Tính năng bị ghét bậc nhất trên Windows vừa lập công lớn, giúp tóm gọn hacker 19 tuổi

Mẫn Nhi
Mẫn Nhi
Phản hồi: 0

Mẫn Nhi

Admin xinh gái
Lâu nay, hệ thống thu thập dữ liệu (telemetry) của Windows luôn là cái gai trong mắt người dùng vì những lo ngại về quyền riêng tư. Thế nhưng trong một diễn biến đầy bất ngờ, chính tính năng "bị ghét" này lại trở thành manh mối mấu chốt giúp các đặc vụ liên bang tóm gọn một hacker tuổi teen sừng sỏ.

Hacker lọt vào tầm ngắm lần này là Peter Stokes, 19 tuổi, mang hai quốc tịch Mỹ và Estonia. Cảnh sát Phần Lan đã bắt giữ Stokes vào ngày 10/4 vừa qua khi cậu ta đang chuẩn bị lên chuyến bay từ Helsinki đi Nhật Bản. Sau khi bị dẫn độ về Mỹ, Stokes phải đối mặt với 6 cáo buộc liên quan đến âm mưu, xâm nhập máy tính và gian lận.

1783419132167.png

Ảnh minh hoạ

Theo cơ quan chức năng, Stokes là thành viên của Scattered Spider, một nhóm hacker khét tiếng đứng sau hơn 100 vụ xâm nhập mạng. Nhóm này hoạt động tích cực đến mức các thành viên từng có ý định "giải nghệ" vì đã kiếm đủ tiền, dù các nhà nghiên cứu bảo mật cho rằng đó chỉ là đòn hỏa mù. Bộ Tư pháp Mỹ ước tính tổng số tiền chuộc mà nhóm này thu về đã vượt mốc 100 triệu USD.

Cú lừa trị giá hàng triệu USD​

Cáo buộc chính chống lại Stokes bắt nguồn từ vụ tấn công vào một nhà bán lẻ trang sức xa xỉ hồi tháng 5/2025. Kịch bản diễn ra khá quen thuộc: nhóm hacker đã gọi điện đến bộ phận hỗ trợ IT của công ty thông qua Google Voice, mạo danh là nhân viên nội bộ để lừa nhân viên kỹ thuật reset lại thông tin đăng nhập.


Cú lừa này giúp chúng chiếm được 3 tài khoản, trong đó có 2 tài khoản có quyền quản trị viên (admin). Từ bàn đạp này, nhóm hacker dễ dàng cuỗm đi các dữ liệu quan trọng và đòi khoản tiền chuộc trị giá 8 triệu USD bằng tiền điện tử. Dù nhà bán lẻ quyết định không trả tiền, nhưng quá trình khắc phục sự cố và thời gian hệ thống bị ngưng trệ vẫn ngốn của họ khoảng 2 triệu USD.

Sơ hở từ tính năng "gián điệp" của Windows​

Để che giấu hành tung, Stokes đã cực kỳ cẩn thận khi định tuyến lưu lượng mạng của máy tính qua VPN, sau đó dùng nó để mở tài khoản trên ngrok – một dịch vụ tạo đường hầm (tunneling) giúp ẩn nguồn gốc thực sự của lưu lượng truy cập. Nhưng người tính không bằng Microsoft tính.

Sợi dây thừng trói chặt Stokes lại chính là GDID (Global Device Identifier) – một mã định danh thiết bị toàn cầu của Windows. Mỗi khi bạn cài đặt Windows, hệ thống sẽ cấp một mã GDID riêng biệt để âm thầm ghi lại dữ liệu telemetry của thiết bị. Đây cũng chính là cơ chế tự động thu hồi bản quyền Windows khi bạn thay đổi phần cứng lớn trong máy tính.

Dù Stokes có dùng VPN hay ngrok để ẩn IP thì mã GDID độc nhất trên chiếc máy tính của cậu ta vẫn bị gửi về hệ thống. Từ dấu vết này, các điều tra viên đã lần ra chính xác thiết bị được dùng để thực hiện vụ tấn công.

Cú tra tay vào còng tại sân bay đã khép lại hành trình trốn chạy của hacker trẻ tuổi này. Đáng chú ý, khi bị bắt, Stokes còn mang theo hai ổ cứng chứa đầy chứng cứ phạm tội. Thực tế, danh tính của Stokes đã bị cơ quan chức năng phát hiện từ năm 2024. Tuy nhiên, vì lúc đó cậu ta còn là trẻ vị thành niên và liên tục di chuyển giữa Estonia và UAE, các nhà điều tra đã quyết định im lặng quan sát, chờ thời cơ chín muồi để ra tay.
 
Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview


Đăng nhập một lần thảo luận tẹt ga
Thành viên mới đăng
http://textlink.linktop.vn/?adslk=aHR0cHM6Ly93d3cudm5yZXZpZXcudm4vdGhyZWFkcy90aW5oLW5hbmctYmktZ2hldC1iYWMtbmhhdC10cmVuLXdpbmRvd3MtdnVhLWxhcC1jb25nLWxvbi1naXVwLXRvbS1nb24taGFja2VyLTE5LXR1b2kuODcwOTUv
Top