Hacker dùng VPN vẫn bị FBI bắt vì mã GDID trong Windows
Hacker dùng VPN vẫn bị FBI bắt vì mã GDID Windows

Trong vụ bắt giữ Peter Stokes, hacker 19 tuổi bị cáo buộc là thành viên nhóm tội phạm mạng Scattered Spider, FBI đã sử dụng một công cụ mà ít người dùng Windows biết đến: Global Device Identifier (GDID). Đây là mã định danh duy nhất được Microsoft gắn vào mỗi bản cài đặt Windows, tồn tại bất chấp việc người dùng thay đổi địa chỉ IP hay sử dụng VPN.

Hành tung của hacker bị lộ qua GDID

Peter Stokes, một hacker mũ đen, đã rất cẩn thận che giấu danh tính bằng cách sử dụng VPN, liên tục thay đổi địa chỉ IP và kết nối qua nhiều quốc gia. Tuy nhiên, hắn đã bị FBI bắt giữ khi chuẩn bị lên máy bay tại sân bay Helsinki để đi Nhật Bản. Theo hồ sơ điều tra, chìa khóa giúp FBI liên kết hoạt động của Stokes với chiếc máy tính sử dụng trong các cuộc tấn công mạng chính là GDID.

Stokes bị cáo buộc tham gia vụ tấn công vào một nhà bán lẻ trang sức cao cấp tại Mỹ vào tháng 5/2025. Nhóm tấn công sử dụng kỹ thuật lừa đảo xã hội để thuyết phục bộ phận hỗ trợ kỹ thuật đặt lại thông tin đăng nhập của nhân viên, từ đó chiếm quyền truy cập vào nhiều tài khoản quản trị và đánh cắp dữ liệu. Nhóm này yêu cầu khoản tiền chuộc 8 triệu USD bằng tiền mã hóa. Dù doanh nghiệp không phải trả tiền chuộc, vụ việc gây thiệt hại khoảng 2 triệu USD do gián đoạn hoạt động.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

VPN không thể che giấu GDID

Điều khiến vụ án thu hút sự quan tâm là cách các điều tra viên lần theo dấu vết của nghi phạm. Theo hồ sơ, Stokes sử dụng VPN, thay đổi IP và khai thác công cụ tạo đường hầm mạng ngrok. Tuy nhiên, Microsoft đã cung cấp cho FBI một lượng dữ liệu khổng lồ gắn với GDID của Stokes, bao gồm toàn bộ lịch sử duyệt web kèm dấu thời gian chính xác, lịch sử chơi game, danh sách các địa chỉ IP đã sử dụng, các công cụ phần mềm đã cài đặt và sử dụng, trong đó có Ngrok, cùng toàn bộ hoạt động trên nền tảng Azure.

Mỗi lần Stokes đăng nhập vào Snapchat, tài khoản Apple hay Facebook từ một địa chỉ IP mới ở một quốc gia khác, GDID vẫn luôn hiện diện, gắn kết tất cả thành một chuỗi liên tục. Địa chỉ IP có thể thay đổi, quốc gia có thể thay đổi, nhưng chiếc máy tính vẫn là một. Theo hồ sơ, Microsoft đã xác định được danh tính thực của Stokes từ tháng 10/2024, khi hắn mới 17 tuổi, nhưng phải chờ đến khi hắn tròn 18 tuổi và tiếp tục phạm tội mới ra tay.

GDID là gì và tại sao nó quan trọng?

Global Device Identifier (GDID) là một chuỗi ký tự duy nhất được gắn vào mỗi bản cài đặt Windows, tồn tại qua mọi lần cập nhật hệ điều hành, và được Microsoft sử dụng để nhận diện thiết bị trên toàn bộ hệ sinh thái dịch vụ của họ. Mỗi máy tính Windows mang một "thẻ căn cước" kỹ thuật số, và Microsoft biết thẻ đó là của ai, đã đi đâu, đã làm gì. Mã này sẽ thay đổi nếu người dùng cài đặt lại hệ điều hành, nhưng Microsoft có thể liên kết GDID mới với GDID cũ thông qua các định danh khác như tài khoản Microsoft hay địa chỉ IP.

Chuyên gia an ninh mạng Matthew Hickey nhận định Windows về bản chất là phần mềm giám sát. Nhà nghiên cứu bảo mật Costin Raiu đặt câu hỏi liệu Apple và Google có làm điều tương tự không, và nếu định danh được gắn trực tiếp vào phần cứng thì việc cài lại hệ điều hành cũng vô nghĩa. Một số người dùng am hiểu kỹ thuật đã bắt đầu tìm cách ngăn chặn GDID, nhưng đây không phải điều người dùng thông thường có thể thực hiện.

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình

Theo Raiu, nếu muốn ẩn danh hoàn toàn, có lẽ đã đến lúc cân nhắc chuyển sang Linux và định tuyến mọi kết nối qua nhiều lớp proxy và VPN. Đó không phải lời khuyên dành cho người dùng phổ thông, và đó là vấn đề cốt lõi của câu chuyện này.