Een collega-journalist werd vermist en Mumin - de voorzitter van het Somalische Journalisten Syndicaat - had weinig middelen om het nieuws naar buiten te brengen. Digitale sabotage had de website en e-mailaccounts van zijn syndicaat een paar dagen eerder offline gehaald.
"Ik voel nog steeds de frustratie," vertelde Mumin aan Reuters. Onze link naar de buitenwereld, naar de internationale media, is onze website."
Pas nadat hij hulp had gekregen van Qurium, een Zweedse non-profitorganisatie die digitaal verdedigingswerk doet voor nieuwsorganisaties en non-profitorganisaties, was Mumin in staat om zijn site weer op de rails te krijgen en op de juiste manier alarm te slaan over de vermiste verslaggever.
Toen Qurium een onderzoek instelde, werd uiteindelijk een verrassende bron van de storing gevonden: Wyoming.
Hoewel Qurium zei dat het niet kon achterhalen wie de cyberaanval had uitgevoerd, ontdekte het wel dat de sabotage werd uitgevoerd met behulp van een vennootschap met beperkte aansprakelijkheid, of LLC, gevestigd in de uitgestrekte westelijke staat.
Reuters ontdekte dat dit een van de minstens drie gevallen was in de afgelopen vier maanden waarin digitale verdedigers LLC's uit Wyoming hebben betrokken bij opvallende hackactiviteiten. Interviews met een half dozijn tech- en compliance-experts en hackslachtoffers zoals Mumin suggereren dat de staat die ooit bekend stond als het ruige toevluchtsoord voor 19e-eeuwse bandieten nu de 21e-eeuwse outlaws bedient.
"Het is het virtuele Wilde Westen," zei Sarah Beth Felix, die Palmera Consulting leidt, een adviesbureau voor de bestrijding van witwaspraktijken. Ze zei dat de staat het registreren van anonieme lege vennootschappen zo gemakkelijk heeft gemaakt dat buitenlandse boeven "niet fysiek in Wyoming hoeven te zijn om zich in Wyoming te verbergen."
Joe Rubino, de algemeen adviseur van het Wyoming Secretary of State's Office, dat verantwoordelijk is voor de registratie van bedrijfsentiteiten in de staat, zei dat zijn collega's de door Reuters gemelde informatie "voor verder onderzoek en beoordeling" meenamen.
Hij voegde eraan toe dat de staatssecretaris van Wyoming, Chuck Gray, het idee van nieuwe wetten steunt "om misbruik van het bedrijfsregistratiesysteem van Wyoming door buitenlandse entiteiten te voorkomen", maar dat de wetgevende macht van de staat de zaak nog in behandeling moest nemen.
Reuters kon niet vaststellen hoe vaak cybercriminelen gebruik maken van LLC's uit Wyoming, maar Tord Lundstrom, technisch directeur van Qurium, zei dat deze LLC's in de smaak vielen bij cybercriminelen die ze gebruikten om hun internetverkeer te laten doorgaan als afkomstig uit de Verenigde Staten, een waardevolle truc voor hackers die digitale verdedigingsmechanismen willen omzeilen die webverkeer dat afkomstig is van minder vertrouwde locaties, zoals Rusland of Iran, markeren of blokkeren.
LLC's beschermen hun eigenaars, net als bedrijven, tegen bepaalde vormen van aansprakelijkheid, maar zijn over het algemeen eenvoudiger op te richten. Omdat Wyoming geregistreerde agenten - vertegenwoordigers in de staat - toestaat om te dienen als openbaar contactpunt voor LLC's, kan hun eigendom geheim worden gehouden voor het grote publiek.
Wyoming is niet de enige staat die anonieme lege vennootschappen toestaat - Delaware en Nevada hebben vergelijkbare aanbiedingen - maar Lundstrom zei dat hackers vooral de voorkeur geven aan LLC's uit Wyoming omdat ze worden aangeprezen als kosteneffectief en gebruiksvriendelijk.
BRUTALE EN DIRECTE AANVAL
De cybersabotagedaad die het Somalische Journalisten Syndicaat in augustus offline haalde, staat bekend als een DDoS (Distributed Denial of Service), waarbij gerichte sites overspoeld worden met een stortvloed aan kwaadaardig verkeer.
Qurium ontdekte dat één stroom van malafide gegevens via een IP-adresblok liep dat geregistreerd stond bij Aliat, een LLC gevestigd in Sheridan, een klein stadje in Wyoming aan de voet van de Bighorn Mountains.
Pogingen van Reuters om Aliat te bereiken leverden niets op. Een bericht dat werd achtergelaten via het contactformulier op de website van het bedrijf op 9 oktober werd beantwoord met een geautomatiseerd bericht dat een antwoord "binnen 48 uur" beloofde. Uit bedrijfsgegevens blijkt dat de LLC dezelfde dag werd ontbonden, hoewel het later weer werd opgericht.
Er werd nooit een antwoord gegeven.
In september werd het in Wenen gevestigde International Press Institute offline gehaald door een DDoS-operatie. De organisatie had net een rapport gepubliceerd over hoe DDoS-operaties de Hongaarse onafhankelijke media teisterden, toen ook zij werden overspoeld met een vloedgolf van junkverkeer - iets wat de groep later omschreef als "de meest brutale en directe aanval op de online infrastructuur van het IPI in onze geschiedenis".
Het kostte de IPI ongeveer 10 dagen om de functionaliteit van de site volledig te herstellen. Qurium was opnieuw in staat om een deel van de malafide gegevens terug te leiden naar een LLC uit Wyoming - een webhostingbedrijf genaamd HostCram.
Het bedrijf wordt gerund door de 23-jarige Bangladeshi Shakib Khan en staat geregistreerd in Buffalo, een klein stadje dat ooit een ontmoetingsplaats was voor de beruchte treinrovers Butch Cassidy and the Sundance Kid.
Qurium zei dat Khan hen had verteld dat hij een klant zou opzeggen na het incident, maar gaf geen verdere details. Khan vertelde Reuters dat hij de identiteit van zijn cliënt alleen zou delen met wetshandhavers.
Over de reden waarom hij een bedrijf in Buffalo had geregistreerd, zei hij: "Wyoming is geweldig voor online bedrijven."
ZE ZOUDEN ZICH MOETEN SCHAMEN
Experts zeggen dat één enkel lege vennootschap als springplank kan dienen voor wijdverspreid misbruik.
In 2017 traceerden een paar cyberbeveiligingsonderzoekers golven van digitale inbraken en spam gericht op een groot aantal organisaties naar een online proxyservice die werd gerund door de Russische IT-ondernemer Ilia Trusov.
Ondanks de openbare onthulling - en een daaropvolgend rapport van Qurium dat hem ook in verband bracht met DDoS-operaties - registreerde Trusov in 2019 twee LLC's in Wyoming, Security Servers en Traffictransitsolution.
In videogesprekken met Reuters zei Trusov dat de beschuldigingen oneerlijk waren. Hij zei dat hij geen tolerantie had voor cybercriminaliteit en dat hij vaak samenwerkte met de politie om cybercriminaliteit te bestrijden. Hij liet zijn paspoort en Amerikaanse en Europese visa zien als bewijs dat hij zijn identiteit niet probeerde te verhullen en nooit problemen met de wet had gehad.
Trusov gaf toe dat hij lege vennootschappen in Wyoming had opgezet zodat het webverkeer van zijn klanten er Amerikaans uit zou zien. Hij zei dat het hebben van een Amerikaanse lege vennootschap ook nuttig was bij het beantwoorden van juridische verzoeken. Nog een bonus: anonimiteit.
"In Wyoming kun je de eigenaars niet controleren," zei hij.
De LLC's van Trusov zijn sindsdien ontbonden, maar een andere lege vennootschap in Wyoming is recentelijk onder de loep genomen.
In augustus van dit jaar beschuldigde het anti-ransomwarebedrijf Halcyon een aan Iran gelinkt internetbedrijf genaamd Cloudzy van het leveren van diensten aan "een schurkengalerij" van digitale spionnen en cybercriminelen, gedeeltelijk via het in Sheridan gevestigde RouterHosting LLC.
De directeur van Cloudzy, Hannan Nozari, ontkende een oogje dicht te knijpen voor kwaadwillige activiteiten, waarvan hij zei dat het "een serieus probleem was waar we allemaal mee te maken hebben". Hij vertelde Reuters dat hij in Dubai gevestigd was en RouterHosting registreerde in de verkeerde veronderstelling dat hij het nodig had om internetinfrastructuur in Noord-Amerika te kopen. Hij zei dat hij onlangs de beveiliging van zijn service had verbeterd en het bedrijf in Wyoming had laten ontbinden.
Als buitenlanders die in het buitenland wonen, zouden Nozari noch Trusov noch Khan in staat zijn geweest om een LLC in Wyoming op te zetten als er geen geregistreerde agenten waren geweest.
RouterHosting werd opgericht met de hulp van een in Sheridan gevestigde geregistreerde agent genaamd Cloud Peak Law Group. Aliat, HostCram en Trusov's LLC's werden vertegenwoordigd door een bedrijf genaamd Registered Agents Inc, dat ook een adres in Sheridan heeft.
Cloud Peak heeft niet gereageerd op vragen. Registered Agents Inc zei in een verklaring dat, hoewel het bedrijf geen commentaar gaf op specifieke klantrelaties, het de relevante staatsregels en due diligence-vereisten volgde.
"Commerciële geregistreerde agenten zijn geen politieagentschappen," voegde het bedrijf eraan toe.
Mumin, het hoofd van het Somalische journalistensyndicaat, zei dat niemand verantwoordelijk was gesteld voor de cybersabotage die zijn organisatie in augustus lamlegde. Hij had geen begrip voor het idee dat de geregistreerde agenten van Wyoming niet verplicht waren om hun klanten te controleren.
"Ze zouden zich moeten schamen, deze bedrijven in Wyoming, dat ze niet in staat zijn geweest - of het ze niets kan schelen - om te controleren wie hun klanten zijn," zei Mumin. (Verslaggeving door Raphael Satter in Washington. Bewerking door Chris Sanders en Claudia Parsons)
