Tội phạm mạng dùng các công ty ẩn danh ở Wyoming để tấn công toàn cầu
Abdalle Ahmed Mumin (Chủ tịch Hiệp hội Nhà báo Somali) thất vọng khi nghe tin một đồng nghiệp bị những tay súng đeo mặt nạ bắt cóc tại Đại học Mogadishu vào sáng ngày 17.8. Ông có rất ít cách để lan truyền thông tin khi vài ngày trước, vụ phá hoại kỹ thuật số đã khiến trang web và tài khoản email của Hiệp hội Nhà báo Somali ngừng hoạt động.
“Tôi cảm thấy thất vọng. Mối liên kết của chúng tôi với thế giới bên ngoài và giới truyền thông quốc tế chính là trang web này”, Abdalle Ahmed Mumin chia sẻ với Reuters
Chỉ sau khi nhận được sự giúp đỡ từ Qurium, một tổ chức phi lợi nhuận Thụy Điển chuyên thực hiện công việc phòng thủ kỹ thuật số cho các tổ chức tin tức, Abdalle Ahmed Mumin mới có thể đưa trang web của mình hoạt động trở lại và thông báo đầy đủ về đồng nghiệp bị bắt cóc.
Khi điều tra, Qurium đã tìm ra nguồn gốc dẫn đến sự cố Hiệp hội Nhà báo Somali ngừng hoạt động ở một nơi đáng ngạc nhiên là bang Wyoming (Mỹ).
Dù không thể xác định được ai là người đã kích hoạt cuộc tấn công mạng, Qurium đã phát hiện ra rằng vụ phá hoại được thực hiện với sự trợ giúp của một công ty trách nhiệm hữu hạn (LLC) có trụ sở ở Wyoming, bang miền Tây rộng lớn.
Reuters phát hiện rằng đó là ít nhất 1 trong 3 trường hợp trong khoảng 4 tháng qua mà các chuyên gia phòng thủ kỹ thuật số đã liên kết với các LLC ở Wyoming trong các hoạt động hack nổi bật.
Các cuộc phỏng vấn với ít nhất 6 chuyên gia công nghệ và phòng thủ cũng như các nạn nhân bị hack như Abdalle Ahmed Mumin cho thấy Wyoming, bang từng được biết đến là nơi ẩn náu của những tên cướp thế kỷ 19, hiện phục vụ cho những kẻ ngoài vòng pháp luật của thế kỷ 21.
Sarah Beth Felix, người điều hành công ty tư vấn chống rửa tiền Palmera Consulting, nói: “Đó là miền Tây hoang dã ảo”. Bà cho biết bang này đã tạo điều kiện cho việc đăng ký các công ty ẩn danh dễ dàng đến mức những kẻ lừa đảo nước ngoài “không cần phải có mặt ở Wyoming để ẩn náu tại đây”.
Joe Rubino, cố vấn chung của Văn phòng Tổng thư ký Wyoming, nơi chịu trách nhiệm đăng ký các thực thể kinh doanh của bang, cho biết các đồng nghiệp của ông đang tiếp nhận thông tin được Reuters đánh dấu "để xem xét và điều tra thêm".
Ông nói rằng Chuck Gray, Tổng thư ký bang Wyoming, ủng hộ ý tưởng về luật mới "để ngăn chặn các thực thể nước ngoài lạm dụng hệ thống lưu trữ hồ sơ công ty ở Wyoming" nhưng cơ quan làm luật của bang vẫn chưa giải quyết vấn đề.
Reuters không thể xác định tần suất tội phạm mạng sử dụng LLC ở Wyoming, nhưng Tord Lundstrom, Giám đốc kỹ thuật của Qurium, cho biết chúng đang được những kẻ xấu ưa chuộng. Các tội phạm mạng sử dụng LLC ở Wyoming để làm cho lưu lượng internet của chúng trông như đến từ bên trong Mỹ. Đây là thủ thuật với những hacker tìm cách vượt qua các biện pháp phòng thủ kỹ thuật số, vốn có xu hướng đánh dấu hoặc chặn lưu lượng truy cập web đến từ các địa điểm ít đáng tin cậy hơn, chẳng hạn Iran.
Giống như các tập đoàn, LLC bảo vệ chủ sở hữu của họ khỏi một số hình thức trách nhiệm pháp lý nhất định nhưng có xu hướng dễ thành lập hơn. Vì Wyoming cho phép các đại lý đăng ký (đại diện trong bang) đóng vai trò là đầu mối liên hệ công khai cho những LLC, nên quyền sở hữu chúng có thể được giữ bí mật với công chúng rộng rãi hơn.
Wyoming không đơn độc trong việc cho phép các công ty ẩn danh khi bang Delaware và Nevada (Mỹ) có các dịch vụ tương tự. Thế nhưng, Tord Lundstrom cho biết các hacker đặc biệt ưa thích LLC ở Wyoming vì chúng được quảng cáo là tiết kiệm chi phí và thân thiện với người dùng.
"Nơi tuyệt vời cho việc kinh doanh trực tuyến"
Hành động phá hoại mạng khiến Hiệp hội Nhà báo Somali ngừng hoạt động vào tháng 8 được gọi là DDoS (từ chối dịch vụ phân tán), tấn công các trang web được nhắm mục tiêu bằng một loạt lưu lượng truy cập độc hại.
Qurium phát hiện ra rằng một luồng dữ liệu giả mạo chạy qua khối địa chỉ IP được đăng ký bởi Aliat, LLC có trụ sở tại thành phố nhỏ Sheridan ở Wyoming, dưới chân dãy núi Bighorn.
Những nỗ lực tiếp cận Aliat của Reuters đã không thành công. Một thông điệp mà Reuters để lại qua biểu mẫu liên hệ trên trang web của Aliat nhận được tin nhắn tự động hứa hẹn sẽ phản hồi “trong vòng 48 giờ”. Hồ sơ doanh nghiệp cho thấy Aliat đã bị giải thể cùng ngày, dù sau đó nó đã được phục hồi. Không có phản hồi nào được cung cấp.
Vào tháng 9, một hoạt động DDoS đã khiến Viện Báo chí Quốc tế có trụ sở tại Vienna (thủ đô Áo) ngừng hoạt động. Viện Báo chí Quốc tế vừa công bố một báo cáo về cách các hoạt động DDoS đang tàn phá các cơ quan truyền thông độc lập ở Hungary khi họ cũng bị tấn công bởi một làn sóng lưu lượng độc hại. Đó là điều mà sau đó tổ chức này mô tả là "cuộc tấn công trực tiếp và trắng trợn nhất vào cơ sở hạ tầng trực tuyến Viện Báo chí Quốc tế trong lịch sử của chúng tôi".
Viện Báo chí Quốc tế mất khoảng 10 ngày để khôi phục hoàn toàn chức năng của trang web. Qurium một lần nữa có thể truy tìm ra một số dữ liệu giả mạo từ LLC ở Wyoming, đó là hãng lưu trữ web có tên HostCram.
Được điều hành bởi Shakib Khan (người Bangladesh 23 tuổi), HostCram được đăng ký tại Buffalo, thành phố nhỏ ở Wyomin từng là nơi lui tới của những tên cướp tàu khét tiếng Butch Cassidy và Sundance Kid.
Shakib Khan nói với Qurium rằng anh sẽ chấm dứt hợp đồng với một khách hàng sau vụ việc nhưng không cung cấp thêm thông tin chi tiết. Shakib Khan nói với Reuters rằng anh sẽ chỉ chia sẻ danh tính khách hàng của mình với cơ quan thực thi pháp luật.
Về lý do tại sao đăng ký công ty ở Buffalo, Shakib Khan nói: “Wyoming là nơi tuyệt vời cho việc kinh doanh trực tuyến”.
“Công ty ở Wyoming nên xấu hổ”
Các chuyên gia cho rằng một công ty ẩn danh có thể phục vụ như là đòn bẩy cho nhiều hành vi lạm dụng.
Năm 2017, hai nhà nghiên cứu an ninh mạng đã theo dõi các làn sóng đột nhập kỹ thuật số và thư rác nhắm mục tiêu vào một loạt các tổ chức đến dịch vụ proxy trực tuyến do Ilia Trusov (doanh nhân CNTT người Nga) điều hành.
Bất chấp sự lộ diện trước công chúng và một báo cáo sau đó của Qurium cũng ràng buộc Ilia Trusov với các hoạt động DDoS, doanh nhân CNTT này sau đó đã đăng ký hai LLC ở Wyoming mang tên Security Servers và Traffictransitsolution vào năm 2019.
Trong cuộc gọi video với Reuters, Ilia Trusov cho biết những cáo buộc này là không công bằng. Anh cho biết không khoan dung với tội phạm mạng và thường làm việc với các cơ quan cảnh sát để chống lại họ. Ilia Trusov xuất trình hộ chiếu và thị thực Mỹ lẫn châu Âu để làm bằng chứng cho thấy anh không cố gắng che giấu danh tính của mình và chưa bao giờ gặp rắc rối với pháp luật.
Ilia Trusov thừa nhận đã thành lập hai công ty ẩn danh ở Wyoming để lưu lượng truy cập web của khách hàng giống như từ Mỹ. Anh cho biết việc có một công ty ẩn danh ở Mỹ cũng hữu ích trong giải quyết các yêu cầu pháp lý.
Ilia Trusov nói: “Ở Wyoming, bạn không thể đến kiểm tra chủ sở hữu”. Hai công ty trách nhiệm hữu hạn của Ilia Trusov ở Wyoming đã bị giải thể sau đó.
Vào tháng 8, hãng chống ransomware Halcyon đã cáo buộc công ty internet liên kết với Iran có tên Cloudzy cung cấp dịch vụ “phòng trưng bày lừa đảo” cho các gián điệp kỹ thuật số và tội phạm mạng. Điều này được thực hiện một phần thông qua Routerhosting, LLC đặt trụ sở tại thành phố Sheridan của Wyoming.
Hannan Nozari, Giám đốc điều hành Cloudzy, phủ nhận việc nhắm mắt làm ngơ trước hoạt động độc hại mà theo ông là "vấn đề nghiêm trọng mà tất cả chúng ta đều phải đối mặt". Hannan Nozari nói sống ở Dubai và đã đăng ký Routerhosting dưới sự hiểu lầm rằng cần nó để mua cơ sở hạ tầng internet ở Bắc Mỹ. Hannan Nozari cho biết gần đây đã tăng cường an ninh cho Cloudzy và giải thể LLC ở Wyoming.
Là người ngoại quốc sống ở nước ngoài, cả Nozari, Trusov và Khan đều không thể thành lập LLC ở Wyoming nếu không có đại lý đăng ký.
Routerhosting được thiết lập với sự trợ giúp của một đại lý đăng ký có trụ sở tại Sheridan mang tên Cloud Peak Law Group. Các LLC Aliat, HostCram và của Trusov được đại diện bởi Registered Agents Inc (cũng có địa chỉ tại Sheridan).
Cloud Peak Law Group không trả lời câu hỏi của Reuters.
Registered Agents Inc cho biết trong một tuyên bố rằng, dù công ty không bình luận về các mối quan hệ khách hàng cụ thể nhưng vẫn tuân thủ các quy định liên quan của Wyoming và các yêu cầu thẩm định.
"Các đại lý đăng ký thương mại không phải là cơ quan có chức năng kiểm soát", Registered Agents Inc tuyên bố.
Abdalle Ahmed Mumin, người đứng đầu Hiệp hội Nhà báo Somali, cho biết không ai phải chịu trách nhiệm về vụ phá hoại mạng khiến tổ chức của ông tê liệt vào tháng 8. Ông không đồng tình với quan điểm cho rằng các đại lý đăng ký ở Wyoming không bị yêu cầu phải kiểm sát khách hàng của họ.
“Những công ty ở Wyoming này nên xấu hổ vì không thể hoặc không quan tâm và kiểm tra xem khách hàng của họ là ai”, Abdalle Ahmed Mumin nói.