|
他们是一群黑客劫匪 能让ATM自动往外吐现金 一晚上就能抢到400万美元 用木马病毒侵入了40多个国家的100多个银行; 他们能从银行数据库中 修改数字、制造假账户 总共抢走了超过12亿美元的资金 成为史上最大的银行“抢劫案” 经过警方近5年的调查和斗争 最终抓捕了幕后策划人时 人们才发现,噩梦还没有结束: 这个“抢钱病毒”, 在世界上不同的网络角落, 一代代更新、一代代升级、 继续威胁着所有的金融大机构! 这场由一个名为Carbanak电脑病毒 引起的数字战争,现在还在继续... 01 台北ATM一夜吐出260万美元 2016年6月10日 是一个普通的夏日 台湾省台北市的夜幕刚刚降临 一场台风就要来临. 整个城市的人都在为 即将到来的台风做准备 路人们行色匆匆 大多数人都闭门不出 然而,就在这样的夜晚 在台北的街道上有两个俄罗斯男人 默默顶着大雨 穿梭于台湾第一商业银行的各个网点
一人名叫Sergey Berezovsky 一人叫做Vladimir Berkman 都带着鸭舌帽和遮面的口罩 既不像是普通的游客 也不像是街头的混混 他们在一个ATM处徘徊了一会儿 似乎是要排队取钱的样子 在他们身后 还有一对同样来排队取钱的夫妇 没多久,Sergey两人排到了ATM面前 然后,神奇的一幕发生了: ATM在没有任何人触碰、插卡的情况下 开始往外吐出大量现金! 这怪事儿把后面的一对夫妇看傻了 这,难道是对ATM施了什么魔法不成? 然而,Sergey两人似乎根本就不惊讶 拿出背包开始往里面塞钞票 装完后,他们拎着背包 不理睬后面的人惊讶的目光 转身上了一辆黑色的轿车 消失在雨夜里 他们两人并不是 把自己积蓄都取出来想要一夜狂欢的人 更不是什么对ATM施法的魔术师 他们,是世界上迄今为止最大的 一起黑客偷钱案中的成员 在黑客们把前期工作都做好后 负责到各个国家、各个银行、各个网点 收 “ATM自动吐出的钞票” 他们被追踪这群犯罪团伙的警察 称为“钱骡”
而Sergey两人在这次台风夜中 因为后面排队的目击者夫妇的举报 终于被警探们盯上了 警探发现他们来到了台北中央车站 把三个装满了台币的袋子 放到了车站的存储柜后消失了 警方蹲在暗处 想要知道到底是谁会来取袋子 不多久,又是两个俄罗斯人出现了 他们来到Sergey存钱的柜子旁 收到了短信后打开了存储柜 然后拎着三大袋子钱来到了一家酒店 在完成了“重任后” 他们似乎充满了戒备心 一直留在酒店里闭门不出 到了第二天晚上八点 两人吃完饭准备离开时 跟了他们很久的警方出现并将两人拘留 经过警方审问 这次来台北作案的钱骡,共有15个 在那个风雨交加的夜晚 他们15个人光是在台北第一商业银行 的41个ATM机里就取出了8300万新台币(约等于1797万人民币)
然而 就在警方还没有来得及完全收网时 13个钱骡就已经转移到了香港 随后就飞到了莫斯科 这起黑客对ATM恶性攻击事件 立刻引起了世界各大银行和警察的注意 虽然抓到了其中两人 但这次台北“钱骡”的出动代表着 从2013年就一直在活动的 Carbanak黑客团伙依然还在犯罪 依然还在抢劫 依然还在困扰着世界各大银行! 02 闷声抢大钱的Carbanak病毒 自从进入信息时代 一些大型机构,例如世界各大银行 信息安全的重要性从来都是重中之重 而恶性黑客和电脑病毒的存在 正是信息安全的主要威胁之一 比起之前窃取私人邮件、收集个人数据 从而来勒索赎金的病毒 Carbanak病毒不一样的地方是 它是直接针对“偷钱”而设计的 这一切还要从2013年说起 2013年年尾时 位于基辅的一家乌克兰银行的高管 发现他们最近银行丢失了一大笔资金 银行ATM监控显示 在黎明前的几个小时 ATM在没有银行卡插入的情况下 开始往外吐钞票 但是,从账面上来看 他们并没有少什么钱 也没有任何客户举报丢钱了!
于是,他们请来了俄罗斯网络安全公司 的技术人员卡巴斯基团队 希望他们能帮助检查是否有程序漏洞 最初,技术人员怀疑是有黑客 用一些手持设备干扰了这些ATM 使得它们程序紊乱,从而莫名对外出钱 然而一番研究后 他们发现情况远比想象的复杂: 不知具体从什么时候开始 有一群也不知道来自哪里的黑客 开始通过远程访问各大银行的电脑 盗取关键信息 但是,他们“盗取信息”时的足迹 并没有被立刻检测到 因为他们使用的方式和策略很特别: 首先 他们给银行的高管和员工 以“ATM供应商”的ID发送邮件 在员工查看邮件的同时 会自动下载一串附件内的代码 而这个代码就像大多数木马病毒一样 开始感染员工的电脑 除了本地收集电脑上已有数据外 这个程序还控制了内部电脑上的摄像头 捕捉屏幕截图以及记录电脑的点击记录... 就这样 病毒开始从银行员工电脑里窃取数据 并将这些信息转发给黑客控制的服务器 第二步 在初步攻破了银行系统后 Carbanak并不着急用这些机密信息 来做勒索之类的 而是将信息安全资料、账户机密文件 进行了一番整理和分析 比如分析各个账户、 银行和ATM之间的资金流动 他们要的不是单单哪家银行的关键信息 不是单单能勒索哪家机构 而是寻找和排查银行掌握 信息安全权力的高管到底是哪些人 他们的账号和管理的方式又到底是什么 第三步 在收集和分析工作都完成后 他们盗用网络管理员 和各大机构信息高管的身份 开始使用窃取的银行职员的验证码 凭空创造一个个假账户 和一笔笔看似合法的交易 他们甚至可以直接修改银行的数据库 在现有的账户上增加余额 使得所有的被盗资金 表面上看上去都是合法交易 最终被盗后的账户 和原始数据一样保持平衡(借贷相等) 从账面上来看就不会有人发现钱少了 他们相当于打开了银行金库的秘密通道 而且根本不用像普通大盗那样 想办法跑到金库去偷钱 他们只需要直接派人 正大光明地去ATM上从假账户上 提取现金就行 更不要说一些有漏洞的ATM 他们可以直接远程遥控ATM往外吐钱... 抢钱抢得轻松又平静.... 然而,让调查人员感到惊讶的是 整个攻破、收集和篡改的过程 从技术层面来看也是一样的悄无声息 像是所有的访问痕迹都被抹去了一样 明面上甚至没有任何人感受到银行的钱被偷了 最可怕的是,这样悄无声息的攻击 至少已经持续好几个月了 他们到底已经渗透到了多少金融机构? 整个团伙的攻击范围到底有多广? 这个程序是不是仍在其他银行“偷钱” 目前还没有一个清晰的答案... 这种黑客行为在间谍行业被称为 “高级的持续性威胁活动” 这个程序最后被卡巴斯基公司 公开为Carbanak 而开发它的团伙也被称为Carbanak团伙 从此,一场长达5年的数字战争 就这样在黑客和银行之间拉开了… 03 银行反击,发现12亿美元被盗 2014年秋天,全球性的反Carbanak 银行联合组织成立了 技术人员分析了24个恶意软件样本 追踪程序的最初来源 以及到底都被谁使用过 经过综合比对分析 人们才意识到Carbanak病毒的严重性: 全球已经有超过40个国家、100多家银行机密信息系统中发现了Carbanak病毒的痕迹
而据欧盟执法机构“欧洲刑警组织”统计 Carbanak病毒和其背后黑客团伙 已经从这一百多家银行和私人账户中 盗取了超过12亿美元的资金 这无疑是有史以来最大的银行抢劫案! 并且更糟糕的是 这个案子还在继续! 被盗金额还在增加! 因为Carbanak在不停地更新换代升级 打压和排查的速度 远远跟不上被攻击的速度... 警方和银行的调查却一直都进展艰难 2016年初 警方又发现了Carbanak的变形病毒 Cobalt Strike 犯罪团伙通过冒用金融机构的ID 向银行员工发送了电子邮件 里面附带了Cobalt Strike恶意程序 这个程序会让主机自动侵入中心机构 以便自动发现漏洞 这就像是之前观测到的 Carbanak的升级版: 而且它每成功一次 就能够抢到1200万美元 虽然Carbanak像闪现的幽灵一样 让警察们感到头疼 但是,再厉害的电脑病毒都有致命弱点 这些病毒在一开始 都是由人类自己创造的 最终去取钱、洗钱的人 也是会出现现实生活中的普通人 而充满了弱点的人类 就是在这场数字战争中 最关键的攻破点! 于是,2016年6月 “台北一夜”的钱骡抢劫案 警方成功抓捕两名“钱骡”后 在这场虚拟战争中渐落下风的警方 总算开始有了突破... 04 擒贼先擒王:拥有15000个比特币 警方通过顺藤摸瓜地打探消息 把视线放到了一个住着马德里的乌克兰人Denis Katana 种种迹象表明 这个人很有可能就是案件幕后策划者 但是,由于确切证据的限制 警方只能是怀疑 并不能对他采取网络监控在内的种种措施 这大大限制了下一步调查... 2017年初 Carbanak袭击了一个俄罗斯银行账户 钱骡从马德里ATM中提出了400万美元 调查人员因为早有怀疑和准备 追踪到了Denis Katana 并终于向法庭取得了网络上监控他的权利 经过一番暗中观察 这个幕后大佬的生活 渐渐暴露在警察视野中: 距离马德里四小时车程的 一个西班牙港口城市阿利坎特 Denis Katana住在一所普通的公寓里 他的生活看上去平静又平凡: 他本人很瘦小 有一个妻子和一个年幼的儿子 一家三口住着一个100平左右的房子 他甚至还很少去海边散步 对家附近这个吸引了无数游客的金色沙滩表现的兴致缺缺
他的社交生活很单调 没有多少机会去和当地人学西班牙语 他最大的兴趣,就是上网 经常对着自己的电埋头苦干 从清晨到日出 从周围人的视角出发 他简直是一个无聊的男人
但这一切平静中,唯一的独特可能就是Denis使用的电脑服务器: 他用的是一个特殊的离岸服务器 虽然这件事本身并不违法 但却让监控他的警察觉得: 这里面一定有猫腻! 经过长时间监控 Katana通过电脑和网络 干的那些不平凡的事儿 开始暴露在警方面前: 他组建了一个四人团队, 一人负责向银行发送恶意电子邮件 一人负责窃取银行数据库资料 一人负责消除他们的“足迹” 而Katana负责这个活动中 最复杂也最关键的部分: 对银行系统进行侦查 然后像空中交通管制员一样 在网络上对这些银行的账户 进行资金重组 在他手中 这个“盗窃”活动就像是一门艺术一样 有着一套完整的技术知识支撑 和一套复杂的内在逻辑 连监控他活动的警方技术人员都感慨: 这表面平凡的男人 在网上做的这一切简直轻而易举 世界上还没有任何一个人能和他一样 完成他做的那一切! 有趣的是 Denis似乎并不是很需要现金 相对于花钱和过上富豪的生活 他似乎更享受这种 “攻破一家又一家银行”的成就感 同时,他也正在通过比特币交易 把这些所有的现金都洗成电子货币 3月6日上午 一个警察敲开了Denis的家门 意识到发生了什么事情后 他并没有反抗 十多名武警涌入 把他的电脑和所有相关证据都打包 最后调查人员在 除了一堆珠宝、两辆豪车、一栋豪宅外 还发现了Denis拥有的15000个比特币 大概相当于1亿多美元 警方最终正式逮捕了Denis Katana, 并希望能从他身上找到更多 关于Carbanak一案的信息 抓捕更多的相关同伙 但目前关于案件的进展 还没有公开任何信息 Denis也还没有被正式指控起诉 包括Denis在内的网络黑客罪犯 暂时没被判刑 而且他们盗窃的这些资金 到底能不能还回来? 以及通过何种形式还回来? 依然还是一个问题 但是Carbanak一案并未了结 Carbanak病毒正在全球范围内扩散 它依然可以被其他的黑客学习和利用 改造成一个又一个 更强、更狡猾的病毒程序 一代代地更新,一次次地扩散.... 所以,威胁依然存在 且受到感染和侵入的机构 也不再仅限于银行: 连锁餐厅、大型零售商、大型供应商等 都可能成为Carbanak的受害者... “战争”还在继续 所有的大型机构都应该对此保持高度警惕... Ref:https:///the-great-bank-robbery-the-carbanak-apt/68732/ https://www./news/features/2018-06-25/the-biggest-digital-heist-in-history-isn-t-over-yet https://en./wiki/Carbanak |
|
|
来自: 10羊皮卷 > 《Cases and Stories》
