這篇文章將透過一起真實的法律案件,分析駭客組織 Scattered Spider 如何入侵企業,以及執法部門如何利用 Windows 系統內部的唯一識別碼將攻擊者揪出來。對於工程師來說,這不僅是關於資安漏洞,更是一次關於「身分驗證流程」與「數位鑑識」的實務教學。
社交工程:最弱的環節不是軟體,而是人
在這次的案例中,駭客入侵一家頂級珠寶零售商的方式非常簡單,完全沒有利用任何軟體漏洞(Software Flaw),而是使用了社交工程(Social Engineering)。
攻擊者利用 Google Voice 撥打電話給公司的 IT Help Desk(技術支援中心),假裝成忘記密碼的員工。他們成功欺騙了支援人員,讓對方幫他們重設了員工密碼,甚至更改了綁定多因素驗證(MFA)的行動裝置。
這在實務上揭露了一個關鍵問題:即便公司部署了強大的 MFA(例如 FIDO2 硬體金鑰),如果 Help Desk 的身分驗證流程(Identity Verification Process)有漏洞,駭客只要透過電話就能直接繞過所有技術防禦。
針對這類攻擊,工程實務上的解決方案不是更新補丁,而是優化流程。例如:要求在重設密碼前必須回撥到公司紀錄的電話、需要主管簽核,或是針對高權限帳號要求視訊核對身分。
入侵後的橫向移動與數據外洩
一旦取得 IT 管理員權限,駭客迅速採取行動。他們安裝了 ngrok 和 Teleport 這類隧道工具(Tunneling Tools),這些工具能將內網服務映射到外網,讓駭客能繞過防火牆直接遠端控制系統。
隨後,他們將約 77 GB 的數據傳輸至 Amazon 雲端儲存空間,並嘗試部署勒索軟體。雖然公司安全團隊及時攔截並將其驅逐,但駭客仍發送了要求 800 萬美元加密貨幣的勒索信。這次事件雖然沒支付贖金,但公司仍花費了約 200 萬美元用於調查與修復。
數位鑑識:Windows Device ID 如何成為關鍵證據
駭客在攻擊過程中使用了 VPN 代理和多重 alias(別名)來隱藏身分,但他們忽略了一個系統層級的識別碼:Windows Device ID。
這裡提到的 Global Device Identifier 是一種持久性識別碼(Persistent Identifier),它與特定的 Windows 安裝綁定。這個 ID 的特性是:即使系統更新(OS Update)也不會改變,只有在完全重新安裝 Windows 時才會變動。
FBI 與微軟透過比對發現,一個特定的 Device ID 在 2025 年 5 月 12 日訪問了 ngrok 的註冊頁面,且在同一分鐘內創建了帳號。隨後,同一個 Device ID 又透過代理伺服器訪問了受害零售商的網站。
更致命的是,這個 Device ID 同時出現在嫌疑人 Peter Stokes 的 Snapchat、Apple 和 Facebook 帳號登入紀錄中。透過比對 IP 地址與美國國務院的旅行紀錄,調查人員發現該設備曾在愛沙尼亞、紐約和泰國出現,與嫌疑人的行蹤完全吻合。
這告訴我們,即便網路層(Network Layer)可以透過 VPN 偽裝,但應用層(Application Layer)與作業系統層(OS Layer)留下的設備指紋(Device Fingerprint)依然是強大的追蹤手段。
關於 Scattered Spider 的組織結構
這起案件也揭示了 Scattered Spider 的運作模式。與傳統有明確領袖的駭客組織不同,研究機構 Group-IB 指出,他們更像是一個鬆散的集體(Loose Collective),由多個獨立的小細胞(Cells)組成,成員之間透過共享工具和聊天室交流。
這種去中心化的結構意味著,單純逮捕一名成員(如本案中的 Stokes)並不能瓦解整個威脅。只要他們的攻擊劇本(Playbook)依然存在,類似的社交工程攻擊就會持續發生。
總結與啟示
對於開發者與維運工程師,這次事件提供三個核心教訓:
第一,身分驗證的漏洞往往在於「人」。技術上的 MFA 必須配合嚴格的操作流程才能生效。
第二,設備識別碼的持久性。在設計系統或進行鑑識時,應意識到設備 ID 等硬體指紋在追蹤使用者行為時具有極高的權重。
第三,防禦不能只靠封堵漏洞。面對像 Scattered Spider 這樣擅長操縱心理的對手,建立健全的監控機制(例如監控異常的隧道工具安裝)與快速響應能力比單純的防火牆更重要。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。