{"id":327242,"date":"2026-07-06T22:47:12","date_gmt":"2026-07-06T20:47:12","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=327242"},"modified":"2026-07-07T02:05:52","modified_gmt":"2026-07-07T00:05:52","slug":"scattered-spider-mitglied-peter-stokes-durch-windows-guid-identifiziert-und-ueberfuehrt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/07\/06\/scattered-spider-mitglied-peter-stokes-durch-windows-guid-identifiziert-und-ueberfuehrt\/","title":{"rendered":"Scattered Spider-Mitglied Peter Stokes durch Windows GDID identifiziert und \u00fcberf\u00fchrt"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Vor einiger Zeit wurde Peter Stokes als mutma\u00dfliches Mitglied der Cybergang Scattered Spider in Finnland verhaftet und ist inzwischen in die USA ausgeliefert worden. Aus Gerichtsdokumenten geht nun hervor, dass die von Windows vergebene eindeutige GDID Stokes bei seinen Aktivit\u00e4ten, die er bestm\u00f6glich verschleierte, verraten hat und zu seiner Identifizierung gef\u00fchrt hat.<\/p>\n<p><!--more--><\/p>\n<h2>R\u00fcckblick auf Scattered Spider<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/450bb045cb9a4d61ba26e7d8188daa3f\" alt=\"\" width=\"1\" height=\"1\" \/>Hier im Blog hatte ich die Aktivit\u00e4ten der Hackergruppe Scattered Spider, die in Sicherheitskreisen auch unter dem Namen UNC3944 gef\u00fchrt wird, nicht thematisiert. Laut <a href=\"https:\/\/en.wikipedia.org\/wiki\/Scattered_Spider\" target=\"_blank\" rel=\"noopener\">Wikipedia<\/a>\u00a0scheint die Gruppe m\u00f6glicherweise im Mai 2022 gegr\u00fcndet worden zu sein, um Angriffe per SIM-Swapping auf\u00a0 Telekommunikationsunternehmen auszuf\u00fchren. Dort wurden auch MFA-Fatigue-Angriffe und Phishing per SMS und Telegram verwendet.<\/p>\n<p>Im September 2023 soll die Hackergruppe haupts\u00e4chlich aus Personen im Alter von 19 bis 22 Jahren bestanden haben. Bekannt wurde die Gruppe, so die Wikipedia, durch das Hacken von Caesars Entertainment und MGM Resorts International, zwei der gr\u00f6\u00dften Kasino- und Gl\u00fccksspielunternehmen in den Vereinigten Staaten. Den MGM-Hack hatte ich im Blog-Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2023\/09\/11\/mgm-resorts-international-opfer-eines-cyberangriffs-spielcasinos-webseiten-und-dienste-down\/\">MGM Resorts International Opfer eines Cyberangriffs: Spielcasinos, Webseiten und Dienste down<\/a>\u00a0angesprochen \u2013 wobei dort die Gruppe ALPHV\/BlackCat genannt wurde.<\/p>\n<p>Zwischenzeitlich wurde die Gruppe wohl Teil einer einer gr\u00f6\u00dferen globalen Hackergemeinschaft, die als \"the Community\" oder \"the Com\" bekannt ist. Zudem scheinen sich die Mitglieder bei Hacks auch den Werkzeugen von Ransomware-as-a-service-Anbietern zu bedienen.<\/p>\n<h2>Identifizierung und Verhaftung von Mitgliedern<\/h2>\n<p>Bereits im Januar 2024 hatten US-Strafverfolger einen 19 J\u00e4hrigen aus den USA als Mitglied der Gruppe verhaftet. Im Juni 2024 hatte ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/06\/17\/mutmalicher-kopf-von-scattered-spider-in-spanien-verhaftet\/\" rel=\"bookmark\">Mutma\u00dflicher Kopf von Scattered Spider in Spanien verhaftet<\/a> \u00fcber die Festsetzung eines der f\u00fchrenden Mitglieder dieser Gruppe in Spanien berichtet. Es soll sich beim Verhafteten um den 22-j\u00e4hrigen Schotten Tyler Buchanan handeln.<\/p>\n<p>Im Juli 2025 wurden vier Verd\u00e4chtige in Gro\u00dfbritannien verhaftet (siehe meinen Beitrag <a href=\"https:\/\/borncity.com\/blog\/2025\/07\/11\/vier-verdaechtige-in-grossbritannien-wegen-co-op-mark-spencer-und-harrods-hack-verhaftet\/\" rel=\"bookmark\">Vier Verd\u00e4chtige in Gro\u00dfbritannien wegen Co-op-, Marks &amp; Spencer- und Harrods-Hack verhaftet<\/a>). Und im September 2025 berichtete ich im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2025\/09\/20\/zwei-mutmassliche-mitglieder-von-scattered-spider-verhaftet\/\" rel=\"bookmark\">Zwei mutma\u00dfliche Mitglieder von Scattered Spider verhaftet<\/a>, dass die britische National Crime Agency (NCA) die Verhaftung zweier m\u00e4nnlicher Personen bekannt gegeben. Es handelt sich um den 19-j\u00e4hrigen Thalha Jubair aus East London und den 18-j\u00e4hrigen Owen Flowers aus Walsall, West Midlands. Beide wurden ebenfalls die Beteiligung von Angriffen der Gruppe Scattered Spider zur Last gelegt.<\/p>\n<p><a href=\"https:\/\/xcancel.com\/IntCyberDigest\/status\/2072393839000920160\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-327243\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/PeterStokes-Scattered-Spider.jpg\" alt=\"Peter Stokes (Scattered Spider)\" width=\"600\" height=\"820\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/PeterStokes-Scattered-Spider.jpg 600w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/PeterStokes-Scattered-Spider-220x300.jpg 220w\" sizes=\"auto, (max-width: 600px) 100vw, 600px\" \/><\/a><\/p>\n<p>Zum 1. Juli 2026 ist mir dann obiger <a href=\"https:\/\/xcancel.com\/IntCyberDigest\/status\/2072393839000920160\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> untergekommen, der sich mit Peter Stokes befasst. Das US-Justizministerium (DOJ) hatte bekannt gegeben, dass der 19 j\u00e4hrige Peter Stokes, ein US-estnischer Doppelstaatsb\u00fcrger und mutma\u00dfliches Mitglied der Cyberkriminalit\u00e4tsgruppe \"Scattered Spider\", aus Finnland ausgeliefert und im Northern District of Illinois wegen Verschw\u00f6rung, Computerhacking und Betrugs angeklagt wurde.<\/p>\n<p>Peter Stokes war bereits im April 2026 am Flughafen von Helsinki festgesetzt worden, als er nach Japan fliegen wollte. Der obige\u00a0Tweet fasst zusammen, dass der Cyberger Gruppe L\u00f6segeldzahlungen in H\u00f6he von mehr als 100 Millionen US-Dollar aus \u00fcber 100 Hacks von Computersystemen zugeschrieben werden. Die Anklageschrift gegen Peter Strokes wirft diesem jedoch lediglich nur einen Angriff auf einen Luxusjuwelier im Mai 2025 vor. Bei diesem Hack wurde eine L\u00f6segeldforderung in H\u00f6he von 8 Millionen US-Dollar gestellt wurde, die jedoch nicht beglichen wurde.<\/p>\n<p>Stokes soll ist die j\u00fcngste Pers\u00f6nlichkeit aus dem Umfeld von \"Scattered Spider\" sein, die im Rahmen internationaler Zusammenarbeit \u2013 in diesem Fall mit dem finnischen National Bureau of Investigation und einer Red Note von Interpol \u2013 festgesetzt, ausgeliefert und vor US-Gerichte gebracht wurde. Der Fall ist Teil der Operation \"Riptide\", einer FBI-Kampagne, mit der das FBI nach eigenen Angaben auf die im vergangenen Jahr gemeldeten Verluste durch Cyberkriminalit\u00e4t in den USA in H\u00f6he von mehr als 20 Milliarden US-Dollar reagiert.<\/p>\n<h2>Wie Peter Stokes enttarnt wurde<\/h2>\n<p>Spannend ist nun aus der Anklageschrift gegen Strokes zu erfahren, wie der Hacker identifiziert und schlie\u00dflich festgesetzt werden konnte. Mir waren die Fragmente aus nachfolgendem <a href=\"https:\/\/xcancel.com\/vxunderground\/status\/2073427396535963967\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> untergekommen.<\/p>\n<p><a href=\"https:\/\/xcancel.com\/vxunderground\/status\/2073427396535963967\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-327244\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/PeterStokes-Scattered-Spider-01.jpg\" alt=\"Peter Stokes (Scattered Spider)\" width=\"528\" height=\"696\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/PeterStokes-Scattered-Spider-01.jpg 528w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/PeterStokes-Scattered-Spider-01-228x300.jpg 228w\" sizes=\"auto, (max-width: 528px) 100vw, 528px\" \/><\/a><\/p>\n<p>Blog-Leser Bolko hatte aus der <a href=\"https:\/\/www.justice.gov\/usao-ndil\/media\/1450651\/dl?inline\" target=\"_blank\" rel=\"noopener\">Anklageschrift gegen Peter Stokes<\/a>, die als PDF abrufbar ist, eine Reihe an Informationen herausgezogen und im Diskussionsbereich eingestellt. Da ich die Eintr\u00e4ge aus diesem Bereich immer mal wieder l\u00f6sche, ziehe ich die Informationen hier in den Beitrag. Denn die Anklage liefert detaillierte Informationen was hinter den Kulissen abgeht.<\/p>\n<p>Peter Stokes verwendete f\u00fcr seine Aktivit\u00e4ten zwar ein VPN-Netzwerk und lie\u00df dessen Verbindungen \u00fcber drei L\u00e4nder laufen, um die Aktionen zu verschleiern. Aber er machte den Fehler, Microsoft Windows f\u00fcr seine Hacks zu verwenden. Windows verkn\u00fcpfte aber die dem Rechner zugewiesene eindeutige \"Global Device Identifier\" (GDID) in seinen Telemetrie-Daten, die an Microsoft \u00fcbermittelt werden.<\/p>\n<p>Aus der Anklageschrift geht hervor, dass Windows mit den Telemetrie-Daten die GDID und jede abgerufene IP-Adresse, und jede aufgerufene URL verkn\u00fcpft und an Microsoft \u00fcbertr\u00e4gt. Die IP-Adressen, die w\u00e4hrend des Hacks benutzt wurden, lie\u00dfen sich bei den Opfern feststellen.<\/p>\n<p>Im Gerichtsdokument findet sich die Information, dass Peter Stokes zwar ein Konto bei einem Anbieter eines Tools zur sicheren Daten\u00fcbertragung \u00fcber einen Tunnel (VPN-Anbieter) er\u00f6ffnete. Dieses VPN verwendete er, um auf das Computernetzwerk des als \"F\" bezeichneten Unternehmens zuzugreifen und Daten aus diesem Netzwerk abzuziehen.\u00a0 In der Anklage hei\u00dft es, dass dieses VPN-Konto \u00fcber die IP-Adresse eines VPN-Proxy-Dienstes lief, die auf .168 endete. Eine mit dem von Peter Stokes verwendeten Windows-Rechner verkn\u00fcpfte Microsoft-Ger\u00e4tekennung (eine Global Device ID, kurz GDID) sei aber ebenfalls mit der .168-Adresse verbunden gewesen.<\/p>\n<p>Sprich:\u00a0Microsoft kann durch die Windows-Telemetrie die Nutzer mittels der GDID auch hinter einem Proxy identifizieren und Bewegungsprofile erstellen. Aus den Gerichtsdokumenten geht auch hervor, dass die von Microsoft per Telemetriedaten erfassten Aktivit\u00e4ten zeigen, dass auf dem Windows-Rechner (von Strokes) mit der GDID g:6755467234350028 ein ngrok-Konto aufgesetzt wurde.<\/p>\n<blockquote><p>Ngrok ist ein beliebter Reverse-Proxy-Dienst, der lokale Entwicklungsumgebungen (wie localhost) \u00fcber sichere Tunnel direkt f\u00fcr das \u00f6ffentliche Internet freigibt. Der Datenverkehr wird durch ngrok an lokalen Firewalls und NATs vorbei geleitet.<\/p><\/blockquote>\n<p>In den Gerichtsdokumenten hei\u00dft es, dass gem\u00e4\u00df den Microsoft-Aufzeichnungen am 12. Mai 2025 um 19:21 Uhr UTC \u2013 als laut ngrok-Protokollen das ngrok-Konto erstellt wurde \u2013 das Ger\u00e4t mit der betreffenden GDID unter anderem auf folgende ngrok-Seiten zugriff:<\/p>\n<p>*ttps:\/\/dashboard.ngrok.com\/signup<\/p>\n<p>Dann geben die Gerichtsdokumente an, welche Aktivit\u00e4ten Microsoft im Rahmen der Telemetrie mit der GDID des betreffenden Windows-Rechners aufgezeichnet hatte:<\/p>\n<ul>\n<li>Hat im Mai 2025 von Tzulo-Servern aus auf mehrere Websites zugegriffen, darunter am 12. Mai 2025 auf den .168-Server (die IP-Adresse, die zur Erstellung des ngrok-Kontos verwendet wurde)<\/li>\n<li>Am 4. Juni 2024 um 14:01 Uhr UTC verwendete das Ger\u00e4t mit der GDID<br \/>\ndie IP-Adresse 91.129.97.29, deren Standort in Tallinn, Estland, ermittelt wurde.<\/li>\n<li>Am 18. November 2024 um 7:31 Uhr UTC verwendete das Ger\u00e4t mit der GDID die IP-Adresse 207.237.190.238, deren Standort in New York ermittelt wurde<\/li>\n<li>Am 26. November 2024 besuchte das Ger\u00e4t mit der GDID die URL empirehotelnyc.com. Dies ist die Website eines Hotels namens \"Empire Hotel\" mit Standort in New York<\/li>\n<li>Am 8. Januar 2025 nutzte das Ger\u00e4t mit der GDID die IP-Adresse<br \/>\n213.35.168.5024, vom Standort in Tallinn, Estland, wo Strokes damals lebte, um die nachfolgende URL aufzurufen<\/li>\n<\/ul>\n<p>*ttps:\/\/login.growtopiagame.com\/player\/login\/dashboard?valKey=40db4045f2d8c572efe8c4a060605726<\/p>\n<p>Bolko fasste aus den Gerichtsdokumenten zusammen, dass man Anhand der IP-Adressen, die die Ermittler bez\u00fcglich RDP-Verbindungen zu einem Server gefunden hatten, \u00fcber Microsoft und die mit den abgerufenen IP-Adressen protokollierte GDID feststellen konnte. Diese lieferte also die eindeutige Identifizierung des Computers. Peter Stokes postete Bilder auf Facebook und benutze diverse Dienste, \u00fcber die er dann identifiziert werden konnte.<\/p>\n<p>Das\u00a0FBI fragte neben Microsoft bei seinen Ermittlungen dann auch Google, Apple, Facebook, Snapchat, Ubisoft und ngrok bez\u00fcglich der Daten dieses Nutzers bzw. der verwendeten Konten an.\u00a0Anhand der Verkn\u00fcpfung der von der Windows-Telemetrie \u00fcbermittelten Daten (GDID, IP, URL) konnte man dann einfach die von Strokes auf Facebook geposteten Fotos abrufen und so den T\u00e4ter identifizieren. Das f\u00fchrt dann zu seiner Verhaftung.<\/p>\n<p>Bolko schrieb in seiner Zusammenfassung, dass der T\u00e4ter, hier in Person von Peter Stokes, einige Fehler gemacht habe.<\/p>\n<ul>\n<li>Er habe Windows statt Linux benutzt, was zwar nicht ganz falsch, aber auch nicht richtig ist. Linux f\u00fchrt unter \/etc\/machine-id ebenfalls eine solche ID, die theoretisch auch ausgelesen werden k\u00f6nnte. Diese ID l\u00e4sst sich aber \u00e4ndern und Linux hat wohl keine Telemetrie, wie Windows. Mit ist <a href=\"https:\/\/xcancel.com\/DevuanOrg\/status\/2074175124194951268\" target=\"_blank\" rel=\"noopener\">diese Diskussion<\/a> diesbez\u00fcglich untergekommen.<\/li>\n<li>Er habe in Windows die Telemetrie nicht abgeschaltet (wobei mir derzeit unklar ist, ob Stokes \u00fcberhaupt die M\u00f6glichkeit dazu gehabt h\u00e4tte &#8211; denn nicht alle Windows-Versionen lassen die vollst\u00e4ndige Deaktivierung der Telemetrie zu, siehe auch meinen <a href=\"https:\/\/borncity.com\/blog\/2022\/02\/21\/windows-11-telemetriedaten-per-gpo-deaktivieren\/\">Beitrag hier<\/a>).<\/li>\n<li>Er \u00e4nderte die GDID und die IP-Adresse nicht zwischen den Hacks und den Verbindungen mit seinen privaten Accounts bei Google, Apple, Snapchat und Facebook.<\/li>\n<\/ul>\n<p>Zum letztgenannten Punkt ist mir unklar, wie er die GDID in Windows \u00e4ndern k\u00f6nnte. Bolko schrieb, dass man seine Online-Aktivit\u00e4ten mindestens \u00fcber zwei verschiedene Ger\u00e4ten und von unterschiedlichen Orten aus abwickeln sollte, um die Nachverfolgbarkeit zu erschweren. Bolko f\u00fchrte weitere Fehler an:<\/p>\n<ul>\n<li>Da die GDID auch bei Benutzung von Proxies an Microsoft geschickt wird ist das \u00c4ndern der IP nicht ausreichend. Selbst TOR n\u00fctzt nichts, wenn es auf einem Windows mit aktivierter Telemetrie l\u00e4uft.<\/li>\n<li>Er zeigte bei Facebook Fotos von sich an Orten, die sp\u00e4ter mit seiner Windows-GDID in Verbindung gebracht werden konnten.<\/li>\n<\/ul>\n<p>Der ganze Fall ist ein Lehrst\u00fcck, was man tunlichst nicht machen sollte. Dazu geh\u00f6rt, sich unerlaubt in fremde Computersysteme einzuhacken. Peter Stokes hat meinen Informationen seine ersten Hacks im Alter von 16 Jahren durchgef\u00fchrt. Der zweite Punkt ist, dass man vielleicht dr\u00fcber nachdenken sollte, auf Windows zu verzichten, oder wenigstens eine Version zu verwenden, bei der sich Telemetrie abdrehen l\u00e4sst und dies auch per Gruppenrichtlinien tun sollte.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/06\/17\/mutmalicher-kopf-von-scattered-spider-in-spanien-verhaftet\/\" rel=\"bookmark\">Mutma\u00dflicher Kopf von Scattered Spider in Spanien verhaftet<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/09\/20\/zwei-mutmassliche-mitglieder-von-scattered-spider-verhaftet\/\" rel=\"bookmark\">Zwei mutma\u00dfliche Mitglieder von Scattered Spider verhaftet<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/07\/11\/vier-verdaechtige-in-grossbritannien-wegen-co-op-mark-spencer-und-harrods-hack-verhaftet\/\" rel=\"bookmark\">Vier Verd\u00e4chtige in Gro\u00dfbritannien wegen Co-op-, Marks &amp; Spencer- und Harrods-Hack verhaftet<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vor einiger Zeit wurde Peter Stokes als mutma\u00dfliches Mitglied der Cybergang Scattered Spider in Finnland verhaftet und ist inzwischen in die USA ausgeliefert worden. Aus Gerichtsdokumenten geht nun hervor, dass die von Windows vergebene eindeutige GDID Stokes bei seinen Aktivit\u00e4ten, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2026\/07\/06\/scattered-spider-mitglied-peter-stokes-durch-windows-guid-identifiziert-und-ueberfuehrt\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,426,301],"tags":[451,4328,5632,3288],"class_list":["post-327242","post","type-post","status-publish","format-standard","hentry","category-internet","category-sicherheit","category-windows","tag-datenschutz","tag-sicherheit","tag-telemetrie","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/327242","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=327242"}],"version-history":[{"count":2,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/327242\/revisions"}],"predecessor-version":[{"id":327247,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/327242\/revisions\/327247"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=327242"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=327242"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=327242"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}