ATM哗哗吐钱,几年狂偷12亿美金!这群劫匪防不住了啊?!(组图)
他们是一群黑客劫匪,用木马病毒侵入了40多个国家的100多个银行;
他们能让ATM自动往外吐现金,一晚上就能抢到400万美元;
他们能从银行数据库中修改数字,凭空制造假账户,
总共抢走了超过12亿美元的资金,成为历史上最大的银行“抢劫案”;
然而,在警方经过了近5年的调查和斗争,并最终抓捕了幕后策划人时,
人们才发现,噩梦还没有结束:
这个“抢钱病毒”,还在世界上不同的网络角落,
一代代更新、一代代升级、继续威胁着所有的金融大机构!
这场由一个名为Carbanak电脑病毒引起的数字战争,现在还在继续...
【台北一夜:让ATM自动吐出260万美元】
2016年6月10日,是一个普通的夏日。
台湾省台北市的夜幕刚刚降临,一场台风就要来临.
整个城市的人都在为即将到来的台风做准备,
路人们行色匆匆,大多数人都闭门不出。
然而,就在这样的夜晚,在台北的街道上有两个男人,
正默默顶着大雨,穿梭于台湾第一商业银行的各个网点。
他们一人名叫Sergey Berezovsky,一人叫做Vladimir Berkman,
两人都是来自俄罗斯,都带着鸭舌帽和遮面的口罩,
既不像是普通的游客,也不像是街头的混混:
他们在一个ATM处徘徊了一会儿,似乎是要排队取钱的样子。
在他们身后,还有一对同样来排队取钱的夫妇。
没多久,Sergey两人排到了ATM面前,
然后,神奇的一幕发生了:
ATM在没有任何人触碰、插卡的情况下,开始往外吐出大量现金!
这怪事儿把后面的一对夫妇看傻了,
这,难道是对ATM施了什么魔法不成?
然而,Sergey两人似乎根本就不惊讶。
他们拿出自己的背包,开始往里面塞钞票。
装完后,他们拎着背包,不理睬后面的人惊讶的目光,
转身上了一辆黑色的轿车,消失在雨夜里。
其实,Sergey两人并不是什么把积蓄都取出来想要一夜狂欢的人,
更不是什么对ATM施法的魔术师,
他们,是这个世界上迄今为止最大的一起黑客偷钱案中的成员:
专门负责在黑客们把前期工作都做好后,
到各个国家、各个银行、各个ATM网点收“ATM自动吐出的钞票”,
他们也被一直以来追踪这群犯罪团伙的警察称为“钱骡”。
而Sergey两人在这次台风夜中,
因为后面排队的目击者夫妇的举报,终于被警探们盯上了。
随后跟上的警探,发现他们来到了台北的中央车站,
把三个装满了台币的袋子,放到了车站的存储柜后消失了。
警方蹲在暗处,想要知道到底是谁会来取袋子。
不多久,又是两个俄罗斯人出现了。
他们来到Sergey存钱的柜子旁,收到了短信后打开了存储柜,
然而拎着三大袋子钱,来到了一家酒店里。
在完成了“重任后”,他们似乎充满了戒备心,一直留在酒店里闭门不出。
就在第二天晚上八点,两人吃完饭准备离开时,
已经跟了他们很久的警方出现,并将两人拘留。
经过警方审问,这次来台北作案的钱骡,共有15个。
在那个风雨交加的夜晚,大家都闭门不出的时候,
他们15个人光是在台北第一商业银行的41个ATM机里,
就取出了8300万新台币(约等于1797万人民币)。
然而,就在警方还没有来得及完全收网时,
13个钱骡就已经转移到了香港,随后就飞到了莫斯科。
这一起黑客对ATM恶性攻击事件,
立刻引起了世界范围内的大银行和警察们的注意。
因为虽然抓到了其中两人,但是这次台北“钱骡”的出动,
代表着从2013年就一直在活动的Carbanak黑客团伙,
依然还在犯罪,依然还在抢劫,依然还在困扰着世界各大银行!
【闷声抢大钱的Carbanak病毒】
自从进入了信息时代后,信息安全一直以来都是影响着每个人的重要事情。
对于一些大型机构例如世界各大银行,信息安全的重要性从来都是重中之重。
而恶性黑客和电脑病毒的存在,正是信息安全的主要威胁之一。
但是,比起之前的很多窃取私人邮件、收集个人数据,从而用来勒索赎金的病毒,
Carbanak病毒不一样的地方是,它是直接针对“偷钱”而设计的。
这一切还要从2013年说起。
2013年年尾时,位于基辅的一家乌克兰银行的高管,
发现他们最近银行丢失了一大笔资金:
银行的ATM监控显示,在黎明前的几个小时,
ATM在没有银行卡插入的情况下开始往外吐钞票。
但是,从账面上来看,他们并没有少什么钱,也没有任何客户举报丢钱了!
于是,他们请来了俄罗斯的网络安全公司卡巴斯基的人员,
希望他们能帮助银行检查一下是否有什么程序漏洞。
最初,卡巴斯基的研究人员怀疑是有黑客,用一些手持设备干扰了这些ATM,
使得它们的程序紊乱,从而莫名对外出钱。
然而一番研究后,他们发现情况远比想象的复杂:
不知具体从什么时候开始,有一群也不知道具体是来自哪里的黑客,
开始通过远程访问各大银行的电脑,盗取关键信息。
但是,他们“盗取信息”时的足迹,并没有被立刻检测到。
因为他们使用的方式和策略很特别:
首先,他们给银行的高管和员工,以“ATM供应商”的ID发送邮件,
在员工们查看邮件的同时,会自动下载一串附件内的代码。
而这个代码,就像大多数木马病毒一样,开始感染员工的电脑。
除了基本地收集电脑上已有数据外,
这个程序甚至还控制了上百台内部电脑上的摄像头,
能捕捉屏幕截图,以及记录电脑的点击记录....
就这样,病毒开始从银行员工电脑里窃取机密数据,
并将这些信息转发给黑客控制的服务器。
第二步,在初步攻破了银行系统后,
Carbanak并不着急用这些机密信息来做勒索之类的。
而是将信息安全的资料、敏感账户的机密文件进行了一番整理和分析。
比如分析各个账户、银行和ATM之间的资金流动。
他们要的,不是单单哪家银行的关键信息,不是单单能勒索哪家机构:
而是悄悄寻找和排查,
这些银行里真正掌握了信息安全的权力的管理人员,到底都是哪些人,
他们的账号和管理的方式,又到底是什么。
第三步,在收集和分析工作都完成后,时机已经成熟,
他们盗用了网络管理员和各大机构信息高管的身份,
并开始使用窃取的银行职员的验证码,
来凭空创造一个个假账户,和一笔笔看似合法的交易。
他们甚至可以直接修改银行的数据库,在现有的账户上增加余额,
使得所有的被盗资金表面上看上去都是合法交易,
最终被盗后的账户和原始数据一样保持平衡。
这样,光是从账面上来看,就不会有人发现钱少了。
在完成了这一系列的工作后,
他们相当于打开了银行金库的秘密通道,
而且,根本不用像普通大盗那样想办法跑到金库去偷钱,
而他们,只需要直接派人正大光明地去ATM上从假账户上提取现金就行。
更有一些有漏洞的ATM,他们可以直接远程遥控ATM往外吐钱....
抢钱抢得轻松又平静....
然而,更让卡巴斯基团队的专业调查人员感到惊讶的是,
整个攻破、收集和篡改的过程,
从技术层面来看,也是一样的悄无声息,
像是所有的痕迹都被抹去了一样,明面上甚至没有任何人感受到银行的钱被偷了。
最可怕的是,这样悄无声息的攻击,至少已经持续好几个月了。
所以整个团伙的攻击范围到底有多广,
他们到底已经渗透到了多少金融机构及其他重要信息机构中,
这个程序是不是还在其他银行继续“偷钱”,
目前为止这些问题根本没有一个清晰的答案....
这种黑客行为,在间谍行业被称为“高级的持续性威胁活动”,
这个程序最后被卡巴斯基公司公开为Carbanak,而开发它的团伙,也被称为Carbanak团伙。
从此,一场长达5年的数字战争,就这样在黑客和银行之间拉开了...
【银行反击:终于发现12亿美元悄悄被盗】
到了2014年秋天时,在卡巴斯基团队的提议下,
欧洲银行网络安全小组开始与花旗银行、德意志银行以及其他主要欧洲银行的专家联合,针对Carbanak一事召开紧急会议。
研究了乌克兰一案的卡巴斯基团队,
在位于海牙的欧洲刑警组织总部的会议室里,
向这些银行成员介绍了他们在乌克兰银行发现的这种可怕的Carbanak病毒。
并且警告到,这个事情的影响范围可能远超欧洲范围,
可能是一场精心布置的世界性的大抢劫。
所以大家必须联合起来,一起在全球范围内寻求帮助。
最终,一个全球性的反Carbanak银行联合组织成立了,
并开始了对Carbanak犯罪团伙的打击。
他们建立了一个安全的在线信息交流中心,
以便各个银行代表之间可以交叉核对数据,发现盗窃事件之间的联系规律。
他们还建立了一个实体的实验室,
技术人员在里面分析了Carbanak盗窃暗中发现的24个恶意软件样本。
想办法追踪程序的最初来源,以及到底都被谁使用过。
经过综合的比对分析,人们才第一次真正意识到Carbanak病毒的严重性:
全球已经有超过40个国家、100多家银行机密信息系统中发现了Carbanak病毒的痕迹。
而据欧盟执法机构“欧洲刑警组织”统计,这个Carbanak病毒和其背后的黑客团伙,
已经从这一百多家银行和私人账户中,盗取了超过12亿美元的资金。
这无疑是有史以来最大的银行抢劫案了!
并且更糟糕的是,这个案子还在继续,被盗金额还在增加!
但是,虽然意识到事态严重,警方和银行的调查和打击却一直都进展艰难,
因为Carbanak却还在不停地更新换代升级,
打压和排查的速度,远远跟不上被攻击的速度...
比如,2016年年初,警方又发现了Carbanak的变形病毒 Cobalt Strike。
犯罪团伙通过冒用金融机构的ID,向银行员工发送了电子邮件,
里面附带了名为Cobalt Strike的恶意程序。
这个程序会让主机自动侵入它们所属的中心机构,以便自动发现漏洞。
这就像是之前观测到的Carbanak的升级版:
而且它每成功一次,就能够抢到1200万美元。
虽然Carbanak团伙就像是一个在世界各地闪现的幽灵一样,让警察们感到头疼。
但是,警方也知道,再厉害的电脑病毒,都有一个致命的弱点:
这些病毒在一开始,都是由人类自己创造的。
最终去取钱、洗钱的人,也是会出现现实生活中的普通人。
而充满了弱点的人类,就是在这场数字战争中,最关键的攻破点!
于是,在2016年6月,
在发生了“台北一夜”钱骡抢劫案,警方成功抓捕两名“钱骡”后,
在这场虚拟战争中渐落下风的警方,总算开始有了突破....
【擒贼先擒王:一个拥有15000比特币的普通人】
台北一夜后,通过顺藤摸瓜地打探消息,
警方把视线放到了,一个在西班牙生活的男人身上:
一个住着马德里的乌克兰人Denis Katana。
种种迹象表明,这个人很有可能就是Carbanak案件的幕后策划者。
但是,由于确切证据的限制,警方只能是怀疑,
并不能对他采取网络监控在内的种种措施。
这大大限制了下一步调查...
但“监控”的机会很快就来了:
2017年初,在Carbanak袭击了一个俄罗斯银行账户后,
钱骡从马德里的ATM中提出了400万美元。
这时候,因为早有怀疑和准备,
调查人员有幸追踪到了这次袭击的主要人员Denis Katana
并终于向法庭取得了在现实生活和网络上监控他的权利。
经过一番暗中观察,这个幕后大佬的生活渐渐暴露在警察视野中:
在距离马德里四小时车程的一个西班牙港口城市阿利坎特,
Denis Katana住在一所普通的公寓里,他的生活看上去平静又平凡:
他本人很瘦小,有一个妻子和一个年幼的儿子;
家里并不大,一家三口住着一个100平左右的房子;甚至他还很少去海边散步,对家附近这个吸引了无数游客的金色沙滩表现的兴致缺缺,
他的社交生活很单调,甚至并没有多少机会去和当地人学西班牙语;
他最大的兴趣,就是上网了。
他们经常对着自己的电脑,一直埋头苦干,从清晨到日出。
从周围人的视角出发,他简直是一个无聊的男人。
但这一切平静中,唯一的独特可能就是Denis使用的电脑服务器:
他用的是一个特殊的离岸服务器。
虽然这件事本身并不违法,但却让监控他的警察觉得:
这里面一定有猫腻!
于是,在警方技术人员的长时间监控下,
Katana通过电脑和网络干的那些不平凡的事儿,开始暴露在警方面前:
他组建了一个四人团队,
一人负责向银行发送恶意电子邮件,
一人负责窃取银行数据库资料;
一人负责消除他们的“足迹”;
而Katana负责的就是这个活动中最复杂也最关键的部分:
对银行系统进行侦查,然后像空中交通管制员一样,
在网络上对这些银行的账户,进行资金重组。
在他手中,这个“盗窃”活动就像是一门艺术一样,
有着一套完整的技术知识支撑,和一套复杂的内在逻辑。
甚至连监控到他活动后的警方技术人员都感慨:
这表面平凡的男人,在网上做的这一切,简直轻而易举。
世界上没有任何一个人能和他一样,完成他做的那一切!
有趣的是,Denis似乎并不是很需要现金。
相对于花钱和过上富豪的生活,他似乎更享受这种“攻破一家又一家银行”的成就感。
同时,他也正在通过比特币交易,把这些所有的现金都洗成电子货币。
3月6日上午,一个警察敲开了Denis的家门,
意识到发生了什么事情后,他并没有反抗。
十多名武警涌入,把他的电脑和所有相关证据都打包。
最后调查人员在除了一堆珠宝、两辆豪车、一栋豪宅外,
还发现了Denis拥有的15000个比特币,大概相当于1亿多美元。
警方最终正式逮捕了Denis Katana,
并希望能从他身上找到更多关于Carbanak一案的信息,抓捕更多的相关同伙。
虽然警方有种种证据,使得他们怀疑Denis就是整个案件的主要策划者,
但是目前警方关于案件的进展,还没有公开任何信息,
并且Denis本人,也还没有被正式指控起诉。
然而,关于案件目前可以肯定的一点是,
尽管主导了历史上最大的一起“银行抢劫案”,
但包括Denis在内的网络黑客罪犯,暂时没被判刑。
而他们盗窃的这些资金,到底能不能还回来,以及通过何种形式还回来,
依然还是一个问题。
种种迹象表示,光是抓到Denis并没有让Carbanak一案了结,
他们的团伙, 又或者是根本不认识Denis的其他黑客,可能还在就犯罪:
因为Carbanak病毒正在全球范围内扩散,
它依然可以被其他的黑客学习和利用,
改造成一个又一个更强、更狡猾的病毒程序,
就像现实生活中的病毒一样,一代代地更新,一次次地扩散....
所以,威胁依然存在,且受到感染和侵入的机构也不再仅限于银行:
连锁餐厅、大型零售商、大型供应商等,都可能成为Carbanak的受害者....
“战争”还在继续,
所有的大型机构都应该对此保持高度警惕...
+61
+86
+886
+852
+853
+64
