史上最秀黑客:抢美国银行,让ATM狂吐百亿,换成比特币_比特币:ATM

他们的故事全球几乎无人知晓,但他们的名字却是世界所有银行共同铭记的噩梦。

“Carbanak”,这个名称无法直译成中文的黑客组织,在5年时间内,横扫全球银行,攫取至少10亿欧元。

他们创造的木马病,可以让银行ATM自动吐钱,然后分流换成比特币,隐匿在虚拟货币世界中。

他们声称,自己是在“劫富济贫”。

1银行的财富幽灵

尽管在电影、小说中看过很多飞天大盗,但抢银行在现实中真的可行吗?

“抢银行效率很低,一来现在的银行没有金库,短时间内根本抢不了多少;二来现金很重,每张百元大钞重量1.15克,一百万大约是11.5公斤,所以即便抢劫成功,要想携款潜逃也是一个绝对的力气活”。

这是知乎专栏,关于抢银行话题中,一位前银行员工的回答。

事实上,按照美国对抢银行事件的统计,2010年全年,在美国发生了5546起银行抢劫案,但一共才损失4301万6099美元零7美分。

所以,世界各地的监狱中从来不缺少因为抢银行而锒铛入狱的犯罪分子,但却鲜有通过武力抢银行来成功致富的典范。

不过,“银行”作为当今世界财富的代名词,盯着这个金库的人可不止莽夫。

2013年,世界各国的银行系统中出现了一个令他们提名色变的黑客组织——Carbanak。

这个黑客组织不用抢银行,因为他们可以让银行ATM机自动吐钱。

据俄罗斯网络安全公司卡巴斯基估计,从2013年第一次对银行系统攻击,这个打劫国家财富的黑客组织Carbanak,在2015年之前,就已经通过ATM机在全球40多个国家和银行中,成功获取超过10亿美元的财富。

按照美国2010年的抢银行数据计算,这一数字,相当于美国在2年内被犯罪分子抢劫了15万次,平均每天被抢205次。

在抢劫完成后,Carbanak会通过遍布全球的雇佣军,将现金换成比特币,并将这些比特币发送到一个神秘的比特币账户上面。

如此牛X的组织,你没听过?

没听过也很正常,因为作为当今银行系统中依然存在的幽灵劫匪和最大丑闻,没有哪家银行愿意主动对外承认,“我们曾被Carbanak洗劫过”。

隐私保护协议Manta Network拟启动Web3史上最大可信设置仪式:10月28日消息,波卡生态隐私保护协议 Manta Network 开发团队 P0xeidon Labs 公布了全新的可信设置仪式(Trusted Setup Ceremony),将用于启动 Manta 的私人支付 App「MantaPay」。该仪式预计持续两周,将有来自多达 133 个国家/地区的约 5,000 名参与者,使其成为 Web3 历史上规模最大、分布最广的可信设置仪式。[2022/10/29 11:54:09]

但它却是真实的存在的一个网络幽灵。

今年3月,随着这个幽灵组织的创始人被捕,我们得以揭开它神秘面纱的一角,去窥见这个史上最强黑客的世界。

2成名的首秀

“Carbanak”并非这个组织自己的命名,它是第一次作案后,银行给他们的代号。

对于这个黑客组织而言,只要“抢银行”,取名字的事情留给银行就好。

Carbanak组织的第一次作案选择了乌克兰的一家银行。

2013年12月,没有任何征兆,乌克兰的一家银行的ATM疯狂吐钱。面对突如其来的“ATM机故障”,这家银行起初并未在ATM机的系统中发现任何病,甚至他们一度怀疑这是ATM机制造商的产品问题。

但在这家银行束手无策的时候,世界上第二起ATM机抢劫案的发生,让乌克兰政府决定向国际网络安全组织申请外部援助,直到几个月后,一名计算机专家才在一个电子邮件中发现了异常。

而此时,Carbanak已经悄悄地获利上千万美元。

据这名技术专家介绍:这个黑客组织利用了Word文档的漏洞。

在银行电脑打开Word文档后,银行的系统就会被安装上基于Carberp的后门程序,因为它基于Carberp,配置文件的名称是“anak.cfg”所以我们将这一程序称为Carbanak或Carbanp。

这也成为这批黑客的代号。

只是,让这家银行未曾想到的是:这个最初被命名为Carbanak的组织,会在未来几年成为所有银行噩梦的代名词。

3调查与对抗

分析师Jeffrey Halley:加密货币是金融市场犯蠢历史上最大明证:金色财经报道,Oanda亚太区高级市场分析师Jeffrey Halley表示,“尽管我预计加密货币领域的投机热情会继续,但就像估值高企的科技股一样,加密货币在2022年将面临更具挑战性的环境。主要原因是美联储开始利率正常化,其他主要央行也可能效仿。这将挑战有关加密货币能替代法定货币的观点。”“悬在加密货币头顶的是更多监管威胁,坦率地说,每周都有新的加密货币出现,推动它们的是投机而不是区块链,”Halley说。 “我仍然相信加密货币是金融市场犯蠢历史上最大明证,音乐可能会在2022年部分时间继续演奏,但它改变不了皇帝没穿衣服这个事实。”[2022/1/4 8:22:55]

2014年,随着Carbanak组织对美国、俄罗斯以及欧洲其他国家银行系统的攻击,在美国的主导下,国际上开始出现一支专门针对Carbanak组织的调查队伍。

国际知名的电脑病研究机构kaspersky在2015年发布资料显示:考虑到Carbanak组织发动攻击过程的规律性和复杂性,该运营很可能得到某个国家的支持,并且组织人数超过100人。

这一猜测,也曾得到欧洲刑警网络犯罪部门负责人FernandoRuiz的肯定。FernandoRuiz声称:“他们是国际背景下的领导者,而且不只是一个私人组织”。

因为Carbanak组织不仅仅只是将现金取回后单纯的放入比特币账户中,根据EUROPOL的研究,Carbanak在得到现金后还会通过购买豪华汽车和高端消费品,对所得资金进行洗白,然后才会通过比特币进行分散式回款。

Carbanak的行为的严密性和目前已知的朝鲜黑客组织Lazarus十分相似。

据31QU了解,Lazarus是世界上最著名的国家政府的黑客组织,它的成立是为金正恩窃取其国外货币,并在今天成为朝鲜最重要的外汇创收渠道之一。

网络安全公司Group-IB发布的《2018年高科技网络犯罪趋势报告》显示,从2017年至2018年9月,Lazarus通过攻击加密货币的交易所,已经拿走5.71亿美元,这让Lazarus成为了和Carbanak比肩的世界顶级黑客组织之一。

王兴:加密货币可能是人类历史上最大的财富转移:近日,美团网CEO王兴在其饭否(现已停止注册)账户中连续发出三条与加密货币领域相关的推文,类似John Doerr 90年代中期对于互联网的观点,加密货币有可能是这个星球历史上最大的财富转移,现在1中本聪(satoshi,比特币的最小拆分单位)约等于1.2厘人民币。货币能创造财富吗?

据悉,王兴自 2010 年代初起,就保持着对加密货币行业的关注,多次发表相关推文。[2020/12/9 14:43:51]

只是,随着Carbanak创始人在2018年3月的落网,让Carbanak是国家黑客组织的猜测被彻底否决,至此,Carbanak的传奇也为我们揭开了一个关于天才的人生一角。

而Carbanak创始人落网的关键,始于发生在台北市的“第一银行”最大抢劫案。

4台北市银行抢劫案

2015年7月9日,夏天的烈日正炙烤着台北市的街区,此时一个多达19人的摩托车车队,正在这个安详的下午急速奔向第一银行22家分行的41台ATM机。

他们不是第一银行的客户,但他们知道,再过一小时零二十分,第一银行的22家分行的41台ATM机将为他们送上8327万巨款,而这将一举创造台北市银行犯罪的最高纪录。

在一份报告中的抢劫案现场

因为Carbanak是一个只有少数人的网络组织,所以他们需要找到一些线下组织进行合作,2015年之前,他们的合作对象一直是一家俄罗斯的黑手党,2016年以后,他们又将合作组织换成了摩洛哥人。

在此之前,Carbanak已经通过这种雇佣军的手段,洗了很多次钱。

在所有骑手全部准备就位后,台北市第一银行22家分行的41台ATM机随着北欧一台电脑的操作,开始如同泄洪的闸口,向等侯在机器前的骑手疯狂吐钱。

2015年7月14日,在事情发生5天后一家媒体对这次事故进行了报道,在这次不明原因引发的故障中,第一银行共计损失了8327万。

而这些骑手们,已经想好了逃脱追捕方式。

Carbanak组织故意让一台ATM机器在普通民众面前发生了吐钱事故,他们的想法是,一旦普通人“捡走”这些钱后,警察就会先调查普通人,雇佣军们就能乘机逃跑。

WTI原油期货创合约历史上最大单周百分比涨幅:WTI原油期货本周累计涨31.8%,为合约历史上最大单周百分比涨幅。(金十)[2020/4/4]

一切进行的非常顺利,只是,被飞舞的现金震撼的老伯,默默地将钱捡起来,然后交给了警察局。

因此,对这个简单的对这位老伯的所有亲人进行了调查后,迅速回到正轨,开始追踪这群骑手“雇佣军”们。

这是Carbanak的第一个失误,第一块多米诺骨牌倒下,整个计划开始崩塌。

在ATM机出现故障的第一时间,第一银行被盗账户的另一头,也收到了来自第一银行取款异常的电话报警。

正是这一警报,让台北市通过异常账户所有关联人的通话记录,锁定了这只雇佣军的个人信息。

2015年7月15日,摩托车车队的领头人Babii收到了来自北欧老板的警告,在警告中那个匿名老板让Babii快速离开。

这并非Carbanak第一次遇到带有电话报警系统的银行,但Carbanak低估了中国人的跨部门办事效率,以及当地摄像头的数量。

虽然当时Babii手中还有6000万现金等待洗白,但出于安全考虑,Babii最终决定,在进一步行动前弃款潜逃。

但另Babii没想到的是,这19位车手行动前,已有热心的民众对这些行为奇怪的人进行了报案。而台北市用于记录交通信息的摄像头,还原了19个车手的逃跑路线。

被抓的骑手

在欧洲和美国,受到一些私人隐私的制约,政府在街头安装摄像头的行为基本是不可想象的。

通过清查饭店住宿纪录,在7月15日晚上突袭了这支雇佣军的临时住所,并在当天的行动中抓获了3个骑手,而头目Babii成功逃脱。

第二天上午,警察在媒体上用头版头条发布公告:我们追回了6000万的损失。

根据欧盟在2015年所做的一份专门针对Carbanak犯罪的研究报告显示:Carbanak平均每两到四个月发动一次攻击,每次攻击的洗劫金额都在1000万欧元以上。

所以,台北市总计8327万的犯罪只是他们的一次小型活动,但这次小活动却因为Babii的暴露,而为组织的沦陷埋下了重要的伏笔。

GitHub 遭遇史上最大规模 DDoS 攻击:据外媒 Wired 报道,北京时间周四凌晨1:15,知名代码托管网站 GitHub 遭遇了史上最大规模的 DDoS 网络攻击,每秒 1.35 TB 的流量瞬间冲击了这一开发者平台。尽管 GitHub 曾试图反抗,最终还是借助 DDoS防御服务提供商 AkamaiProlexic 提供的帮助才得以艰难度过。[2018/3/4]

2015年7月,在对被抓的3名骑手进行审问后,依然一无所获。因为这3人地位较低,只是听从于Babii的命令安排,并不了解背后的“Carbanak”组织。

8月,第一银行向美国联邦调查局和欧洲刑警组织上报了这支雇佣军领头人Babii的个人影像信息,尽管警察并不知道Babii是否握有Carbanak组织的一些关键资料,但作为让世界两大势力寻找2年未果的重要突破口,各国都给与了Babii足够重视。

这种重视,最终在2017年获得果实。

5寻找Carbanak的领头羊

2015年以后,Carbanak组织因为在乌克兰、美国、俄罗斯和欧洲各大国家屡屡作案,而受到了来自美国联邦调查局和欧洲刑警组织的共同调查。

甚至,罗马尼亚、摩尔多瓦、白俄罗斯和俄罗斯的诸多私人网络安全公司,为了证明自身的技术实力,也都参与其中。

但这个以抢银行为利益来源的黑客组织,将自己的信息做的十分隐蔽。

线上调查的无法推动,让渐渐将调查的重点放在了Carbanak组织的雇佣军身上,而在2015年台北市作案的雇佣军领头人Babii则是当时所有警察的重点关注对象。

2017年3月,凭借台北市有限的影像资料,一个和Babii酷似的度假者在白俄罗斯被发现。此时,距离台北市第一银行的抢劫案以及过去一年零八个月的时间。

2017年4月,正在白俄罗斯度假的Babii被当地抓获。作为Carbanak组织的雇佣军领头人之一,Babii的被抓没有引起任何媒体的报道,甚至他的名字也只存于一份关于Carbanak组织的政府报告中。

但审讯中,Babii称并不知道谁是Carbanak组织的神秘老板。尽管他曾多次为Carbanak组织办事,但所有的联系也仅仅只是通过一个特殊加密的邮件系统进行的对话。

美国联邦调查局将这套加密邮件系统交给专业的网络安全团队,Babii与Carbanak组织老板的聊天纪录中被挖出了两支病的原代码信息。

此后,网络安全部队通过不断追查这两只病原代码的所有联系和出处,最终锁定了身在西班牙的一名电脑技术达人——丹尼斯K。

追踪了几年的黑客突然出现在面前,但大家却开始怀疑调查结果的真实性。

因为按照Carbanak组织的盗窃记录显示,丹尼斯K最少拥有数亿美元的资产。但据西班牙的知名媒体elmundo报道:丹尼斯K是一名34岁的乌克兰人,他和他的妻子以及女儿匿名居住在西班牙的一幢价值一百万欧元的公寓内,除此之外,没有任何奢华的地方。

甚至,丹尼斯K低调的消费行为一度让抓捕的警察怀疑,他是否真的是Carbanak组织创办者。

但随着警察在丹尼斯K的电脑中发现了15000枚比特币后,但这一怀疑得以消除。

6神秘的窃取者

2018年3月6日,在西班牙18℃的一个温暖日子里,约20名执法人员对海边的一所房子破门而入。

面对突如其来的警察,丹尼斯K显得格外冷静。

欧洲刑警组织欧洲网络犯罪中心负责人鲁伊斯参与了这次抓捕,并在丹尼斯K房间的电脑中发现了他在编写的新型病程序。

后来,鲁伊斯对媒体称:丹尼斯K在技术上非常出色,他能够识别漏洞并编写恶意软件来利用这些漏洞,有这种知识的犯罪分子全球都屈指可数。

而此前外界一直对Carbanak组织是国家资助的、200人的黑客团伙的猜测,也水落石出——这个让世界40多个国家寻找了近5之久的黑客组织,其核心人物只有4个人。

据欧洲网络犯罪中心的报告显示,这个4人的分工是:丹尼斯K负责病代码的编写,第二个成员,负责利用邮件将病进行恶意传播;第三个成员负责感染银行的计算机系统,并让雇佣军作案时使银行的监控失效;第四个成员则控制所有摩尔达维亚国籍的“雇佣军”成员。

在丹尼斯K被抓后不久,就被欧洲法院以控犯有阴谋罪、电信欺诈罪、计算机黑客罪、访问设备欺诈罪、严重身份盗窃罪等26项罪名进行了起诉。

网络黑客作为技术性的犯罪者,在世界各国很少有被处死的案例。

毕竟,让黑客为社会做贡献的价值,远远高于杀死他,而他们也确实并非传统意义上的坏人,所以,许多黑客被抓后一般都会在监狱中用另一种方式进行工作。

而对于他们而言,一台电脑便足以满足他们的精神世界。

事实上,根据丹尼斯K的才华他完全可以通过合法途径来进行盈利,因为此前丹尼斯K曾利用自己编写的自动驾驶程序,前往雇佣军手中收取现金。而为了开发可靠的自动驾驶,此前世界各大汽车厂商以及为此投入了上百亿美元的研发经费。

而丹尼斯K在法庭上透漏了这样做的原因:我并不是不为了赚钱,而是为打败全球最安全的银行系统,因为那样可以证明我的技术。

对于一些罪名指控,丹尼斯K辩解道:“我从未偷取任何人的财富,我只是打劫了一些国家的集权者”

在欧洲后来的调查中,他们还发现:丹尼斯K曾试图为俄罗斯的一个黑手党建立一个合法的加密货币系统,而俄罗斯对这个黑手党的多次打压,也反应了Carbanak组织为何总是攻击俄罗斯银行的原因。

7仍未结束的谜团

2018年8月2日,据cnbeta报道:Carbanak组织的另外三名技术成员DmytroFedorov、FedirHladyr和AndriiKolpakov分别在德国、波兰以及乌克兰被抓,因为针对这次行动的信息过少,所以对于这三个人的身份我们无法判定是否属于Carbanak组织的另外三名高层人员。

随着丹尼斯K的被抓,Carbanak组织的犯罪活动并未停止,今天依然在活跃。

2016年以后,国际各大银行面对Carbanak组织的攻击,选择了用沉默的方式息事宁人。所以,目前新闻机构对Carbanak组织的盗取金额,也依然只停留在2015年十亿欧元的印象中。

事实上,Carbanak组织的所有盗窃金额全部通过比特币进行回款,而2013年12月到2015年12月时的比特币仅仅只有300美元左右,面对2018年比特币上万美元的价格,这种比特币的储存背后,最少给Carbanak组织带来过30倍的资产升值。

所以,Carbanak组织究竟有多少钱?

可能是一个隐藏在银行沉默和比特币升值背后的一个永恒谜题。不过不能改变的事实是:Carbanak组织依然是目前世界上最富有的黑客组织之一。

而2015年以前,对于用10亿欧元购买比特币的Carbanak组织来说,也许比特币价值的来源还有另一个我们无法证明的假设——Carbanak。

维基百科:https://en.wikipedia.org/wiki/Carbanak

各个国家的官方调查资料:

1、file:///C:/Users/sishi/Desktop/carbanakcobalt.pdf

2、file:///C:/Users/sishi/Desktop/10APRC_Busan_P2_Anchen_Chang.pdf

3、file:///C:/Users/sishi/Desktop/Carbanak_APT_eng.pdf

西班牙媒体的报道:https://www.elmundo.es/espana/2018/03/26/5ab8bdeb268e3ed01d8b4636.html

媒体的报道:https://www.cw.com.tw/article/article.action?id=5090741

彭博社报道:https://www.cw.com.tw/article/article.action?id=5090741

技术分析:https://www.fireeye.com/blog/threat-research/2017/06/behind-the-carbanak-backdoor.html

来源:31QU

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:0ms0-0:506ms