首页 网络安全 网安动态 查看内容

19岁黑客跨三国换IP狂奔,还是被Windows一串「设备指纹」摁在原地:FBI靠它扒出他的整个数字人生

2026-7-9 14:12 80 0

摘要: ▲ The Hacker News对该案的报道,标题为《法庭文件揭露:Windows设备ID帮助FBI追踪涉案的Scattered Spider黑客》。司法部刑事司助理检察长A. Tysen Duva在新闻稿里说:The criminal complaint charges Peter Stokes with memb...
关键词:Stokes, Windows, Scattered, Spider, T3chFalcon, Peter, Snapchat, Facebook, Scattered Spider, The

  • 芬兰赫尔辛基机场,登机口前,一个19岁的年轻人被拦下。行李箱里装着两块2TB存储盘,身份是国际刑警组织红色通缉令上的名字。他以为自己已经金蝉脱壳,飞去日本就是新的开始。真正出卖他的,是他自己那台Windows电脑里,一串他从没见过、也没法关掉的代码。

机场里的那一刻

2026年4月10日,芬兰警方在赫尔辛基机场逮捕了Peter Stokes。

19岁,美国与爱沙尼亚双重国籍,网名「Bouquet」,另有化名「Jordan」「spencer」。他被控是勒索团伙Scattered Spider(又称Octo Tempest、UNC3944)的成员——这个团伙被美国司法部形容为"参与超过100起网络入侵,勒索超过1亿美元"的犯罪组织。

被捕之后,芬兰将他引渡回美国。6月30日,他在芝加哥联邦法院首次出庭,被羁押收押。7月1日,美国司法部(DOJ)正式解封长达39页的刑事投诉书,对外公布这起案件。

▲ 美国司法部官网发布的新闻稿:《Scattered Spider成员在芬兰被捕并引渡至美国》,2026年7月1日。

司法部刑事司助理检察长A. Tysen Duva在新闻稿里说:

"The criminal complaint charges Peter Stokes with membership in Scattered Spider, a hacking group that has been involved in over 100 network intrusions, resulting in more than $100 million in ransom payments, and millions more in damages to the victims."

「这份刑事投诉指控Peter Stokes是Scattered Spider的成员,这个黑客团伙参与了超过100起网络入侵,勒索赎金超过1亿美元,另外还给受害者造成了数百万美元的损失。」

这场抓捕背后,其实拖了将近两年的调查线。往前倒推,微软早在2024年10月就已经把这个网名叫"spencer"的少年锁定,提交给了FBI一份刑事转介——那时候,他才17岁,还没成年。执法部门一直等到他满18岁,才正式动手。

一场堪称教科书级别的入侵

真正让Stokes摊上事的,是2025年5月那场针对美国一家奢侈珠宝零售商的入侵。

The Hacker News的报道里,还原了整个作案过程:5月12日到15日之间,攻击者冒充公司员工,用Google Voice伪装成的电话号码打给IT帮助台,谎称自己账号被锁。帮助台的人信了,重置了密码,也重置了多因素认证绑定的手机设备。

短短几个小时,攻击者就拿到了三个账号的控制权,其中两个还是IT管理员账号。

▲ The Hacker News对该案的报道,标题为《法庭文件揭露:Windows设备ID帮助FBI追踪涉案的Scattered Spider黑客》。

拿到管理员权限之后,他们装上了ngrok和另一款叫Teleport的隧道工具,把公司内部数据一点点搬到自己控制的亚马逊云存储上,一共卷走了77GB数据。

紧接着,他们试图在受害公司内网部署勒索软件,被对方的安全团队及时挡了下来,并且把攻击者踢出了网络。即便如此,攻击者还是发了一封主题为"IMPORTANT: WE STOLE THE DATA, CONTACT UMMEDIATELY"(重要:我们偷了你的数据,立刻联系我们)的勒索邮件,索要800万美元赎金。

这家公司没有付钱。但这一场攻防,还是让它付出了大约200万美元的代价——系统中断、事后调查、安全修复,全都要花钱。

他自以为天衣无缝的"跑路计划"

按理说,这种规模的犯罪团伙成员,理应懂得怎么藏好自己。

Stokes确实也这么干了:VPN、隧道代理、频繁更换公网IP。刑事投诉书和多家媒体的报道拼出了他的活动轨迹——2024年6月前后,他在爱沙尼亚塔林用本地IP上网;11月,IP变成了纽约;到2025年2月,又跳到了泰国;再往后,还出现过德国的IP。

跨越三个国家,甚至更多,IP地址换了一圈又一圈。

在很多人的想象里,这几乎就是"完美出逃"的标准操作:不用同一个网络,不留固定痕迹,警察想追踪都无从下手。

Stokes大概也是这么想的。直到那份39页的刑事投诉书曝光,所有人才发现,真正把他钉在原地的,从头到尾都跟IP无关。

那串他自己都不知道存在的代码

科技博主@T3chFalcon在X上发布的一条长帖,引用了另一位安全从业者@cyber_razz的原帖,把这个反转讲得很到位:

"A 19 year old kid used a VPN and change his IP across 3 countries but the FBI was still able to catch him and that's because windows was tracking a number he didn't even know existed…."

「一个19岁的孩子用VPN在三个国家之间换IP,可FBI还是抓到了他——因为Windows一直在追踪一串他自己都不知道存在的号码……」

这条帖子被转发超过1800次,点赞近万,浏览量接近百万。@T3chFalcon在自己那条引用帖里,把这串"号码"的名字和来龙去脉一一摊开:GDID,Global Device Identifier(全球设备标识符)

▲ @T3chFalcon在X上的长帖,详细拆解了GDID的构成和微软移交给FBI的五类数据。截至发稿,316条回复,1.8万转发,9200点赞,97.9万次浏览。

按照刑事投诉书里微软方面的描述,GDID是每一次Windows安装都会生成的一个唯一编码,格式类似"g:6755467234350028"。它不挂在某个具体部件上,而是绑定在这套Windows系统的"安装实例"上——只要不重装系统,无论你换了多少个网络、跑去了多少个国家,这串编码都原地不动。

微软原本用它来做什么?遥测数据收集、崩溃报告、功能使用统计、许可验证。真要说起来,这也是为什么换主板、换CPU有时候会让Windows激活失效——背后牵动的正是这套设备识别机制。

问题是,这套用来"看软件跑得好不好"的系统,同时也悄悄记下了一个人的全部数字行踪。

微软交给FBI的,是一份"数字人生"

根据刑事投诉书,微软向FBI提供的、与Stokes这枚GDID绑定的数据,至少包括:

  • 带时间戳的网页浏览活动
  • 游戏会话记录
  • 不同时间段使用过的IP地址
  • 特定工具的使用记录
    (包括他注册使用的ngrok)
  • Azure云账户的活动

这几项数据单独拎出来,都算不上多神秘。但当它们全部挂在同一个GDID下面,事情就变了味——不管Stokes人在塔林、纽约、泰国还是德国,不管他换了多少次公网IP,微软后台记录的都是同一个设备编号

VPN能藏住他连的是哪根网线,藏不住他用的是哪台电脑。

拼图是怎么拼起来的

单靠一个GDID,其实也定不了案。真正让调查团队把人和时间线对上的,是多个信号的相互印证

第一块拼图,来自隧道服务商ngrok。Stokes在2025年5月12日注册ngrok账号时,用的是一个VPN分配的IP地址。调查人员先从这个账号入手,申请到法院令,再据此向微软调取和这个时间点重合的GDID记录。

第二块拼图,是同一分钟内的行为关联——投诉书显示,那枚GDID几乎和ngrok账号在同一时间访问了注册页面,随后又出现在受害公司的网站访问记录里。

第三块拼图,来自其他平台。Stokes每次用新IP登录Snapchat、Apple账号或者Facebook,同一个GDID都会"如影随形"地出现。调查人员把这些平台上的登录时间戳一条条排开,对上了塔林、纽约、泰国、德国这几个地点的时间窗口。

第四块拼图,是美方掌握的跨境旅行记录——他人在哪个国家,跟IP切换的时间点严丝合缝地对上了。

第五块拼图,反而是他自己交的。Stokes在Snapchat和Facebook上晒过不少东西:旅行照片、名表、成沓的现金,还有一条镌着"HACK THE PLANET"字样的钻石项链。据部分社区讨论提到,他甚至自拍过嘲讽FBI的照片。

最后一块拼图,是他被捕那一刻随身带着的两块2TB存储盘——当场成了物证。

IT News的报道用了一个很准确的说法:

"Persistent device identifier."

「持久性设备标识符。」

▲ IT News报道《微软设备遥测数据成为揭穿Scattered Spider黑客的关键》。文中确认,FBI投诉里提到的"来自微软的刑事转介"是本案证据的重要组成部分。

一个ngrok账号,牵出一份法院令;一份法院令,换来一枚GDID;一枚GDID,串起了四个国家、三个社交平台、一条跨境旅行记录。VPN从头到尾没被破解,只是从来没被真正需要过。

Scattered Spider:一群"太张扬"的年轻人

要理解Stokes为什么会栽在这种"看似不起眼"的漏洞上,得先知道他所在的这个团伙是什么来头。

Scattered Spider(也叫Octo Tempest、UNC3944、0ktapus)成立于2022年5月前后,成员主要是十几二十岁的美英青少年,隶属于一个更松散的黑客社区"The Com"。

这个团伙最出名的手法说穿了很朴实:最原始的社会工程学——冒充员工打电话给IT帮助台、SIM卡劫持、疲劳轰炸式的多因素认证请求。他们对云平台(Azure、AWS、Google Workspace)门儿清,惯用各种"看起来很正常"的远程工具作案,很难被安全软件当成异常拦下。

2023年,这个团伙对美国多家大型休闲娱乐集团下手,造成严重业务中断和高额善后成本。此后,Snowflake客户数据泄露、多起电信和金融机构入侵,都能看到这个团伙的影子。

Stokes在团伙内部,据称主要负责恶意软件相关的处理工作,从2022年就已经开始参与活动。到案发时,他不过是这个松散网络里,又一个因为"太爱炫"而暴露的年轻人。

安全社区常年感慨:这类团伙像细胞一样分散,抓一个人根本动不了整个网络的根基。

别高兴太早:Windows并非孤例

看到这里,很容易得出一个简单结论:Windows埋了雷,赶紧换系统。

现实要复杂得多。GDID说到底是微软公开的、用于合法商业用途的遥测基础设施的一部分——诊断、崩溃报告、许可验证,几乎所有现代操作系统都藏着类似的东西。

Tom's Hardware的报道标题写得毫不客气:

▲ Tom's Hardware报道:《Windows 11识别码在微软向FBI移交信息后,被用来追踪Scattered Spider成员——19岁美国-爱沙尼亚黑客因涉嫌关联知名勒索团伙被捕》。副标题写道,司法部指控该团伙各类攻击共卷走超过1亿美元。

苹果设备有设备UUID(主板生成,重装系统也不变)和绑定Apple ID的DSID;Linux系统里有/etc/machine-id,理论上能手动改,但不少浏览器照样会把它读出来上报;安卓设备也有自己的Android ID。

这些持久标识符本身单独摆出来看不出什么。但只要跟账号登录、IP变化历史、时间戳这些信息拼在一起,就能形成一条足够扎实的证据链。

真正让人在意的地方,是这套机制有多不透明。截至目前,微软始终没有公开说明在什么情况下会向执法机构分享GDID数据;面向普通用户的关闭选项找不到,专门针对GDID披露情况的透明度报告更是无从谈起。用户能不能在不重装系统的前提下"换掉"这枚编码?公开资料里也没有答案。

VPN撑不起一件隐身斗篷

Stokes这案子留下的教训,其实简单到有点讽刺。

VPN能做的,只是换掉你连出去的那个公网地址。它管不到操作系统本身向厂商服务器汇报的设备编号,管不到浏览器和应用后台悄悄发出的遥测数据,更管不住一个人在社交媒体上藏不住的炫耀欲。

Stokes用同一台设备,既干着入侵公司网络的"正事",又登录着Snapchat、Facebook这些和现实身份高度绑定的私人账号——这是第一重失误。他把旅行、名表、现金、"HACK THE PLANET"钻石项链一股脑发到社交媒体上——这是第二重失误。他在17岁就被微软盯上,团伙却始终没有察觉,一路张扬到19岁——这是第三重失误。

任何一重失误单独拎出来,可能都不足以让他落网。三重叠在一起,外加一个跨越四个国家、串联起五六个平台的时间线拼图,事情就再也遮不住了。

技术从来撑不起一面万能的挡箭牌。真正决定一个人能不能被抓到的,往往取决于他到底留下了多少可以被拼接起来的痕迹,跟工具先不先进关系不大。

Peter Stokes现在还在等待芝加哥联邦法院的审判,被控多项罪名,目前尚未定罪,依法应视为无罪。但对每一个正在用Windows电脑的普通人来说,这个案子留下的疑问才刚刚开始:那串你从没见过的编码,什么时候会被拿去讲述你的故事?


本文出处: https://mp.weixin.qq.com/s/-_gdz3OltJMdIQAW7aig_Q
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋
返回顶部