อาชญากรไซเบอร์ใช้บริษัทเชลล์ของไวโอมิงเพื่อแฮ็กข้อมูลทั่วโลกอย่างไร

โดย ราฟาเอล แซทเทอร์

วอชิงตัน (รอยเตอร์) – อับดัลเล อาห์เหม็ด มูมิน นักข่าวชาวโซมาเลีย รู้สึกเป็นกังวลเป็นสองเท่าเมื่อได้ยินว่าเพื่อนร่วมงานคนหนึ่งถูกกลุ่มมือปืนสวมหน้ากากลักพาตัวไปเมื่อเช้าวันที่ 17 ส.ค.

เพื่อนนักข่าวคนหนึ่งหายตัวไป และมูมิน ประธานสมาคมนักข่าวโซมาเลีย แทบไม่มีช่องทางใดที่จะเผยแพร่ข่าวดังกล่าวได้ การก่อวินาศกรรมทางดิจิทัลทำให้เว็บไซต์และบัญชีอีเมลขององค์กรของเขาต้องออฟไลน์เมื่อไม่กี่วันก่อนหน้านี้

“ฉันยังคงรู้สึกหงุดหงิด” มูมินบอกกับรอยเตอร์ “การเชื่อมโยงของเราไปยังโลกภายนอก ไปยังสื่อต่างประเทศ คือเว็บไซต์ของเรา”

เพียงหลังจากได้รับความช่วยเหลือจาก Qurium ซึ่งเป็นองค์กรไม่แสวงผลกำไรของสวีเดนที่ทำงานด้านการป้องกันระบบดิจิทัลให้กับองค์กรข่าวและองค์กรไม่แสวงผลกำไรเท่านั้น Mumin ก็สามารถฟื้นฟูเว็บไซต์ของเขาให้กลับมายืนได้อีกครั้ง และส่งสัญญาณเตือนเกี่ยวกับนักข่าวที่หายไปได้อย่างเหมาะสม

เมื่อ Qurium สอบสวน ในที่สุดก็สามารถสืบหาแหล่งที่มาของไฟฟ้าขัดข้องไปยังสถานที่ที่น่าประหลาดใจซึ่งก็คือไวโอมิง

แม้ว่า Qurium บอกว่าไม่สามารถล็อคได้ว่าใครเป็นคนกระตุ้นให้เกิดการโจมตีทางไซเบอร์ แต่ก็พบว่าการก่อวินาศกรรมดังกล่าวเกิดขึ้นโดยได้รับความช่วยเหลือจากบริษัทจำกัดหรือ LLC ซึ่งตั้งอยู่ในรัฐทางตะวันตกอันกว้างใหญ่ .

รอยเตอร์พบว่านี่เป็นหนึ่งในอย่างน้อยสามกรณีในช่วงสี่เดือนที่ผ่านมาที่ผู้พิทักษ์ดิจิทัลมีส่วนเกี่ยวข้องกับ Wyoming LLCs ในกิจกรรมการแฮ็กข้อมูลระดับสูง การสัมภาษณ์ผู้เชี่ยวชาญด้านเทคโนโลยีและการปฏิบัติตามกฎระเบียบจำนวนครึ่งโหลและเหยื่อจากการแฮ็กเช่น Mumin แนะนำว่ารัฐที่ครั้งหนึ่งเคยเป็นที่รู้จักในฐานะที่หลบภัยอันแข็งแกร่งของโจรในศตวรรษที่ 19 ปัจจุบันกลายเป็นแหล่งอาหารของพวกนอกกฎหมายในศตวรรษที่ 21

“นี่คือ Wild, Wild West เสมือนจริง” Sarah Beth Felix ผู้บริหาร Palmera Consulting ซึ่งเป็นบริษัทที่ปรึกษาด้านการต่อต้านการฟอกเงินกล่าว เธอกล่าวว่ารัฐทำให้การจดทะเบียนบริษัทเชลล์นิรนามเป็นเรื่องง่ายมาก โดยที่มิจฉาชีพต่างชาติ “ไม่จำเป็นต้องอยู่ในไวโอมิงเพื่อซ่อนตัวในไวโอมิง”

โจ รูบิโน ที่ปรึกษาทั่วไปของสำนักงานรัฐมนตรีต่างประเทศไวโอมิง ซึ่งมีหน้าที่รับผิดชอบในการจดทะเบียนหน่วยงานธุรกิจของรัฐ กล่าวว่าเพื่อนร่วมงานของเขากำลังนำข้อมูลที่รอยเตอร์ทำเครื่องหมายไว้ “เพื่อการตรวจสอบและสอบสวนเพิ่มเติม”

เขากล่าวเสริมว่า ชัค เกรย์ รัฐมนตรีต่างประเทศไวโอมิง สนับสนุนแนวคิดเรื่องกฎหมายใหม่ “เพื่อป้องกันการใช้ระบบการจัดเก็บภาษีขององค์กรของรัฐไวโอมิงในทางที่ผิดโดยหน่วยงานต่างประเทศ” แต่สภานิติบัญญัติแห่งรัฐยังไม่ได้ดำเนินการเรื่องนี้

รอยเตอร์ไม่สามารถระบุได้ว่าอาชญากรไซเบอร์ใช้ Wyoming LLC บ่อยเพียงใด แต่ Tord Lundstrom ผู้อำนวยการด้านเทคนิคของ Qurium กล่าวว่าพวกเขาได้รับความโปรดปรานจากอาชญากรไซเบอร์ที่ใช้พวกเขาเพื่อช่วยส่งผ่านการรับส่งข้อมูลอินเทอร์เน็ตที่มาจากภายในสหรัฐอเมริกา ซึ่งเป็นกลอุบายอันมีค่าสำหรับแฮกเกอร์ พยายามหลีกเลี่ยงการป้องกันทางดิจิทัลที่มีแนวโน้มที่จะทำเครื่องหมายหรือบล็อกการรับส่งข้อมูลเว็บที่มาจากสถานที่ที่น่าเชื่อถือน้อยกว่า เช่น รัสเซียหรืออิหร่าน

LLC เช่นเดียวกับบริษัท ปกป้องเจ้าของจากความรับผิดบางรูปแบบ แต่มีแนวโน้มที่จะจัดตั้งได้ง่ายกว่า เนื่องจากไวโอมิงอนุญาตให้ตัวแทนที่ลงทะเบียน – ตัวแทนในรัฐ – ทำหน้าที่เป็นจุดติดต่อสาธารณะสำหรับ LLCs ความเป็นเจ้าของของพวกเขาจึงถูกเก็บเป็นความลับจากสาธารณชนในวงกว้าง

ไวโอมิงไม่ได้อยู่คนเดียวที่อนุญาตให้บริษัทเชลล์นิรนาม – เดลาแวร์และเนวาดามีข้อเสนอที่คล้ายกัน – แต่ลันด์สตรอมกล่าวว่าแฮกเกอร์ชื่นชอบ Wyoming LLCs เป็นพิเศษเพราะพวกเขาโฆษณาว่าคุ้มค่าและเป็นมิตรกับผู้ใช้

'ความกล้าหาญและการโจมตีโดยตรง'

การกระทำของการก่อวินาศกรรมทางไซเบอร์ที่ทำให้กลุ่มนักข่าวโซมาเลียต้องออฟไลน์ในเดือนสิงหาคม เป็นที่รู้จักกันในชื่อการปฏิเสธการให้บริการแบบกระจายหรือ DDoS ซึ่งปิดบังไซต์ที่กำหนดเป้าหมายด้วยท่อดับเพลิงของการรับส่งข้อมูลที่เป็นอันตราย

Qurium พบว่าข้อมูลอันธพาลสตรีมหนึ่งไหลผ่านบล็อกที่อยู่ IP ที่ลงทะเบียนกับ Aliat ซึ่งเป็น LLC ที่มีภูมิลำเนาใน Sheridan เมืองเล็ก ๆ ของไวโอมิงที่ตีนเขา Bighorn

ความพยายามของรอยเตอร์ในการเข้าถึง Aliat ไม่ประสบความสำเร็จ ข้อความที่ทิ้งไว้ผ่านแบบฟอร์มติดต่อบนเว็บไซต์ของบริษัทเมื่อวันที่ 9 ต.ค. พบกับข้อความอัตโนมัติที่สัญญาว่าจะตอบกลับ “ภายใน 48 ชั่วโมง” บันทึกของบริษัทแสดงให้เห็นว่า LLC ถูกยุบในวันเดียวกัน แม้ว่าจะคืนสถานะได้ในภายหลังก็ตาม

ไม่มีการตอบกลับใดๆ ทั้งสิ้น

ในเดือนกันยายน การดำเนินการ DDoS ทำให้สถาบันสื่อนานาชาติในกรุงเวียนนาต้องออฟไลน์ องค์กรเพิ่งตีพิมพ์รายงานเกี่ยวกับวิธีที่การดำเนินการ DDoS หลอกสื่ออิสระของฮังการี เมื่อพวกเขาถูกโจมตีด้วยคลื่นขยะเช่นกัน ซึ่งเป็นสิ่งที่กลุ่มนี้อธิบายในภายหลังว่าเป็น “การโจมตีโครงสร้างพื้นฐานออนไลน์ของ IPI ที่หน้าด้านและโดยตรงที่สุดในประวัติศาสตร์ของเรา ”

IPI ใช้เวลาประมาณ 10 วันในการคืนค่าฟังก์ชันการทำงานของไซต์ให้สมบูรณ์ Qurium สามารถติดตามข้อมูลอันธพาลบางส่วนกลับไปยัง Wyoming LLC ซึ่งเป็นบริษัทเว็บโฮสติ้งชื่อ HostCram ได้อีกครั้ง

บริษัทนี้บริหารงานโดยชากิบ ข่าน ชาวบังกลาเทศวัย 23 ปี จดทะเบียนในบัฟฟาโล เมืองเล็กๆ ที่ครั้งหนึ่งเคยเป็นที่พบปะสังสรรค์ของโจรปล้นรถไฟชื่อดัง บุทช์ แคสซิดี และเดอะซันแดนซ์คิด

Qurium กล่าวว่า Khan บอกพวกเขาว่าเขากำลังจะยุติลูกค้ารายหนึ่งหลังจากเหตุการณ์ดังกล่าว แต่ไม่ได้ให้รายละเอียดเพิ่มเติม ข่านบอกกับรอยเตอร์ว่าเขาจะเปิดเผยตัวตนของลูกค้ากับหน่วยงานบังคับใช้กฎหมายเท่านั้น

ว่าทำไมเขาถึงจดทะเบียนบริษัทในบัฟฟาโล เขากล่าวว่า “ไวโอมิงเหมาะสำหรับธุรกิจออนไลน์”

'พวกเขาควรละอายใจ'

ผู้เชี่ยวชาญกล่าวว่าบริษัทเชลล์เพียงแห่งเดียวสามารถเป็นจุดเริ่มต้นสำหรับการละเมิดที่แพร่หลายได้

ในปี 2560 นักวิจัยด้านความปลอดภัยทางไซเบอร์คู่หนึ่งติดตามคลื่นของการบุกรุกทางดิจิทัลและสแปมที่กำหนดเป้าหมายไปยังองค์กรต่างๆ ไปยังบริการพร็อกซีออนไลน์ที่ดำเนินการโดย Ilia Trusov ผู้ประกอบการไอทีชาวรัสเซีย

แม้จะมีการเปิดเผยต่อสาธารณะ – และรายงานที่ตามมาโดย Qurium ยังเชื่อมโยงเขาเข้ากับการดำเนินงาน DDoS – Trusov จดทะเบียน Wyoming LLCs สองแห่ง, เซิร์ฟเวอร์ความปลอดภัย และ Traffictransitsolution ในปี 2019

ในการสนทนาทางวิดีโอกับรอยเตอร์ ทรูซอฟกล่าวว่าข้อกล่าวหาดังกล่าวไม่ยุติธรรม เขาบอกว่าเขาไม่มีความอดทนต่ออาชญากรรมในโลกไซเบอร์ และมักจะทำงานร่วมกับหน่วยงานตำรวจเพื่อต่อสู้กับอาชญากรรมดังกล่าว เขาแสดงหนังสือเดินทางและวีซ่าสหรัฐอเมริกาและยุโรปเพื่อเป็นหลักฐานว่าเขาไม่ได้พยายามปกปิดตัวตนของเขาและไม่เคยมีปัญหากับกฎหมาย

Trusov รับทราบการจัดตั้งบริษัทเชลล์ในไวโอมิงเพื่อให้การเข้าชมเว็บไซต์ของลูกค้าของเขาดูเป็นอเมริกัน เขากล่าวว่าการมีบริษัทเชลล์ในสหรัฐฯ ก็มีประโยชน์ในแง่ของการดำเนินการตามคำร้องขอทางกฎหมายเช่นกัน โบนัสอีกอย่าง: การไม่เปิดเผยตัวตน

“ในไวโอมิง คุณไม่สามารถไปตรวจสอบเจ้าของได้” เขากล่าว

ตั้งแต่นั้นมา Trusov's LLCs ก็ถูกยุบไป แต่บริษัทเชลล์แห่งไวโอมิงอีกแห่งต้องเผชิญกับการตรวจสอบข้อเท็จจริงเมื่อไม่นานมานี้

ในเดือนสิงหาคมของปีนี้ บริษัทต่อต้านแรนซัมแวร์ Halcyon กล่าวหาบริษัทอินเทอร์เน็ตที่เชื่อมโยงกับอิหร่านชื่อ Cloudzy ในการให้บริการแก่ “แกลเลอรีของคนโกง” ของสายลับดิจิทัลและอาชญากรไซเบอร์ ส่วนหนึ่งผ่านทาง RouterHosting LLC ใน Sheridan

Hannan Nozari ผู้บริหารระดับสูงของ Cloudzy ปฏิเสธที่จะเมินเฉยต่อกิจกรรมที่เป็นอันตราย ซึ่งเขากล่าวว่าเป็น “ปัญหาร้ายแรงที่เราทุกคนต้องเผชิญ” เขาบอกกับรอยเตอร์ว่าเขาประจำอยู่ในดูไบและลงทะเบียน RouterHosting ภายใต้สมมติฐานที่ผิดว่าเขาจำเป็นต้องใช้มันเพื่อซื้อโครงสร้างพื้นฐานอินเทอร์เน็ตในอเมริกาเหนือ เขากล่าวว่าเขาเพิ่งปรับปรุงการรักษาความปลอดภัยในบริการของเขา และได้ยุบบริษัทไวโอมิงไปแล้ว

เนื่องจากชาวต่างชาติที่อาศัยอยู่ต่างประเทศ ทั้ง Nozari และ Trusov และ Khan จะไม่สามารถจัดตั้ง Wyoming LLC ได้หากไม่ใช่สำหรับตัวแทนที่จดทะเบียน

RouterHosting ได้รับการจัดตั้งขึ้นด้วยความช่วยเหลือจากตัวแทนจดทะเบียนใน Sheridan ชื่อ Cloud Peak Law Group Aliat, HostCram และ Trusov's LLCs เป็นตัวแทนโดยบริษัทชื่อ Registered Agents Inc ซึ่งแสดงที่อยู่ของ Sheridan ด้วย

Cloud Peak ไม่ตอบคำถาม Registered Agents Inc กล่าวในแถลงการณ์ว่า แม้ว่าบริษัทจะไม่ได้แสดงความคิดเห็นเกี่ยวกับความสัมพันธ์กับลูกค้าเป็นการเฉพาะ แต่ก็ปฏิบัติตามกฎของรัฐที่เกี่ยวข้องและข้อกำหนดในการตรวจสอบสถานะ

“ตัวแทนจดทะเบียนเชิงพาณิชย์ไม่ใช่หน่วยงานตำรวจ” บริษัทกล่าวเสริม

มูมิน หัวหน้าองค์กรนักข่าวโซมาเลีย กล่าวว่าไม่มีใครต้องรับผิดชอบต่อการก่อวินาศกรรมทางไซเบอร์ที่ทำให้องค์กรของเขาพิการเมื่อเดือนสิงหาคม เขาไม่เห็นด้วยกับความคิดที่ว่าตัวแทนที่ลงทะเบียนของไวโอมิงไม่จำเป็นต้องดูแลลูกความของตน

“บริษัทเหล่านี้ในไวโอมิงควรละอายใจที่พวกเขาทำไม่ได้หรือไม่สนใจที่จะตรวจสอบว่าลูกค้าของพวกเขาคือใคร” Mumin กล่าว