Министерството на правосъдието нанесе удар на глобалната киберпрестъпност на 6 април със свалянето на масивен ботнет, контролиран от „Sandworm“ – Главното разузнавателно управление (ГРУ) на руския генерален щаб, отговорно за атаката на NotPetya през 2017 г. между другото. Тази операция отразява стратегията на отдела за приоритизиране на това, което нарича „разрушителни способности“ пред дългосрочни игри за арести и екстрадиране. За да не бъде изоставен, през същата седмица Microsoft получи съдебна заповед за изземване на седем домейна, използвани от друго звено на ГРУ, най-известно като „Fancy Bear“, за насочване към украински институции. Двете операции илюстрират една важна истина: най-добрите инструменти на Министерството на правосъдието за борба с киберпрестъпността могат да бъдат използвани и от всяка частна компания, която желае да инвестира необходимите ресурси. И много компании бяха нетърпеливи да го направят.
От 2010 г. само Microsoft е спечелила съдебни заповеди за изземване на командни и контролни (C2) сървъри и злонамерен трафик на sinkhole в 24 случая, конфискувайки общо повече от 16 000 злонамерени домейна. Механично тези случаи работят много като премахването на ботнет мрежи от Министерството на правосъдието: И двете субекти събират доказателства, че конкретни домейни се използват за контрол на ботнет мрежи и използват тези доказателства, за да получат съдебни разпореждания, изискващи базираните в САЩ регистри на домейни да пренасочат тези домейни към сървъри, контролирани от субект, който е поискал заповедта, наред с други възможни средства за защита, разрешени от съда. И премахването на ботнет не е единствената тактика на Министерството на правосъдието, която частните компании могат да подражават: като посочи хакери John Doe като обвиняеми по граждански дела, Microsoft успя да получи силата на призовка да изиска от трети страни доставчици на интернет услуги (ISP) да предоставят информацията трябва да помогне за идентифицирането на хакерите. Наскоро други големи технологични компании, включително Google и Meta, започнаха да използват стратегията на Microsoft за съдене на киберпрестъпници, които управляват големи ботнет мрежи или участват в масивни фишинг схеми.
Вярваме, че това е изключително положителна тенденция, която има потенциала да се справи с основната слабост на стратегията за киберпрекъсване на Министерството на правосъдието: ограниченията на ресурсите. Свалянето на ботнет е игра на удар на къртица. Чрез допълване на усилията на отдела, частната индустрия може да помогне да се отнеме значителна част от киберпрестъпността. И от гледна точка на компаниите, гражданските искове им позволяват да покажат на клиентите си осезаеми резултати и да получат критична информация за заплахите, без да чакат Министерството на правосъдието да предприеме действия. Разбира се, гражданските искове не са сребърен куршум, но при липсата на по-всеобхватна институционална рамка за справяне с киберпрестъпността, гражданските премахвания на ботнет са мощен мултипликатор на настоящите усилия на правителството.
Как да съдя анонимен хакер
Причини за действие
Ботнет мрежите по дефиниция нарушават Закона за компютърни измами и злоупотреби (CFAA), 18 U.S.C. § 1030, доколкото са създадени чрез получаване на постоянен неоторизиран достъп до компютрите на жертвите. Въпреки че CAFA е най-известен като основния инструмент на Министерството на правосъдието за наказателно преследване на хакери, уставът също така съдържа гражданско основание за иск, което позволява на пострадалите от такъв неоторизиран достъп да заведат дело.
Киберпрестъпните дейности също могат да доведат до искове за нарушаване на търговска марка съгласно Закона Lanham, 15 U.S.C. §§ 1114, 1125(a), 1125(c), тъй като хакерите често използват фирмени търговски марки, за да подмамят жертвите да разкрият своите идентификационни данни или да изтеглят зловреден софтуер. Следователно искове за търговски марки заемат видно място в почти всеки случай, заведен от Microsoft, Google и Meta от 2010 г. насам. Например Meta наскоро подаде жалба по Закона на Lanham срещу 100 обвиняеми John Doe за създаване на повече от 39 000 фалшиви версии на вход във Facebook, Instagram и WhatsApp страници, за да подмамят потребителите да се откажат от своите идентификационни данни. По подобен начин Microsoft заведе дело по закон Lanham срещу Nickel, китайска национална държавна напреднала постоянна заплаха (APT), която инжектира злонамерен код в изображение на търговската марка Internet Explorer на Microsoft.
Макар и по-рядко, компаниите, включително Google, са използвали Закона за повлияните от рекетьори и корумпираните организации (RICO), за да съдят киберпрестъпници, разчитайки на предикатни действия като проникване в компютър, измама по кабел, кражба на самоличност и измама с устройства за достъп. Компаниите също така допълват федералните искове, изброени по-горе, с държавни искове по обичайното право, като нарушение на собственост, неоснователно обогатяване, преобразуване, непозволено вмешателство в договорни отношения, небрежност и нарушаване на договор.
Изправен
Въпреки че не е изненадващо, че престъпните хакери нарушават различни закони на САЩ, може да е по-малко ясно защо големите технологични компании имат право да налагат тези закони, особено когато крайната цел на хаковете не е самата компания, а нейните клиенти . Но съдилищата многократно са приемали, че технологичните компании имат право да съдят хакери, след като са издали десетки съдебни разпореждания, позволяващи на Microsoft, Google и Meta да конфискуват ботнет инфраструктура и да получат други облекчения.
За да установят репутация, технологичните компании най-често разчитат на CAFA (18 U.S.C. § 1030(g)), който позволява граждански искове от „[всяко] лице, което претърпи щети или загуби поради нарушение“ на устава . CFAA (18 U.S.C. § 1030(e)(11)) дефинира „загуба“ широко, за да включва „всеки разумен разход за всяка жертва, включително разходите за реакция при престъпление, извършване на оценка на щетите и възстановяване на данните, програмата, система или информация за нейното състояние преди нарушението и всички загубени приходи, направени разходи или други последващи щети, възникнали поради прекъсване на услугата.“ По-долу е представено обобщение на теориите, които технологичните компании са използвали, за да твърдят, че са „щети“ и „загуби“ съгласно CAFA. Компаниите, предявяващи искове на RICO, могат да разчитат на подобни теории, тъй като RICO по подобен начин разрешава искове от „всяко лице, пострадало в неговия бизнес или собственост поради“ нарушение на RICO (18 U.S.C. § 1964 (c)).
Процедурни стъпки
В повечето случаи компаниите съдят хакерите като „John Does“, защото самоличността им е неизвестна. Една компания може да съди във всеки федерален окръг, където е идентифицирала жертви на киберпрестъпления. Въпреки че компаниите са завели тези дела в различни юрисдикции, Източният окръг на Вирджиния е най-популярен, защото е домът на Verisign, който регистрира всички домейни .com, .net и .org, и защото съдиите са особено възприемчиви към тези костюми.
За да попречат на хакерите да предприемат действия за запазване на своята ботнет инфраструктура, компаниите обикновено завеждат делата си под печат и искат ex parte временна ограничителна заповед, изискваща от регистрите на имена на домейни да пренасочват злонамерените домейни към защитени сървъри. По това време ищците също искат заповед, за да покажат причината, поради която не трябва да бъде издадена предварителна забрана. След като съдията издаде ex parte временна ограничителна заповед (TRO), делото се разпечатва и на ответниците се връчват копие от жалбата и призовката. Съгласно нова разпоредба на Фед. R. Civ. P. 4, който позволява връчване на процеса с всякакви средства, „разумно изчислени за уведомяване“, съдилищата са разрешили връчване, като се използва информацията за контакт, използвана от хакерите за регистриране на спорните имена на домейни, както и чрез публикуване в интернет. Когато хакерите неизбежно не успеят да отговорят, съдилищата издават предварителни разпореждания и в крайна сметка решения по подразбиране, изискващи от регистраторите на домейни да пренасочват C2 домейни към сървъри, контролирани от компанията-ищец, наред с други възможни облекчения. Освен това компаниите могат да потърсят откриване на трета страна, необходимо за идентифициране на ответниците John Doe.
Ползите от съденето срещу хакери
Прекъсване на ботнет мрежи и други злонамерени домейни
Изграждането на големи ботнети изисква значителна инвестиция във време и пари. Според една оценка създаването на ботнет, състоящ се от 10 милиона компютъра, струва приблизително 16 милиона долара. Тази инвестиция може да се изплати: пастир на ботове, който използва 10 000 бота за разпространение на злонамерен спам, може да генерира около 300 000 долара на месец. Чрез отделянето на ботовете-жертви от техните C2 сървъри, премахването на ботнет изисква престъпниците да се върнат към началото и може да промени стойността на изграждането на голяма ботнет на първо място. Както заяви отделът за дигитални престъпления на Microsoft, „Целим се към техните портфейли. Киберпрестъпниците управляват ботнети, за да правят пари. Ние прекъсваме ботнетите, като подкопаваме способността на киберпрестъпниците да печелят от своите злонамерени атаки.“
Докато хакерите се опитват да възстановят ботнет мрежи, прекъснати от граждански дела, много съдилища са готови да издадат допълнителни заповеди за изземване на нови C2 домейни, включително тези, създадени чрез използване на алгоритми за генериране на домейни. В делото на Microsoft от 2019 г. срещу спонсорираната от държавата APT „Phosphorus“ на Иран, Окръжният съд на САЩ за окръг Колумбия издаде четири допълнителни предварителни разпореждания „за справяне с продължаващите усилия на ответниците да възстановят командната и контролна инфраструктура на Phosphorus и да продължат незаконните си дейности в открито неподчинение” на предишните разпореждания на съда. След като уважи искането на Microsoft за присъда по подразбиране и постоянна забрана, съдът назначи специален майстор, упълномощен да разреши изземването на всички новосъздадени домейни, за които Microsoft може да покаже, че са свързани със същата ботнет. Съдиите в Източния окръг на Вирджиния също са експериментирали с използването на специални майстори по този начин. Разчитането на специални майстори с опит в киберпрестъпността може да отговори на опасенията, че на съдилищата им липсва технически опит, за да разгледат смислено ex parte исканията за заповеди за сваляне.
Компаниите също така успешно използват граждански дела, за да принудят сътрудничеството на чуждестранни интернет доставчици, които хостват злонамерени сървъри. През 2012 г. Microsoft съди Peng Yong, собственик на компания, базирана в Китай, която управлява домейн, който хоства злонамерени поддомейни, свързани с ботнета Nitol. След като Microsoft осигури TRO в Източния окръг на Вирджиния, което му позволи да поеме домейна и да блокира работата на 70 000 злонамерени поддомейна, Peng Yong се съгласи на споразумение, което позволи на неговата компания да рестартира домейна, след като предприеме стъпки за идентифициране и блокиране на злонамерени поддомейни. В друг случай Microsoft работи с Kyrus Inc. и Kaspersky Labs, за да води дело срещу DotFree Group, компания, базирана в Чешката република, въз основа на нейните връзки към ботнета Kelihos. В предварителна заповед за съгласие DotFree се съгласи да „деактивира злонамерените поддомейни и [да приложи] процес за проверка на самоличността на регистрантите на поддомейни.“ Три месеца по-късно Microsoft обяви, че е посочил нов ответник по гражданското дело, Андрей Сабелников, за когото смята, че е операторът на ботнета Kelihos, „благодарение на сътрудничеството на [DotFree] и новите доказателства“.
Възпиране чрез приписване
Както е илюстрирано от случая Sabelnikov, гражданските дела могат да помогнат на компаниите да идентифицират киберпрестъпниците. Microsoft, например, поиска и получи шест месеца откриване на трета страна, за да разследва истинската самоличност на обвиняемите John Doe. Съдилищата разрешиха на Microsoft да призове доставчици на интернет услуги на трети страни, доставчици на имейл услуги, регистратори на домейни, хостинг компании и доставчици на плащания за потенциално идентифициране на информация за хакери. С такава сила на призовка следователите на Microsoft могат да възпроизведат един от основните процеси, които Министерството на правосъдието използва за идентифициране на хакери.
Няма нищо, което хакерите да мразят повече от разкриването на истинската им самоличност. Наистина, хакерите често разкриват истинската самоличност един на друг, практика, известна като доксинг, като наказание за предполагаеми грешки. Хакерите мразят да бъдат разкривани, защото това може да затрудни работата им и може да навреди на способността им да пътуват или да поддържат работа. Страхът, причинен от това, че са доксирани, често кара хакерите да прекратят дейността си или поне да изоставят своята инфраструктура, комуникационни канали и съзаговорници и да започнат отначало. Смразяващият ефект на публичното приписване може да бъде особено полезен в резултат на голямо нарушение на данните, тъй като уплашен и изнервен хакер може да е по-малко вероятно да продаде огромни количества откраднати данни онлайн.
Компания, която успешно идентифицира хакер, може да бъде в състояние да изпълни гражданско съдебно решение във всяка приятелска юрисдикция, в която хакерът поддържа средства. А компания, която може да научи самоличността на хакер, няма да се затрудни да намери федерален прокурор, готов да приеме готов случай. Когато това се случи, повечето прокурори биха се погрижили публично да похвалят компанията за нейната помощ, когато издават прессъобщения за обвинения или арести.
Събиране на разузнавателна информация
Правомощието да призовавате доставчици на интернет услуги на трети страни, дори когато не води до истинската самоличност на хакера, може да доведе до IP адреси, домейни и други идентификатори, свързани с хакера или хакерската група. Тази интелигентност може да бъде ценна за мрежовите защитници, които могат да блокират злонамерени IP адреси и домейни и да се приспособят към тактиките, техниките и процедурите на хакера.
Някои граждански дела дори доведоха до конфискуване на C2 сървъри. В дело срещу операторите на ботнета Rushtock, Microsoft получи съдебно разпореждане, позволяващо му да „работи със Службата на маршалите на САЩ за физическо улавяне на доказателства на място и в някои случаи да вземе засегнатите сървъри от хостинг доставчици за анализ“. Това позволи на следователите да „инспектират [] доказателствата, събрани от конфискациите, за да научат … за операциите на ботнета.“ Получаването на копие на хакерски сървър, по-специално C2 сървър, свързан с ботнет, може да предостави критична информация на мрежовите защитници и професионалистите по киберсигурност, като например броя на заразените компютри и методите, които ботнетът използва за разпространение на своя зловреден софтуер. Тази интелигентност е особено полезна за големите технологични компании, които трябва да защитават разрастващи се екосистеми срещу непрекъснато развиващи се заплахи.
Подобряване на отношенията с клиентите, правоприлагащите органи и обществеността
Гражданските премахвания на ботнет осигуряват голям тласък на връзките с обществеността на компаниите, които могат да рекламират тези случаи като доказателство за своя ангажимент към киберсигурността. Например, наскоро Meta заведе две дела (през декември 2021 г. и февруари 2022 г.) срещу обвиняеми John Doe, участващи в масови схеми за фишинг. В други скорошни случаи компанията е съдила организации, които са използвали инструменти за сканиране на данни и комплекти за разработка на злонамерен софтуер, за да събират потребителска информация в нарушение на условията за услуга на Meta. Тези случаи вероятно са част от по-широка стратегия за демонстриране на ангажимента на Meta към поверителността на потребителите. Всъщност Meta отпразнува тези съдебни действия като „още една стъпка в усилията ни да защитим безопасността и поверителността на хората, да изпратим ясно послание към тези, които се опитват да злоупотребят с нашата платформа, и да увеличим отговорността на онези, които злоупотребяват с технологиите“.
Изграждането на опит в ориентацията към бъдещето на киберсигурността може да изплати дивиденти в бъдеще, особено когато възникне неизбежният инцидент със сигурността на данните. Когато една компания е хакната или когато престъпниците използват платформата, продуктите или инфраструктурата на компанията, за да станат жертва на трети страни, компанията неизбежно ще бъде потърсена отговорност от регулаторите, адвокатите на ищците и дори комисиите на Конгреса. Когато този ден настъпи, дългият и утвърден опит като лидер и новатор в киберсигурността е от решаващо значение. Борбата с хакерите чрез положителни граждански съдебни спорове е чудесен начин да изградите този опит, като същевременно направите интернет по-безопасно място за всички.
