O Departamento de Justiça deu um golpe no cibercrime global em 6 de abril com a derrubada de uma enorme botnet controlada por “Sandworm” – a unidade da Direção Geral de Inteligência do Estado-Maior Russo (GRU) responsável pelo ataque NotPetya de 2017, entre outros. Essa operação reflete a estratégia do departamento de priorizar o que chama de “capacidades disruptivas” em detrimento de jogadas de longo prazo para prisões e extradições. Para não ficar para trás, na mesma semana, a Microsoft obteve uma ordem judicial para confiscar sete domínios usados por outra unidade do GRU, mais conhecida como “Fancy Bear”, para atingir instituições ucranianas. As duas operações ilustram uma verdade importante: as melhores ferramentas do Departamento de Justiça para combater o cibercrime também podem ser utilizadas por qualquer empresa privada disposta a investir os recursos necessários. E muitas empresas estão ansiosas para fazê-lo.
Desde 2010, a Microsoft sozinha ganhou ordens judiciais para apreender servidores de comando e controle (C2) e afundar o tráfego malicioso em 24 casos, apreendendo um total de mais de 16.000 domínios maliciosos. Mecanicamente, esses casos funcionam muito como as derrubadas de botnets do Departamento de Justiça: ambas as entidades compilam evidências de que determinados domínios estão sendo usados para controlar botnets e usam essas evidências para obter ordens judiciais exigindo que os registros de domínio baseados nos EUA redirecionem esses domínios para servidores controlados pelo entidade que requereu a ordem, entre outros possíveis recursos autorizados pelo tribunal. E a derrubada de botnets não é a única tática do Departamento de Justiça que as empresas privadas podem emular: ao nomear os hackers John Doe como réus em ações civis, a Microsoft conseguiu obter poder de intimação para exigir que provedores de serviços de Internet (ISPs) terceirizados produzissem as informações ele precisa ajudar a identificar os hackers. Recentemente, outras grandes empresas de tecnologia, incluindo Google e Meta, começaram a empregar a estratégia da Microsoft de processar cibercriminosos que operam grandes botnets ou se envolvem em esquemas de phishing em massa.
Acreditamos que esta é uma tendência altamente positiva que tem o potencial de abordar a principal fraqueza da estratégia de disrupção cibernética do Departamento de Justiça: restrições de recursos. As quedas de botnet são um jogo de whack-a-mole. Ao complementar os esforços do departamento, a indústria privada pode ajudar a reduzir significativamente o cibercrime. E, do ponto de vista das empresas, as ações civis permitem que elas mostrem a seus clientes resultados tangíveis e obtenham inteligência crítica sobre os agentes de ameaças, sem esperar a ação do Ministério da Justiça. Com certeza, processos civis não são uma bala de prata, mas na ausência de uma estrutura institucional mais abrangente para lidar com o cibercrime, a derrubada de botnets civis é um poderoso multiplicador de força para os atuais esforços do governo.
Como processar um hacker anônimo
Causas de ação
Botnets, por definição, violam o Computer Fraud and Abuse Act (CFAA), 18 U.S.C. § 1030, na medida em que são criados pelo acesso não autorizado persistente aos computadores das vítimas. Embora o CFAA seja mais conhecido como a principal ferramenta do Departamento de Justiça para processar hackers, o estatuto também contém uma causa civil de ação que permite que os prejudicados por esse acesso não autorizado entrem com uma ação.
Atividades de crimes cibernéticos também podem dar origem a reclamações de violação de marca registrada sob a Lei Lanham, 15 U.S.C. §§ 1114, 1125(a), 1125(c), já que os hackers frequentemente usam marcas registradas da empresa para induzir as vítimas a divulgar suas credenciais ou baixar malware. Consequentemente, as reivindicações de marca registrada têm destaque em praticamente todos os casos movidos pela Microsoft, Google e Meta desde 2010. Por exemplo, a Meta recentemente apresentou uma queixa da Lei Lanham contra 100 réus John Doe por criar mais de 39.000 versões falsas de login do Facebook, Instagram e WhatsApp páginas para induzir os usuários a desistir de suas credenciais. Da mesma forma, a Microsoft abriu um processo Lanham Act contra o Nickel, uma ameaça persistente avançada (APT) de um estado-nação chinês que injetou código malicioso em uma imagem da marca registrada do Internet Explorer da Microsoft.
Embora menos frequente, empresas, incluindo o Google, usaram o Racketeer Influenced and Corrupt Organizations Act (RICO) para processar cibercriminosos, baseando-se em atos predicados de invasão de computador, fraude eletrônica, roubo de identidade e fraude de dispositivo de acesso. As empresas também complementam as reivindicações federais listadas acima com reivindicações estaduais de direito comum, como invasão, enriquecimento sem causa, conversão, interferência ilícita nas relações contratuais, negligência e quebra de contrato.
Em pé
Embora não seja surpreendente que os hackers criminosos violem uma variedade de leis dos EUA, pode ser menos claro por que as grandes empresas de tecnologia têm legitimidade para fazer cumprir essas leis, especialmente quando o alvo final dos hacks não é a própria empresa, mas seus clientes . Mas os tribunais aceitaram repetidamente que as empresas de tecnologia têm legitimidade para processar hackers, tendo concedido dezenas de ordens judiciais permitindo que Microsoft, Google e Meta apreendessem a infraestrutura de botnet e obtivessem outras soluções.
Para estabelecer a posição, as empresas de tecnologia geralmente dependem da CFAA (18 U.S.C. § 1030(g)), que permite processos civis por “[qualquer] pessoa que sofra danos ou perdas devido a uma violação” do estatuto . A CFAA (18 U.S.C. § 1030(e)(11)) define “perda” amplamente para incluir “qualquer custo razoável para qualquer vítima, incluindo o custo de responder a uma ofensa, conduzir uma avaliação de danos e restaurar os dados, programa, sistema, ou informação à sua condição antes da ofensa, e qualquer perda de receita, custo incorrido ou outros danos consequentes incorridos devido à interrupção do serviço”. Abaixo está um resumo das teorias que as empresas de tecnologia usaram para alegar “danos” e “perdas” sob o CFAA. As empresas que apresentam reivindicações do RICO podem se basear em teorias semelhantes, pois o RICO também permite processos por “[qualquer] pessoa ferida em seu negócio ou propriedade em razão de” uma violação do RICO (18 U.S.C. § 1964(c)).
Etapas Processuais
Na maioria dos casos, as empresas processam os hackers como “John Does” porque suas identidades são desconhecidas. Uma empresa pode processar em qualquer distrito federal onde tenha identificado vítimas de crimes cibernéticos. Embora as empresas tenham instaurado esses processos em várias jurisdições, o Distrito Leste da Virgínia é o mais popular porque abriga a Verisign, que registra todos os domínios .com, .net e .org, e porque seus juízes têm sido particularmente receptivos a essas se adequa.
Para evitar que os hackers tomem medidas para preservar sua infraestrutura de botnet, as empresas normalmente arquivam seus casos sob sigilo e pedem uma ordem de restrição temporária ex parte exigindo que os registros de nomes de domínio redirecionem os domínios maliciosos para servidores seguros. Neste momento, os autores também pedem uma ordem para mostrar o motivo pelo qual uma liminar não deve ser concedida. Após o juiz conceder a liminar ex parte, o processo é aberto e os réus recebem cópia da denúncia e intimação. Sob uma nova disposição do Fed. R. Civ. P. 4 que permite citação por qualquer meio “razoavelmente calculado para notificar”, os tribunais permitiram a citação usando as informações de contato que os hackers usaram para registrar os nomes de domínio em questão, bem como por publicação na internet. Quando os hackers inevitavelmente não respondem, os tribunais concedem liminares e, por fim, julgamentos padrão, exigindo que os registradores de domínio redirecionem os domínios C2 para servidores controlados pela empresa demandante, entre outras soluções possíveis. Além disso, as empresas podem buscar a descoberta de terceiros necessária para identificar os réus John Doe.
Os benefícios de processar hackers
Interrupção de botnets e outros domínios maliciosos
Construir grandes botnets requer um investimento significativo em tempo e dinheiro. De acordo com uma estimativa, uma botnet composta por 10 milhões de computadores custa aproximadamente US$ 16 milhões para ser criada. Esse investimento pode compensar: um criador de bots que usa 10.000 bots para disseminar spam malicioso pode gerar cerca de US$ 300.000 por mês. Ao separar os bots das vítimas de seus servidores C2, as quedas de botnet exigem que os criminosos voltem à estaca zero e podem mudar a proposta de valor de construir uma grande botnet em primeiro lugar. Como afirmou a Unidade de Crimes Digitais da Microsoft, “Nosso objetivo é atingir suas carteiras. Os cibercriminosos operam botnets para ganhar dinheiro. Interrompemos botnets minando a capacidade dos cibercriminosos de lucrar com seus ataques maliciosos.”
À medida que os hackers tentam reconstruir botnets interrompidos por ações civis, muitos tribunais estão dispostos a emitir ordens adicionais para apreender novos domínios C2, incluindo aqueles criados usando algoritmos de geração de domínio. No caso da Microsoft de 2019 contra a APT “Phosphorus”, patrocinada pelo estado iraniano, o Tribunal Distrital dos EUA para o Distrito de Columbia emitiu quatro liminares suplementares “para abordar os esforços contínuos dos réus para reconstruir a infraestrutura de comando e controle da Phosphorus e continuar suas atividades ilegais em contestação aberta” das liminares anteriores do tribunal. Ao conceder a moção da Microsoft para julgamento padrão e liminar permanente, o tribunal nomeou um mestre especial com poderes para autorizar a apreensão de quaisquer domínios recém-criados que a Microsoft pudesse mostrar que estavam associados ao mesmo botnet. Os juízes do Distrito Leste da Virgínia também experimentaram o uso de mestres especiais dessa maneira. Contar com mestres especiais com experiência em crimes cibernéticos pode resolver as preocupações de que os tribunais carecem de conhecimento técnico para examinar de forma significativa os pedidos ex parte de ordens de remoção.
As empresas também têm usado processos civis com sucesso para obrigar a cooperação de ISPs estrangeiros que hospedam servidores maliciosos. Em 2012, a Microsoft processou Peng Yong, proprietário de uma empresa com sede na China que operava um domínio que hospedava subdomínios maliciosos conectados à botnet Nitol. Depois que a Microsoft garantiu uma TRO no Distrito Leste da Virgínia que lhe permitiu assumir o domínio e bloquear a operação de 70.000 subdomínios maliciosos, Peng Yong concordou com um acordo que permitiu à sua empresa relançar o domínio ao tomar medidas para identificar e bloquear subdomínios. Em outro caso, a Microsoft trabalhou com a Kyrus Inc. e a Kaspersky Labs para abrir um processo contra o DotFree Group, uma empresa sediada na República Tcheca, com base em seus links para o botnet Kelihos. Em uma liminar de consentimento preliminar, a DotFree concordou em “desativar subdomínios maliciosos e [implementar] um processo para verificar as identidades dos registrantes de subdomínio”. Três meses depois, a Microsoft anunciou que havia nomeado um novo réu para o processo civil, Andrey Sabelnikov, que acreditava ser o operador do botnet Kelihos, “graças à cooperação [da DotFree] e às novas evidências”.
Dissuasão por atribuição
Conforme ilustrado pelo caso Sabelnikov, ações civis podem ajudar as empresas a identificar cibercriminosos. A Microsoft, por exemplo, pediu e recebeu seis meses de descoberta de terceiros para investigar as verdadeiras identidades dos réus John Doe. Os tribunais permitiram que a Microsoft intimasse ISPs terceirizados, provedores de serviços de e-mail, registradores de domínio, empresas de hospedagem e provedores de pagamento por potencialmente identificar informações sobre hackers. Com esse poder de intimação, os investigadores da Microsoft podem replicar um dos principais processos que o Departamento de Justiça usa para identificar hackers.
Não há nada que os hackers odeiem mais do que ter suas verdadeiras identidades expostas. Na verdade, os hackers costumam expor a verdadeira identidade uns dos outros, uma prática conhecida como doxing, como punição por erros percebidos. Os hackers odeiam ser expostos porque isso pode dificultar sua operação e pode prejudicar sua capacidade de viajar ou manter um emprego. A angústia causada por ser doxado muitas vezes leva os hackers a interromper suas atividades, ou pelo menos abandonar sua infraestrutura, canais de comunicação e co-conspiradores e começar de novo. O efeito assustador da atribuição pública pode ser particularmente útil após uma grande violação de dados, porque um hacker assustado e desmascarado pode ter menos probabilidade de vender grandes quantidades de dados roubados online.
Uma empresa que identifica com sucesso um hacker pode executar uma sentença civil em qualquer jurisdição amigável na qual o hacker mantenha fundos. E uma empresa que pode descobrir a identidade de um hacker não terá dificuldade em encontrar um promotor federal disposto a aceitar um caso pronto. Quando isso acontece, a maioria dos promotores faz questão de elogiar publicamente a empresa por sua assistência ao emitir comunicados à imprensa sobre acusações ou prisões.
Coleta de inteligência
O poder de intimar ISPs de terceiros, mesmo quando não leva à verdadeira identidade de um hacker, pode resultar em endereços IP, domínios e outros identificadores associados ao hacker ou grupo de hackers. Essa inteligência pode ser valiosa para os defensores da rede, que podem bloquear endereços IP e domínios maliciosos e ajustar-se às táticas, técnicas e procedimentos do hacker.
Algumas ações civis resultaram até na apreensão de servidores C2. Em um processo contra os operadores do botnet Rushtock, a Microsoft obteve uma ordem judicial permitindo que ela “trabalhasse com o U.S. Marshals Service para capturar evidências fisicamente no local e, em alguns casos, levar os servidores afetados de provedores de hospedagem para análise”. Isso permitiu aos investigadores “inspecionar [] as evidências coletadas nas apreensões para aprender … sobre as operações do botnet”. A obtenção de uma cópia do servidor de um hacker, particularmente um servidor C2 vinculado a um botnet, pode fornecer inteligência crítica para defensores de rede e profissionais de segurança cibernética, como o número de computadores que foram infectados e os métodos que o botnet usa para propagar seu malware. Essa inteligência é particularmente útil para grandes empresas de tecnologia que devem defender ecossistemas em expansão contra ameaças em constante evolução.
Melhoria das Relações com Clientes, Agentes da Lei e Público
Remoções de botnets civis fornecem um grande impulso de relações públicas para empresas que podem divulgar esses casos como prova de seu compromisso com a segurança cibernética. Por exemplo, a Meta recentemente entrou com dois processos (em dezembro de 2021 e fevereiro de 2022) contra réus de John Doe envolvidos em esquemas de phishing em massa. Em outros casos recentes, a empresa processou entidades que empregaram ferramentas de coleta de dados e kits de desenvolvimento de software malicioso para coletar informações do usuário, violando os termos de serviço da Meta. Esses casos provavelmente fazem parte de uma estratégia mais ampla para demonstrar o compromisso da Meta com a privacidade do consumidor. De fato, a Meta comemorou essas ações legais como “mais um passo em nossos esforços para proteger a segurança e a privacidade das pessoas, enviar uma mensagem clara para aqueles que tentam abusar de nossa plataforma e aumentar a responsabilidade daqueles que abusam da tecnologia”.
Construir um histórico de vanguarda em segurança cibernética pode render dividendos no futuro, especialmente quando ocorre o inevitável incidente de segurança de dados. Quando uma empresa é hackeada ou quando criminosos usam a plataforma, os produtos ou a infraestrutura de uma empresa para vitimizar terceiros, a empresa inevitavelmente será responsabilizada por reguladores, advogados de demandantes e até comitês do Congresso. Quando esse dia chegar, um histórico longo e estabelecido de ser um líder e inovador em segurança cibernética é fundamental. Lutar contra hackers por meio de litígio civil afirmativo é uma ótima maneira de construir esse histórico e, ao mesmo tempo, tornar a Internet um lugar mais seguro para todos.
