Zatčení na letišti v Helsinkách
Americko-estonského občana Petera Stokese zadržela finská policie desátého dubna, když se chystal nastoupit na let do Japonska. U sebe měl dva pevné disky plné důkazů. Krátce poté byl na základě červeného oznámení Interpolu vydán do Spojených států, kde ho čekalo federální obvinění z průniku do počítačových systémů, podvodu a spolčení.
Stokes je podle žalobců napojený na hackerskou skupinu Scattered Spider, která má na svědomí přes sto průniků do firemních sítí a která podle amerického ministerstva spravedlnosti vybrala na výkupném více než 100 milionů dolarů, tedy zhruba 2,1 miliardy korun.
Hlavní bod obžaloby se týká útoku na luxusní klenotnický řetězec z května 2025. Útočníci tehdy zavolali na firemní IT podporu přes Google Voice, vydávali se za zaměstnance a přesvědčili operátora k resetování přihlašovacích údajů. Získali tak přístup ke třem účtům. Dva z nich měly administrátorská oprávnění. Následovala krádež dat a požadavek na výkupné ve výši 8 milionů dolarů, v přepočtu asi 168 milionů korun, v kryptoměně. Firma nakonec výkupné nezaplatila. Škody spojené s vyšetřováním a odstávkou provozu ji ale přišly na zhruba 2 miliony dolarů, tedy asi 42 milionů korun.
Otisk, kterého se nezbavíte ani s VPN
Tím, co Stokese nakonec usvědčilo, byl takzvaný GDID, Global Device Identifier. Jde o trvalý identifikátor, který Windows přiřazuje každé instalaci systému a který zůstává stejný i po aktualizacích.
Změní se jedině při přeinstalaci systému. Podle vyšetřovacího spisu slouží GDID běžně k diagnostice, hlášení chyb nebo odhalování zneužívání zkušebních licencí, ale dá se spárovat i s dalšími službami a časovými údaji. Teoreticky tak umožňuje sledovat online aktivitu konkrétního počítače.
Stokes si myslel, že bude v bezpečí, když svůj počítač schová za VPN a přes ni si založí účet u tunelovací služby ngrok, která maskuje skutečný původ síťového provozu. Před odesláním GDID ho však ani to neochránilo. Microsoft po soudním příkazu identifikátor předal vyšetřovatelům a spolu s časově označenými záznamy od ngroku se podařilo zařízení jednoznačně přiřadit ke Stokesovi.
Jak agenti poskládali mozaiku?
Z GDID pak vyšetřovatelé zjistili historii IP adres a ty spárovali s přihlašovacími časy na účtech Snapchat, Apple a Facebook. Adresy se objevovaly v Tallinnu, New Yorku a Thajsku a téměř vždy se shodovaly s přihlášením na Snapchat během několika minut. Nepomohlo mu ani to, že na Snapchatu sám sdílel fotky z luxusních hotelů, kde pobýval.
Zajímavé je, že totožnost Stokese znali vyšetřovatelé už od roku 2024. Tehdy ale byl ještě nezletilý a pohyboval se mezi Estonskem a Spojenými arabskými emiráty, takže ho úřady jen sledovaly a čekaly na vhodnou chvíli k zásahu.
Mohlo by vás zajímat
Uživatelé si to ani neuvědomí: hackeři zneužívají technologie Microsoftu k nebezpečným útokům
Co případ znamená pro běžné uživatele?
Případ vyvolal debatu mezi bezpečnostními odborníky o tom, jak moc Windows ve skutečnosti sleduje své uživatele. Podle vyjádření Microsoftu ve spisu jde o identifikátor navržený k rozpoznání instalace systému napříč některými službami, nikoli o nástroj přímo určený k odhalování zločinců. Prakticky ale ukazuje, že operační systém dokáže propojit chování zařízení s aktivitou na internetu způsobem, který jde nad rámec běžných cookies v prohlížeči.
Bezpečnostní výzkumníci se teď ptají, jestli podobně fungují i identifikátory u jiných výrobců, včetně Applu. Padla i úvaha, že opravdová anonymita by dnes vyžadovala úplně jiný přístup, tedy použití Linuxu nebo jiného open source systému v kombinaci s Torem a proxy servery, protože samotná VPN podle všeho nestačí.
Mohlo by vás zajímat
Nejpoužívanější PIN kódy vás rozesmějí. Android 17 změní jejich zadávání, realitu ale neporazí
Dopadení hackera bylo součástí větší operace
Obvinění Stokese je součástí širší akce FBI s názvem Operation Riptide, která cílí na kyberzločince, jejich infrastrukturu a finanční sítě. Podle ministerstva spravedlnosti Američané loni nahlásili ztráty z kyberzločinu přesahující 20 miliard dolarů, což je v přepočtu asi 420 miliard korun, a meziročně jde o nárůst o 26 procent. Scattered Spider je podle vyšetřovatelů propojena i s útoky na britské řetězce Co-op a Marks & Spencer a s předloňským napadením systémů londýnské dopravní společnosti Transport for London, při němž uniklo přes deset milionů záznamů o cestujících.
Stokes se nyní nachází ve vazbě a čeká na další soudní jednání v Chicagu. Jak bude jeho případ pokračovat, zatím není jasné. Obvinění je ale samo o sobě dobrou připomínkou, že ani zkušený hacker se dnes neschová jen za VPN a šikovné triky. Chatboti a AI agenti jsou nedílnou součástí i vyšetřovacích postupů, ale v tomto případě rozhodl mnohem starší a nenápadnější nástroj, obyčejné ID zařízení, které v sobě nese každý počítač s Windows.
Zdroj: Office of Public Affairs, BBC, PCmag, wgntv