Hacker 19 tuổi bị bắt vì một tính năng gây tranh cãi của Windows

Quân Kít

Tính năng thu thập dữ liệu (telemetry) trên Windows từ lâu đã gây tranh cãi vì những lo ngại về quyền riêng tư. Tuy nhiên, trong một vụ án mạng quy mô lớn liên quan đến nhóm tin tặc Scattered Spider, chính dữ liệu này đã giúp cơ quan thực thi pháp luật xác định danh tính nghi phạm và đưa hắn ra trước công lý.

Telemetry của Windows bất ngờ trở thành công cụ điều tra

Trong nhiều năm qua, Microsoft liên tục vấp phải chỉ trích vì lượng dữ liệu chẩn đoán mà Windows thu thập từ người dùng. Không ít công cụ của bên thứ ba đã ra đời với mục đích vô hiệu hóa telemetry nhằm bảo vệ quyền riêng tư.

Tuy nhiên, một vụ án mới đây tại Mỹ cho thấy những dữ liệu tưởng chừng gây tranh cãi này đôi khi lại đóng vai trò quan trọng trong công tác điều tra tội phạm mạng.

Theo Bộ Tư pháp Mỹ, một hacker 19 tuổi mang hai quốc tịch Mỹ và Estonia đã bị dẫn độ sang Chicago để đối mặt với hàng loạt cáo buộc liên quan đến các cuộc tấn công mạng quy mô lớn. Một trong những bằng chứng quan trọng nhất giúp cơ quan điều tra lần ra nghi phạm lại chính là Global Device Identifier (GDID) – mã định danh thiết bị được Windows tự động tạo ra.

Nghi phạm bị cáo buộc là thành viên của Scattered Spider

Đối tượng bị bắt giữ là Peter Stokes, 19 tuổi.

Cảnh sát Phần Lan đã bắt giữ Stokes tại sân bay Helsinki vào ngày 10/4 khi người này chuẩn bị lên chuyến bay sang Nhật Bản. Sau quá trình dẫn độ, Stokes hiện phải đối mặt với sáu cáo buộc hình sự tại Mỹ, bao gồm:

  • Âm mưu phạm tội.
  • Xâm nhập trái phép hệ thống máy tính.
  • Gian lận điện tử.
  • Các hành vi liên quan đến tống tiền bằng tiền mã hóa.

Các công tố viên cho rằng Stokes là thành viên của Scattered Spider, nhóm hacker nổi tiếng đứng sau hàng loạt vụ tấn công nhằm vào các doanh nghiệp lớn trên toàn cầu.

Theo ước tính của Bộ Tư pháp Mỹ, nhóm này đã thực hiện hơn 100 vụ xâm nhập hệ thống và thu về trên 100 triệu USD tiền chuộc.

Cuộc tấn công bắt đầu từ một cuộc gọi đến bộ phận IT

Một trong những vụ việc khiến Stokes bị truy tố xảy ra vào tháng 5/2025.

Mục tiêu khi đó là một doanh nghiệp kinh doanh trang sức cao cấp.

Theo cáo trạng, các thành viên Scattered Spider đã sử dụng dịch vụ Google Voice để gọi đến bộ phận hỗ trợ CNTT của công ty, giả danh nhân viên nội bộ và yêu cầu đặt lại thông tin đăng nhập.

Nhờ kỹ thuật lừa đảo xã hội (social engineering), nhóm hacker đã chiếm quyền kiểm soát ba tài khoản, trong đó có hai tài khoản quản trị hệ thống.

Sau khi truy cập thành công, chúng nhanh chóng đánh cắp dữ liệu quan trọng và yêu cầu doanh nghiệp trả 8 triệu USD bằng tiền điện tử để đổi lấy việc không công khai dữ liệu.

Doanh nghiệp từ chối trả tiền chuộc, nhưng vẫn phải chịu thiệt hại khoảng 2 triệu USD do chi phí khắc phục hệ thống và thời gian gián đoạn hoạt động.

VPN không thể che giấu Global Device Identifier

Điều đáng chú ý nhất trong vụ án là cách cơ quan điều tra xác định danh tính nghi phạm.

Theo hồ sơ vụ án, Stokes đã áp dụng nhiều biện pháp nhằm che giấu vị trí thật của mình.

Đầu tiên, người này sử dụng VPN để thay đổi địa chỉ IP.

Tiếp theo, hacker đăng ký tài khoản trên dịch vụ tạo đường hầm mạng ngrok, giúp ẩn nguồn gốc thực sự của các kết nối đến máy tính.

Về lý thuyết, chuỗi bảo vệ này đủ để khiến việc truy vết trở nên cực kỳ khó khăn.

Tuy nhiên, có một yếu tố mà Stokes không thể loại bỏ: Global Device Identifier (GDID) của Windows.

GDID là mã định danh duy nhất được Microsoft gán cho từng bản cài đặt Windows. Hệ thống sử dụng mã này cho nhiều mục đích, bao gồm:

  • Thu thập dữ liệu telemetry.
  • Quản lý bản quyền Windows.
  • Xác định thay đổi phần cứng quan trọng.
  • Hỗ trợ chẩn đoán lỗi.

Chính mã định danh này đã trở thành mắt xích quan trọng trong toàn bộ cuộc điều tra.

Microsoft hỗ trợ điều tra theo lệnh của tòa án

Theo tài liệu truy tố, sau khi nhận được lệnh của tòa án, Microsoft đã cung cấp dữ liệu liên quan đến GDID của thiết bị mà nghi phạm sử dụng.

Kết hợp với nhật ký hoạt động của ngrok, các nhà điều tra có thể xác định thời điểm thiết bị truy cập vào hệ thống.

Từ đó, họ tiếp tục đối chiếu:

  • Lịch sử địa chỉ IP.
  • Vị trí địa lý của thiết bị.
  • Dữ liệu đăng nhập từ các tài khoản Apple.
  • Snapchat.
  • Facebook.

Các dấu vết này trải dài từ Tallinn (Estonia), New York cho tới Thái Lan nhưng đều khớp với lịch trình di chuyển của Stokes.

Điều trớ trêu là chính các bài đăng trên Snapchat, trong đó nghi phạm khoe cuộc sống xa hoa tại nhiều khách sạn sang trọng, cũng trở thành nguồn dữ liệu giúp củng cố hồ sơ điều tra.

Hai ổ cứng trở thành bằng chứng cuối cùng

Mọi chuyện kết thúc khi Stokes bị bắt tại sân bay Helsinki.

Theo cảnh sát Phần Lan, khi bị bắt giữ, nghi phạm mang theo hai ổ cứng chứa lượng lớn dữ liệu được cho là có liên quan trực tiếp đến các hoạt động tấn công mạng.

Những thiết bị lưu trữ này hiện đã được chuyển cho phía Mỹ để phục vụ công tác điều tra và phân tích pháp y số.

Cơ quan điều tra đã theo dõi nghi phạm từ năm 2024

Điều đáng chú ý là Peter Stokes không phải mới lọt vào tầm ngắm của giới chức.

Theo hồ sơ vụ án, các nhà điều tra đã xác định được danh tính của người này từ năm 2024.

Tuy nhiên, vào thời điểm đó Stokes vẫn là trẻ vị thành niên, đồng thời thường xuyên di chuyển giữa Estonia và Các Tiểu vương quốc Ả Rập Thống nhất (UAE), khiến việc bắt giữ gặp nhiều khó khăn.

Thay vì hành động ngay lập tức, lực lượng chức năng quyết định âm thầm theo dõi mọi hoạt động của nghi phạm trong nhiều tháng.

Đến khi Stokes xuất hiện tại Phần Lan và chuẩn bị rời châu Âu, cảnh sát đã phối hợp triển khai lệnh bắt giữ.

Vụ việc cho thấy dù VPN, proxy hay các dịch vụ ẩn danh có thể che giấu địa chỉ IP, chúng không phải lúc nào cũng đủ để xóa sạch dấu vết kỹ thuật số. Trong nhiều trường hợp, chính những dữ liệu hệ thống tưởng chừng vô hại như telemetry của Windows lại trở thành mắt xích giúp cơ quan điều tra tái dựng toàn bộ hoạt động của tội phạm mạng.

Bài cùng chuyên mục