Биткойны, фишинг и паяльник: как хакер Scattered Spider угодил в руки ФБР

23-летний шотландец Тайлер Роберт Бьюкенен, подозреваемый в участии в хакерской группировке Scattered Spider, был экстрадирован из Испании в США, где ему предъявлены обвинения в мошенничестве, краже личных данных и заговоре с целью получения доступа к информации. Задержание произошло в июне 2024 года в аэропорту Пальма-де-Майорки, когда он собирался вылететь в Италию. Его передача американской стороне состоялась в апреле 2025 года, о чём первой сообщила Bloomberg.

По версии следствия, Бьюкенен, известный под ником «tylerb», вместе с сообщниками участвовал в крупной серии атак методом SMS-фишинга и SIM-swapping. Эти атаки были направлены на сотрудников десятков компаний, в том числе Twilio, LastPass, DoorDash и Mailchimp. Хакеры создавали поддельные сайты, имитирующие интерфейс системы аутентификации Okta, и выманивали логины и пароли. Данные использовались для получения доступа к корпоративным системам. Такая схема получила кодовое название 0ktapus .

Расследование ФБР установило, что в кампании использовались домены, зарегистрированные через NameCheap, менее чем за месяц до начала атак. Учётная запись, с которой велась регистрация, заходила в сеть с IP-адреса, арендованного Бьюкененом в Шотландии с 26 января по 7 ноября 2022 года. Эти домены оформлялись на тот же адрес электронной почты и имя пользователя, что связываются с фигурантом дела.

При обыске по месту жительства Бьюкенена были изъяты 20 цифровых устройств. На одном из них обнаружили данные для входа в системы трёх компаний — жертв фишинга. Также на устройстве был найден скриншот переписки в Telegram, в которой обсуждалось деление украденных средств, полученных в результате SIM-swapping-атак. Этот метод позволял хакерам перехватывать одноразовые коды, отправляемые на телефон, после перевода номера жертвы на новую SIM-карту.

Следователи также связали подозреваемого с активностью на Discord. С того же британского IP-адреса управлялся Discord-аккаунт, в котором фигурировал криптовалютный кошелёк. По открытым данным блокчейна, через этот кошелёк прошло около 391 биткойна — на сумму более 26 миллионов долларов на момент проведения расследования.

Интерес к фигуранту возник не только у правоохранителей. В феврале 2023 года конкурирующая преступная группа направила к нему домой людей, которые ворвались в квартиру и угрожали обжечь самого Бьюкенена паяльной лампой, требуя доступ к его криптовалютному кошельку. После этого он покинул Великобританию и попытался скрыться в Европе.

В ноябре 2024 года окружная прокуратура Лос-Анджелеса предъявила обвинения ещё четырём предполагаемым участникам Scattered Spider. В списке значатся Ахмед Эльбадави (23 года, Колледж-Стейшн, Техас), Джоэл Эванс (25 лет, Джэксонвилл, Северная Каролина), Эванс Осиэбо (20 лет, Даллас) и Ноа Урбан (20 лет, Палм-Кост, Флорида). Отдельно сообщалось об аресте 17-летнего подростка из Великобритании в связи со взломом казино MGM в Лас-Вегасе, также приписываемым группировке, однако имя Бьюкенена в том эпизоде не фигурирует.

Согласно материалам Федерального суда Центрального округа Калифорнии, обвиняемый находится под арестом без права внесения залога. Ему инкриминируются сговор с целью совершения мошенничества, получение информации с использованием компьютеров в целях личной финансовой выгоды и кража личных данных при отягчающих обстоятельствах. Последний пункт предусматривает обязательное наказание в виде не менее двух лет лишения свободы. Предварительное судебное заседание назначено на 6 мая.