井底圈小蛙
关注科技圈

Windows设备标识符被用于识别勒索软件组织核心成员

网络黑客在进行勒索攻击时往往会使用各种匿名工具和多重代理来隐藏自身,但他们所依赖的底层操作系统,却可能悄悄记录了其罪证。2026年6月30日,19岁的网络勒索组织“分散蜘蛛”(Scattered Spider)核心成员彼得·斯托克斯(Peter Stokes)在被引渡至美国后正式出庭受审。随着美国司法部(DOJ)相关起诉书的公开,这起跨国抓捕背后的技术追踪细节被彻底曝光。

斯托克斯所在的“Scattered Spider”是近年来最令西方企业和金融机构闻风丧胆的勒索团伙之一,曾制造过多起针对知名娱乐及赌场巨头的侵入事件,累计掠夺的赎金总额已超过1亿美元。在这场针对该组织核心成员的长线追踪中,软件巨头微软向美国联邦调查局(FBI)提供了最具决定性的数字物证。

全局设备标识符 GDID 成为揭开黑客面纱的关键

法庭公开文件显示,斯托克斯在发起网络攻击和配置穿透通道时,使用的是 Windows 操作系统。而微软在协助 FBI 调查时,提供了一个名为 GDID(Global Device Identifier,即全局设备标识符)的底层追踪数据。

GDID微软分配给每个安装了 Windows 系统设备的唯一硬件和系统遥测标识符。在日常运行中,该标识符用于向微软服务器回传系统健康状态、更新日志以及用户行为特征等遥测数据(Telemetry)。通过对斯托克斯设备 GDID 的深度关联,调查人员不仅掌握了其详细的网络连接活动和 IP 地址变动历史,甚至还获取了其在设备上的游戏历史记录以及 Azure 云服务的实时运行状态。更具技术针对性的是,该标识符还记录了斯托克斯使用内网穿透工具 Ngrok 时的具体时间戳,这些数字痕迹与“Scattered Spider”多起网络攻击中的跳板机流量特征高度重合,直接坐实了斯托克斯的作案嫌疑。

长达两年的监视与赫尔辛基机场的跨国收网

斯托克斯拥有美国和爱沙尼亚的双重国籍,这给多国联合执法带来了一定的司法障碍。早在2024年,FBI 联合多国安全机构就已经通过微软的数据确认了斯托克斯的真实身份,但由于他当时属于未成年人,且频繁活动于对美引渡政策复杂的爱沙尼亚和阿联酋,执法部门在长达两年的时间里并未轻举妄动,而是对其数字身份和出行轨迹进行了暗中监视。

这一僵局在最近被打破。斯托克斯在购买机票从芬兰赫尔辛基准备飞往日本时,其出行警报立刻触发了芬兰国家调查局(NBI)的预警系统。芬兰警方在赫尔辛基万塔机场果断采取逮捕行动,并迅速启动了向美国的引渡程序。网络安全分析师指出,此案的成功破获证明,即便是技术高超的黑客,在面对操作系统级别的全方位日志审计与遥测追踪时,也很难做到完全“隐形”。这起判例未来可能会成为多国执法部门利用商业操作系统遥测特征打击跨国黑客组织的教科书式案例。


本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️

圈小蛙现已开通Telegram。单击此处加入我们的频道 (@quanxiaowa)并随时了解最新科技圈动态!

除特别注明外,本站所有文章均系根据各大境内外消息渠道原创,转载请注明出处。
文章名称:《Windows设备标识符被用于识别勒索软件组织核心成员》
文章链接:https://www.qxwa.com/windows-telemetry-gdid-leads-to-scattered-spider-hacker-arrest.html
分享到: 生成海报

评论 抢沙发

科技圈动态,尽在圈小蛙

联系我们关注我们