Ministerstvo spravedlnosti zasadilo ránu globální kybernetické kriminalitě 6. dubna odstraněním masivního botnetu ovládaného „Sandworm“ – jednotkou hlavního zpravodajského ředitelství ruského generálního štábu (GRU) odpovědnou za útok NotPetya z roku 2017, mezi ostatními. Tato operace odráží strategii ministerstva upřednostňovat to, co nazývá „disruptivní schopnosti“ před dlouhodobými hrami na zatýkání a vydávání. Aby toho nebylo málo, ve stejném týdnu Microsoft získal soudní příkaz k zabavení sedmi domén používaných jinou jednotkou GRU, nejlépe známou jako „Fancy Bear“, k cílení na ukrajinské instituce. Tyto dvě operace ilustrují důležitou pravdu: Nejlepší nástroje ministerstva spravedlnosti pro boj s kybernetickou kriminalitou může využívat také jakákoli soukromá společnost ochotná investovat potřebné zdroje. A mnoho společností toužilo po tom.
Od roku 2010 pouze společnost Microsoft vyhrála soudní příkazy k zabavení serverů velení a řízení (C2) ve 24 případech a zabavila tak celkem více než 16 000 škodlivých domén. Mechanicky tyto případy fungují podobně jako zastavení šíření botnetů ministerstvem spravedlnosti: Oba subjekty shromažďují důkazy o tom, že konkrétní domény jsou používány k ovládání botnetů, a používají tyto důkazy k získání soudních příkazů, které vyžadují, aby registry domén v USA přesměrovaly tyto domény na servery kontrolované subjekt, který se o příkaz domáhal, mimo jiné možné soudem povolené opravné prostředky. A zastavení šíření botnetů není jedinou taktikou ministerstva spravedlnosti, kterou mohou soukromé společnosti napodobit: Jmenováním hackerů Johna Doea jako obžalovaných v občanskoprávních sporech se společnosti Microsoft podařilo získat pravomoc předvolat k soudu, aby požadoval, aby poskytovatelé internetových služeb třetích stran (ISP) poskytli informace. potřebuje pomoci identifikovat hackery. V poslední době další velké technologické společnosti, včetně Google a Meta, začaly využívat strategii Microsoftu žalovat kyberzločince, kteří provozují velké botnety nebo se zapojují do masivních phishingových schémat.
Věříme, že se jedná o vysoce pozitivní trend, který má potenciál vyřešit hlavní slabinu strategie ministerstva spravedlnosti v oblasti kybernetického narušení: omezení zdrojů. Botnet takedowns je hra na zatmění. Doplněním úsilí tohoto oddělení může soukromý průmysl pomoci významně se zbavit kybernetické kriminality. A z pohledu společností jim civilní žaloby umožňují ukázat svým zákazníkům hmatatelné výsledky a získat kritické informace o aktérech hrozeb, aniž by čekaly, až ministerstvo spravedlnosti zasáhne. Jistě, civilní žaloby nejsou stříbrnou kulkou, ale při absenci komplexnějšího institucionálního rámce pro řešení kybernetické kriminality je odstranění civilních botnetů mocným multiplikátorem současného vládního úsilí.
Jak podat žalobu na anonymního hackera
Příčiny akce
Botnety podle definice porušují zákon CFAA (Computer Fraud and Abuse Act), 18 U.S.C. § 1030, pokud jsou vytvořeny získáváním trvalého neoprávněného přístupu k počítačům obětí. Zatímco CAFA je nejlépe známá jako primární nástroj ministerstva spravedlnosti pro stíhání hackerů, statut také obsahuje občanskoprávní žalobu, která umožňuje osobám poškozeným takovým neoprávněným přístupem podat žalobu.
Činnosti v oblasti kyberzločinu mohou také vést k žalobám na porušení ochranné známky podle Lanhamského zákona, 15 U.S.C. §§ 1114, 1125(a), 1125(c), protože hackeři často používají ochranné známky společnosti, aby přiměli oběti prozradit své přihlašovací údaje nebo stáhnout malware. Nároky na ochranné známky se proto od roku 2010 objevují na předních místech prakticky ve všech případech vznesených společnostmi Microsoft, Google a Meta. Například společnost Meta nedávno podala stížnost na Lanham Act proti 100 obžalovaným John Doe za vytvoření více než 39 000 falešných verzí přihlášení k Facebooku, Instagramu a WhatsApp. stránky přimět uživatele, aby se vzdali svých přihlašovacích údajů. Podobně Microsoft podal žalobu podle Lanham Act proti Nickelu, čínskému národnímu státu pokročilé perzistentní hrozbě (APT), která vložila škodlivý kód do obrazu ochranné známky Microsoft Internet Explorer.
I když je to méně časté, společnosti, včetně společnosti Google, používají zákon RICO (Racketeer Influenced and Corrupt Organizations Act) k žalování kyberzločinců, přičemž se spoléhají na predikátní činy narušení počítače, drátové podvody, krádeže identity a podvody s přístupovými zařízeními. Společnosti rovněž doplňují federální nároky uvedené výše o nároky státního zvykového práva, jako je překročení, bezdůvodné obohacení, konverze, deliktní zásah do smluvních vztahů, nedbalost a porušení smlouvy.
Stojí
I když není překvapivé, že kriminální hackeři porušují různé zákony USA, může být méně jasné, proč mají velké technologické společnosti právo tyto zákony prosazovat, zvláště pokud konečným cílem hacků není společnost samotná, ale její zákazníci. . Soudy však opakovaně uznaly, že technologické společnosti mají právo žalovat hackery, když vydaly desítky soudních příkazů, které umožnily Microsoftu, Googlu a Meta zmocnit se botnetové infrastruktury a získat další pomoc.
Při stanovení postavení se technologické společnosti nejčastěji spoléhají na zákon CFAA (18 U.S.C. § 1030(g)), který povoluje občanskoprávní žaloby „[jakékoli] osobě, která utrpí škodu nebo ztrátu z důvodu porušení“ zákona . CFAA (18 U.S.C. § 1030(e)(11)) definuje „ztrátu“ široce tak, že zahrnuje „jakékoli přiměřené náklady pro jakoukoli oběť, včetně nákladů na reakci na trestný čin, provedení posouzení škody a obnovení dat, programu, systém nebo informace o jeho stavu před trestným činem a jakékoli ušlé příjmy, vzniklé náklady nebo jiné následné škody vzniklé v důsledku přerušení služby.“ Níže je uveden souhrn teorií, které technologické společnosti použily k tvrzení o „poškození“ a „ztrátě“ podle CAFA. Společnosti, které uplatňují nároky RICO, se mohou spolehnout na podobné teorie, protože RICO podobně povoluje žaloby „[jakékoli] osoby zraněné ve svém podnikání nebo majetku z důvodu“ porušení RICO (18 U.S.C. § 1964(c)).
Procedurální kroky
Ve většině případů společnosti žalují hackery jako „John Does“, protože jejich identita není známa. Společnost může žalovat v jakékoli federální oblasti, kde identifikovala oběti kybernetické kriminality. I když společnosti podaly tyto žaloby v různých jurisdikcích, východní obvod Virginie je nejoblíbenější, protože je domovem společnosti Verisign, která registruje všechny domény .com, .net a .org, a protože její soudci byli k těmto případům obzvláště vstřícní. obleky.
Aby společnosti zabránily hackerům podniknout kroky k ochraně jejich botnetové infrastruktury, obvykle své případy evidují pod pečetí a požadují ex parte dočasný omezující příkaz, který vyžaduje, aby registry názvů domén přesměrovaly škodlivé domény na zabezpečené servery. V tuto chvíli také navrhují žalobci, aby prokázali důvod, proč by předběžné opatření nemělo být vydáno. Poté, co soudce udělí ex parte dočasný omezovací příkaz (TRO), je případ odpečetěn a obžalovaným je doručena kopie stížnosti a předvolání. Podle nového ustanovení Fedu. R. Civ. P. 4, který umožňuje doručování procesů jakýmikoli prostředky „přiměřeně vypočítanými pro podání oznámení“, soudy povolily doručování pomocí kontaktních informací, které hackeři použili k registraci sporných doménových jmen, a také zveřejněním na internetu. Když hackeři nevyhnutelně nereagují, soudy udělují předběžné soudní příkazy a nakonec rozsudky pro zmeškání, které kromě jiných možných úlev požadují, aby registrátoři domén přesměrovali domény C2 na servery ovládané žalující společností. Kromě toho mohou společnosti požádat o zjištění třetí strany nezbytné k identifikaci obžalovaných John Doe.
Výhody žalování hackerů
Narušení botnetů a dalších škodlivých domén
Vybudování velkých botnetů vyžaduje značné časové a finanční investice. Podle jednoho odhadu stojí vytvoření botnetu skládajícího se z 10 milionů počítačů přibližně 16 milionů dolarů. Tato investice se může vyplatit: Pastýř botů, který používá 10 000 robotů k šíření škodlivého spamu, může měsíčně vygenerovat odhadem 300 000 dolarů. Oddělením robotů oběti od jejich serverů C2 vyžaduje odstranění botnetů, aby se zločinci vrátili na začátek, a mohou změnit hodnotovou nabídku budování velkého botnetu. Jak uvedlo oddělení digitálních zločinů společnosti Microsoft: „Zaměřujeme se na jejich peněženky. Kybernetičtí zločinci provozují botnety, aby vydělali peníze. Narušujeme botnety tím, že podkopáváme schopnost kybernetických zločinců profitovat z jejich škodlivých útoků.“
V době, kdy se hackeři pokoušejí obnovit botnety narušené občanskoprávními spory, bylo mnoho soudů ochotno vydat další příkazy k zabavení nových domén C2, včetně domén vytvořených pomocí algoritmů pro generování domén. V případu společnosti Microsoft z roku 2019 proti íránským státem podporovaným APT „Phosphorus“ vydal americký okresní soud pro District of Columbia čtyři dodatečná předběžná opatření „k řešení pokračujícího úsilí obžalovaných o obnovu řídicí a kontrolní infrastruktury Phosphorus a pokračování v jejich nezákonných aktivitách v otevřený vzdor“ předchozích soudních příkazů. Po vyhovění návrhu Microsoftu na rozsudek pro zmeškání a trvalý soudní příkaz jmenoval soud zvláštního velitele zmocněného povolit zabavení všech nově vytvořených domén, o kterých by Microsoft mohl ukázat, že jsou spojeny se stejným botnetem. S využitím speciálních mistrů tímto způsobem experimentovali i soudci ve východním okrsku Virginie. Spoléhání se na speciální mistry s odbornými znalostmi v oblasti kybernetické kriminality může vyřešit obavy, že soudy postrádají technické znalosti k tomu, aby smysluplně prověřovaly ex parte žádosti o příkaz k zastavení šíření.
Společnosti také úspěšně využily civilní žaloby k vynucení spolupráce zahraničních poskytovatelů internetových služeb, kteří hostují škodlivé servery. V roce 2012 Microsoft zažaloval Peng Yong, vlastníka společnosti se sídlem v Číně, která provozovala doménu hostující škodlivé subdomény připojené k botnetu Nitol. Poté, co Microsoft zajistil TRO ve východním okrese Virginie, které mu umožnilo převzít doménu a zablokovat provoz 70 000 škodlivých subdomén, Peng Yong souhlasil s vyrovnáním, které jeho společnosti umožnilo znovu spustit doménu poté, co podnikne kroky k identifikaci a blokování škodlivých subdomén. subdomény. V jiném případě Microsoft spolupracoval s Kyrus Inc. a Kaspersky Labs na zahájení řízení proti společnosti DotFree Group se sídlem v České republice na základě jejího propojení s botnetem Kelihos. V předběžném soudním příkazu k udělení souhlasu společnost DotFree souhlasila s „deaktivací škodlivých subdomén a [implementací] procesu k ověření identity žadatelů o registraci subdomén“. O tři měsíce později Microsoft oznámil, že jmenoval nového obžalovaného v občanském soudním sporu, Andrey Sabelnikova, o kterém se domníval, že je provozovatelem botnetu Kelihos, „díky [DotFree] spolupráci a novým důkazům.
Odstrašení prostřednictvím atribuce
Jak ilustruje případ Sabelnikov, civilní žaloby mohou společnostem pomoci identifikovat kyberzločince. Společnost Microsoft například požádala a obdržela šest měsíců od třetí strany, aby zjistila skutečnou identitu obžalovaných Johna Doea. Soudy povolily společnosti Microsoft předvolávat poskytovatele internetových služeb třetích stran, poskytovatele e-mailových služeb, registrátory domén, hostingové společnosti a poskytovatele plateb za potenciální identifikaci informací o hackerech. S takovou pravomocí k předvolání mohou vyšetřovatelé Microsoftu replikovat jeden z hlavních procesů, které ministerstvo spravedlnosti používá k identifikaci hackerů.
Není nic, co hackeři nenávidí víc než odhalení jejich skutečné identity. Hackeři skutečně často vzájemně odhalují svou pravou identitu, což je praktika známá jako doxing, jako trest za domnělé křivdy. Hackeři nenávidí odhalení, protože jim to může ztížit provoz a může to poškodit jejich schopnost cestovat nebo si udržet zaměstnání. Úzkost způsobená tím, že jsou doxed, často vede hackery k tomu, aby ukončili svou činnost nebo alespoň opustili svou infrastrukturu, komunikační kanály a spoluspiklence a začali znovu. Mrazivý efekt veřejného připisování by mohl být zvláště užitečný v důsledku velkého úniku dat, protože u vyděšeného a zastaralého hackera může být méně pravděpodobné, že prodá obrovské množství ukradených dat online.
Společnost, která úspěšně identifikuje hackera, může být schopna vymáhat občanskoprávní rozsudek v jakékoli spřátelené jurisdikci, ve které má hacker finanční prostředky. A společnost, která dokáže zjistit identitu hackera, nebude mít problém najít federálního žalobce ochotného přijmout hotový případ. Když k tomu dojde, většina státních zástupců by se rozhodla veřejně pochválit společnost za její pomoc při vydávání jakýchkoli tiskových zpráv o obviněních nebo zatčeních.
Sbírka informací
Moc předvolat poskytovatele internetových služeb třetích stran, i když to nevede ke skutečné identitě hackera, může vést k IP adresám, doménám a dalším identifikátorům spojeným s hackerem nebo hackerskou skupinou. Tato inteligence může být cenná pro síťové obránce, kteří mohou blokovat škodlivé IP adresy a domény a přizpůsobit se taktice, technikám a postupům hackerů.
Některé civilní žaloby dokonce vedly k zabavení serverů C2. V případě proti provozovatelům botnetu Rushtock Microsoft získal soudní příkaz, který mu umožňuje „spolupracovat s U.S. Marshals Service na fyzickém zachycení důkazů na místě a v některých případech převzít postižené servery od poskytovatelů hostingu k analýze“. To vyšetřovatelům umožnilo „prověřit[] důkazy shromážděné ze zabavení, aby se dozvěděli … o operacích botnetu. Získání kopie hackerova serveru, zejména serveru C2 vázaného na botnet, může ochráncům sítě a odborníkům na kybernetickou bezpečnost poskytnout kritické informace, jako je počet infikovaných počítačů a metody, které botnet používá k šíření svého malwaru. Tato inteligence je užitečná zejména pro velké technologické společnosti, které musí bránit rozlehlé ekosystémy před neustále se vyvíjejícími hrozbami.
Zlepšení vztahů se zákazníky, orgány činnými v trestním řízení a veřejností
Odstranění civilních botnetů představuje významnou podporu pro vztahy s veřejností pro společnosti, které mohou tyto případy propagovat jako důkaz svého závazku vůči kybernetické bezpečnosti. Například Meta nedávno podala dvě žaloby (v prosinci 2021 a únoru 2022) proti obžalovaným John Doe zapojeným do masivních phishingových schémat. V jiných nedávných případech společnost zažalovala subjekty, které využívaly nástroje na škrábání dat a sady pro vývoj škodlivého softwaru ke shromažďování uživatelských informací v rozporu s podmínkami služby Meta. Tyto případy jsou pravděpodobně součástí širší strategie, která má demonstrovat závazek společnosti Meta k ochraně soukromí spotřebitelů. Meta skutečně oslavila tyto právní kroky jako „další krok v našem úsilí chránit bezpečnost a soukromí lidí, vyslat jasnou zprávu těm, kteří se snaží zneužít naši platformu, a zvýšit odpovědnost vůči těm, kteří zneužívají technologie.“
Vytváření zkušeností s orientací na kybernetickou bezpečnost se může v praxi vyplatit, zvláště když dojde k nevyhnutelnému incidentu v oblasti zabezpečení dat. Když je společnost hacknuta nebo když zločinci používají firemní platformu, produkty nebo infrastrukturu k pronásledování třetích stran, bude společnost nevyhnutelně volána k odpovědnosti regulačními orgány, právníky žalobců a dokonce i výbory Kongresu. Až ten den přijde, je kriticky důležité, abyste byli vůdčí osobností a inovátorem v oblasti kybernetické bezpečnosti. Boj proti hackerům prostřednictvím pozitivních občanských soudních sporů je skvělý způsob, jak dosáhnout těchto výsledků a zároveň učinit internet bezpečnějším místem pro všechny.
