Судебное дело против хакера из Scattered Spider неожиданно раскрыло скрытые возможности Windows по идентификации пользовательских устройств

изображение: grok
ФБР при расследовании атаки предполагаемого участника группировки Scattered Spider применило внутренний идентификатор Microsoft, привязанный к каждой установке Windows. Именно этот номер позволил следствию связать конкретный компьютер с посещением сторонних сайтов, что породило волну обсуждений о скрытых возможностях слежки в операционной системе. Специалисты обратили внимание, что подобная привязка работает без привычных браузерных cookie.
Фигурантом дела выступает 19-летний Питер Стокс, которого американские власти вытащили из Европы по обвинению в причастности к взлому ювелирной компании. По версии следствия, атака произошла в мае 2025 года через VPN. При установлении личности подозреваемого решающую роль сыграли сведения от Microsoft, а не привычные оперативно-розыскные методы.
В обвинительном заключении фигурирует Global Device ID, или GDID. Этот номер представляет собой постоянный уникальный идентификатор конкретной установки Windows и позволяет отличать один экземпляр системы от другого в рамках сервисов Microsoft. Работает он одинаково для физических машин и виртуалок.
Интересно, что практика присвоения устройствам уникальных номеров сама по себе не нова, однако до публикации судебных документов широкая аудитория не знала о GDID почти ничего.
Из материалов дела вытекает несколько неожиданных для рядового пользователя вещей:
- GDID сохраняется после обычных обновлений Windows и не сбрасывается;
- новый номер генерируется только при полной переустановке ОС;
- у одного пользователя может быть сразу несколько GDID, если он переставлял систему несколько раз;
- идентификатор работает и в виртуальных машинах;
- Microsoft упоминает GDID в документации, но подробных технических пояснений не даёт.
Следствие утверждает, что Стокс использовал сервис ngrok для обхода защиты атакованной организации. В обвинении фигурирует конкретный факт. Устройство с определённым GDID обратилось к странице регистрации ngrok 12 мая 2025 года в 19 часов 21 минуту по всемирному координированному времени. Далее тот же идентификатор засветился на нескольких сайтах хостинг-провайдера Tzulo, задействованных при подготовке атаки.
Именно эта деталь стала самой обсуждаемой в профильной среде. Получается, что Microsoft способна сопоставлять GDID с посещением сторонних ресурсов и фиксировать точное время таких обращений. Технически это означает возможность отслеживать интернет-активность машины без применения браузерных cookie и прочих клиентских меток.
Эксперт по информационной безопасности Мэтью Хики заявил, что опубликованные материалы позволяют рассматривать Windows как программное обеспечение с функциями наблюдения за действиями пользователей. Его высказывание разошлось по профессиональному сообществу и запустило волну поисков способов найти и удалить GDID со своих устройств.
Технические подробности механизма Microsoft публично не раскрывает. Из судебных документов удалось собрать лишь фрагменты работы идентификатора:
- GDID формируется при установке Windows и хранится где-то в системе;
- обновления через Windows Update номер не меняют;
- полная переустановка ОС создаёт новый GDID независимо от того, на каком железе она выполняется;
- один аккаунт Microsoft может быть связан с несколькими идентификаторами;
- сопоставление GDID с активностью в интернете производится на стороне сервисов компании.
При этом одной переустановки системы может не хватить для полного разрыва связи между старым и новым номером. Microsoft теоретически способна использовать учётную запись, сетевые метаданные или другие сигналы для сопоставления разных установок Windows между собой. Официально компания подобных механизмов не описывала, но специалисты допускают их существование.
Стоит обратить внимание, что даже полная переустановка Windows не гарантирует анонимности — при наличии единой учётной записи Microsoft старый и новый GDID могут оказаться связаны через её данные.
Исследователь в области информационной безопасности Костин Райу во время подкаста Three Buddy Problem предложил взглянуть на проблему шире. Он допустил, что аналогичные механизмы существуют у других производителей софта и железа. Открытым остаётся вопрос, применяют ли подобные идентификаторы устройства Apple и насколько глубоко такие метки могут быть вшиты в аппаратную часть.
Костин Райу рассказал, что пользователям с повышенными требованиями к приватности в отдельных случаях может понадобиться отказаться от массовых ОС в пользу альтернатив. Речь идёт о Linux и FreeBSD в связке с прокси-серверами, сетью Tor, VPN и другими средствами повышения конфиденциальности. Полностью универсального рецепта он не предложил, поскольку многое зависит от модели угроз конкретного пользователя.
Ранее сообщалось, что исследователи выявили новую фишинговую кампанию, позволяющую злоумышленникам получать доступ к корпоративным учётным записям Microsoft без кражи логинов и паролей. Вместо этого мошенники используют штатный механизм авторизации Microsoft и убеждают пользователя самостоятельно подтвердить подключение постороннего устройства или приложения. В результате атакующие получают полноценный доступ к корпоративной почте, облачному хранилищу и другим внутренним сервисам организации.
Эксперты редакции CISOCLUB уточнили, что публичное раскрытие механизма GDID меняет представление о приватности пользователей Windows. Специалисты обратили внимание на то, что до этого судебного дела о существовании такого идентификатора знал ограниченный круг исследователей.
Аналитики редакции отметили, что подобная привязка активности к железу превращает операционную систему в источник розыскных данных наряду с провайдерами и операторами связи. Вопрос требует ответа от самой Microsoft, потому что молчание компании только подогревает подозрения. Специалисты добавили, что подобные истории с высокой вероятностью подтолкнут интерес к альтернативным ОС и средствам изоляции пользовательской активности.



