GDID của Microsoft: Lỗ hổng Nghiêm trọng Lộ Danh tính Kẻ Tấn công

GDID của Microsoft: Lỗ hổng Nghiêm trọng Lộ Danh tính Kẻ Tấn công

Một Microsoft Global Device Identifier (GDID) đã đóng vai trò quan trọng trong việc xác định và làm lộ danh tính của một cá nhân bị cáo buộc liên quan đến nhóm tấn công mạng. GDID là một mã định danh duy nhất được nhúng trong mọi bản cài đặt Windows, được Microsoft sử dụng cho các mục đích như thu thập dữ liệu chẩn đoán, báo cáo lỗi, phân tích cách sử dụng tính năng và xác minh giấy phép. Khả năng duy trì định danh này trên các thay đổi phần cứng lớn đã vô tình làm suy yếu tính ẩn danh của kẻ tấn công.

Chi tiết về Vụ án và Bắt giữ

Peter Stokes, 19 tuổi, một công dân kép Hoa Kỳ – Estonia, được cho là đã sử dụng các bút danh như “Bouquet,” “Spencer,” và “Jordan.” Anh ta đã bị bắt giữ tại Phần Lan vào ngày 10 tháng 4 năm 2026, khi đang cố gắng lên máy bay đi Nhật Bản. Khi bị tạm giữ, Stokes mang theo hai ổ cứng dung lượng hai terabyte.

Hiện tại, Stokes đang bị giam giữ chờ dẫn độ và đối mặt với các cáo buộc theo Đạo luật Gian lận và Lạm dụng Máy tính (Computer Fraud and Abuse Act), cùng với các tội danh gian lận qua đường dây điện tử và âm mưu.

Liên kết với Nhóm Tấn công

Các công tố viên cáo buộc Stokes là thành viên của nhóm tấn công mạng được theo dõi dưới nhiều tên gọi khác nhau, bao gồm Scattered Spider, Octo Tempest, UNC3944, và 0ktapus. Nhóm này được cho là có liên quan đến hơn 100 vụ xâm nhập và thu về hơn 100 triệu đô la tiền chuộc.

Stokes đã bị dẫn độ về Hoa Kỳ theo Thông báo Đỏ của Interpol và hiện đang đối mặt với các cáo buộc liên bang tại Quận Bắc Illinois về tội âm mưu, xâm nhập máy tính và gian lận. Vụ việc này cung cấp cái nhìn sâu sắc về các kỹ thuật mà tội phạm mạng sử dụng để che giấu danh tính và cách các tổ chức thực thi pháp luật có thể vượt qua chúng.

Phương thức Tấn công và Khai thác Lỗ hổng

Vụ xâm nhập tại “Công ty F,” một nhà bán lẻ cao cấp trị giá hàng tỷ đô la, bắt đầu vào ngày 12 tháng 5 năm 2025. Kẻ tấn công đã sử dụng các cuộc gọi lừa đảo qua giọng nói (voice-phishing) nhắm vào bộ phận hỗ trợ CNTT của công ty. Chúng giả mạo nhân viên, kích hoạt các quy trình đặt lại xác thực đa yếu tố (MFA) và chiếm quyền kiểm soát ba tài khoản, bao gồm hai tài khoản quản trị viên CNTT có đặc quyền cao, chỉ trong vòng hai đến ba giờ.

Sau khi có được quyền truy cập, kẻ tấn công đã tải xuống và thực thi một agent ngrok trên một máy chủ ảo của Công ty F. Việc này đã mở một kênh truyền dẫn mã hóa, cho phép chúng vượt qua các biện pháp phòng thủ biên. Các nhà điều tra đã liên kết tài khoản ngrok, được tạo vào ngày 12 tháng 5 lúc 19:21 UTC, với địa chỉ IP 68.235.46.168, một proxy VPN do Tzulo lưu trữ tại Mount Prospect, Illinois.

Khai thác Dữ liệu và Tống tiền

Dữ liệu sau đó đã bị đánh cắp bằng cách sử dụng Teleport.sh và Amazon S3, với tổng dung lượng ít nhất 77 GB. Sau đó, một nỗ lực triển khai mã độc tống tiền đã bị ngăn chặn, và một yêu cầu tống tiền trị giá 8 triệu đô la đã không được thanh toán.

Vai trò của GDID trong Điều tra

Hồ sơ của Microsoft đã xác định thiết bị mang GDID trên trang đăng ký ngrok vào đúng thời điểm tài khoản được tạo. Sau đó, thiết bị này đã truy cập trang web của Công ty F thông qua cùng một proxy .168. Từ đó, FBI đã đối chiếu lịch sử IP của GDID với các tài khoản được biết là thuộc về Stokes, bao gồm Apple, Snapchat, Facebook và thậm chí cả tài khoản đăng nhập game Ubisoft/Growtopia.

Sự trùng khớp này rất cụ thể. Cùng một thiết bị và cùng các tài khoản cá nhân đã xuất hiện trên các địa chỉ IP giống hệt nhau, được định vị địa lý tại Tallinn, Estonia; New York; và Thái Lan. Mỗi địa điểm này đều khớp với hồ sơ du lịch của Stokes do Bộ Ngoại giao cung cấp và các bài đăng trên mạng xã hội của anh ta từ các khách sạn sang trọng.

Mặc dù VPN đã che giấu điểm cuối mạng, nhưng mã định danh cài đặt Windows (GDID) không bị thay đổi theo proxy. Điều này cho thấy rằng trong khi cơ sở hạ tầng ẩn danh có thể bảo vệ lớp mạng, thì điểm cuối (endpoint) vẫn có thể bị lộ thông tin.

Ý nghĩa đối với An ninh mạng

Vụ án này là lời nhắc nhở rằng việc duy trì tính ẩn danh trong các hoạt động mạng là một thách thức phức tạp. Các công cụ và kỹ thuật để che giấu địa chỉ IP và lưu lượng truy cập có thể hiệu quả ở lớp mạng, nhưng các yếu tố cố định như mã định danh hệ điều hành có thể cung cấp manh mối quan trọng cho các nhà điều tra.

Hiện tại, không có chính sách công khai và toàn diện nào của Microsoft mô tả chi tiết khi nào dữ liệu GDID được chia sẻ với cơ quan thực thi pháp luật. Đồng thời, không có cơ chế tùy chọn cho người dùng (opt-out) hoặc báo cáo minh bạch nào chỉ ra cụ thể việc tiết lộ dữ liệu GDID. Sự thiếu minh bạch này đặt ra câu hỏi về quyền riêng tư và cách thức dữ liệu người dùng có thể bị sử dụng trong các cuộc điều tra hình sự.

Để tăng cường khả năng phòng thủ, các tổ chức cần chú trọng vào việc bảo mật điểm cuối và giám sát các dấu hiệu bất thường trong hoạt động của hệ thống. Việc triển khai các biện pháp bảo mật mạnh mẽ và quy trình ứng phó sự cố hiệu quả là rất cần thiết để giảm thiểu rủi ro bị tấn công và xâm nhập trái phép.

Tìm hiểu thêm về các mối đe dọa mạng và cách thức chúng hoạt động có thể giúp các chuyên gia CNTT và bảo mật đưa ra các quyết định sáng suốt hơn để bảo vệ tài sản kỹ thuật số của họ. Nguồn thông tin chi tiết có thể tham khảo từ các cơ quan uy tín như CISA hoặc các báo cáo phân tích của các hãng bảo mật hàng đầu.

CISA Advisory AA23-165A cung cấp thông tin về các mối đe dọa liên quan đến các hoạt động tấn công dai dẳng và các kỹ thuật được sử dụng.