
Scattered Spider 案:Windows GDID 點樣變成執法線索
由一個 Windows 識別碼,睇公司 MFA reset 風險
一個 GDID,點樣變成線索
美國司法部 7 月 1 日公布,19 歲美國 / 愛沙尼亞雙重國籍男子 Peter Stokes 俾芬蘭當局拘捕,之後引渡到美國,面對 conspiracy、computer intrusion 同 fraud 等指控。檢方指佢同 Scattered Spider 有關,呢個團伙又叫 Octo Tempest、UNC3944、Oktapus,涉及過百宗入侵同超過 1 億美元贖金。呢單案值得拆,係因為檢方話 Microsoft 一個 Windows install 嘅 Global Device ID,幫手串起 ngrok、VPN proxy、Google Voice、Snapchat、Apple account 同出入境紀錄。
法庭文件講,Microsoft records 顯示涉案 ngrok account 係經一個 GDID 建立。Microsoft 代表向檢方解釋,GDID 係 Windows ecosystem 入面持續嘅 device-level identifier,用嚟識別某部實體機或者 VM 上面一個 Windows 安裝;Windows update 後通常保持一致,重裝 Windows 先會有新 GDID。關鍵係,呢個 ID 對應嘅裝置喺 2025 年 5 月 12 日去過 ngrok signup、接觸 Tzulo proxy server,再去受害公司網站,時間啱啱對上入侵流程。

圖片:Microsoft Security Blog
入口喺 helpdesk
案情最貼近公司日常嘅位,其實係 helpdesk。檢方指,2025 年 5 月 12 日,涉案攻擊者用兩個 Google Voice 號碼打去受害珠寶零售商嘅 IT helpdesk,扮公司員工要求重設密碼同 MFA 裝置;兩三個鐘內,三個帳戶失守,其中兩個仲係 IT admin。之後攻擊者用高權限帳戶入到管理虛擬 server 同雲端平台嘅系統,再用 ngrok 建立 tunnel,檢方話涉及約 1.27GB 資料流出,勒索要求大約 800 萬美元,受害公司冇畀贖金但都蝕至少 200 萬美元。
呢類攻擊唔靠好新嘅 Windows 漏洞,靠嘅係人同流程。Scattered Spider 最擅長嘅打法,就係先搵到員工身份、職位、電話、社交平台痕跡,再用一套似真嘅故事叫 helpdesk 幫佢 reset。MFA 有用,不過如果 helpdesk 可以喺電話入面幫人改走 MFA token,成個保護即刻打折。用 Microsoft 365、Okta、VPN、外判 IT 嘅公司,都要當帳戶重設係高風險操作,唔好當普通客服單處理。
GDID 同 Windows 遙測要分開睇
Tom's Hardware 個標題好搶眼,但呢度要分清楚。法庭文件冇話 Microsoft 有一份完整「人生錄影」,亦冇證明每部 Windows PC 都俾人即時睇晒所有瀏覽紀錄。佢講嘅係 Microsoft records、online services telemetry、machine IDs 同 IP address 等線索,再加上 Google、ngrok、Apple、Snapchat、旅行紀錄互相對返時間線。換句話講,GDID 呢個關聯 key 已經好強,但單靠佢未必代表一套萬能 tracking。
不過,私隱問題又唔可以輕輕帶過。Microsoft 自己喺 Windows diagnostic data 文件講,Required diagnostic data 係維持裝置安全、更新同正常運作嘅最低資料;Optional diagnostic data 會多好多,包括 app activity、device activity,同 Microsoft browser 嘅 browsing history 同 search terms。法庭文件冇交代呢次 GDID 線索嚟自邊個 setting 或服務,所以唔好亂推到「關咗 Optional 就冇事」。一般 Windows 用戶可做嘅係關 Optional diagnostic data、Tailored experiences,同檢查 Microsoft account、Edge、location、Xbox / 遊戲服務相關設定,減少冇必要嘅資料流出。
公司 IT 要改流程
公司 IT 淨係叫同事小心 phishing 唔夠。密碼同 MFA reset 要當高風險流程處理:helpdesk 要做 out-of-band callback、用已登記聯絡方法覆核身份、admin account 要有二次批核同冷卻期;新增 MFA 方法、重設密碼、Conditional Access trusted location、SSO admin role 改動,全部都要即時 alert。對高權限帳戶,FIDO2 security key 或其他 phishing-resistant MFA 會實際過 SMS code 同 push approve。
中小企同外判 IT / MSP 仲要寫清楚 SOP。邊個有權 reset、咩情況要主管批核、電話有冇錄音、工單有冇留低原始 caller ID、員工離職或轉部門後權限點清,呢啲睇落似文書功夫,但攻擊者最鍾意就係試呢類門口位。香港公司一樣大量用 Microsoft 365、Windows laptop、雲端 SSO 同外判支援;冇本地受害名單,都唔代表風險好遠。
下一步睇咩
Stokes 而家仍然只係面對檢方指控,案入面好多證據仲要喺法庭上拗,包括 Microsoft records、GDID 對應裝置、同其他帳戶時間線點樣串埋。呢單案之後值得睇 Microsoft 會唔會講得清楚啲:Windows 識別碼、diagnostic data、threat intel 同執法索取資料之間,Microsoft 要講清楚:邊啲係產品本身要用,邊啲係安全研究或者法律程序先攞到。暫時最實際嘅結論係,Windows 遙測有私隱壓力,helpdesk reset 有即時風險;公司用緊 Microsoft 365、Okta 或外判支援,就由 admin MFA 同 reset 流程開始收緊。
參考來源
- Tom's Hardware — Windows 11 identifier used to track Scattered Spider perp after Microsoft shared info with FBI — 19-year-old US-Estonian hacker arrested over alleged ties to infamous extortion group — original report
- U.S. Department of Justice — Alleged Member of Scattered Spider Arrested in Finland and Extradited — 官方公布 Peter Stokes 拘捕、引渡、控罪、Scattered Spider 贖金規模同受害公司損失。
- Criminal Complaint: United States v. Peter Stokes — 原始法庭文件,用嚟核對 GDID 定義、ngrok、Google Voice helpdesk、MFA reset 同時間線。
- Microsoft Learn — Configure Windows diagnostic data in your organization — Microsoft 官方講 Windows diagnostic data 類型,同 Optional diagnostic data 會包含咩額外活動資料。
- Microsoft Security Blog — Octo Tempest crosses boundaries to facilitate extortion, encryption, and destruction — Microsoft 對 Octo Tempest / Scattered Spider TTP 嘅背景,包括 helpdesk 社交工程、SIM swap、MFA 方法改動同防守建議。
- FBI / CISA / partners — Scattered Spider Joint Cybersecurity Advisory (AA23-320A, July 29 2025 update) — 政府聯合 advisory,核對 helpdesk reset、MFA token、ngrok、Teleport.sh 同 DragonForce 等 TTP。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







