ATM哗哗吐钱,几年狂偷12亿美金!这群劫匪防不住了啊?!

他们是一群黑客劫匪,用木马病毒侵入了40多个国家的100多个银行;

他们能让ATM自动往外吐现金,一晚上就能抢到400万美元;

他们能从银行数据库中修改数字,凭空制造假账户,

总共抢走了超过12亿美元的资金,成为历史上最大的银行“抢劫案”;

然而,在警方经过了近5年的调查和斗争,并最终抓捕了幕后策划人时,

人们才发现,噩梦还没有结束:

这个“抢钱病毒”,还在世界上不同的网络角落,

一代代更新、一代代升级、继续威胁着所有的金融大机构!

这场由一个名为Carbanak电脑病毒引起的数字战争,现在还在继续...

【台北一夜:让ATM自动吐出260万美元】

2016年6月10日,是一个普通的夏日。

台湾省台北市的夜幕刚刚降临,一场台风就要来临.

整个城市的人都在为即将到来的台风做准备,

路人们行色匆匆,大多数人都闭门不出。

然而,就在这样的夜晚,在台北的街道上有两个男人,

正默默顶着大雨,穿梭于台湾第一商业银行的各个网点。

他们一人名叫Sergey Berezovsky,一人叫做Vladimir Berkman,

两人都是来自俄罗斯,都带着鸭舌帽和遮面的口罩,

既不像是普通的游客,也不像是街头的混混:

他们在一个ATM处徘徊了一会儿,似乎是要排队取钱的样子。


在他们身后,还有一对同样来排队取钱的夫妇。

没多久,Sergey两人排到了ATM面前,

然后,神奇的一幕发生了:

ATM在没有任何人触碰、插卡的情况下,开始往外吐出大量现金!

这怪事儿把后面的一对夫妇看傻了,

这,难道是对ATM施了什么魔法不成?

然而,Sergey两人似乎根本就不惊讶。

他们拿出自己的背包,开始往里面塞钞票。

装完后,他们拎着背包,不理睬后面的人惊讶的目光,

转身上了一辆黑色的轿车,消失在雨夜里。

其实,Sergey两人并不是什么把积蓄都取出来想要一夜狂欢的人,

更不是什么对ATM施法的魔术师,

他们,是这个世界上迄今为止最大的一起黑客偷钱案中的成员:

专门负责在黑客们把前期工作都做好后,

到各个国家、各个银行、各个ATM网点收“ATM自动吐出的钞票”,

他们也被一直以来追踪这群犯罪团伙的警察称为“钱骡”。

而Sergey两人在这次台风夜中,

因为后面排队的目击者夫妇的举报,终于被警探们盯上了。

随后跟上的警探,发现他们来到了台北的中央车站,

把三个装满了台币的袋子,放到了车站的存储柜后消失了。

警方蹲在暗处,想要知道到底是谁会来取袋子。

不多久,又是两个俄罗斯人出现了。

他们来到Sergey存钱的柜子旁,收到了短信后打开了存储柜,

然而拎着三大袋子钱,来到了一家酒店里。

在完成了“重任后”,他们似乎充满了戒备心,一直留在酒店里闭门不出。

就在第二天晚上八点,两人吃完饭准备离开时,

已经跟了他们很久的警方出现,并将两人拘留。


经过警方审问,这次来台北作案的钱骡,共有15个。

在那个风雨交加的夜晚,大家都闭门不出的时候,

他们15个人光是在台北第一商业银行的41个ATM机里,

就取出了8300万新台币(约等于1797万人民币)。

然而,就在警方还没有来得及完全收网时,

13个钱骡就已经转移到了香港,随后就飞到了莫斯科。

这一起黑客对ATM恶性攻击事件,

立刻引起了世界范围内的大银行和警察们的注意。

因为虽然抓到了其中两人,但是这次台北“钱骡”的出动,

代表着从2013年就一直在活动的Carbanak黑客团伙,

依然还在犯罪,依然还在抢劫,依然还在困扰着世界各大银行!


【闷声抢大钱的Carbanak病毒】

自从进入了信息时代后,信息安全一直以来都是影响着每个人的重要事情。

对于一些大型机构例如世界各大银行,信息安全的重要性从来都是重中之重。

而恶性黑客和电脑病毒的存在,正是信息安全的主要威胁之一。

但是,比起之前的很多窃取私人邮件、收集个人数据,从而用来勒索赎金的病毒,

Carbanak病毒不一样的地方是,它是直接针对“偷钱”而设计的。

这一切还要从2013年说起。

2013年年尾时,位于基辅的一家乌克兰银行的高管,

发现他们最近银行丢失了一大笔资金:

银行的ATM监控显示,在黎明前的几个小时,

ATM在没有银行卡插入的情况下开始往外吐钞票。

但是,从账面上来看,他们并没有少什么钱,也没有任何客户举报丢钱了!

于是,他们请来了俄罗斯的网络安全公司卡巴斯基的人员,

希望他们能帮助银行检查一下是否有什么程序漏洞。

最初,卡巴斯基的研究人员怀疑是有黑客,用一些手持设备干扰了这些ATM,

使得它们的程序紊乱,从而莫名对外出钱。

然而一番研究后,他们发现情况远比想象的复杂:

不知具体从什么时候开始,有一群也不知道具体是来自哪里的黑客,

开始通过远程访问各大银行的电脑,盗取关键信息。

但是,他们“盗取信息”时的足迹,并没有被立刻检测到。

因为他们使用的方式和策略很特别:

首先,他们给银行的高管和员工,以“ATM供应商”的ID发送邮件,

在员工们查看邮件的同时,会自动下载一串附件内的代码。

而这个代码,就像大多数木马病毒一样,开始感染员工的电脑。

除了基本地收集电脑上已有数据外,

这个程序甚至还控制了上百台内部电脑上的摄像头,

能捕捉屏幕截图,以及记录电脑的点击记录....

就这样,病毒开始从银行员工电脑里窃取机密数据,

并将这些信息转发给黑客控制的服务器。

第二步,在初步攻破了银行系统后,

Carbanak并不着急用这些机密信息来做勒索之类的。

而是将信息安全的资料、敏感账户的机密文件进行了一番整理和分析。

比如分析各个账户、银行和ATM之间的资金流动。

他们要的,不是单单哪家银行的关键信息,不是单单能勒索哪家机构:

而是悄悄寻找和排查,

这些银行里真正掌握了信息安全的权力的管理人员,到底都是哪些人,

他们的账号和管理的方式,又到底是什么。

第三步,在收集和分析工作都完成后,时机已经成熟,

他们盗用了网络管理员和各大机构信息高管的身份,

并开始使用窃取的银行职员的验证码

来凭空创造一个个假账户,和一笔笔看似合法的交易。

他们甚至可以直接修改银行的数据库,在现有的账户上增加余额,

使得所有的被盗资金表面上看上去都是合法交易,

最终被盗后的账户和原始数据一样保持平衡。

这样,光是从账面上来看,就不会有人发现钱少了。


在完成了这一系列的工作后,

他们相当于打开了银行金库的秘密通道

而且,根本不用像普通大盗那样想办法跑到金库去偷钱,

而他们,只需要直接派人正大光明地去ATM上从假账户上提取现金就行。

更有一些有漏洞的ATM,他们可以直接远程遥控ATM往外吐钱.... 

抢钱抢得轻松又平静....

然而,更让卡巴斯基团队的专业调查人员感到惊讶的是,

整个攻破、收集和篡改的过程,

从技术层面来看,也是一样的悄无声息,

像是所有的痕迹都被抹去了一样,明面上甚至没有任何人感受到银行的钱被偷了。

最可怕的是,这样悄无声息的攻击,至少已经持续好几个月了。

所以整个团伙的攻击范围到底有多广,

他们到底已经渗透到了多少金融机构及其他重要信息机构中,

这个程序是不是还在其他银行继续“偷钱”,

目前为止这些问题根本没有一个清晰的答案....


这种黑客行为,在间谍行业被称为“高级的持续性威胁活动”,

这个程序最后被卡巴斯基公司公开为Carbanak,而开发它的团伙,也被称为Carbanak团伙。

从此,一场长达5年的数字战争,就这样在黑客和银行之间拉开了...

【银行反击:终于发现12亿美元悄悄被盗】

到了2014年秋天时,在卡巴斯基团队的提议下,

欧洲银行网络安全小组开始与花旗银行、德意志银行以及其他主要欧洲银行的专家联合,针对Carbanak一事召开紧急会议。

研究了乌克兰一案的卡巴斯基团队,

在位于海牙的欧洲刑警组织总部的会议室里,

向这些银行成员介绍了他们在乌克兰银行发现的这种可怕的Carbanak病毒。

并且警告到,这个事情的影响范围可能远超欧洲范围,

可能是一场精心布置的世界性的大抢劫。

所以大家必须联合起来,一起在全球范围内寻求帮助。

最终,一个全球性的反Carbanak银行联合组织成立了,

并开始了对Carbanak犯罪团伙的打击。

他们建立了一个安全的在线信息交流中心,

以便各个银行代表之间可以交叉核对数据,发现盗窃事件之间的联系规律。

他们还建立了一个实体的实验室,

技术人员在里面分析了Carbanak盗窃暗中发现的24个恶意软件样本。

想办法追踪程序的最初来源,以及到底都被谁使用过。


经过综合的比对分析,人们才第一次真正意识到Carbanak病毒的严重性:

全球已经有超过40个国家、100多家银行机密信息系统中发现了Carbanak病毒的痕迹。

而据欧盟执法机构“欧洲刑警组织”统计,这个Carbanak病毒和其背后的黑客团伙,

已经从这一百多家银行和私人账户中,盗取了超过12亿美元的资金。

这无疑是有史以来最大的银行抢劫案了!

并且更糟糕的是,这个案子还在继续,被盗金额还在增加!

但是,虽然意识到事态严重,警方和银行的调查和打击却一直都进展艰难,

因为Carbanak却还在不停地更新换代升级,

打压和排查的速度,远远跟不上被攻击的速度...

比如,2016年年初,警方又发现了Carbanak的变形病毒 Cobalt Strike。

犯罪团伙通过冒用金融机构的ID,向银行员工发送了电子邮件,

里面附带了名为Cobalt Strike的恶意程序。

这个程序会让主机自动侵入它们所属的中心机构,以便自动发现漏洞。

这就像是之前观测到的Carbanak的升级版:

而且它每成功一次,就能够抢到1200万美元。

虽然Carbanak团伙就像是一个在世界各地闪现的幽灵一样,让警察们感到头疼。

但是,警方也知道,再厉害的电脑病毒,都有一个致命的弱点:

这些病毒在一开始,都是由人类自己创造的。

最终去取钱、洗钱的人,也是会出现现实生活中的普通人。

而充满了弱点的人类,就是在这场数字战争中,最关键的攻破点!


于是,在2016年6月,

在发生了“台北一夜”钱骡抢劫案,警方成功抓捕两名“钱骡”后,

在这场虚拟战争中渐落下风的警方,总算开始有了突破....

【擒贼先擒王:一个拥有15000比特币的普通人】

台北一夜后,通过顺藤摸瓜地打探消息,

警方把视线放到了,一个在西班牙生活的男人身上:

一个住着马德里的乌克兰人Denis Katana。

种种迹象表明,这个人很有可能就是Carbanak案件的幕后策划者。

但是,由于确切证据的限制,警方只能是怀疑,

并不能对他采取网络监控在内的种种措施。

这大大限制了下一步调查...

但“监控”的机会很快就来了:

2017年初,在Carbanak袭击了一个俄罗斯银行账户后,

钱骡从马德里的ATM中提出了400万美元。

这时候,因为早有怀疑和准备,

调查人员有幸追踪到了这次袭击的主要人员Denis Katana

并终于向法庭取得了在现实生活和网络上监控他的权利。

经过一番暗中观察,这个幕后大佬的生活渐渐暴露在警察视野中:

在距离马德里四小时车程的一个西班牙港口城市阿利坎特,

Denis Katana住在一所普通的公寓里,他的生活看上去平静又平凡:

他本人很瘦小,有一个妻子和一个年幼的儿子;

家里并不大,一家三口住着一个100平左右的房子;甚至他还很少去海边散步,对家附近这个吸引了无数游客的金色沙滩表现的兴致缺缺,

他的社交生活很单调,甚至并没有多少机会去和当地人学西班牙语;

他最大的兴趣,就是上网了。

他们经常对着自己的电脑,一直埋头苦干,从清晨到日出。

从周围人的视角出发,他简直是一个无聊的男人。

但这一切平静中,唯一的独特可能就是Denis使用的电脑服务器:

他用的是一个特殊的离岸服务器。

虽然这件事本身并不违法,但却让监控他的警察觉得:

这里面一定有猫腻!

于是,在警方技术人员的长时间监控下,

Katana通过电脑和网络干的那些不平凡的事儿,开始暴露在警方面前:

他组建了一个四人团队,

一人负责向银行发送恶意电子邮件,

一人负责窃取银行数据库资料;

一人负责消除他们的“足迹”;

而Katana负责的就是这个活动中最复杂也最关键的部分:

对银行系统进行侦查,然后像空中交通管制员一样,

在网络上对这些银行的账户,进行资金重组。

在他手中,这个“盗窃”活动就像是一门艺术一样,

有着一套完整的技术知识支撑,和一套复杂的内在逻辑。

甚至连监控到他活动后的警方技术人员都感慨:

这表面平凡的男人,在网上做的这一切,简直轻而易举。

世界上没有任何一个人能和他一样,完成他做的那一切!

有趣的是,Denis似乎并不是很需要现金。

相对于花钱和过上富豪的生活,他似乎更享受这种“攻破一家又一家银行”的成就感。


同时,他也正在通过比特币交易,把这些所有的现金都洗成电子货币。

3月6日上午,一个警察敲开了Denis的家门,

意识到发生了什么事情后,他并没有反抗。

十多名武警涌入,把他的电脑和所有相关证据都打包。

最后调查人员在除了一堆珠宝、两辆豪车、一栋豪宅外,

还发现了Denis拥有的15000个比特币,大概相当于1亿多美元。 

警方最终正式逮捕了Denis Katana,

并希望能从他身上找到更多关于Carbanak一案的信息,抓捕更多的相关同伙。

虽然警方有种种证据,使得他们怀疑Denis就是整个案件的主要策划者,

但是目前警方关于案件的进展,还没有公开任何信息,

并且Denis本人,也还没有被正式指控起诉。


然而,关于案件目前可以肯定的一点是,

尽管主导了历史上最大的一起“银行抢劫案”,

但包括Denis在内的网络黑客罪犯,暂时没被判刑。

而他们盗窃的这些资金,到底能不能还回来,以及通过何种形式还回来,

依然还是一个问题。

种种迹象表示,光是抓到Denis并没有让Carbanak一案了结,

他们的团伙, 又或者是根本不认识Denis的其他黑客,可能还在就犯罪:

因为Carbanak病毒正在全球范围内扩散,

它依然可以被其他的黑客学习和利用,

改造成一个又一个更强、更狡猾的病毒程序,

就像现实生活中的病毒一样,一代代地更新,一次次地扩散....

所以,威胁依然存在,且受到感染和侵入的机构也不再仅限于银行:

连锁餐厅、大型零售商、大型供应商等,都可能成为Carbanak的受害者....

“战争”还在继续,

所有的大型机构都应该对此保持高度警惕...

Ref:

https://securelist.com/the-great-bank-robbery-the-carbanak-apt/68732/

https://www.bloomberg.com/news/features/2018-06-25/the-biggest-digital-heist-in-history-isn-t-over-yet

https://en.wikipedia.org/wiki/Carbanak


温布利王子妃:师傅,请受徒儿一拜

你站后面许愿么:怪不得我支付宝里钱总是没的贼快 

xiaoq200509:看半天就是谁也拿他们没办法呗

4Filwsbb:天哪!想起 ‘我是谁 没有完全安全的系统’

灵魂画师叮叮猫:这些事情都是莱斯特找人干的

怪球先生:帅炸了 坐等10年之内改编电影!

Soleil347:想学

袖发条:好奇如何做到“明面上没有人感觉到钱被偷了”的?最终提取的钱总得从某些账户出,即使做成看似正常的交易也得有假交易啊,就没人发现吗

咩阿吱吱吱吱:简直牛叉到宇宙爆炸

妤夕妤夕_:贫穷使我免遭洗劫

文章出处:英国那些事儿

本文由来源 黑白之道,由 Kay666 整理编辑,其版权均为 黑白之道 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

相关文章

发表评论

电子邮件地址不会被公开。