ATM哗哗吐钱，几年狂偷12亿美金！这群劫匪防不住了啊?!

他们是一群黑客劫匪，用木马病毒侵入了40多个国家的100多个银行；

他们能让ATM自动往外吐现金，一晚上就能抢到400万美元；

他们能从银行数据库中修改数字，凭空制造假账户,

总共抢走了超过12亿美元的资金，成为历史上最大的银行“抢劫案”；

然而，在警方经过了近5年的调查和斗争，并最终抓捕了幕后策划人时，

人们才发现，噩梦还没有结束：

这个“抢钱病毒”，还在世界上不同的网络角落，

一代代更新、一代代升级、继续威胁着所有的金融大机构!

这场由一个名为Carbanak电脑病毒引起的数字战争，现在还在继续...

【台北一夜：让ATM自动吐出260万美元】

2016年6月10日，是一个普通的夏日。

台湾省台北市的夜幕刚刚降临，一场台风就要来临.

整个城市的人都在为即将到来的台风做准备，

路人们行色匆匆，大多数人都闭门不出。

然而，就在这样的夜晚，在台北的街道上有两个男人，

正默默顶着大雨，穿梭于台湾第一商业银行的各个网点。

他们一人名叫Sergey Berezovsky，一人叫做Vladimir Berkman，

两人都是来自俄罗斯，都带着鸭舌帽和遮面的口罩，

既不像是普通的游客，也不像是街头的混混：

他们在一个ATM处徘徊了一会儿，似乎是要排队取钱的样子。

在他们身后，还有一对同样来排队取钱的夫妇。

没多久，Sergey两人排到了ATM面前，

然后，神奇的一幕发生了：

ATM在没有任何人触碰、插卡的情况下，开始往外吐出大量现金！

这怪事儿把后面的一对夫妇看傻了，

这，难道是对ATM施了什么魔法不成？

然而，Sergey两人似乎根本就不惊讶。

他们拿出自己的背包，开始往里面塞钞票。

装完后，他们拎着背包，不理睬后面的人惊讶的目光，

转身上了一辆黑色的轿车，消失在雨夜里。

其实，Sergey两人并不是什么把积蓄都取出来想要一夜狂欢的人，

更不是什么对ATM施法的魔术师，

他们，是这个世界上迄今为止最大的一起黑客偷钱案中的成员：

专门负责在黑客们把前期工作都做好后，

到各个国家、各个银行、各个ATM网点收“ATM自动吐出的钞票”，

他们也被一直以来追踪这群犯罪团伙的警察称为“钱骡”。

而Sergey两人在这次台风夜中，

因为后面排队的目击者夫妇的举报，终于被警探们盯上了。

随后跟上的警探，发现他们来到了台北的中央车站，

把三个装满了台币的袋子，放到了车站的存储柜后消失了。

警方蹲在暗处，想要知道到底是谁会来取袋子。

不多久，又是两个俄罗斯人出现了。

他们来到Sergey存钱的柜子旁，收到了短信后打开了存储柜，

然而拎着三大袋子钱，来到了一家酒店里。

在完成了“重任后”，他们似乎充满了戒备心，一直留在酒店里闭门不出。

就在第二天晚上八点，两人吃完饭准备离开时，

已经跟了他们很久的警方出现，并将两人拘留。

经过警方审问，这次来台北作案的钱骡，共有15个。

在那个风雨交加的夜晚，大家都闭门不出的时候，

他们15个人光是在台北第一商业银行的41个ATM机里，

就取出了8300万新台币（约等于1797万人民币）。

然而，就在警方还没有来得及完全收网时，

13个钱骡就已经转移到了香港，随后就飞到了莫斯科。

这一起黑客对ATM恶性攻击事件，

立刻引起了世界范围内的大银行和警察们的注意。

因为虽然抓到了其中两人，但是这次台北“钱骡”的出动，

代表着从2013年就一直在活动的Carbanak黑客团伙，

依然还在犯罪，依然还在抢劫，依然还在困扰着世界各大银行！

【闷声抢大钱的Carbanak病毒】

自从进入了信息时代后，信息安全一直以来都是影响着每个人的重要事情。

对于一些大型机构例如世界各大银行，信息安全的重要性从来都是重中之重。

而恶性黑客和电脑病毒的存在，正是信息安全的主要威胁之一。

但是，比起之前的很多窃取私人邮件、收集个人数据，从而用来勒索赎金的病毒，

Carbanak病毒不一样的地方是，它是直接针对“偷钱”而设计的。

这一切还要从2013年说起。

2013年年尾时，位于基辅的一家乌克兰银行的高管，

发现他们最近银行丢失了一大笔资金：

银行的ATM监控显示，在黎明前的几个小时，

ATM在没有银行卡插入的情况下开始往外吐钞票。

但是，从账面上来看，他们并没有少什么钱，也没有任何客户举报丢钱了！

于是，他们请来了俄罗斯的网络安全公司卡巴斯基的人员，

希望他们能帮助银行检查一下是否有什么程序漏洞。

最初，卡巴斯基的研究人员怀疑是有黑客，用一些手持设备干扰了这些ATM，

使得它们的程序紊乱，从而莫名对外出钱。

然而一番研究后，他们发现情况远比想象的复杂：

不知具体从什么时候开始，有一群也不知道具体是来自哪里的黑客，

开始通过远程访问各大银行的电脑，盗取关键信息。

但是，他们“盗取信息”时的足迹，并没有被立刻检测到。

因为他们使用的方式和策略很特别：

首先，他们给银行的高管和员工，以“ATM供应商”的ID发送邮件，

在员工们查看邮件的同时，会自动下载一串附件内的代码。

而这个代码，就像大多数木马病毒一样，开始感染员工的电脑。

除了基本地收集电脑上已有数据外，

这个程序甚至还控制了上百台内部电脑上的摄像头，

能捕捉屏幕截图，以及记录电脑的点击记录....

就这样，病毒开始从银行员工电脑里窃取机密数据，

并将这些信息转发给黑客控制的服务器。

第二步，在初步攻破了银行系统后，

Carbanak并不着急用这些机密信息来做勒索之类的。

而是将信息安全的资料、敏感账户的机密文件进行了一番整理和分析。

比如分析各个账户、银行和ATM之间的资金流动。

他们要的，不是单单哪家银行的关键信息，不是单单能勒索哪家机构：

而是悄悄寻找和排查，

这些银行里真正掌握了信息安全的权力的管理人员，到底都是哪些人，

他们的账号和管理的方式，又到底是什么。

第三步，在收集和分析工作都完成后，时机已经成熟，

他们盗用了网络管理员和各大机构信息高管的身份，

并开始使用窃取的银行职员的验证码，

来凭空创造一个个假账户，和一笔笔看似合法的交易。

他们甚至可以直接修改银行的数据库，在现有的账户上增加余额，

使得所有的被盗资金表面上看上去都是合法交易，

最终被盗后的账户和原始数据一样保持平衡。

这样，光是从账面上来看，就不会有人发现钱少了。

在完成了这一系列的工作后，

他们相当于打开了银行金库的秘密通道，

而且，根本不用像普通大盗那样想办法跑到金库去偷钱，

而他们，只需要直接派人正大光明地去ATM上从假账户上提取现金就行。

更有一些有漏洞的ATM，他们可以直接远程遥控ATM往外吐钱.... 

抢钱抢得轻松又平静....

然而，更让卡巴斯基团队的专业调查人员感到惊讶的是，

整个攻破、收集和篡改的过程，

从技术层面来看，也是一样的悄无声息，

像是所有的痕迹都被抹去了一样，明面上甚至没有任何人感受到银行的钱被偷了。

最可怕的是，这样悄无声息的攻击，至少已经持续好几个月了。

所以整个团伙的攻击范围到底有多广，

他们到底已经渗透到了多少金融机构及其他重要信息机构中，

这个程序是不是还在其他银行继续“偷钱”，

目前为止这些问题根本没有一个清晰的答案....

这种黑客行为，在间谍行业被称为“高级的持续性威胁活动”，

这个程序最后被卡巴斯基公司公开为Carbanak，而开发它的团伙，也被称为Carbanak团伙。

从此，一场长达5年的数字战争，就这样在黑客和银行之间拉开了...

【银行反击：终于发现12亿美元悄悄被盗】

到了2014年秋天时，在卡巴斯基团队的提议下，

欧洲银行网络安全小组开始与花旗银行、德意志银行以及其他主要欧洲银行的专家联合，针对Carbanak一事召开紧急会议。

研究了乌克兰一案的卡巴斯基团队，

在位于海牙的欧洲刑警组织总部的会议室里，

向这些银行成员介绍了他们在乌克兰银行发现的这种可怕的Carbanak病毒。

并且警告到，这个事情的影响范围可能远超欧洲范围，

可能是一场精心布置的世界性的大抢劫。

所以大家必须联合起来，一起在全球范围内寻求帮助。

最终，一个全球性的反Carbanak银行联合组织成立了，

并开始了对Carbanak犯罪团伙的打击。

他们建立了一个安全的在线信息交流中心，

以便各个银行代表之间可以交叉核对数据，发现盗窃事件之间的联系规律。

他们还建立了一个实体的实验室，

技术人员在里面分析了Carbanak盗窃暗中发现的24个恶意软件样本。

想办法追踪程序的最初来源，以及到底都被谁使用过。

经过综合的比对分析，人们才第一次真正意识到Carbanak病毒的严重性：

全球已经有超过40个国家、100多家银行机密信息系统中发现了Carbanak病毒的痕迹。

而据欧盟执法机构“欧洲刑警组织”统计，这个Carbanak病毒和其背后的黑客团伙，

已经从这一百多家银行和私人账户中，盗取了超过12亿美元的资金。

这无疑是有史以来最大的银行抢劫案了！

并且更糟糕的是，这个案子还在继续，被盗金额还在增加！

但是，虽然意识到事态严重，警方和银行的调查和打击却一直都进展艰难，

因为Carbanak却还在不停地更新换代升级，

打压和排查的速度，远远跟不上被攻击的速度...

比如，2016年年初，警方又发现了Carbanak的变形病毒 Cobalt Strike。

犯罪团伙通过冒用金融机构的ID，向银行员工发送了电子邮件，

里面附带了名为Cobalt Strike的恶意程序。

这个程序会让主机自动侵入它们所属的中心机构，以便自动发现漏洞。

这就像是之前观测到的Carbanak的升级版：

而且它每成功一次，就能够抢到1200万美元。

虽然Carbanak团伙就像是一个在世界各地闪现的幽灵一样，让警察们感到头疼。

但是，警方也知道，再厉害的电脑病毒，都有一个致命的弱点：

这些病毒在一开始，都是由人类自己创造的。

最终去取钱、洗钱的人，也是会出现现实生活中的普通人。

而充满了弱点的人类，就是在这场数字战争中，最关键的攻破点！

于是，在2016年6月，

在发生了“台北一夜”钱骡抢劫案，警方成功抓捕两名“钱骡”后，

在这场虚拟战争中渐落下风的警方，总算开始有了突破....

【擒贼先擒王：一个拥有15000比特币的普通人】

台北一夜后，通过顺藤摸瓜地打探消息，

警方把视线放到了，一个在西班牙生活的男人身上：

一个住着马德里的乌克兰人Denis Katana。

种种迹象表明，这个人很有可能就是Carbanak案件的幕后策划者。

但是，由于确切证据的限制，警方只能是怀疑，

并不能对他采取网络监控在内的种种措施。

这大大限制了下一步调查...

但“监控”的机会很快就来了：

2017年初，在Carbanak袭击了一个俄罗斯银行账户后，

钱骡从马德里的ATM中提出了400万美元。

这时候，因为早有怀疑和准备，

调查人员有幸追踪到了这次袭击的主要人员Denis Katana

并终于向法庭取得了在现实生活和网络上监控他的权利。

经过一番暗中观察，这个幕后大佬的生活渐渐暴露在警察视野中：

在距离马德里四小时车程的一个西班牙港口城市阿利坎特，

Denis Katana住在一所普通的公寓里，他的生活看上去平静又平凡：

他本人很瘦小，有一个妻子和一个年幼的儿子；

家里并不大，一家三口住着一个100平左右的房子；甚至他还很少去海边散步，对家附近这个吸引了无数游客的金色沙滩表现的兴致缺缺，

他的社交生活很单调，甚至并没有多少机会去和当地人学西班牙语；

他最大的兴趣，就是上网了。

他们经常对着自己的电脑，一直埋头苦干，从清晨到日出。

从周围人的视角出发，他简直是一个无聊的男人。

但这一切平静中，唯一的独特可能就是Denis使用的电脑服务器：

他用的是一个特殊的离岸服务器。

虽然这件事本身并不违法，但却让监控他的警察觉得：

这里面一定有猫腻！

于是，在警方技术人员的长时间监控下，

Katana通过电脑和网络干的那些不平凡的事儿，开始暴露在警方面前：

他组建了一个四人团队，

一人负责向银行发送恶意电子邮件，

一人负责窃取银行数据库资料；

一人负责消除他们的“足迹”；

而Katana负责的就是这个活动中最复杂也最关键的部分：

对银行系统进行侦查，然后像空中交通管制员一样，

在网络上对这些银行的账户，进行资金重组。

在他手中，这个“盗窃”活动就像是一门艺术一样，

有着一套完整的技术知识支撑，和一套复杂的内在逻辑。

甚至连监控到他活动后的警方技术人员都感慨：

这表面平凡的男人，在网上做的这一切，简直轻而易举。

世界上没有任何一个人能和他一样，完成他做的那一切！

有趣的是，Denis似乎并不是很需要现金。

相对于花钱和过上富豪的生活，他似乎更享受这种“攻破一家又一家银行”的成就感。

同时，他也正在通过比特币交易，把这些所有的现金都洗成电子货币。

3月6日上午，一个警察敲开了Denis的家门，

意识到发生了什么事情后，他并没有反抗。

十多名武警涌入，把他的电脑和所有相关证据都打包。

最后调查人员在除了一堆珠宝、两辆豪车、一栋豪宅外，

还发现了Denis拥有的15000个比特币，大概相当于1亿多美元。 

警方最终正式逮捕了Denis Katana，

并希望能从他身上找到更多关于Carbanak一案的信息，抓捕更多的相关同伙。

虽然警方有种种证据，使得他们怀疑Denis就是整个案件的主要策划者，

但是目前警方关于案件的进展，还没有公开任何信息，

并且Denis本人，也还没有被正式指控起诉。

然而，关于案件目前可以肯定的一点是，

尽管主导了历史上最大的一起“银行抢劫案”，

但包括Denis在内的网络黑客罪犯，暂时没被判刑。

而他们盗窃的这些资金，到底能不能还回来，以及通过何种形式还回来，

依然还是一个问题。

种种迹象表示，光是抓到Denis并没有让Carbanak一案了结，

他们的团伙, 又或者是根本不认识Denis的其他黑客，可能还在就犯罪:

因为Carbanak病毒正在全球范围内扩散，

它依然可以被其他的黑客学习和利用，

改造成一个又一个更强、更狡猾的病毒程序，

就像现实生活中的病毒一样，一代代地更新，一次次地扩散....

所以，威胁依然存在，且受到感染和侵入的机构也不再仅限于银行：

连锁餐厅、大型零售商、大型供应商等，都可能成为Carbanak的受害者....

“战争”还在继续，

所有的大型机构都应该对此保持高度警惕...

Ref：
https://securelist.com/the-great-bank-robbery-the-carbanak-apt/68732/

https://www.bloomberg.com/news/features/2018-06-25/the-biggest-digital-heist-in-history-isn-t-over-yet

https://en.wikipedia.org/wiki/Carbanak

--------------------------------------

温布利王子妃：师傅，请受徒儿一拜

你站后面许愿么：怪不得我支付宝里钱总是没的贼快 

xiaoq200509：看半天就是谁也拿他们没办法呗

4Filwsbb：天哪！想起 ‘我是谁 没有完全安全的系统’

灵魂画师叮叮猫：这些事情都是莱斯特找人干的

怪球先生：帅炸了 坐等10年之内改编电影！

Soleil347：想学

袖发条：好奇如何做到“明面上没有人感觉到钱被偷了”的？最终提取的钱总得从某些账户出，即使做成看似正常的交易也得有假交易啊，就没人发现吗

咩阿吱吱吱吱：简直牛叉到宇宙爆炸

妤夕妤夕_：贫穷使我免遭洗劫

文章出处：英国那些事儿

你可能喜欢

黑客可能已经在利用CPU漏洞赚钱了

黑客正大规模扫描互联网中暴露的比特币钱包

注意了！数字货币钱包“Ledger”传出漏洞，黑客可篡改钱包地址