懷俄明州空殼公司如何助長全球黑客攻擊
How cybercriminals are using Wyoming shell companies for global hacks
By Raphael Satter
December 12, 2023 7:07 PM GMT+8
華盛頓,12月12日(路透社)- 當索馬利記者阿卜達勒·艾哈邁德·穆明(Abdalle Ahmed Mumin)聽到他的一位同事在8月17日早上被蒙面槍手從摩加迪沙大學(University of Mogadishu)綁架時,他感到雙重的痛苦。
一位記者失蹤了,而穆明-索馬利記者工會(Somali Journalists Syndicate)的主席-幾乎沒有辦法將這一消息傳出去。數字破壞使他的工會網站和電子郵件帳戶在幾天前就停止運作了。
“我仍然能感受到那種挫折,”穆明告訴路透社。“我們與外界、與國際媒體的聯繫,就是我們的網站。”
直到得到Qurium的幫助,Qurium是一個為新聞機構和非營利組織提供數字防禦工作的瑞典非政府組織,穆明才能讓他的網站恢復正常,並及時發出對失蹤記者的警報。
當Qurium調查時,它最終將停機的源頭追溯到一個令人驚訝的地方:懷俄明州。
雖然Qurium表示它無法確定誰是這次網絡攻擊的幕後黑手,但它發現這次破壞是在一家註冊於廣袤的西部州份的有限責任公司(LLC)的幫助下進行的。
路透社發現,這是過去四個月裡至少有三起數字防禦者牽涉到懷俄明州LLC的高調黑客活動。與穆明等六位科技和合規專家以及黑客受害者的訪談表明,這個曾經是19世紀土匪的避風港的州份,現在正在迎合21世紀的罪犯。
“這是虛擬的狂野西部,”經營反洗錢諮詢公司Palmera Consulting的莎拉·貝絲·菲利克斯(Sarah Beth Felix)說。她說,這個州讓註冊匿名的空殼公司變得如此容易,以至於外國罪犯“不必親自到懷俄明州去躲藏在懷俄明州。”
懷俄明州州務卿辦公室的法律顧問喬·魯比諾(Joe Rubino)表示,該辦公室負責註冊該州的商業實體,他的同事們正在對路透社揭露的信息進行“進一步的審查和調查”。
他補充說,懷俄明州州務卿查克·格雷(Chuck Gray)支持制定新法律的想法,“以防止外國實體濫用懷俄明州的公司註冊制度”,但該州立法機關尚未處理這一問題。
路透社無法確定網絡罪犯使用懷俄明州LLC的頻率,但Qurium的技術總監托德·倫德斯特羅姆(Tord Lundstrom)說,他們發現網絡罪犯喜歡使用懷俄明州LLC,因為這些公司可以幫助他們將自己的網絡流量偽裝成來自美國境內的流量,這對於試圖繞過數字防禦的黑客來說是一個寶貴的技巧,因為這些防禦往往會標記或阻擋來自不太受信任的地區的網絡流量,例如俄羅斯或伊朗。
LLC就像公司一樣,可以保護其所有者免受某些形式的責任,但通常比較容易成立。因為懷俄明州允許註冊代理人——州內代表——作為LLC的公開聯繫人,所以它們的所有權可以對廣大公眾保密。
懷俄明州並不是唯一允許匿名空殼公司的州份——特拉華州和內華達州也有類似的服務——但倫德斯特羅姆說,黑客特別喜歡懷俄明州的LLC,因為它們被宣傳為節省成本和易於使用。
“厚顏無恥和直接的攻擊”
8月份導致索馬裡記者聯盟(Somali Journalists Syndicate)離線的網絡破壞行為被稱為分佈式拒絕服務(DDoS),它用惡意流量的水龍頭攻擊目標網站。
Qurium發現,其中一條流氓數據流通過了一個註冊給Aliat的IP地址塊,這是一家設在懷俄明州小城市謝裡登(Sheridan)的LLC,該城市位於大角山(Bighorn Mountains)山腳下。
路透社試圖聯繫Aliat並未成功。10月9日,他們通過該公司網站上的聯繫表格留下了一條信息,收到了一個自動回覆,承諾“在48小時內”回應。公司記錄顯示,該LLC在當天就被解散了,雖然後來又恢復了。
他們從未收到任何回覆。
9月份,一次DDoS行動使總部位於維也納的國際新聞協會(International Press Institute)離線。該組織剛剛發表了一份報告,講述了DDoS行動如何困擾匈牙利的獨立媒體機構,當他們也遭到了一波垃圾流量的猛烈攻擊時,該組織後來將其描述為“我們歷史上對IPI的在線基礎設施最厚顏無恥和直接的攻擊”。
IPI花了大約10天的時間才完全恢復網站的功能。Qurium再次能夠將一些流氓數據追溯到一家懷俄明州的LLC——一家名為HostCram的網絡主機公司。
這家公司由一位23歲的孟加拉人Shakib Khan經營,註冊地在水牛城,這是一個小城市,曾經是臭名昭著的火車搶劫犯Butch Cassidy和Sundance Kid的聚集地。
Qurium說,Khan告訴他們,他在事件發生後終止了一個客戶,但沒有提供更多細節。Khan告訴路透社,他只會與執法機關分享他的客戶身份。
至於他為什麼要在水牛城註冊一家公司,他說,“懷俄明州對網絡業務很好。”
“他們應該感到羞恥”
專家們說,一個空殼公司可以成為廣泛濫用的跳板。
2017年,一對網絡安全研究人員追蹤了一系列針對多個組織的數字入侵和垃圾郵件,發現它們都與一個由俄羅斯IT企業家Ilia Trusov運營的在線代理服務有關。
儘管公開曝光——以及Qurium隨後發表的報告也將他與DDoS行動聯繫在一起——Trusov在2019年註冊了兩家懷俄明州的LLC,分別是Security Servers和Traffictransitsolution。
在與路透社的視訊通話中,Trusov說這些指控是不公平的。他說他對網絡犯罪沒有任何容忍,並經常與警方機構合作打擊它。他拿出他的護照和美國和歐洲的簽證,作為他沒有試圖隱藏自己身份,也從未觸犯法律的證據。
Trusov承認他在懷俄明州設立了一些空殼公司,以便他的客戶的網絡流量看起來是美國的。他說擁有一個美國的空殼公司在處理法律請求方面也很有幫助。另一個好處:匿名。
“在懷俄明州,你不能去查看所有者,”他說。
Trusov的LLC已經被解散,但最近另一個懷俄明州的空殼公司也受到了質疑。
今年八月,反勒索軟件公司Halcyon指控一家與伊朗有關的互聯網公司Cloudzy為“一群流氓的數字間諜和網絡罪犯”提供服務,部分是通過位於Sheridan的RouterHosting LLC。
Cloudzy執行長Hannan Nozari否認對惡意活動視而不見,他說這是“我們所有人都面臨的一個嚴重問題”。他告訴路透社,他的基地在杜拜,並在錯誤的假設下註冊了RouterHosting,他以為他需要它來購買北美的互聯網基礎設施。他說他最近提高了他的服務安全性,並解散了懷俄明州的公司。
作為居住在國外的外國人,如果沒有註冊代理人,Nozari、Trusov和Khan都不可能在懷俄明州設立LLC。
RouterHosting是在一個位於Sheridan的註冊代理人的幫助下設立的,這個代理人叫做Cloud Peak Law Group。Aliat、HostCram和Trusov的LLC都由一家叫做Registered Agents Inc的公司代表,這家公司也列出了一個Sheridan的地址。
Cloud Peak沒有回應問題。Registered Agents Inc在一份聲明中說,雖然該公司不對特定的客戶關係發表評論,但它遵守了相關的州法規和盡職調查要求。
“商業註冊代理人不是執法機構,”該公司補充說。
索馬里記者聯盟的負責人Mumin說,沒有人為八月份癱瘓他的組織的網絡破壞負責。他對懷俄明州的註冊代理人不需要監管他們的客戶的想法沒有任何同情。
“這些在懷俄明州的公司應該感到羞恥,他們沒有能力——或者他們不在乎——檢查他們的客戶是誰,”Mumin說。
本文由華盛頓的Raphael Satter報導,由Chris Sanders和Claudia Parsons編輯。