Кінець ери анонімних доменних імен
Цифровий слід GDID та крах Scattered Spider

Історія затримання 19-річного Пітера Стоукса, громадянина США та Естонії, нагадує сценарій технотрилера. Спроба вильоту з Фінляндії до Японії завершилася зустріччю з правоохоронними органами, які діяли на основі даних, наданих корпорацією Microsoft. Стоукса підозрюють у приналежності до угруповання Scattered Spider — об'єднання, що заслужило репутацію одного з найнебезпечніших гравців на ринку кіберзлочинності. Під іменами Octo Tempest або UNC3944 ця група спеціалізується не стільки на пошуку вразливостей у коді, скільки на експлуатації людського фактора через витончену соціальну інженерію.
Масштаби діяльності Scattered Spider вражають: за даними Міністерства юстиції США, загальна сума викупів, отриманих угрупованням, перевищила 100 мільйонів доларів. Одним із ключових епізодів став напад на американського дилера елітних ювелірних виробів у травні 2025 року. Злочинці використали класичний, але ефективний метод: через сервіс Google Voice вони зв'язалися зі службою IT-підтримки компанії, видавши себе за співробітників. Маніпуляція спрацювала — підтримка скинула облікові дані, що відкрило зловмисникам доступ до трьох акаунтів, два з яких мали права адміністратора. Результатом стало захоплення критично важливих даних і вимога викупу в розмірі 8 мільйонів доларів у криптовалюті.
Хоча компанія змогла відновити інфраструктуру без виплати викупу, непрямі збитки від простою бізнесу склали близько 2 мільйонів доларів. Саме цей інцидент запустив механізм детального відстеження цифрових слідів, які привели слідчих до Стоукса. Вирішальну роль у цьому процесі відіграла система GDID (Global Device Identifier).
GDID є унікальним глобальним ідентифікатором пристрою, який присвоюється кожній інсталяції Windows. Цей механізм призначений для збору телеметрії та відстеження стану системи, що пояснює, чому при заміні ключових апаратних компонентів ПК ліцензія Windows часто анулюється — система просто перестає впізнавати пристрій. Однак для ФБР GDID став ідеальним «цифровим якорем». Він дозволив пов'язати конкретне фізичне обладнання з мережевою активністю та географічним положенням користувача.
Слідство отримало доступ до вичерпного звіту, де були зафіксовані часові мітки веб-активності, історія використання відеоігор, IP-адреси та робота зі спеціалізованим інструментарієм, включаючи Ngrok — сервіс для створення безпечних тунелів, який часто використовують хакери для обходу брандмауерів. Навіть статус активності в хмарній платформі Azure став частиною доказової бази. Фактично, операційна система вела безперервний лог дій користувача, який згодом був переданий правоохоронним органам.
Цей прецедент викликає серйозну тривогу в спільноті фахівців із кібербезпеки та захисту прав людини. Він демонструє, наскільки інвазивною може бути телеметрія сучасного ПЗ. Те, що довгий час сприймалося як надлишковий збір даних для «покращення користувацького досвіду», на ділі виявилося потужним інструментом криміналістики. Ситуація ускладнюється тим, що Microsoft уже демонструвала готовність співпрацювати з державними органами в питаннях доступу до даних — наприклад, надаючи ключі шифрування BitLocker за рішенням суду.
Таким чином, випадок зі Scattered Spider підкреслює нову реальність: в епоху тотальної телеметрії анонімність стає практично недосяжною, якщо користувач покладається на пропрієтарні системи. Межа між функціональністю ОС та системою стеження остаточно розмилася, перетворюючи кожен пристрій на потенційного свідка проти свого власника.

