopy vedoucí ke konkrétnímu zařízení a jeho uživateli.