---
title: هیچکس پنهان نیست؛ چگونه اطلاعات پس‌زمینه‌ی ویندوز به دستگیری هکری کارکشته کمک کرد؟ 
date: 2026-07-07T15:00:00Z
modified: 2026-07-07T14:25:05Z
permalink: "https://nooshdaroo.ir/cybersecurity-basics/how-windows-telemetry-gdid-identified-scattered-spider-member/"
type: post
status: publish
excerpt: ""
wpid: 14353
categories:
  - مبانی امنیت
  - سواد دیجیتال
tags:
  - top-section-overwrite
  - مایکروسافت
  - هک
  - ویندوز
author:
  - Hooshyar
  - ZiaeiShayan
featured_image: "https://nooshdaroo.ir/wp-content/uploads/2026/07/Scaterred-Spider-Hacker.webp"
featured_image_alt: تصویر نمای نزدیک از چهره شخصی با عینک که انعکاس کدهای باینری روی آن دیده می‌شود.
---

هکرها و نفوذگرهای حرفه‌ای معمولاً پشت لایه‌های پیچیده‌ای از شبکه‌های خصوصی مجازی (وی‌پی‌ان) و ابزارهای رمزنگاری پنهان می‌شوند تا هیچ ردی در فضای سایبری باقی نگذارند. اما پیتر استوکس، هکر ۱۹ ساله‌ی یکی از بدنام‌ترین گروه‌های باج‌گیری سایبری، فراموش کرده بود که گاهی نظارت، درون خود سیستم‌عامل اتفاق می‌افتد. او به کمک شناسه‌ای به اسم GDID در ویندوز (که عملاً کاربر را پنهانی ردیابی می‌کند) و البته همکاری مایکروسافت با اف‌بی‌آی، شناسایی و دستگیر شد و داستان دستگیری‌اش، هم جذاب است و هم کمی نگران‌کننده!

## پیتر استوکس و گروه بدنام‌ Scattered Spider

پیتر استوکس که با نام‌های مستعار «Bouquet» و «Jordan» هم شناخته می‌شود، شهروند دو تابعیتی آمریکایی-استونیایی و از اعضای باسابقه گروه بدنام اسکترد اسپایدر (Scattered Spider) است. این گروه که با نام‌های Octo Tempest و UNC3944 هم شناخته می‌شود، به‌دلیل نفوذ به سازمان‌ها و شرکت‌های بزرگی مانند کازینوهای MGM و باج‌گیری‌های کلان، به شهرت فراوان رسیده.

روش کار این گروه از نظر فنی پیچیدگی خاصی ندارد، اما اعضای آن در [مهندسی اجتماعی](https://nooshdaroo.ir/fraud-awareness/social-engineering-explained/) بسیار ماهر عمل می‌کند. آن‌ها با تماس با بخش پشتیبانی IT سازمان‌ها، خودشان را جای کارمندان ارشد جا می‌زنند و با فریب کارمندها، رمز عبور یا کدهای تایید دومرحله‌ای (MFA) را به نفع خود ریست می‌کنند.

در ماه مِی ۲۰۲۵، استوکس و همکارانش با همین روش به شبکه‌ی یک خرده‌فروش جواهرات لوکس نفوذ کردند و پس از سرقت حدود ۱۰۰ گیگابایت از اطلاعات حساس، خواستار ۸ میلیون دلار باج به‌صورت رمزارز شدند. البته این شرکت توانست بدون پرداخت باج، دسترسی هکرها را ببندد اما هزینه‌های ناشی از اختلال در کسب‌وکار و پاکسازی شبکه، بیش از ۲ میلیون دلار خسارت به سازمان تحمیل کرد. همه‌چیز برای این هکر جوان خوب پیش می‌رفت تا اینکه پای ردیابی‌های پنهان مایکروسافت به میان آمد…

  [ ![](https://nooshdaroo.ir/wp-content/uploads/2026/06/help-desk-identity-verification-attack.webp) ](https://nooshdaroo.ir/safe-ecommerce-selling/service-desk-social-engineering-cybersecurity-risk/) 

 

#####  [هکرهای نامرئی در خط مقدم: چرا واحد پشتیبانی پاشنه‌آشیل امنیت سایبری سازمان‌ها است؟](https://nooshdaroo.ir/safe-ecommerce-selling/service-desk-social-engineering-cybersecurity-risk/) 

 

 

  

## اثر انگشت ماندگار؛ GDID چیست؟

استوکس تصور می‌کرد به لطف VPN و ابزار تونل‌زنی «ngrok» ناشناس مانده، اما از یک ویژگی مهم در ویندوز غافل بود: شناسه‌ای که هنگام نصب ویندوز تولید و در پس‌زمینه همراه با «داده‌های تله‌متری» به سرورهای مایکروسافت ارسال می‌شود. در برخی گزارش‌ها از این شناسه با نام GDID (شناسه جهانی دستگاه) یاد شده است. این شناسه حتی با تغییر IP ثابت باقی می‌ماند و تنها با نصب کامل سیستم‌عامل تغییر می‌کند. به‌همین‌دلیل، برای تیم امنیتی نقش یک اثر انگشت دیجیتال را دارد و ردگیری دستگاه را حتی پشت لایه‌های مخفی‌سازی ممکن می‌کند.

منظور از داده‌های تله‌متری، گزارش‌های فنی و تشخیصی‌ای است که ویندوز در پس‌زمینه درباره وضعیت دستگاه، خطاها، تنظیمات، شناسه‌های سیستمی، زمان‌بندی فعالیت‌ها و نحوه ارتباط با سرویس‌های مایکروسافت جمع‌آوری و ارسال می‌کند.



براساس آنچه در گزارش‌ها آمده، شناسه GDID گزارش بسیار مفصلی راجع به فعالیت‌های استوکس جمع‌آوری کرده بود و صرفاً کافی بود پلیس اطلاعات مهم را به یکدیگر پیوند بزند. برای مثال سابقه فعالیت‌های وب، تاریخچه بازی‌های ویدیویی، آی‌پی آدرس‌ها، ابزارهای مورد استفاده، وضعیت حساب در سرویس Azure مایکروسافت و انبوهی اطلاعات دیگر با برچسب‌های زمانی دقیق جمع‌آوری شده بودند.

  [ ![](https://nooshdaroo.ir/wp-content/uploads/2025/01/nooshdaroo_6804557112c1d-scaled.webp) ](https://nooshdaroo.ir/privacy-protection/digitall-footprint/) 

 

#####  [آشنایی با مفهوم «ردپای دیجیتال»: اینترنت یک اتاق شیشه‌ای است!](https://nooshdaroo.ir/privacy-protection/digitall-footprint/) 

 

 

  

## تقاطع داده‌ها و سقوط در دام تله‌متری

استوکس توانست آدرس آی‌پی فیزیکی خود را پنهان کند، اما نتوانست از تطبیق یافتن داده‌های سیستمی و لاگ‌های دستگاه با سایر ردپاهای دیجیتال جلوگیری کند. بازرسان FBI با دریافت حکم قضایی، رکوردهای دسترسی به حساب ngrok استوکس را بررسی کردند. آن‌ها با همکاری شرکت‌های سرویس‌دهنده و تحلیل داده‌های سیستمی، شناسه‌های مرتبط با دستگاه او را استخراج و با سایر لاگ‌ها تطبیق دادند.

در مرحله بعد، بازرسان در همکاری با مایکروسافت و با بررسی تاریخچه‌ آی‌پی‌های متصل به این شناسه ویندوز، به مکان‌های مختلفی در تالین (استونی)، نیویورک و تایلند رسیدند. استوکس در نفوذ به شبکه‌ها مهارت بالایی داشت، اما در رعایت اصول ابتدایی امنیت عملیاتی، فاجعه‌بار عمل کرده بود. او در جریان سفرهای لوکس خود، تصاویری از پول نقد، ساعت‌های گران‌قیمت و زنجیر طلای الماس‌نشانش با نوشته «سیاره را هک کن!» در پلتفرم اسنپ‌چت منتشر می‌کرد.

![](https://nooshdaroo.ir/wp-content/uploads/2026/07/unnamed.webp)

نمونه‌ای از تصاویری که پیتر استوکس از خود منتشر می‌کرد.تحقیقات سایبری نشان داد که زمان اتصال ویندوز او از یک آدرس IP مشخص، با زمان ورود او به اکانت‌های اسنپ‌چت، اپل و فیسبوک در فاصله‌ی چند دقیقه تطابق زمانی داشت. همین ردپای دیجیتال کافی بود تا هویت فیزیکی او کاملاً افشا شود و پلیس فنلاند او را در آوریل ۲۰۲۶، پیش از سوار شدن به پروازی به مقصد ژاپن دستگیر کند.

## درس‌های پرونده استوکس: هیچ‌کس پنهان نیست 

پرونده‌ی پیتر استوکس یک واقعیت تامل‌برانگیز را در دنیای فناوری روشن می‌کند: غول‌های فناوری، انبوهی از داده‌های تله‌متری و اطلاعات سیستمی را از دستگاه‌های ما گردآوری می‌کنند. در عصر ارتباطات یکپارچه، حتی حرفه‌ای‌ترین نفوذگرها با وجود استفاده از پیچیده‌ترین لایه‌های مخفی‌سازی، در برابر داده‌های پنهان سیستم‌عامل خود بی‌دفاع هستند.

وقتی یک شناسه‌ی ساده‌ی عیب‌یابی در ویندوز می‌تواند موقعیت دقیق و هویت یک هکر بین‌المللی را فاش کند، باید پذیرفت که مفهوم ناشناس ماندنِ مطلق در اینترنت، امروز بیش از همیشه دست‌نیافتنی است.