
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Nowo ujawnione materiały procesowe w USA pokazują, że śledczy wykorzystali trwały identyfikator urządzenia Windows do powiązania konkretnej stacji roboczej z aktywnością przypisywaną osobie oskarżonej o udział w operacjach grupy Scattered Spider. Sprawa ma duże znaczenie dla branży cyberbezpieczeństwa, ponieważ podkreśla rolę telemetrii systemowej, artefaktów kont i korelacji zdarzeń w dochodzeniach dotyczących włamań, wymuszeń oraz incydentów ransomware.
W praktyce oznacza to, że nawet przy stosowaniu VPN, usług tunelujących i aliasów operatorzy zagrożeń mogą pozostawiać stabilne ślady, które po zestawieniu z innymi danymi umożliwiają ich identyfikację.
W skrócie
- Amerykańscy prokuratorzy mieli powiązać domniemanego członka Scattered Spider z incydentem u detalisty jubilerskiego dzięki trwałemu identyfikatorowi urządzenia Windows.
- Ten sam identyfikator miał pojawić się przy zakładaniu konta używanego podczas operacji i zostać skorelowany z innymi usługami internetowymi.
- Początkowy wektor ataku nie opierał się na luce technicznej, lecz na skutecznym oszustwie wymierzonym w help desk oraz proces resetu haseł i MFA.
- Sprawa wzmacnia znaczenie analizy powiązań między urządzeniem, kontem, czasem aktywności i lokalizacją.
Kontekst / historia
Scattered Spider od dłuższego czasu jest kojarzone z kampaniami opartymi na socjotechnice, przejęciach tożsamości, atakach na help desk, SIM swapingu, nadużywaniu legalnych narzędzi zdalnego dostępu oraz wymuszeniach po eksfiltracji danych. Charakterystyczne dla tego modelu działania jest obchodzenie klasycznych zabezpieczeń nie przez exploitowanie podatności, lecz przez manipulację personelem i procedurami operacyjnymi.
W opisywanym przypadku incydent miał dotyczyć włamania z maja 2025 roku. Atakujący podszywali się pod pracowników, kontaktowali się z pomocą techniczną i doprowadzili do resetu haseł oraz zmian związanych z urządzeniami wykorzystywanymi do uwierzytelniania wieloskładnikowego. W efekcie uzyskali kontrolę nad trzema kontami, w tym nad kontami uprzywilejowanymi.
Następnie wdrożono narzędzia tunelujące i rozpoczęto eksfiltrację danych. Próba uruchomienia ransomware miała zostać powstrzymana przez zespół bezpieczeństwa ofiary, ale sam incydent i tak wygenerował znaczące koszty związane z reakcją, dochodzeniem i odtwarzaniem środowiska.
Analiza techniczna
Technicznie sprawa jest interesująca z dwóch powodów. Po pierwsze pokazuje skuteczność ataku opartego na słabo zabezpieczonym procesie biznesowym. Po drugie uwidacznia znaczenie trwałych identyfikatorów urządzeń w analizie śledczej.
Pierwsza faza operacji miała charakter klasycznego vishingu i social engineeringu. Atakujący wykorzystali kontakt telefoniczny z help deskiem, aby przekonać personel do zresetowania danych dostępowych oraz elementów powiązanych z MFA. To szczególnie groźne obejście, ponieważ nie wymaga wykorzystania podatności po stronie systemów ofiary. Wystarcza nieskuteczna procedura weryfikacji tożsamości użytkownika.
Po uzyskaniu dostępu napastnicy mieli uruchomić narzędzia takie jak ngrok oraz Teleport, aby zestawić tunele i utrzymać kanały komunikacji z infrastrukturą ofiary. Tego rodzaju oprogramowanie może być nadużywane do ukrywania ruchu, obchodzenia części kontroli sieciowych i tworzenia pozornie legalnych ścieżek dostępu zewnętrznego. Z opisu sprawy wynika również, że dane były przenoszone do zasobów chmurowych, a skala eksfiltracji sięgnęła co najmniej dziesiątek gigabajtów.
Najbardziej interesującym elementem dochodzenia jest jednak wykorzystanie identyfikatora Global Device ID powiązanego z instalacją Windows. W materiałach procesowych opisano go jako trwały identyfikator przypisany do pojedynczej instalacji systemu, który przetrwa aktualizacje systemowe, ale zmienia się po reinstalacji systemu operacyjnego. Według dokumentów to właśnie ten artefakt miał zostać powiązany z urządzeniem użytym do założenia konta ngrok w czasie zbieżnym z początkiem operacji.
Następnie ten sam identyfikator został skorelowany z aktywnością innych kont internetowych oraz adresami IP i lokalizacjami przypisywanymi podejrzanemu. Z perspektywy DFIR oznacza to, że sama warstwa anonimizacji sieciowej nie wystarcza, jeśli operator wielokrotnie korzysta z tej samej instalacji systemu, tych samych kont lub powtarzalnych wzorców czasowo-lokalizacyjnych.
Konsekwencje / ryzyko
Najważniejsze ryzyko ujawnione w tej sprawie dotyczy organizacji, które nadal traktują help desk wyłącznie jako funkcję operacyjną, a nie element powierzchni ataku. W praktyce to właśnie ten obszar bardzo często staje się punktem wejścia do środowisk uprzywilejowanych. Jeśli reset hasła i zmiana powiązań MFA mogą zostać uruchomione po jednej rozmowie telefonicznej, to nawet silne zabezpieczenia techniczne mogą okazać się niewystarczające.
Druga konsekwencja dotyczy samych operatorów zagrożeń. Sprawa pokazuje, że długotrwałe używanie jednego urządzenia, kont i powtarzalnej infrastruktury zwiększa ryzyko pozostawienia stabilnych śladów dowodowych. VPN, proxy i usługi tunelujące nie eliminują ryzyka deanonimizacji, jeśli dane telemetryczne z wielu usług da się ze sobą skutecznie połączyć.
Dla obrońców to również sygnał, że kampanii przypisywanych Scattered Spider nie należy analizować wyłącznie jako problemu ransomware. To szerszy model zagrożenia łączący socjotechnikę, przejęcia kont, eksfiltrację danych, nadużycie legalnych usług oraz presję finansową. Nawet jeśli etap szyfrowania zostanie zatrzymany, skutki biznesowe mogą być bardzo poważne.
Rekomendacje
Organizacje powinny w pierwszej kolejności utwardzić procesy help desk. Reset hasła, zmiana numeru telefonu, przełączenie urządzenia MFA i wszelkie operacje na kontach uprzywilejowanych powinny wymagać wieloetapowej weryfikacji tożsamości.
- Wdrożenie kanału zwrotnego do numeru już zapisanego w systemie oraz dodatkowej walidacji w systemie HR.
- Oddzielne procedury dla kont administracyjnych i dostępu do systemów krytycznych.
- Automatyczna eskalacja telefonicznych próśb o pilny reset hasła do zespołu bezpieczeństwa.
- Monitorowanie użycia narzędzi tunelujących i zdalnego dostępu, takich jak ngrok, Teleport i podobne usługi.
- Ograniczenie możliwości uruchamiania nieautoryzowanych agentów i binariów za pomocą polityk aplikacyjnych.
- Korelacja logów tożsamości, EDR, proxy, CASB i systemów pocztowych w celu wykrywania nietypowych sekwencji resetów oraz logowań.
- Stosowanie phishing-resistant MFA przy równoczesnym zabezpieczeniu procesu odzyskiwania konta.
- Przygotowanie playbooków reagowania dla scenariuszy vishingu, resetu MFA i nadużyć help desku.
Zespoły IR i threat huntingu powinny dodatkowo analizować trwałe identyfikatory urządzeń, wzorce logowania, relacje między kontami oraz ślady pozostawiane przez legalne usługi chmurowe wykorzystywane do eksfiltracji. Największą wartość ma zwykle nie pojedynczy artefakt, lecz korelacja wielu pozornie nieszkodliwych sygnałów.
Podsumowanie
Ujawniona sprawa prowadzi do dwóch kluczowych wniosków. Po pierwsze, wiele poważnych incydentów nadal zaczyna się od słabego procesu biznesowego, a nie od luki CVE. Po drugie, operatorzy zagrożeń wciąż pozostawiają trwałe artefakty umożliwiające ich identyfikację, nawet jeśli próbują ukrywać się za VPN, proxy i narzędziami tunelującymi.
Dla firm oznacza to konieczność równoczesnego wzmacniania ludzi, procedur i telemetrii technicznej. W kampaniach podobnych do tych przypisywanych Scattered Spider właśnie to połączenie decyduje o skuteczności obrony i jakości późniejszego dochodzenia.
Źródła
- https://thehackernews.com/2026/07/court-filing-reveals-windows-device-id.html
- https://www.justice.gov/usao-ndil/pr/alleged-member-criminal-cyber-hacking-group-scattered-spider-arrested-finland-and
- https://www.justice.gov/usao-ndil/media/1450651/dl?inline=
- https://www.justice.gov/usao-cdca/pr/british-national-pleads-guilty-hacking-companies-and-stealing-least-8-million-virtual