Departament Sprawiedliwości USA ogłosił zatrzymanie Petera Stokesa, 19-latka z obywatelstwem amerykańskim i estońskim. Do ujęcia doszło na lotnisku w Helsinkach, gdy mężczyzna miał wylatywać do Japonii. Operację przeprowadzono we współpracy z FBI oraz fińskim Krajowym Biurem Śledczym.
Amerykańscy śledczy łączą Stokesa z grupą Scattered Spider – jedną z najbardziej rozpoznawalnych organizacji cyberprzestępczych. Według ustaleń prokuratury gang miał wyłudzić od ofiar okupy przekraczające łącznie 100 mln dolarów.
Jak bardzo ciemny motyw w telefonie oszczędza baterię? Sprawdziłem to
Atak zaczął się od... telefonu do helpdesku
Jednym z kluczowych wątków w sprawie są zarzuty dotyczące udziału 19-latka w ataku na amerykańskiego sprzedawcę luksusowej biżuterii z maja 2025 r. Z opisu śledczych wynika, że przestępcy nie musieli sięgać po zaawansowane exploity ani techniczne "furtki" w systemach.
Zamiast tego zastosowano socjotechnikę: napastnicy podszyli się pod pracowników firmy i skontaktowali się z działem IT. Podczas rozmów mieli nakłonić obsługę do zresetowania haseł, co otworzyło im drogę do firmowych zasobów.
Taki schemat pozwolił przejąć dostęp do trzech kont, w tym dwóch z uprawnieniami administratora. Następnie – według oskarżenia – doszło do kradzieży danych i żądania 8 mln dolarów okupu w kryptowalutach. Firma odzyskała kontrolę nad środowiskiem i nie zapłaciła, jednak przestój miał wygenerować straty rzędu ok. 2 mln dol.
Windows 11 pomógł śledczym
Jak relacjonuje Tom's Hardware, istotny element dochodzenia stanowiły informacje, które Microsoft przekazał FBI. Wskazywany jest mechanizm Global Device Identifier (GDID) – unikalny identyfikator przypisany do instalacji systemu Windows, używany m.in. w telemetrii i do rozpoznawania konkretnego urządzenia.
Dzięki danym powiązanym z GDID śledczy mieli zestawić komputer używany przez podejrzanego z określonymi adresami IP, aktywnością w sieci i lokalizacjami. W efekcie możliwe było zbudowanie łańcucha powiązań między urządzeniem a konkretnymi zdarzeniami w internecie.
Z dokumentów sądowych ma też wynikać, że przekazane informacje obejmowały m.in. historię aktywności online, użycie rozmaitych narzędzi, listę adresów IP, a także wątki związane z grami oraz usługami Azure. Dane miały zawierać znaczniki czasu, co umożliwiło odtworzenie chronologii cyfrowych działań przypisywanych Stokesowi.
Prywatność użytkowników znów pod lupą
Sprawa szybko przerodziła się w kolejną debatę o tym, jak szeroki zakres telemetrii może zbierać Windows 11. W tym śledztwie dane miały pomóc w namierzeniu osoby podejrzewanej o poważne przestępstwa, w tym wymuszenia na wielomilionową skalę.
Jednocześnie eksperci wskazują, że skala szczegółowości informacji pokazuje, jak rozbudowany obraz urządzenia i aktywności użytkownika może być dostępny producentowi systemu operacyjnego. Krytyka telemetrii w Windows powraca od lat, a część osób próbuje ograniczać jej działanie, choć GDID nie jest mechanizmem, który da się łatwo wyłączyć.
Z materiałów przedstawionych przez prokuraturę wynika również, że przy zatrzymanym znaleziono dwa dyski twarde z obciążającymi treściami. Co istotne, organy ścigania miały znać jego tożsamość już od 2024 r., jednak – ze względu na wiek i miejsce pobytu – zdecydowały się prowadzić dalszą obserwację i wkroczyć dopiero po zgromadzeniu wystarczającego materiału dowodowego.
Dodatkowe dowody tylko umocniły sprawę
Po ekstradycji do Stanów Zjednoczonych Peter Stokes stanął przed federalnym sądem w Chicago. Usłyszał zarzuty obejmujące spisek, włamania komputerowe oraz oszustwa.