區塊鏈

「永不撒謊的代碼」—Windows 如何出賣了潛伏在三個國家的駭客

金色財經

一名19歲駭客如何輾轉逃亡三個國家 ——卻被一段他甚至不知道存在的代碼抓獲

他使用了VPN。 他在三個國家之間輪換IP地址。他通過Ngrok建立隧道連接以掩蓋自己的數字足跡。按常規標準來看,彼得·斯托克斯——網名為「Bouquet」——已經做到了網路罪犯為保持隱身所應做的一切。但這還不夠。 2026年4月,當他正準備在赫爾辛基機場登機飛往東京時,被芬蘭警方攔下。國際刑警組織早已對他發布了紅色通緝令。而最終將他繩之以法的證據,竟是他自己都不知道存在於自己電腦中的一個數字。



彼得·斯托克斯是誰——「Scattered Spider」做了什麼

現年19歲的斯托克斯擁有美國和愛沙尼亞雙重國籍,據稱是「散蛛」(Scattered Spider)組織的一員——該網路犯罪團伙的運作規模遠超普通駭客團體。 據美國司法部7月1日的聲明,該組織又名「Octo Tempest」、「UNC3944」和「0ktapus」,已被證實與100多起網路入侵事件有關,勒索金額超過1億美元。 若將營運中斷和恢復成本計算在內,受害組織遭受的經濟損失將高出許多。


該組織"最引人注目的行動包括:2023年導致拉斯維加斯酒店業巨頭凱撒娛樂(Caesars Entertainment)和美高梅度假村(MGM Resorts)癱瘓數日的攻擊事件、影響雲平台Snowflake客戶的數據泄露事件,以及澳洲航空公司澳洲航空(Qantas)的用戶資訊泄露事件。 該團伙的標誌性手法是社會工程學而非技術利用——成員會致電企業IT服務台,冒充員工,並通過說服支持人員重置密碼,從而騙取管理員憑證。 他們極少需要利用複雜的代碼漏洞。


該團伙成員以年輕人為主。 大多數成員是居住在美國和英國的青少年或年輕人,他們通過電話逼真地冒充公司員工的能力,已被證明比大多數複雜的技術攻擊更有效。


斯托克斯(Stokes)被指控參與了 2025 年針對一家美國奢侈珠寶零售商的攻擊。 據稱,他利用 Google Voice 冒充一名員工,致電該公司的 IT 幫助台,通過社會工程學手段獲取了管理員憑據,竊取了數據,然後索要了約 800 萬美元的贖金。 該公司拒絕支付贖金,並成功驅逐了攻擊者——但業務中斷、取證調查和系統恢復仍至少耗資200萬美元。



終結追捕的那個數字

在過去的一年裡,斯托克斯輾轉於塔林、紐約、泰國和德國,在每個地點都更換了IP地址,並利用Ngrok進一步掩蓋其連接的來源。 從網路流量角度來看,他在每個國家都像是一個不同的人。


問題出在Windows上。


每套微軟Windows系統在安裝時,都會將一個全局設備標識符(GDID)嵌入操作系統中。 微軟將其用於遙測、崩潰報告、功能使用統計以及許可證驗證。這就是為什麼更換主板會導致 Windows 激活失效:該標識符與硬體配置相關聯,而非網路。 VPN 會更改流量看似來自的 IP 地址,但不會改變 GDID。無論斯托克斯通過哪個國家/地區中轉連接,Windows 都清楚這是同一台機器。


當調查人員通過法院命令獲取了微軟針對該標識符保存的數據後,他們獲得了一份全面的行為檔案: 帶時間戳的瀏覽歷史記錄、遊戲活動、該設備曾使用過的所有 IP 地址的按時間排序列表、包括 Ngrok 活動在內的工具使用日誌,以及 Azure 帳戶活動記錄。 所有這些數據都與一個單一的持久標識符相關聯,該標識符一直追蹤着該設備穿越了每個國家、每條VPN以及每個新IP地址。



調查人員如何構建本案

此次調查並非基於單一線索。 它是建立在關聯分析之上的——數百個數據點在時間和平台之間相互印證,直到全貌變得無可辯駁。


Ngrok 的連接日誌提供了帶有時間戳的工具使用記錄。調查人員利用這些記錄獲得了法院命令,要求 Ngrok 披露帳戶資訊。 這些帳戶資訊又促成了針對微軟的進一步法院命令,要求其披露與相關GDID關聯的完整活動記錄。


關鍵的比對結果來自跨平台設備標識符的交叉核對。 每當斯托克斯從一個新的IP地址登錄Snapchat、蘋果服務或Facebook時,相同的GDID都會出現在相應的記錄中。調查人員對跨平台和跨國家(塔林、紐約、泰國、德國)的時間戳進行了比對,發現IP地址在不斷變化,而GDID始終保持不變。


Snapchat 發揮了尤為重要的作用。斯托克斯在旅行期間習慣於發布豪華酒店的照片。 每次登錄都會生成一條將 IP 地址與 GDID 配對的記錄——這些記錄與調查人員在其他所有平台上構建的時間線相吻合。


據報導,當芬蘭警方在赫爾辛基機場將其拘留時,他隨身攜帶了兩塊儲存盤,其中存有犯罪證據。



微軟在他17歲時就已知情

使本案最為令人不安的細節在於時間節點。 根據對調查的報導,微軟的安全研究人員早在2024年10月就已通過結合設備標識符、IP記錄和惡意代碼樣本,識別出了該可疑帳戶及其背後的個人。 當時,微軟已向執法部門提交了刑事案件移交報告。


斯托克斯當時年僅17歲。


調查人員耐心等待。他們一直等到他年滿18歲,根據美國聯邦法律可以作為成年人受到起訴。 2026年4月在赫爾辛基機場的逮捕並非突如其來的突破——而是這起醞釀了近兩年的案件的終結,此前調查人員一直謹慎地按兵不動,直到滿足起訴的法律條件。



在「散蛛」組織中不斷重演的模式

斯托克斯並非「散蛛」組織中首位因技術手段與日常行為之間的脫節而敗露的年輕成員。 該組織的逮捕記錄揭示了一個一貫的模式:在犯罪活動中謹慎地採取技術手段,而個人習慣卻完全毫無防備。


被認定為該組織頭目之一的泰勒·布坎南(Tyler Buchanan)於 2024 年在西班牙被捕,據稱當時隨身攜帶價值 2700 萬美元的資產。 網名為「Sosa」的諾亞·厄本(Noah Urban)對參與SIM卡交換攻擊的指控認罪。 英國一名17歲少年因涉嫌對倫敦交通局(Transport for London)發動網路攻擊而被起訴。


在每起案件中, 最終的證據鏈都貫穿於與犯罪活動並行的普通數字生活之中——同一台設備同時用於兩類活動,同一組帳戶在兩種情境下均被登錄,以及能證明當事人在特定時間出現在特定地點的社交媒體帖子。



更廣泛的啟示是——這種基礎設施也存在於你的設備上

該案例在社交媒體上的病毒式傳播——網路安全評論員@cyber_razz的一篇帖子發布數小時內就獲得了230萬次瀏覽,而隱私研究員@T3chFalcon隨後發布的詳細技術分析也很快積累了88.3萬次瀏覽——反映出的遠不止是對此次逮捕事件本身的關注。


GDID機制並非斯托克斯(Stokes)的設備所獨有。它存在於每一台安裝了Windows系統的設備上。 蘋果設備擁有在硬體層生成且在操作系統重裝後仍會保留的設備 UUID,以及與 Apple ID 綁定的 DSID。Linux 發行版在 /etc/machine-id 中維護着一個持久標識符。安卓設備則擁有硬體層級的 Android ID。

正如 @T3chFalcon 在他的分析中所指出的: 將斯托克斯的整個數字生活交給了聯邦調查局(FBI)的基礎設施,正是目前每台正在使用的筆記本電腦上運行的同一套基礎設施。 那些尚未得到解答的問題——微軟依據什麼標準與執法部門共享GDID數據、針對此類披露存在哪些透明度報告,以及用戶是否擁有任何有意義的退出機制——目前尚無明確的公開答案。


本案將在伊利諾伊州北區美國地方法院審理。 現階段針對斯托克斯的全部指控仍屬指控,他享有無罪推定權。但構建本案指控的取證方法不會因此而消失。對於任何認為VPN能提供實質性匿名性的人來說,本案詳細揭示了VPN究竟無法覆蓋哪些方面——以及它永遠無法覆蓋哪些方面。





來源

美國司法部關於「Scattered Spider」指控的官方新聞稿,2026年7月1日。@cyber_razz 於2026年7月6日在X平台發布的帖子。 @T3chFalcon 於2026年7月在X平台發布的技術分析帖。iTnews關於GDID證據鏈的技術報導。Tom』s Hardware關於斯托克斯被捕及微軟移交案件的深度報導。 BBC關於「Scattered Spider」組織成員被捕及引渡的報導。維基百科關於「Scattered Spider」組織歷史及成員的條目。本案將於伊利諾伊州北區聯邦地區法院審理。


來源:金色財經

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前,請務必深入研究,理解相關風險,並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。

暢行幣圈交易全攻略,專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群
不管是新手發問,還是老手交流,只要你想參與加密貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!

前往鉅亨買幣找交易所優惠


section icon

鉅亨講座

看更多
  • 講座
  • 公告

    Empty
    Empty