Amerykański Departament Sprawiedliwości poinformował o zatrzymaniu 19-letniego Petera Stokesa, posiadającego obywatelstwo USA i Estonii. Mężczyzna został ujęty na lotnisku w Helsinkach, gdy próbował odlecieć do Japonii. Akcję przeprowadzono wspólnie z FBI oraz fińskim Krajowym Biurem Śledczym.
Stokes jest oskarżony o udział w grupie Scattered Spider, jednej z najbardziej znanych organizacji cyberprzestępczych na świecie. Według amerykańskich śledczych gang miał wymusić ponad 100 mln dolarów w okupach od swoich ofiar.
Jak bardzo ciemny motyw w telefonie oszczędza baterię? Sprawdziłem to
Atak zaczął się od... telefonu do helpdesku
Jednym z głównych zarzutów wobec 19-latka jest udział w ataku na amerykańskiego sprzedawcę luksusowej biżuterii w maju 2025 r.
Cyberprzestępcy nie wykorzystali skomplikowanych luk w zabezpieczeniach. Zamiast tego zastosowali tzw. socjotechnikę. Podszyli się pod pracowników firmy i zadzwonili do działu IT, przekonując obsługę do zresetowania haseł.
To wystarczyło, aby uzyskać dostęp do trzech kont użytkowników, w tym dwóch z uprawnieniami administratora. Następnie napastnicy wykradli dane i zażądali okupu w wysokości 8 mln dolarów w kryptowalutach. Firma ostatecznie odzyskała kontrolę nad swoją infrastrukturą i nie zapłaciła okupu, jednak straty związane z przestojem oszacowano na około 2 mln dol.
Windows 11 pomógł śledczym
Jak opisuje serwis Tom's Hardware, kluczową rolę w śledztwie odegrały informacje przekazane FBI przez Microsoft.
Chodzi o mechanizm Global Device Identifier (GDID), czyli unikalny identyfikator przypisywany instalacji systemu Windows. Jest on wykorzystywany m.in. do obsługi telemetrii i identyfikacji konkretnego urządzenia. To właśnie dzięki tym danym śledczy mieli powiązać komputer używany przez podejrzanego z określonymi adresami IP, aktywnością internetową oraz lokalizacjami.
Z dokumentów sądowych wynika, że Microsoft przekazał również informacje dotyczące historii aktywności w sieci, korzystania z różnych narzędzi, adresów IP, a nawet historii związanej z grami i usługami Azure. Wszystkie dane miały być opatrzone znacznikami czasu, co pozwoliło odtworzyć cyfrową aktywność podejrzanego.
Prywatność użytkowników znów pod lupą
Sprawa natychmiast wywołała dyskusję na temat zakresu telemetrii zbieranej przez Windows 11.
W tym przypadku dane miały pomóc w zatrzymaniu osoby podejrzanej o poważne przestępstwa i wymuszenia na wielomilionową skalę. Jednocześnie eksperci zwracają uwagę, że tak szczegółowe informacje pokazują, jak wiele danych o użytkownikach i ich urządzeniach może gromadzić producent systemu operacyjnego.
Od lat część użytkowników krytykuje Windows za rozbudowaną telemetrię i próbuje ograniczać jej działanie. Mechanizm GDID nie należy jednak do elementów, które można łatwo wyłączyć.
Dodatkowe dowody tylko umocniły sprawę
Według materiałów ujawnionych przez prokuraturę śledczy znaleźli przy zatrzymanym także dwa dyski twarde zawierające obciążające materiały. Co ciekawe, jego tożsamość miała być znana organom ścigania już od 2024 r. Ze względu na wiek oraz miejsce pobytu służby zdecydowały się jednak kontynuować obserwację i zatrzymały go dopiero wtedy, gdy zgromadziły wystarczający materiał dowodowy.
Po ekstradycji do Stanów Zjednoczonych Peter Stokes stanął przed sądem federalnym w Chicago, gdzie usłyszał zarzuty dotyczące spisku, włamań komputerowych oraz oszustw.