Федеральное бюро расследований (ФБР) США смогло идентифицировать предполагаемого члена хакерской группировки Scattered Spider. Сделать это удалось благодаря скрытому инструменту операционной системы Windows — Global Device ID (GDID).
Данный инцидент, как сообщает издание PCMag, спровоцировал новые споры об уровне конфиденциальности пользователей и масштабах скрытого отслеживания устройств.
По версии следствия, 19-летний Питер Стоукс, которого ранее экстрадировали в США, причастен к серии кибератак в составе Scattered Spider. Чтобы связать подозреваемого с конкретным преступным эпизодом, спецслужбы задействовали уникальный маркер GDID, который генерируется для каждой отдельной копии Windows, будь то физический компьютер или виртуальная машина.
Служебный идентификатор GDID необходим для того, чтобы отличать одну установленную операционную систему от другой. В рамках расследования корпорация Microsoft сопоставила этот код с временными метками и сведениями из стороннего сервиса, что позволило ФБР подтвердить активность Стоукса в сети.
При этом разработчики из Microsoft практически не раскрывают деталей работы Global Device ID — инструмент лишь вскользь упоминается в технической документации. Согласно собранным данным, этот маркер не исчезает после стандартных обновлений ОС и сбрасывается только в случае полной переустановки Windows.
Обнародованные детали следствия вызвали серьезную дискуссию среди экспертов по кибербезопасности. Специалисты и пользователи сейчас активно обсуждают, можно ли самостоятельно обнаружить и стереть GDID, а также присутствуют ли аналогичные скрытые маркеры в конкурирующих операционных системах.