Scattered Spider-Mitglied Peter Stokes durch Windows GDID identifiziert und überführt

Sicherheit (Pexels, allgemeine Nutzung)Vor einiger Zeit wurde Peter Stokes als mutmaßliches Mitglied der Cybergang Scattered Spider in Finnland verhaftet und ist inzwischen in die USA ausgeliefert worden. Aus Gerichtsdokumenten geht nun hervor, dass die von Windows vergebene eindeutige GDID Stokes bei seinen Aktivitäten, die er bestmöglich verschleierte, verraten hat und zu seiner Identifizierung geführt hat.

Rückblick auf Scattered Spider

Hier im Blog hatte ich die Aktivitäten der Hackergruppe Scattered Spider, die in Sicherheitskreisen auch unter dem Namen UNC3944 geführt wird, nicht thematisiert. Laut Wikipedia scheint die Gruppe möglicherweise im Mai 2022 gegründet worden zu sein, um Angriffe per SIM-Swapping auf  Telekommunikationsunternehmen auszuführen. Dort wurden auch MFA-Fatigue-Angriffe und Phishing per SMS und Telegram verwendet.

Im September 2023 soll die Hackergruppe hauptsächlich aus Personen im Alter von 19 bis 22 Jahren bestanden haben. Bekannt wurde die Gruppe, so die Wikipedia, durch das Hacken von Caesars Entertainment und MGM Resorts International, zwei der größten Kasino- und Glücksspielunternehmen in den Vereinigten Staaten. Den MGM-Hack hatte ich im Blog-Beitrag MGM Resorts International Opfer eines Cyberangriffs: Spielcasinos, Webseiten und Dienste down angesprochen – wobei dort die Gruppe ALPHV/BlackCat genannt wurde.

Zwischenzeitlich wurde die Gruppe wohl Teil einer einer größeren globalen Hackergemeinschaft, die als "the Community" oder "the Com" bekannt ist. Zudem scheinen sich die Mitglieder bei Hacks auch den Werkzeugen von Ransomware-as-a-service-Anbietern zu bedienen.

Identifizierung und Verhaftung von Mitgliedern

Bereits im Januar 2024 hatten US-Strafverfolger einen 19 Jährigen aus den USA als Mitglied der Gruppe verhaftet. Im Juni 2024 hatte ich im Blog-Beitrag Mutmaßlicher Kopf von Scattered Spider in Spanien verhaftet über die Festsetzung eines der führenden Mitglieder dieser Gruppe in Spanien berichtet. Es soll sich beim Verhafteten um den 22-jährigen Schotten Tyler Buchanan handeln.

Im Juli 2025 wurden vier Verdächtige in Großbritannien verhaftet (siehe meinen Beitrag Vier Verdächtige in Großbritannien wegen Co-op-, Marks & Spencer- und Harrods-Hack verhaftet). Und im September 2025 berichtete ich im Beitrag Zwei mutmaßliche Mitglieder von Scattered Spider verhaftet, dass die britische National Crime Agency (NCA) die Verhaftung zweier männlicher Personen bekannt gegeben. Es handelt sich um den 19-jährigen Thalha Jubair aus East London und den 18-jährigen Owen Flowers aus Walsall, West Midlands. Beide wurden ebenfalls die Beteiligung von Angriffen der Gruppe Scattered Spider zur Last gelegt.

Peter Stokes (Scattered Spider)

Zum 1. Juli 2026 ist mir dann obiger Tweet untergekommen, der sich mit Peter Stokes befasst. Das US-Justizministerium (DOJ) hatte bekannt gegeben, dass der 19 jährige Peter Stokes, ein US-estnischer Doppelstaatsbürger und mutmaßliches Mitglied der Cyberkriminalitätsgruppe "Scattered Spider", aus Finnland ausgeliefert und im Northern District of Illinois wegen Verschwörung, Computerhacking und Betrugs angeklagt wurde.

Peter Stokes war bereits im April 2026 am Flughafen von Helsinki festgesetzt worden, als er nach Japan fliegen wollte. Der obige Tweet fasst zusammen, dass der Cyberger Gruppe Lösegeldzahlungen in Höhe von mehr als 100 Millionen US-Dollar aus über 100 Hacks von Computersystemen zugeschrieben werden. Die Anklageschrift gegen Peter Strokes wirft diesem jedoch lediglich nur einen Angriff auf einen Luxusjuwelier im Mai 2025 vor. Bei diesem Hack wurde eine Lösegeldforderung in Höhe von 8 Millionen US-Dollar gestellt wurde, die jedoch nicht beglichen wurde.

Stokes soll ist die jüngste Persönlichkeit aus dem Umfeld von "Scattered Spider" sein, die im Rahmen internationaler Zusammenarbeit – in diesem Fall mit dem finnischen National Bureau of Investigation und einer Red Note von Interpol – festgesetzt, ausgeliefert und vor US-Gerichte gebracht wurde. Der Fall ist Teil der Operation "Riptide", einer FBI-Kampagne, mit der das FBI nach eigenen Angaben auf die im vergangenen Jahr gemeldeten Verluste durch Cyberkriminalität in den USA in Höhe von mehr als 20 Milliarden US-Dollar reagiert.

Wie Peter Stokes enttarnt wurde

Spannend ist nun aus der Anklageschrift gegen Strokes zu erfahren, wie der Hacker identifiziert und schließlich festgesetzt werden konnte. Mir waren die Fragmente aus nachfolgendem Tweet untergekommen.

Peter Stokes (Scattered Spider)

Blog-Leser Bolko hatte aus der Anklageschrift gegen Peter Stokes, die als PDF abrufbar ist, eine Reihe an Informationen herausgezogen und im Diskussionsbereich eingestellt. Da ich die Einträge aus diesem Bereich immer mal wieder lösche, ziehe ich die Informationen hier in den Beitrag. Denn die Anklage liefert detaillierte Informationen was hinter den Kulissen abgeht.

Peter Stokes verwendete für seine Aktivitäten zwar ein VPN-Netzwerk und ließ dessen Verbindungen über drei Länder laufen, um die Aktionen zu verschleiern. Aber er machte den Fehler, Microsoft Windows für seine Hacks zu verwenden. Windows verknüpfte aber die dem Rechner zugewiesene eindeutige "Global Device Identifier" (GDID) in seinen Telemetrie-Daten, die an Microsoft übermittelt werden.

Aus der Anklageschrift geht hervor, dass Windows mit den Telemetrie-Daten die GDID und jede abgerufene IP-Adresse, und jede aufgerufene URL verknüpft und an Microsoft überträgt. Die IP-Adressen, die während des Hacks benutzt wurden, ließen sich bei den Opfern feststellen.

Im Gerichtsdokument findet sich die Information, dass Peter Stokes zwar ein Konto bei einem Anbieter eines Tools zur sicheren Datenübertragung über einen Tunnel (VPN-Anbieter) eröffnete. Dieses VPN verwendete er, um auf das Computernetzwerk des als "F" bezeichneten Unternehmens zuzugreifen und Daten aus diesem Netzwerk abzuziehen.  In der Anklage heißt es, dass dieses VPN-Konto über die IP-Adresse eines VPN-Proxy-Dienstes lief, die auf .168 endete. Eine mit dem von Peter Stokes verwendeten Windows-Rechner verknüpfte Microsoft-Gerätekennung (eine Global Device ID, kurz GDID) sei aber ebenfalls mit der .168-Adresse verbunden gewesen.

Sprich: Microsoft kann durch die Windows-Telemetrie die Nutzer mittels der GDID auch hinter einem Proxy identifizieren und Bewegungsprofile erstellen. Aus den Gerichtsdokumenten geht auch hervor, dass die von Microsoft per Telemetriedaten erfassten Aktivitäten zeigen, dass auf dem Windows-Rechner (von Strokes) mit der GDID g:6755467234350028 ein ngrok-Konto aufgesetzt wurde.

Ngrok ist ein beliebter Reverse-Proxy-Dienst, der lokale Entwicklungsumgebungen (wie localhost) über sichere Tunnel direkt für das öffentliche Internet freigibt. Der Datenverkehr wird durch ngrok an lokalen Firewalls und NATs vorbei geleitet.

In den Gerichtsdokumenten heißt es, dass gemäß den Microsoft-Aufzeichnungen am 12. Mai 2025 um 19:21 Uhr UTC – als laut ngrok-Protokollen das ngrok-Konto erstellt wurde – das Gerät mit der betreffenden GDID unter anderem auf folgende ngrok-Seiten zugriff:

*ttps://dashboard.ngrok.com/signup

Dann geben die Gerichtsdokumente an, welche Aktivitäten Microsoft im Rahmen der Telemetrie mit der GDID des betreffenden Windows-Rechners aufgezeichnet hatte:

  • Hat im Mai 2025 von Tzulo-Servern aus auf mehrere Websites zugegriffen, darunter am 12. Mai 2025 auf den .168-Server (die IP-Adresse, die zur Erstellung des ngrok-Kontos verwendet wurde)
  • Am 4. Juni 2024 um 14:01 Uhr UTC verwendete das Gerät mit der GDID
    die IP-Adresse 91.129.97.29, deren Standort in Tallinn, Estland, ermittelt wurde.
  • Am 18. November 2024 um 7:31 Uhr UTC verwendete das Gerät mit der GDID die IP-Adresse 207.237.190.238, deren Standort in New York ermittelt wurde
  • Am 26. November 2024 besuchte das Gerät mit der GDID die URL empirehotelnyc.com. Dies ist die Website eines Hotels namens "Empire Hotel" mit Standort in New York
  • Am 8. Januar 2025 nutzte das Gerät mit der GDID die IP-Adresse
    213.35.168.5024, vom Standort in Tallinn, Estland, wo Strokes damals lebte, um die nachfolgende URL aufzurufen

*ttps://login.growtopiagame.com/player/login/dashboard?valKey=40db4045f2d8c572efe8c4a060605726

Bolko fasste aus den Gerichtsdokumenten zusammen, dass man Anhand der IP-Adressen, die die Ermittler bezüglich RDP-Verbindungen zu einem Server gefunden hatten, über Microsoft und die mit den abgerufenen IP-Adressen protokollierte GDID feststellen konnte. Diese lieferte also die eindeutige Identifizierung des Computers. Peter Stokes postete Bilder auf Facebook und benutze diverse Dienste, über die er dann identifiziert werden konnte.

Das FBI fragte neben Microsoft bei seinen Ermittlungen dann auch Google, Apple, Facebook, Snapchat, Ubisoft und ngrok bezüglich der Daten dieses Nutzers bzw. der verwendeten Konten an. Anhand der Verknüpfung der von der Windows-Telemetrie übermittelten Daten (GDID, IP, URL) konnte man dann einfach die von Strokes auf Facebook geposteten Fotos abrufen und so den Täter identifizieren. Das führt dann zu seiner Verhaftung.

Bolko schrieb in seiner Zusammenfassung, dass der Täter, hier in Person von Peter Stokes, einige Fehler gemacht habe.

  • Er habe Windows statt Linux benutzt, was zwar nicht ganz falsch, aber auch nicht richtig ist. Linux führt unter /etc/machine-id ebenfalls eine solche ID, die theoretisch auch ausgelesen werden könnte. Diese ID lässt sich aber ändern und Linux hat wohl keine Telemetrie, wie Windows. Mit ist diese Diskussion diesbezüglich untergekommen.
  • Er habe in Windows die Telemetrie nicht abgeschaltet (wobei mir derzeit unklar ist, ob Stokes überhaupt die Möglichkeit dazu gehabt hätte – denn nicht alle Windows-Versionen lassen die vollständige Deaktivierung der Telemetrie zu, siehe auch meinen Beitrag hier).
  • Er änderte die GDID und die IP-Adresse nicht zwischen den Hacks und den Verbindungen mit seinen privaten Accounts bei Google, Apple, Snapchat und Facebook.

Zum letztgenannten Punkt ist mir unklar, wie er die GDID in Windows ändern könnte. Bolko schrieb, dass man seine Online-Aktivitäten mindestens über zwei verschiedene Geräten und von unterschiedlichen Orten aus abwickeln sollte, um die Nachverfolgbarkeit zu erschweren. Bolko führte weitere Fehler an:

  • Da die GDID auch bei Benutzung von Proxies an Microsoft geschickt wird ist das Ändern der IP nicht ausreichend. Selbst TOR nützt nichts, wenn es auf einem Windows mit aktivierter Telemetrie läuft.
  • Er zeigte bei Facebook Fotos von sich an Orten, die später mit seiner Windows-GDID in Verbindung gebracht werden konnten.

Der ganze Fall ist ein Lehrstück, was man tunlichst nicht machen sollte. Dazu gehört, sich unerlaubt in fremde Computersysteme einzuhacken. Peter Stokes hat meinen Informationen seine ersten Hacks im Alter von 16 Jahren durchgeführt. Der zweite Punkt ist, dass man vielleicht drüber nachdenken sollte, auf Windows zu verzichten, oder wenigstens eine Version zu verwenden, bei der sich Telemetrie abdrehen lässt und dies auch per Gruppenrichtlinien tun sollte.

Ähnliche Artikel:
Mutmaßlicher Kopf von Scattered Spider in Spanien verhaftet
Zwei mutmaßliche Mitglieder von Scattered Spider verhaftet
Vier Verdächtige in Großbritannien wegen Co-op-, Marks & Spencer- und Harrods-Hack verhaftet

Dieser Beitrag wurde unter Internet, Sicherheit, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.