FBI, Windows Cihaz Kimliğiyle Scattered Spider Hacker'ını Nasıl Tespit Etti? Linux

FBI, Windows Cihaz Kimliğiyle Scattered Spider Hacker'ını Nasıl Tespit Etti?

FBI, lüks bir kuyumcuya yapılan siber saldırıda, Windows cihaz kimliği sayesinde Scattered Spider üyesini tespit etti.

ABD savcıları, yeni açıklanan bir federal şikayette, Scattered Spider grubunun bir üyesini lüks bir kuyumcuya yapılan siber saldırıyla ilişkilendirmek için Windows cihaz kimliğini kullandı. Microsoft kayıtları, bu kimliği önce saldırganların Mayıs 2025'teki izinsiz giriş sırasında kullandığı hesaba, ardından da 19 yaşındaki Peter Stokes'a ait olduğu iddia edilen çevrimiçi hesaplara bağladı.

Stokes, komplo, bilgisayar izinsiz girişi ve dolandırıcılıkla suçlanıyor. Çevrimiçi 'Bouquet' olarak bilinen ABD-Estonya çifte vatandaşı, Finlandiya'dan iade edildi ve 30 Haziran'da Chicago'da ilk kez mahkemeye çıktı. Duruşma öncesinde masum olduğu varsayılıyor.

Saldırı, 12-15 Mayıs 2025 tarihleri arasında gerçekleşti. Saldırganlar, Google Voice numaralarından perakendecinin BT yardım masasını arayarak kilitli kalmış çalışanlar gibi davrandı ve çalışanların şifrelerini ve çok faktörlü kimlik doğrulamaya bağlı mobil cihazlarını sıfırlamalarını sağladı. Kısa sürede üç hesabı ele geçirdiler ve en az 77 gigabayt veri çaldılar.

FBI, Stokes'a ngrok hesabını açan cihazdan yola çıkarak ulaştı. Microsoft, FBI'a cihazın Global Cihaz Tanımlayıcısı'nı (g:6755467234350028) verdi. Bu tanımlayıcı, tek bir Windows kurulumuna bağlı kalıcı bir kimlik olarak tanımlanıyor ve işletim sistemi güncellemelerinde değişmiyor, ancak Windows yeniden yüklendiğinde sıfırlanıyor. Cihazın, ngrok kayıt sayfasını 12 Mayıs 2025'te 19:21 UTC'de ziyaret ettiği ve yaklaşık üç saat sonra perakendecinin web sitesine aynı proxy üzerinden ulaştığı tespit edildi.

Paylaş: