Ein Journalistenkollege war verschwunden und Mumin - der Vorsitzende des somalischen Journalistensyndikats - hatte kaum eine Möglichkeit, die Nachricht zu verbreiten. Digitale Sabotage hatte einige Tage zuvor die Website und die E-Mail-Konten seines Syndikats lahmgelegt.
"Ich kann die Frustration immer noch spüren", sagte Mumin gegenüber Reuters. Unsere Verbindung zur Außenwelt, zu den internationalen Medien, ist unsere Website."
Erst mit Hilfe von Qurium, einer schwedischen Non-Profit-Organisation, die sich um die digitale Verteidigung von Nachrichtenorganisationen und gemeinnützigen Organisationen kümmert, konnte Mumin seine Website wieder in Gang bringen und den Alarm über den vermissten Reporter richtig auslösen.
Als Qurium die Sache untersuchte, konnte es schließlich die Ursache des Ausfalls an einem überraschenden Ort ausfindig machen: Wyoming.
Qurium konnte zwar nicht herausfinden, wer hinter der Cyberattacke steckte, aber es fand heraus, dass die Sabotage mit Hilfe einer Gesellschaft mit beschränkter Haftung (LLC) durchgeführt wurde, die ihren Sitz in dem riesigen westlichen Bundesstaat hat.
Reuters hat herausgefunden, dass dies einer von mindestens drei Fällen in den letzten vier Monaten war, in denen digitale Verteidiger LLCs in Wyoming in hochkarätige Hacking-Aktivitäten verwickelt haben. Interviews mit einem halben Dutzend Tech- und Compliance-Experten und Hacking-Opfern wie Mumin lassen vermuten, dass der Staat, der einst als rauer Zufluchtsort für Banditen des 19. Jahrhunderts bekannt war, sich nun auf die Gesetzlosen des 21.
"Es ist der virtuelle Wilde Westen", sagte Sarah Beth Felix, die Palmera Consulting, eine Beratungsfirma für Geldwäschebekämpfung, leitet. Sie sagte, dass der Staat die Registrierung von anonymen Briefkastenfirmen so einfach gemacht hat, dass ausländische Gauner "sich nicht physisch in Wyoming aufhalten müssen, um sich in Wyoming zu verstecken".
Joe Rubino, der Chefsyndikus des Wyoming Secretary of State's Office, das für die Registrierung der Unternehmen des Bundesstaates zuständig ist, sagte, seine Kollegen würden die von Reuters gemeldeten Informationen "zur weiteren Überprüfung und Untersuchung" entgegennehmen.
Er fügte hinzu, dass der Staatssekretär von Wyoming, Chuck Gray, die Idee neuer Gesetze unterstütze, "um den Missbrauch des Wyoming's Corporate Filing Systems durch ausländische Unternehmen zu verhindern", dass sich aber die Legislative des Staates noch nicht mit der Angelegenheit befasst habe.
Reuters war nicht in der Lage festzustellen, wie oft Cyberkriminelle Wyoming LLCs verwenden, aber Tord Lundstrom, der technische Direktor von Qurium, sagte, dass sie bei Cyberkriminellen beliebt sind, die sie dazu benutzen, ihren Internetverkehr als aus den Vereinigten Staaten stammend auszugeben. Dies ist ein wertvoller Trick für Hacker, die versuchen, digitale Verteidigungsmaßnahmen zu umgehen, die dazu neigen, Internetverkehr aus weniger vertrauenswürdigen Orten wie Russland oder dem Iran zu kennzeichnen oder zu blockieren.
LLCs schützen ihre Eigentümer wie Aktiengesellschaften vor bestimmten Formen der Haftung, sind aber in der Regel einfacher zu gründen. Da Wyoming es zulässt, dass registrierte Agenten - Vertreter im Bundesstaat - als öffentliche Anlaufstelle für LLCs dienen, können die Eigentumsverhältnisse vor der breiten Öffentlichkeit geheim gehalten werden.
Wyoming ist nicht der einzige Staat, der anonyme Briefkastenfirmen zulässt - Delaware und Nevada haben ähnliche Angebote - aber Lundstrom sagte, dass Hacker vor allem die LLCs in Wyoming bevorzugten, weil sie als kostengünstig und benutzerfreundlich beworben wurden.
'DREISTER UND DIREKTER ANGRIFF'
Der Akt der Cyber-Sabotage, der das Somali Journalists Syndicate im August außer Gefecht gesetzt hat, ist als Distributed Denial of Service (DDoS) bekannt, bei dem die Zielseiten mit einer Flut von bösartigem Datenverkehr überschwemmt werden.
Qurium fand heraus, dass ein Strom bösartiger Daten über einen IP-Adressblock lief, der auf Aliat registriert ist, eine LLC mit Sitz in Sheridan, einer kleinen Stadt in Wyoming am Fuße der Bighorn Mountains.
Die Versuche von Reuters, Aliat zu erreichen, waren erfolglos. Eine Nachricht, die am 9. Oktober über das Kontaktformular auf der Website des Unternehmens hinterlassen wurde, wurde mit einer automatischen Nachricht beantwortet, die eine Antwort "innerhalb von 48 Stunden" versprach. Aus den Unternehmensunterlagen geht hervor, dass die LLC noch am selben Tag aufgelöst wurde, obwohl sie später wieder in Kraft gesetzt wurde.
Eine Antwort wurde nie gegeben.
Im September wurde das in Wien ansässige Internationale Presseinstitut durch einen DDoS-Angriff vom Netz genommen. Die Organisation hatte gerade einen Bericht darüber veröffentlicht, wie DDoS-Operationen die unabhängigen ungarischen Medien in Bedrängnis brachten, als auch sie von einer Flutwelle von Datenmüll überrollt wurde - etwas, das die Gruppe später als "den dreistesten und direktesten Angriff auf die Online-Infrastruktur des IPI in unserer Geschichte" bezeichnete.
Es dauerte etwa 10 Tage, bis das IPI die Funktionalität der Website wieder vollständig hergestellt hatte. Qurium war erneut in der Lage, einige der betrügerischen Daten zu einer LLC in Wyoming zurückzuverfolgen - einem Webhosting-Unternehmen namens HostCram.
Das von einem 23-jährigen Bangladescher namens Shakib Khan geführte Unternehmen ist in Buffalo registriert, einer winzigen Stadt, in der sich einst die berüchtigten Zugräuber Butch Cassidy und Sundance Kid aufhielten.
Qurium sagte, dass Khan ihnen mitgeteilt habe, dass er einem Kunden nach dem Vorfall kündige, nannte aber keine weiteren Einzelheiten. Khan sagte gegenüber Reuters, er würde die Identität seines Kunden nur den Strafverfolgungsbehörden mitteilen.
Auf die Frage, warum er eine Firma in Buffalo registriert habe, sagte er: "Wyoming ist großartig für Online-Geschäfte."
'SIE SOLLTEN SICH SCHÄMEN'
Experten sagen, dass eine einzige Scheinfirma als Sprungbrett für weit verbreiteten Missbrauch dienen kann.
Im Jahr 2017 verfolgten zwei Cybersecurity-Forscher Wellen von digitalen Einbrüchen und Spam, die auf eine Vielzahl von Organisationen abzielten, zu einem Online-Proxy-Dienst, der vom russischen IT-Unternehmer Ilia Trusov betrieben wurde.
Trotz der öffentlichen Enthüllung - und eines nachfolgenden Berichts von Qurium, der ihn ebenfalls mit DDoS-Operationen in Verbindung brachte - registrierte Trusov 2019 zwei LLCs in Wyoming, Security Servers und Traffictransitsolution.
In Videoanrufen mit Reuters sagte Trusov, die Anschuldigungen seien unfair. Er sagte, er toleriere keine Cyberkriminalität und arbeite oft mit Polizeibehörden zusammen, um sie zu bekämpfen. Er zeigte seinen Reisepass und seine amerikanischen und europäischen Visa als Beweis dafür, dass er nicht versucht, seine Identität zu verschleiern, und dass er nie mit dem Gesetz in Konflikt geraten ist.
Trusov räumte ein, dass er Briefkastenfirmen in Wyoming gegründet hat, damit der Internetverkehr seiner Kunden amerikanisch aussieht. Er sagte, eine US-Firma sei auch hilfreich, wenn es darum geht, rechtliche Anfragen zu beantworten. Ein weiterer Bonus: Anonymität.
"In Wyoming kann man die Eigentümer nicht überprüfen", sagte er.
Trusovs LLCs sind inzwischen aufgelöst worden, aber eine andere Briefkastenfirma in Wyoming wurde in letzter Zeit genauer unter die Lupe genommen.
Im August dieses Jahres beschuldigte die Anti-Ransomware-Firma Halcyon ein mit dem Iran verbundenes Internetunternehmen namens Cloudzy, Dienstleistungen für eine "Schurkengalerie" von digitalen Spionen und Cyberkriminellen zu erbringen, zum Teil über die in Sheridan ansässige RouterHosting LLC.
Der Geschäftsführer von Cloudzy, Hannan Nozari, bestritt, dass er bei bösartigen Aktivitäten ein Auge zugedrückt habe, was "ein ernstes Problem für uns alle" sei. Er sagte gegenüber Reuters, er sei in Dubai ansässig und habe RouterHosting in der irrigen Annahme registriert, dass er es brauche, um Internet-Infrastruktur in Nordamerika zu kaufen. Er sagte, er habe kürzlich die Sicherheit seines Dienstes verbessert und die Firma in Wyoming auflösen lassen.
Als im Ausland lebende Ausländer hätten weder Nozari noch Trusov oder Khan eine LLC in Wyoming gründen können, wenn es keine registrierten Vertreter gegeben hätte.
RouterHosting wurde mit Hilfe eines in Sheridan ansässigen registrierten Agenten namens Cloud Peak Law Group gegründet. Die LLCs von Aliat, HostCram und Trusov wurden von einer Firma namens Registered Agents Inc. vertreten, die ebenfalls eine Adresse in Sheridan hat.
Cloud Peak hat nicht auf Fragen geantwortet. Registered Agents Inc sagte in einer Erklärung, dass sich das Unternehmen zwar nicht zu bestimmten Kundenbeziehungen äußert, aber die einschlägigen staatlichen Vorschriften und Sorgfaltspflichten befolgt.
"Kommerzielle registrierte Agenten sind keine Polizeibehörden", fügte das Unternehmen hinzu.
Mumin, der Leiter des somalischen Journalistensyndikats, sagte, dass niemand für die Cyber-Sabotage, die seine Organisation im August lahmlegte, zur Rechenschaft gezogen worden sei. Er hatte kein Verständnis dafür, dass die in Wyoming registrierten Vertreter nicht verpflichtet waren, ihre Kunden zu überwachen.
"Sie sollten sich schämen, diese Unternehmen in Wyoming, dass sie nicht in der Lage waren - oder es ihnen egal ist - zu überprüfen, wer ihre Kunden sind", sagte Mumin. (Berichterstattung von Raphael Satter in Washington. Redaktionelle Bearbeitung: Chris Sanders und Claudia Parsons)
