网络罪犯是如何利用怀俄明州的空壳公司进行全球黑客攻击的

　　

　　

　　路透华盛顿8月17日电- - - 8月17日上午，索马里记者Abdalle Ahmed Mumin听说他的同事在摩加迪沙大学被蒙面枪手绑架，他感到万分悲痛。

　　一位同行的记者失踪了，而穆明——索马里记者联合会的主席——几乎没有办法把消息传出去。几天前，数字黑客破坏了他的辛迪加网站和电子邮件账户。

　　“我仍然能感受到挫折感，”Mumin告诉路透社。“我们与外部世界、与国际媒体的联系就是我们的网站。”

　　在瑞典一家为新闻机构和非营利组织提供数字防御服务的非营利组织quium的帮助下，穆明才得以让他的网站重新站起来，并适当地发出了失踪记者的警报。

　　当quurium进行调查时，它最终追踪到一个令人惊讶的地方:怀俄明州。

　　尽管quurium说，它无法确定是谁发动了这次网络攻击，但它确实发现，这次破坏活动是在一家有限责任公司的帮助下进行的，这家有限责任公司的总部设在这个西部辽阔的州。

　　路透社发现，在过去四个月里，至少有三起数字捍卫者指控怀俄明州有限责任公司参与了引人注目的黑客活动，这是其中之一。对六名技术和合规专家以及像Mumin这样的黑客受害者的采访表明，这个曾经被称为19世纪强盗的避难所的国家，现在正在迎合21世纪的不法分子。

　　反洗钱咨询公司Palmera Consulting的经营者莎拉·贝丝·菲利克斯(Sarah Beth Felix)说，“这实际上是一个狂野的西部。”她说，该州让注册匿名空壳公司变得如此容易，以至于外国骗子“不必身在怀俄明州就能躲在怀俄明州”。

　　负责登记该州商业实体的怀俄明州州务卿办公室总法律顾问乔·鲁比诺(Joe Rubino)表示，他的同事正在对路透社标记的信息“进行进一步审查和调查”。

　　他补充说，怀俄明州州务卿查克·格雷(Chuck Gray)支持制定新法律的想法，“以防止外国实体滥用怀俄明州的公司备案制度”，但州立法机构尚未着手处理此事。

　　路透社无法确定网络犯罪分子使用怀俄明有限责任公司的频率，但quurium的技术总监托德·伦德斯特伦(Tord Lundstrom)表示，网络犯罪分子利用怀俄明有限责任公司将互联网流量伪造成来自美国境内，这对黑客来说是一个很有价值的技巧，黑客试图绕过数字防御，这些防御往往会标记或阻止来自俄罗斯或伊朗等不太可信地区的网络流量。

　　与公司一样，有限责任公司使其所有者免于承担某些形式的责任，但往往更容易成立。由于怀俄明州允许注册代理人(州内代表)作为有限责任公司的公共联络点，因此它们的所有权可以对公众保密。

　　怀俄明州并不是唯一允许匿名空壳公司的州，特拉华州和内华达州也有类似的做法，但伦德斯特罗姆说，黑客特别青睐怀俄明州的有限责任公司，因为它们被宣传为成本效益高、用户友好。

　　“无耻而直接的攻击”

　　8月份导致索马里记者联合会(somalia Journalists Syndicate)下线的网络破坏行为被称为分布式拒绝服务(distributed denial of service，简称DDoS)，它会向目标网站发送大量恶意流量。

　　quurium发现，有一股非法数据流通过了Aliat注册的一个IP地址块，Aliat是一家有限责任公司，总部位于大角山(Bighorn Mountains)脚下的怀俄明州小城谢里丹(Sheridan)。

　　路透社试图联系阿利亚特，但没有成功。10月9日，通过该公司网站上的联系表格留下的信息得到了一条自动信息，承诺“48小时内”回复。公司记录显示，该有限责任公司在同一天解散，但后来又恢复了。

　　没有任何回应。

　　今年9月，一次DDoS攻击使总部位于维也纳的国际新闻研究所(International Press Institute)下线。该组织刚刚发布了一份关于DDoS攻击如何困扰匈牙利独立媒体的报告，当时他们也受到了垃圾流量的猛烈攻击——该组织后来将其描述为“对IPI在线基础设施最厚颜无耻和最直接的攻击”。

　　IPI花了大约10天的时间才完全恢复了网站的功能。quium再一次追踪到一个名为HostCram的网络托管公司——怀俄明有限责任公司。

　　这家公司的老板是23岁的孟加拉国人沙基布·汗，公司注册在小城市布法罗，这里曾经是臭名昭著的火车劫匪布奇·卡西迪和圣丹斯小子出没的地方。

　　quurium表示，汗告诉他们，在事件发生后，他将解雇一名客户，但没有提供进一步的细节。汗告诉路透社，他只会向执法部门透露他客户的身份。

　　至于他为什么在布法罗注册公司，他说:“怀俄明州非常适合在线业务。”

　　“他们应该感到羞耻”

　　专家表示，一家空壳公司可以成为广泛滥用的跳板。

　　2017年，两名网络安全研究人员追踪了一波针对大量组织的数字入侵和垃圾邮件，这些攻击来自俄罗斯IT企业家伊利亚·特鲁索夫(Ilia Trusov)运营的在线代理服务。

　　尽管公开曝光了这一事件，而且quurium随后的一份报告也将他与DDoS操作联系起来，但Trusov在2019年注册了两家怀俄明州的有限责任公司，分别是Security Servers和Traffictransitsolution。

　　在与路透社的视频通话中，特鲁索夫表示，这些指控是不公平的。他说他不能容忍网络犯罪，并经常与警察机构合作打击网络犯罪。他出示了自己的护照和美国和欧洲签证，以证明他没有试图掩盖自己的身份，也从未触犯过法律。

　　特鲁索夫确实承认在怀俄明州设立了空壳公司，这样他的客户的网络流量看起来就像是美国的。他说，拥有一家美国空壳公司在处理法律请求方面也很有帮助。另一个好处是:匿名。

　　“在怀俄明州，你不能去查主人，”他说。

　　特鲁索夫的有限责任公司后来解散了，但另一家怀俄明州的空壳公司最近受到了审查。

　　今年8月，反勒索软件公司Halcyon指控一家名为Cloudzy的与伊朗有关联的互联网公司向数字间谍和网络罪犯的“流氓画廊”提供服务，部分是通过总部位于谢里登的RouterHosting LLC。

　　Cloudzy首席执行官Hannan Nozari否认对恶意活动视而不见，他说这是“我们所有人都面临的一个严重问题”。他告诉路透社，他在迪拜注册了RouterHosting，错误地认为他需要它来购买北美的互联网基础设施。他说，他最近加强了他的服务的安全性，并解散了怀俄明州的公司。

　　作为居住在国外的外国人，如果没有注册代理人，Nozari、Trusov和Khan都不可能在怀俄明州设立有限责任公司。

　　RouterHosting是在谢里登一家名为Cloud Peak Law Group的注册代理的帮助下建立起来的。Aliat、HostCram和Trusov的有限责任公司由一家名为“注册代理公司”(Registered Agents Inc)的公司代理，该公司也列出了谢里登的地址。

　　云峰没有回应记者的提问。Registered Agents Inc .在一份声明中说，虽然该公司不对具体的客户关系发表评论，但它遵守了相关的州规定和尽职调查要求。

　　“商业注册代理不是警察机构，”该公司补充说。

　　穆明是索马里记者组织的负责人，他说，没有人对8月份导致他的组织瘫痪的网络破坏负责。他对怀俄明州的注册经纪人不需要监督他们的客户的说法并不赞同。

　　穆明说:“怀俄明州的这些公司应该感到羞耻，因为他们没有能力，或者他们不关心，检查他们的客户是谁。”

　　(Raphael Satter在华盛顿报道。编辑:克里斯·桑德斯和克劳迪娅·帕森斯)