Nhiều người cho rằng chỉ cần sử dụng VPN, thường xuyên thay đổi địa chỉ IP hoặc kết nối qua nhiều quốc gia là có thể che giấu danh tính trên Internet. Tuy nhiên, vụ bắt giữ Peter Stokes, hacker 19 tuổi bị cáo buộc là thành viên của nhóm tội phạm mạng Scattered Spider, lại cho thấy vẫn còn những dấu vết khác mà nhiều người dùng Windows gần như chưa từng biết tới.
Là một hacker mũ đen, dĩ nhiên Stokes rất chú ý che dấu hành tung của mình. Anh ta dùng VPN, liên tục đổi địa chỉ IP, nhưng cuối cùng vẫn bị FBI lần ra và bắt giữ khi đang chuẩn bị lên máy bay ở sân bay Helsinki để sang Nhật Bản.
Theo hồ sơ điều tra vừa được công bố, một trong những chìa khóa giúp FBI liên kết hoạt động của nghi phạm với chiếc máy tính được sử dụng trong các cuộc tấn công mạng là Global Device Identifier (GDID), một mã định danh gắn với mỗi lần cài đặt Windows và được Microsoft sử dụng trong hệ sinh thái của mình.
Trước đó Peter Stokes bị cáo buộc tham gia vụ tấn công nhằm vào một nhà bán lẻ trang sức cao cấp tại Mỹ vào tháng 5/2025. Nhóm tấn công được cho là đã sử dụng kỹ thuật lừa đảo xã hội để thuyết phục bộ phận hỗ trợ kỹ thuật đặt lại thông tin đăng nhập của nhân viên, từ đó chiếm quyền truy cập vào nhiều tài khoản có đặc quyền quản trị và đánh cắp dữ liệu.
Sau đó, nhóm này yêu cầu khoản tiền chuộc lên tới 8 triệu USD bằng tiền mã hóa. Dù doanh nghiệp cuối cùng không phải trả tiền chuộc, vụ việc vẫn gây thiệt hại khoảng 2 triệu USD do gián đoạn hoạt động.
VPN cũng không che chắn được danh tính hacker
Điều khiến vụ án thu hút sự quan tâm của giới công nghệ là cách các điều tra viên lần theo dấu vết của nghi phạm. Theo hồ sơ, Stokes sử dụng VPN, thay đổi IP và khai thác công cụ tạo đường hầm mạng ngrok nhằm che giấu hoạt động.
Theo hồ sơ tố tụng dài 39 trang được công bố công khai, Microsoft đã cung cấp cho FBI một lượng dữ liệu đáng kinh ngạc, tất cả được gắn với GDID của Stokes. Bao gồm toàn bộ lịch sử duyệt web kèm dấu thời gian chính xác, lịch sử chơi game, danh sách các địa chỉ IP đã sử dụng theo thời gian, các công cụ phần mềm đã cài đặt và sử dụng, trong đó có Ngrok, một công cụ tạo đường hầm mạng mà Stokes dùng để xâm nhập hệ thống của nạn nhân cùng toàn bộ hoạt động trên nền tảng Azure.
Quan trọng hơn, mỗi lần Stokes đăng nhập vào Snapchat, tài khoản Apple hay Facebook từ một địa chỉ IP mới ở một quốc gia khác, GDID vẫn luôn hiện diện ở đó, lặng lẽ gắn kết tất cả lại thành một chuỗi liên tục không bị đứt quãng. Địa chỉ IP có thể thay đổi, quốc gia có thể thay đổi, nhưng chiếc máy tính vẫn là một, và người ngồi sau bàn phím vẫn là một. VPN có thể che giấu địa chỉ IP, nhưng không có gì che giấu được GDID.
Theo hồ sơ, Microsoft thậm chí đã xác định được danh tính thực của Stokes từ tháng 10 năm 2024, khi anh ta mới 17 tuổi và đã nộp đơn tố giác lên cơ quan chức năng. Nhưng vì còn là vị thành niên, các nhà điều tra chỉ theo dõi và chờ đợi đến khi Stokes tròn 18 tuổi và tiếp tục phạm tội, họ mới ra tay.
Mã số bí ẩn này là gì?
Vậy GDID là gì? Theo giải thích của Microsoft trong hồ sơ vụ án, Global Device Identifier là một chuỗi ký tự duy nhất được gắn vào mỗi bản cài đặt Windows, tồn tại liên tục qua mọi lần cập nhật hệ điều hành, và được Microsoft sử dụng để nhận diện thiết bị của bạn trên toàn bộ hệ sinh thái dịch vụ của họ.
Nói một cách đơn giản hơn: mỗi máy tính Windows trên thế giới đang mang một thẻ căn cước kỹ thuật số. Và Microsoft biết thẻ đó là của ai, đã đi đâu, đã làm gì. Cho dù mã này được giữ nguyên qua các bản cập nhật Windows, nhưng sẽ thay đổi nếu người dùng cài đặt lại hệ điều hành. Điều đó đồng nghĩa một thiết bị có thể có nhiều GDID khác nhau trong suốt vòng đời sử dụng nếu Windows được cài mới nhiều lần.
Sự tồn tại của một mã định danh thiết bị không phải điều bất thường trong ngành công nghệ. GDID không phải là điều hoàn toàn bí mật, nó được đề cập ngắn gọn trong một trang hỗ trợ kỹ thuật của Microsoft dành cho quản trị viên hệ thống. Nhưng với nhiều người dùng thông thường, kể cả nhiều người am hiểu công nghệ, đây là lần đầu tiên họ nghe đến cái tên này, chỉ vì nó xuất hiện trong một hồ sơ hình sự liên bang.
Tuy nhiên, vụ án lần này cho thấy dữ liệu liên quan đến GDID cũng có thể trở thành công cụ hỗ trợ điều tra khi được kết hợp với thông tin từ các dịch vụ khác, ngay cả trong trường hợp nghi phạm đã sử dụng VPN để che giấu địa chỉ IP.
Chuyên gia an ninh mạng Matthew Hickey đã nói thẳng sau khi đọc hồ sơ vụ án rằng Windows về bản chất là phần mềm giám sát. Nhà nghiên cứu bảo mật Costin Raiu thì đặt câu hỏi rộng hơn về việc liệu Apple và Google có làm điều tương tự không, ở cấp độ nào, và nếu định danh được gắn trực tiếp vào phần cứng thì ngay cả việc cài lại hệ điều hành cũng không còn ý nghĩa gì.
GDID có thể được đặt lại nếu bạn cài lại Windows hoàn toàn, nhưng Microsoft hoàn toàn có thể liên kết GDID mới với GDID cũ thông qua các định danh khác như tài khoản Microsoft hay địa chỉ IP. Một số người dùng am hiểu kỹ thuật đã bắt đầu tìm cách ngăn chặn GDID, nhưng đây không phải điều mà người dùng thông thường có thể thực hiện chỉ bằng vài thao tác đơn giản.
Nếu muốn ẩn danh hoàn toàn, theo Raiu, có lẽ đã đến lúc phải cân nhắc chuyển sang Linux và định tuyến mọi kết nối qua nhiều lớp proxy và VPN. Đó không phải lời khuyên dành cho người dùng phổ thông, và đó chính là vấn đề cốt lõi của toàn bộ câu chuyện này.
Nguồn: GenK


