معرّف ويندوز دائم ساعد مكتب التحقيقات الفيدرالي على تتبع متهم شاب في اختراق شركة مجوهرات فاخرة بعد كشف تفاصيل جديدة من ملف قضائي.
كيف ساعد معرّف ويندوز في كشف خيط التحقيق؟
تكشف أوراق القضية أن المحققين تتبعوا جهازاً استخدمه المهاجمون عند إنشاء حساب على خدمة ngrok أثناء الهجوم في مايو 2025. لاحقاً، ربطت سجلات مايكروسوفت هذا الجهاز بحسابات إلكترونية قالت السلطات إنها تعود إلى شاب يبلغ 19 عاماً.
المثير هنا أن معرّف ويندوز المشار إليه وُصف بأنه ثابت نسبياً ويرتبط بتثبيت واحد لنظام Windows، ما يعني أنه قد يظل كما هو بعد تحديثات النظام، لكنه يتغير عند إعادة تثبيت ويندوز بالكامل.
ما الذي رصده المحققون بالتحديد؟
بحسب التفاصيل المنشورة، ظهر الجهاز نفسه عند زيارة صفحة التسجيل في ngrok في الدقيقة نفسها تقريباً التي أُنشئ فيها الحساب. وبعد نحو ثلاث ساعات، استُخدم للوصول إلى موقع الشركة المستهدفة عبر البروكسي ذاته.
- وقت إنشاء حساب ngrok: 12 مايو 2025
- أداة الربط الأساسية: معرّف جهاز Windows دائم
- الجهة المتابعة: مكتب التحقيقات الفيدرالي الأمريكي
- سن المتهم: 19 عاماً
كيف نُفذ اختراق شركة المجوهرات؟
الهجوم لم يبدأ من ثغرة تقنية معقدة، بل من الهندسة الاجتماعية. بين 12 و15 مايو 2025، اتصل المهاجمون بمكتب دعم تقنية المعلومات وانتحلوا صفة موظفين فقدوا القدرة على تسجيل الدخول.
وبعد إقناع فريق الدعم، جرى إعادة تعيين كلمات المرور والأجهزة المرتبطة بالمصادقة متعددة العوامل. خلال ساعات قليلة فقط، حصل المهاجمون على السيطرة على ثلاثة حسابات، بينها حسابان لمسؤولين في قسم تقنية المعلومات.
- الاختراق بدأ عبر مكالمات هاتفية وليس عبر ثغرة برمجية
- إعادة تعيين كلمات المرور والمصادقة متعددة العوامل
- السيطرة على 3 حسابات داخل الشركة
- اثنان من الحسابات يملكان صلاحيات إدارية
ماذا فعل المهاجمون بعد الدخول إلى الشبكة؟
بعد التسلل، قام المهاجمون بتثبيت ngrok وأداة نفق أخرى باسم Teleport لفتح قنوات وصول عن بُعد. كما نقلوا البيانات إلى تخزين سحابي على Amazon، وتمكنوا من سحب ما لا يقل عن 77 جيجابايت من المعلومات.
وتشير المعطيات إلى أنهم حاولوا أيضاً نشر برمجية فدية، لكن فريق الأمن في الشركة تمكن من تعطيل المحاولة وطردهم من الشبكة قبل تنفيذها بالكامل. رغم ذلك، أرسل المهاجمون رسالة ابتزاز وطالبوا لاحقاً بفدية قدرها 8 ملايين دولار بالعملات الرقمية.
خسائر الشركة بعد الهجوم
- البيانات المسروقة: 77 جيجابايت على الأقل
- قيمة الفدية المطلوبة: 8 ملايين دولار
- الخسائر التشغيلية والتحقيقية: نحو 2 مليون دولار
- الشركة لم تدفع الفدية
ما الدرس الأمني الأهم من قضية معرّف ويندوز؟
توضح هذه القضية أن الخطر الأكبر قد لا يكون في الثغرات البرمجية، بل في إجراءات الدعم الفني الضعيفة. إعادة تعيين الحسابات الحساسة عبر مكالمة هاتفية فقط تفتح الباب أمام هجمات يصعب احتواؤها لاحقاً.
لذلك، ترى تيكبامين أن الحل يبدأ من التحقق الصارم من الهوية عبر أرقام مسجلة مسبقاً، أو موافقة مدير مباشر، أو تحقق مرئي للحسابات الحساسة. وفي النهاية، يظل معرّف ويندوز هنا مثالاً على كيف يمكن لتفصيل تقني صغير أن يقود إلى خيط حاسم في أخطر التحقيقات الرقمية، كما تتابع تيكبامين.