他們是一群黑客劫匪,用木馬病毒侵入了40多個國家的100多個銀行;
他們能讓ATM自動往外吐現金,一晚上就能搶到400萬美元;
他們能從銀行數據庫中修改數字,憑空製造假賬戶,
總共搶走了超過12億美元的資金,成為歷史上最大的銀行“搶劫案”;
然而,在警方經過了近5年的調查和鬥爭,並最終抓捕了幕後策劃人時,
人們才發現,噩夢還沒有結束:
這個“搶錢病毒”,還在世界上不同的網絡角落,
一代代更新、一代代升級、繼續威脅著所有的金融大機構!
這場由一個名為Carbanak電腦病毒引起的數字戰爭,現在還在繼續...
【臺北一夜:讓ATM自動吐出260萬美元】
2016年6月10日,是一個普通的夏日。
臺灣省臺北市的夜幕剛剛降臨,一場颱風就要來臨.
整個城市的人都在為即將到來的颱風做準備,
路人們行色匆匆,大多數人都閉門不出。
然而,就在這樣的夜晚,在臺北的街道上有兩個男人,
正默默頂著大雨,穿梭於臺灣第一商業銀行的各個網點。
他們一人名叫Sergey Berezovsky,一人叫做Vladimir Berkman,
兩人都是來自俄羅斯,都帶著鴨舌帽和遮面的口罩,
既不像是普通的遊客,也不像是街頭的混混:
他們在一個ATM處徘徊了一會兒,似乎是要排隊取錢的樣子。
在他們身後,還有一對同樣來排隊取錢的夫婦。
沒多久,Sergey兩人排到了ATM面前,
然後,神奇的一幕發生了:
ATM在沒有任何人觸碰、插卡的情況下,開始往外吐出大量現金!
這怪事兒把後面的一對夫婦看傻了,
這,難道是對ATM施了什麼魔法不成?
然而,Sergey兩人似乎根本就不驚訝。
他們拿出自己的揹包,開始往裡面塞鈔票。
裝完後,他們拎著揹包,不理睬後面的人驚訝的目光,
轉身上了一輛黑色的轎車,消失在雨夜裡。
其實,Sergey兩人並不是什麼把積蓄都取出來想要一夜狂歡的人,
更不是什麼對ATM施法的魔術師,
他們,是這個世界上迄今為止最大的一起黑客偷錢案中的成員:
專門負責在黑客們把前期工作都做好後,
到各個國家、各個銀行、各個ATM網點收“ATM自動吐出的鈔票”,
他們也被一直以來追蹤這群犯罪團伙的警察稱為“錢騾”。
而Sergey兩人在這次颱風夜中,
因為後面排隊的目擊者夫婦的舉報,終於被警探們盯上了。
隨後跟上的警探,發現他們來到了臺北的中央車站,
把三個裝滿了臺幣的袋子,放到了車站的存儲櫃後消失了。
警方蹲在暗處,想要知道到底是誰會來取袋子。
不多久,又是兩個俄羅斯人出現了。
他們來到Sergey存錢的櫃子旁,收到了短信後打開了存儲櫃,
然而拎著三大袋子錢,來到了一家酒店裡。
在完成了“重任後”,他們似乎充滿了戒備心,一直留在酒店裡閉門不出。
就在第二天晚上八點,兩人吃完飯準備離開時,
已經跟了他們很久的警方出現,並將兩人拘留。
經過警方審問,這次來臺北作案的錢騾,共有15個。
在那個風雨交加的夜晚,大家都閉門不出的時候,
他們15個人光是在臺北第一商業銀行的41個ATM機裡,
就取出了8300萬新臺幣(約等於1797萬人民幣)。
然而,就在警方還沒有來得及完全收網時,
13個錢騾就已經轉移到了香港,隨後就飛到了莫斯科。
這一起黑客對ATM惡性攻擊事件,
立刻引起了世界範圍內的大銀行和警察們的注意。
因為雖然抓到了其中兩人,但是這次臺北“錢騾”的出動,
代表著從2013年就一直在活動的Carbanak黑客團伙,
依然還在犯罪,依然還在搶劫,依然還在困擾著世界各大銀行!
【悶聲搶大錢的Carbanak病毒】
自從進入了信息時代後,信息安全一直以來都是影響著每個人的重要事情。
對於一些大型機構例如世界各大銀行,信息安全的重要性從來都是重中之重。
而惡性黑客和電腦病毒的存在,正是信息安全的主要威脅之一。
但是,比起之前的很多竊取私人郵件、收集個人數據,從而用來勒索贖金的病毒,
Carbanak病毒不一樣的地方是,它是直接針對“偷錢”而設計的。
這一切還要從2013年說起。
2013年年尾時,位於基輔的一家烏克蘭銀行的高管,
發現他們最近銀行丟失了一大筆資金:
銀行的ATM監控顯示,在黎明前的幾個小時,
ATM在沒有銀行卡插入的情況下開始往外吐鈔票。
但是,從賬面上來看,他們並沒有少什麼錢,也沒有任何客戶舉報丟錢了!
於是,他們請來了俄羅斯的網絡安全公司卡巴斯基的人員,
希望他們能幫助銀行檢查一下是否有什麼程序漏洞。
最初,卡巴斯基的研究人員懷疑是有黑客,用一些手持設備干擾了這些ATM,
使得它們的程序紊亂,從而莫名對外出錢。
然而一番研究後,他們發現情況遠比想象的複雜:
不知具體從什麼時候開始,有一群也不知道具體是來自哪裡的黑客,
開始通過遠程訪問各大銀行的電腦,盜取關鍵信息。
但是,他們“盜取信息”時的足跡,並沒有被立刻檢測到。
因為他們使用的方式和策略很特別:
首先,他們給銀行的高管和員工,以“ATM供應商”的ID發送郵件,
在員工們查看郵件的同時,會自動下載一串附件內的代碼。
而這個代碼,就像大多數木馬病毒一樣,開始感染員工的電腦。
除了基本地收集電腦上已有數據外,
這個程序甚至還控制了上百臺內部電腦上的攝像頭,
能捕捉屏幕截圖,以及記錄電腦的點擊記錄....
就這樣,病毒開始從銀行員工電腦裡竊取機密數據,
並將這些信息轉發給黑客控制的服務器。
第二步,在初步攻破了銀行系統後,
Carbanak並不著急用這些機密信息來做勒索之類的。
而是將信息安全的資料、敏感賬戶的機密文件進行了一番整理和分析。
比如分析各個賬戶、銀行和ATM之間的資金流動。
他們要的,不是單單哪家銀行的關鍵信息,不是單單能勒索哪家機構:
而是悄悄尋找和排查,
這些銀行裡真正掌握了信息安全的權力的管理人員,到底都是哪些人,
他們的賬號和管理的方式,又到底是什麼。
第三步,在收集和分析工作都完成後,時機已經成熟,
他們盜用了網絡管理員和各大機構信息高管的身份,
並開始使用竊取的銀行職員的驗證碼,
來憑空創造一個個假賬戶,和一筆筆看似合法的交易。
他們甚至可以直接修改銀行的數據庫,在現有的賬戶上增加餘額,
使得所有的被盜資金表面上看上去都是合法交易,
最終被盜後的賬戶和原始數據一樣保持平衡。
這樣,光是從賬面上來看,就不會有人發現錢少了。
在完成了這一系列的工作後,
他們相當於打開了銀行金庫的秘密通道 ,
而且,根本不用像普通大盜那樣想辦法跑到金庫去偷錢,
而他們,只需要直接派人正大光明地去ATM上從假賬戶上提取現金就行。
更有一些有漏洞的ATM,他們可以直接遠程遙控ATM往外吐錢....
搶錢搶得輕鬆又平靜....
然而,更讓卡巴斯基團隊的專業調查人員感到驚訝的是,
整個攻破、收集和篡改的過程,
從技術層面來看,也是一樣的悄無聲息,
像是所有的痕跡都被抹去了一樣,明面上甚至沒有任何人感受到銀行的錢被偷了。
最可怕的是,這樣悄無聲息的攻擊,至少已經持續好幾個月了。
所以整個團伙的攻擊範圍到底有多廣,
他們到底已經滲透到了多少金融機構及其他重要信息機構中,
這個程序是不是還在其他銀行繼續“偷錢”,
目前為止這些問題根本沒有一個清晰的答案....
這種黑客行為,在間諜行業被稱為“高級的持續性威脅活動”,
這個程序最後被卡巴斯基公司公開為Carbanak,而開發它的團伙,也被稱為Carbanak團伙。
從此,一場長達5年的數字戰爭,就這樣在黑客和銀行之間拉開了...
【銀行反擊:終於發現12億美元悄悄被盜】
到了2014年秋天時,在卡巴斯基團隊的提議下,
歐洲銀行網絡安全小組開始與花旗銀行、德意志銀行以及其他主要歐洲銀行的專家聯合,針對Carbanak一事召開緊急會議。
研究了烏克蘭一案的卡巴斯基團隊,
在位於海牙的歐洲刑警組織總部的會議室裡,
向這些銀行成員介紹了他們在烏克蘭銀行發現的這種可怕的Carbanak病毒。
並且警告到,這個事情的影響範圍可能遠超歐洲範圍,
可能是一場精心佈置的世界性的大搶劫。
所以大家必須聯合起來,一起在全球範圍內尋求幫助。
最終,一個全球性的反Carbanak銀行聯合組織成立了,
並開始了對Carbanak犯罪團伙的打擊。
他們建立了一個安全的在線信息交流中心,
以便各個銀行代表之間可以交叉核對數據,發現盜竊事件之間的聯繫規律。
他們還建立了一個實體的實驗室,
技術人員在裡面分析了Carbanak盜竊暗中發現的24個惡意軟件樣本。
想辦法追蹤程序的最初來源,以及到底都被誰使用過。
經過綜合的比對分析,人們才第一次真正意識到Carbanak病毒的嚴重性:
全球已經有超過40個國家、100多家銀行機密信息系統中發現了Carbanak病毒的痕跡。
而據歐盟執法機構“歐洲刑警組織”統計,這個Carbanak病毒和其背後的黑客團伙,
已經從這一百多家銀行和私人賬戶中,
盜取了超過12億美元的資金。這無疑是有史以來最大的銀行搶劫案了!
並且更糟糕的是,這個案子還在繼續,被盜金額還在增加!
但是,雖然意識到事態嚴重,警方和銀行的調查和打擊卻一直都進展艱難,
因為Carbanak卻還在不停地更新換代升級,
打壓和排查的速度,遠遠跟不上被攻擊的速度...
比如,2016年年初,警方又發現了Carbanak的變形病毒 Cobalt Strike。
犯罪團伙通過冒用金融機構的ID,向銀行員工發送了電子郵件,
裡面附帶了名為Cobalt Strike的惡意程序。
這個程序會讓主機自動侵入它們所屬的中心機構,以便自動發現漏洞。
這就像是之前觀測到的Carbanak的升級版:
而且它每成功一次,就能夠搶到1200萬美元。
雖然Carbanak團伙就像是一個在世界各地閃現的幽靈一樣,讓警察們感到頭疼。
但是,警方也知道,再厲害的電腦病毒,都有一個致命的弱點:
這些病毒在一開始,都是由人類自己創造的。
最終去取錢、洗錢的人,也是會出現現實生活中的普通人。
而充滿了弱點的人類,就是在這場數字戰爭中,最關鍵的攻破點!
於是,在2016年6月,
在發生了“臺北一夜”錢騾搶劫案,警方成功抓捕兩名“錢騾”後,
在這場虛擬戰爭中漸落下風的警方,總算開始有了突破....
【擒賊先擒王:一個擁有15000比特幣的普通人】
臺北一夜後,通過順藤摸瓜地打探消息,
警方把視線放到了,一個在西班牙生活的男人身上:
一個住著馬德里的烏克蘭人Denis Katana。
種種跡象表明,這個人很有可能就是Carbanak案件的幕後策劃者。
但是,由於確切證據的限制,警方只能是懷疑,
並不能對他採取網絡監控在內的種種措施。
這大大限制了下一步調查...
但“監控”的機會很快就來了:
2017年初,在Carbanak襲擊了一個俄羅斯銀行賬戶後,
錢騾從馬德里的ATM中提出了400萬美元。
這時候,因為早有懷疑和準備,
調查人員有幸追蹤到了這次襲擊的主要人員Denis Katana
並終於向法庭取得了在現實生活和網絡上監控他的權利。
經過一番暗中觀察,這個幕後大佬的生活漸漸暴露在警察視野中:
在距離馬德里四小時車程的一個西班牙港口城市阿利坎特,
Denis Katana住在一所普通的公寓裡,他的生活看上去平靜又平凡:
他本人很瘦小,有一個妻子和一個年幼的兒子;
家裡並不大,一家三口住著一個100平左右的房子;甚至他還很少去海邊散步,對家附近這個吸引了無數遊客的金色沙灘表現的興致缺缺,
他的社交生活很單調,甚至並沒有多少機會去和當地人學西班牙語;
他最大的興趣,就是上網了。
他們經常對著自己的電腦,一直埋頭苦幹,從清晨到日出。
從周圍人的視角出發,他簡直是一個無聊的男人。
但這一切平靜中,唯一的獨特可能就是Denis使用的電腦服務器:
他用的是一個特殊的離岸服務器。
雖然這件事本身並不違法,但卻讓監控他的警察覺得:
這裡面一定有貓膩!
於是,在警方技術人員的長時間監控下,
Katana通過電腦和網絡乾的那些不平凡的事兒,開始暴露在警方面前:
他組建了一個四人團隊,
一人負責向銀行發送惡意電子郵件,
一人負責竊取銀行數據庫資料;
一人負責消除他們的“足跡”;
而Katana負責的就是這個活動中最複雜也最關鍵的部分:
對銀行系統進行偵查,然後像空中交通管制員一樣,
在網絡上對這些銀行的賬戶,進行資金重組。
在他手中,這個“盜竊”活動就像是一門藝術一樣,
有著一套完整的技術知識支撐,和一套複雜的內在邏輯。
甚至連監控到他活動後的警方技術人員都感慨:
這表面平凡的男人,在網上做的這一切,簡直輕而易舉。
世界上沒有任何一個人能和他一樣,完成他做的那一切!
有趣的是,Denis似乎並不是很需要現金。
相對於花錢和過上富豪的生活,
他似乎更享受這種“攻破一家又一家銀行”的成就感。同時,他也正在通過比特幣交易,把這些所有的現金都洗成電子貨幣。
3月6日上午,一個警察敲開了Denis的家門,
意識到發生了什麼事情後,他並沒有反抗。
十多名武警湧入,把他的電腦和所有相關證據都打包。
最後調查人員在除了一堆珠寶、兩輛豪車、一棟豪宅外,
還發現了Denis擁有的15000個比特幣,大概相當於1億多美元。
警方最終正式逮捕了Denis Katana,
並希望能從他身上找到更多關於Carbanak一案的信息,抓捕更多的相關同夥。
雖然警方有種種證據,使得他們懷疑Denis就是整個案件的主要策劃者,
但是目前警方關於案件的進展,還沒有公開任何信息,
並且Denis本人,也還沒有被正式指控起訴。
然而,關於案件目前可以肯定的一點是,
儘管主導了歷史上最大的一起“銀行搶劫案”,
但包括Denis在內的網絡黑客罪犯,暫時沒被判刑。
而他們盜竊的這些資金,到底能不能還回來,以及通過何種形式還回來,
依然還是一個問題。
種種跡象表示,光是抓到Denis並沒有讓Carbanak一案了結,
他們的團伙, 又或者是根本不認識Denis的其他黑客,可能還在就犯罪:
因為Carbanak病毒正在全球範圍內擴散,
它依然可以被其他的黑客學習和利用,
改造成一個又一個更強、更狡猾的病毒程序,
就像現實生活中的病毒一樣,一代代地更新,一次次地擴散....
所以,威脅依然存在,且受到感染和侵入的機構也不再僅限於銀行:
連鎖餐廳、大型零售商、大型供應商等,都可能成為Carbanak的受害者....
“戰爭”還在繼續,
所有的大型機構都應該對此保持高度警惕...
閱讀更多 大慌慌浮生之旅 的文章
