Le ministère de la Justice a porté un coup à la cybercriminalité mondiale le 6 avril avec le retrait d'un botnet massif contrôlé par «ver de sable» - l'unité de la Direction principale du renseignement (GRU) de l'attaque de renseignement (GRU) de l'attaque de NotPetya 2017, entre autres.Cette opération reflète la stratégie du ministère de prioriser ce qu'elle appelle des «capacités perturbatrices» sur des pièces à long terme pour les arrestations et les extrations.Pour ne pas être en reste, dans la même semaine, Microsoft a obtenu une ordonnance du tribunal pour saisir sept domaines utilisés par une autre unité GRU, mieux connue sous le nom de «Fancy Bear», pour cibler les institutions ukrainiennes.Les deux opérations illustrent une vérité importante: les meilleurs outils du ministère de la Justice pour lutter contre la cybercriminalité peuvent également être exercés par toute entreprise privée disposée à investir les ressources nécessaires.Et de nombreuses entreprises ont hâte de le faire.
Depuis 2010, Microsoft à lui seul a remporté des ordonnances judiciaires pour saisir les serveurs de commandement et de contrôle (C2) et le trafic malveillant dans 24 cas, saisissant un total de plus de 16 000 domaines malveillants.Mécaniquement, ces cas fonctionnent beaucoup comme les retraits de botnet du ministère de la Justice: les deux entités compilent des preuves que des domaines particuliers sont utilisés pour contrôler les botnets et utiliser ces éléments de preuve pour obtenir.S.-Les registres de domaine basés pour rediriger les domaines vers des serveurs contrôlés par l'entité qui a demandé l'ordonnance, entre autres recours autorisés par la Cour.Et les démontages de botnet ne sont pas la seule tactique du ministère de la Justice que les entreprises privées peuvent imiter: en nommant John Doe Hackers en tant que défendeurs dans des poursuites civiles, Microsoft a pu obtenir le pouvoir d'assignationil doit aider à identifier les pirates.Récemment, d'autres grandes entreprises technologiques, dont Google et Meta, ont commencé à utiliser la stratégie de Microsoft de poursuivre les cybercriminels qui exploitent des botnets majeurs ou s'engagent dans des schémas de phishing massifs.
Nous pensons qu'il s'agit d'une tendance très positive qui a le potentiel de traiter la principale faiblesse de la stratégie de cyber-perturbation du ministère de la Justice: contraintes de ressources.Les démontages de botnet sont un jeu de whack-a-mole.En complétant les efforts du ministère, l'industrie privée peut aider à prendre une morsure importante de la cybercriminalité.Et, du point de vue des entreprises, les poursuites civiles leur permettent de montrer à leurs clients des résultats tangibles et d'obtenir des renseignements critiques sur les acteurs de la menace, sans attendre que le ministère de la Justice agisse.Certes, les poursuites civiles ne sont pas une solution miracle, mais en l'absence d'un cadre institutionnel plus complet pour s'attaquer à la cybercriminalité, les démontages de botnet civil sont un puissant-multiplicateur de force pour les efforts actuels du gouvernement.
Comment poursuivre un pirate anonyme
Causes d'action
Les botnets, par définition, violent la loi sur la fraude et les abus informatiques (CFAA), 18 u.S.C.§ 1030, dans la mesure où ils sont créés en obtenant un accès non autorisé persistant aux ordinateurs des victimes.Alors que le CFAA est surtout connu comme le principal outil du ministère de la Justice pour poursuivre les pirates, la loi contient également une cause d'action civile qui permet aux personnes blessées par un tel accès non autorisé pour amener le costume.
Les activités de cybercriminalité peuvent également donner lieu à des allégations de contrefaçon de marque en vertu de la loi Lanham, 15 U.S.C.§§ 1114, 1125 (a), 1125 (c), puisque les pirates utilisent fréquemment les marques d'entreprise pour inciter les victimes à divulguer leurs informations d'identification ou à télécharger des logiciels malveillants.Par conséquent, les réclamations de marque sont présentées en bonne place dans pratiquement tous les cas apportés par Microsoft, Google et Meta depuis 2010.Par exemple, Meta a récemment déposé une plainte de Lanham Act contre 100 défendeurs de John Doe pour avoir créé plus de 39 000 fausses versions de pages de connexion Facebook, Instagram et WhatsApp pour inciter les utilisateurs à abandonner leurs informations d'identification.De même, Microsoft a intenté une poursuite de Lanham Act contre Nickel, une menace persistante avancée de l'État-nation chinois (APT) qui a injecté du code malveillant dans une image de la marque Internet Explorer de Microsoft.
Bien que moins fréquents, les entreprises, y compris Google, ont utilisé laRackteer Influencing and Corrupt Organizations Act (RICO) pour poursuivre les cybercriminels, en s'appuyant sur des actes de prédicat d'intrusion informatique, de fraude par fil, de vol d'identité et de fraude des appareils d'accès.Les sociétés complétent également les réclamations fédérales énumérées ci-dessus avec des réclamations de common law d'État telles que l'intrusion, l'enrichissement injuste, la conversion, l'ingérence délictuelle avec les relations contractuelles, la négligence et la rupture du contrat.
Debout
Bien qu'il ne soit pas surprenant que les pirates criminels violent une variété de u.S.Lois, il peut être moins clair pourquoi les grandes entreprises technologiques ont debout pour faire respecter ces lois, en particulier lorsque l'objectif ultime des hacks n'est pas l'entreprise elle-même, mais ses clients.Mais les tribunaux ont accepté à plusieurs reprises que les entreprises technologiques ont debout pour poursuivre des pirates, ayant accordé des dizaines d'ordonnances en justice permettant à Microsoft, Google et Meta de saisir l'infrastructure de botnet et d'obtenir d'autres secours.
Pour établir debout, les entreprises technologiques comptent le plus souvent sur la CFAA (18 U.S.C.§ 1030 (g)), qui autorise les poursuites civiles par «[une] personne qui subit des dommages ou des pertes en raison d'une violation» de la loi.Le CFAA (18 U.S.C.Le § 1030 (e) (11)) définit la «perte» largement pour inclure «tout coût raisonnable pour toute victime, y compris le coût de réponse à une infraction, la réalisation d'une évaluation des dommages et la restauration des données, du programme, du système ou des informations àson état avant l'infraction et tout revenu perdu, coût encouru ou d'autres dommages consécutifs subis en raison de l'interruption du service."Ci-dessous est un résumé des théories que les entreprises technologiques ont utilisées pour alléger« dommages »et« perte »en vertu de la CFAA.Les entreprises qui apportent des réclamationsRICO peuvent s'appuyer sur des théories similaires, carRICO permet de manière similaire des poursuites par «[une] personne blessée dans son entreprise ou sa propriété en raison de» une violation deRico (18 U.S.C.§ 1964 (c)).
Étapes de procédure
Dans la plupart des cas, les entreprises poursuivent les pirates comme «John le fait» parce que leurs identités sont inconnues.Une entreprise peut poursuivre dans n'importe quel district fédéral où elle a identifié les victimes de la cybercriminalité.Alors que les entreprises ont apporté ces poursuites dans une variété de juridictions, le district oriental de Virginie est le plus populaire car il abrite Verisign, qui enregistre tous.com,.net et.Domaines org, et parce que ses juges ont été particulièrement réceptifs à ces poursuites.
Pour empêcher les pirates de prendre des mesures pour préserver leur infrastructure de botnet, les entreprises déposent généralement leurs cas sous SEA.À l'heure actuelle, les demandeurs se déplacent également pour une ordonnance pour montrer pourquoi une injonction préliminaire ne devrait pas être émise.Après que le juge ait accordé une ordonnance d'exécution temporaire ex parte (TRO), l'affaire est non scellée et les défendeurs sont signifiés avec une copie de la plainte et des assignations.Dans le cadre d'une nouvelle disposition de Fed.R.Civile.P.4 qui permet le service de processus par tous les moyens «raisonnablement calculé pour donner un avis», les tribunaux ont permis au service en utilisant les coordonnées utilisées par les pirates pour enregistrer les noms de domaine en cause, ainsi que par publication sur Internet.Lorsque les pirates ne parviennent pas inévitablement à répondre, les tribunaux accordent des injonctions préliminaires et, finalement, les jugements par défaut, obligeant les registraires du domaine à rediriger les domaines C2 vers des serveurs contrôlés par la société de demanderesse, entre autres secours possibles.De plus, les entreprises peuvent demander une découverte de tiers nécessaires pour identifier les défendeurs de John Doe.
Les avantages de la poursuite des pirates
Perturbation des botnets et d'autres domaines malveillants
Construire de gros botnets nécessite un investissement important en temps et en argent.Selon une estimation, un botnet composé de 10 millions d'ordinateurs coûte environ 16 millions de dollars pour créer.Cet investissement peut être payant: un berger de bot qui utilise 10 000 robots pour diffuser un spam malveillant peut générer environ 300 000 $ par mois.En sectionnant les bots de victime de leurs serveurs C2, les retraits de botnet exigent que les criminels reviennent à la case départ et peuvent modifier la proposition de valeur de la construction d'un gros botnet en premier lieu.Comme l'a dit l'unité des crimes numériques de Microsoft, «nous visons leurs portefeuilles.Les cybercriminels exploitent des botnets pour gagner de l'argent.Nous perturbons les botnets en sapant la capacité des cybercriminels à profiter de leurs attaques malveillantes."
Alors que les pirates tentent de reconstruire des botnets perturbés par des poursuites civiles, de nombreux tribunaux ont été disposés à émettre des ordres supplémentaires pour saisir de nouveaux domaines C2, y compris ceux créés en utilisant des algorithmes générateurs de domaines. In Microsoft’s 2019 case against the Iranian state-sponsored APT “Phosphorus," the U.S. District Court for the District of Columbia issued four supplemental preliminary injunctions “to address Defendants’ continuing efforts to rebuildPhosphorus’ command and control infrastructure and continue their illegal activities in open defiance" of the court’s previous injunctions.En accordant la requête de Microsoft pour jugement par défaut et injonction permanente, le tribunal a nommé un maître spécial habilité à autoriser la saisie de tout domaine nouvellement créé que Microsoft pourrait montrer était associé au même botnet.Les juges du district oriental de Virginie ont également expérimenté l'utilisation de maîtres spéciaux de cette manière.Relying on special masters with expertise in cybercrime can address concerns that courts lack the technical expertise to meaningfully scrutinize ex parte requests for takedown orders.
Les entreprises ont également utilisé avec succès des poursuites civiles pour obliger la coopération aux FAI étrangers qui hébergent des serveurs malveillants. In 2012, Microsoft suedPeng Yong, the owner of a company based in China that operated a domain that hosted malicious subdomains connected to the Nitol botnet. After Microsoft secured a TRO in the Eastern District of Virginia that enabled it to take over the domain and block the operation of 70,000 malicious subdomains,Peng Yong agreed to a settlement that permitted his company to relaunch the domain upon taking steps to identify and block malicious subdomains.Dans un autre cas, Microsoft a travaillé avec Kyrus Inc. and Kaspersky Labs to pursue a case against DotFree Group, a company based in the CzechRepublic, based on its links to the Kelihos botnet.Dans une injonction préliminaire de consentement, Dotfree a accepté de «désactiver les sous-domaines malveillants et [mettre en œuvre] un processus pour vérifier l'identité des inscrits du sous-domaine." Three months later, Microsoft announced it had named a new defendant to the civil lawsuit, Andrey Sabelnikov, whom it believed to be the operator of the Kelihos botnet, “thanks to [DotFree’s] cooperation and new evidence."
Dissuasion par attribution
Comme illustré par l'affaire Sabelnikov, les poursuites civiles peuvent aider les entreprises à identifier les cybercriminels.Microsoft, par exemple, a demandé et reçu six mois de découverte tiers pour enquêter sur les véritables identités des défendeurs de John Doe.Les tribunaux ont permis à Microsoft de s'assurer des FAI tiers, des fournisseurs de services de messagerie, des registraires de domaine, des sociétés d'hébergement et des fournisseurs de paiement pour identifier potentiellement des informations sur les pirates.Avec une telle puissance d'assignation, les enquêteurs de Microsoft peuvent reproduire l'un des principaux processus que le ministère de la Justice utilise pour identifier les pirates.
Il n'y a rien de plus que les pirates détestent que leur véritable identité exposée.En effet, les pirates exposent souvent la véritable identité, une pratique connue sous le nom de doxing, sous le nom de punition pour les torts perçus.Les pirates détestent être exposés car cela peut rendre plus difficile pour eux de fonctionner et peut nuire à leur capacité à voyager ou à maintenir un emploi.L'angoisse causée par le fait d'être doxé conduit souvent les pirates à cesser leurs activités, ou au moins à abandonner leur infrastructure, leurs canaux de communication et leurs co-conspirateurs et recommencer.L'effet effrayant de l'attribution du public pourrait être particulièrement utile à la suite d'une violation de données majeure car un pirate effrayé et sorti peut être moins susceptible de vendre des quantités massives de données volées en ligne.
Une entreprise qui identifie avec succès un pirate peut être en mesure d'appliquer un jugement civil dans toute juridiction amicale dans laquelle le pirate maintient des fonds.Et une entreprise qui peut apprendre l'identité d'un pirate n'aura pas de mal à trouver un procureur fédéral prêt à accepter un cas prêt à l'emploi.Lorsque cela se produit, la plupart des procureurs tiendraient à louer publiquement la société pour son aide lors de la publication de communiqués de presse sur les actes d'accusation ou les arrestations.
Collection de renseignements
Le pouvoir d'assigner les FAI tiers, même lorsqu'il ne conduit pas à la véritable identité d'un pirate, peut entraîner des adresses IP, des domaines et d'autres identifiants associés au piratage ou au groupe de piratage.Cette intelligence peut être précieuse pour réseau.
Certaines combinaisons civiles ont même entraîné la saisie des serveurs C2. In a case against the operators of theRushtock botnet, Microsoft obtained a court order allowing it to “work with the U.S.Le service des maréchals capture physiquement des preuves sur place et, dans certains cas, prenez les serveurs affectés des fournisseurs d'hébergement pour analyse." This enabled investigators to “inspect[] the evidence gathered from the seizures to learn … about the botnet’s operations." Obtaining a copy of a hacker’s server, particularly a C2 server tied to a botnet, can provide critical intelligence to network defenders and cybersecurity professionals, such as the number of computers that have been infected and the methods the botnet uses to propagate its malware.Cette intelligence est particulièrement utile pour les grandes entreprises technologiques qui doivent défendre les écosystèmes tentaculaires contre les menaces en constante évolution.
Improvement ofRelations With Customers, Law Enforcement and thePublic
Les retraits de botnet civil fournissent une augmentation majeure des relations publiques aux entreprises qui peuvent vanter ces cas comme preuve de leur engagement envers la cybersécurité.Par exemple, Meta a récemment déposé deux poursuites (en décembre 2021 et février 2022) contre les accusés de John Doe engagés dans des schémas de phishing massifs.Dans d'autres cas récents, la société a poursuivi des entités qui ont utilisé des outils de grattage de données et des kits de développement de logiciels malveillants pour collecter des informations sur les utilisateurs en violation des conditions d'utilisation de Meta.Ces cas font probablement partie d'une stratégie plus large pour démontrer l'engagement de Meta envers la confidentialité des consommateurs.En effet, Meta a célébré ces actions en justice comme «une étape de plus dans nos efforts pour protéger la sécurité et la vie privée des gens, envoyer un message clair à ceux qui essaient de maltraiter notre plate-forme et accroître la responsabilité de ceux qui abusent de la technologie."
Construire un historique de l'attaquant sur la cybersécurité peut verser des dividendes sur la route, en particulier lorsque l'incident inévitable de sécurité des données se produit.Lorsqu'une entreprise est piratée ou lorsque les criminels utilisent une plate-forme, des produits ou des infrastructures d'une entreprise pour victimiser des tiers, la société sera inévitablement appelée à des comptes par les régulateurs, les avocats des plaignants et même les comités du Congrès.Quand ce jour arrive, un long et établi un record d'être un leader et un innovateur en cybersécurité est critique.La lutte contre les hackers par le biais de litiges civils affirmatifs est un excellent moyen de construire ce bilan tout en faisant d'Internet un endroit plus sûr pour tout le monde.
