他們的故事全球幾乎無人知曉,但他們的名字卻是世界所有銀行共同銘記的噩夢。
「Carbanak」,這個名稱無法直譯成中文的黑客組織,在5年時間內,橫掃全球銀行,攫取至少10億歐元。
他們創造的木馬病,可以讓銀行ATM自動吐錢,然后分流換成比特幣,隱匿在虛擬貨幣世界中。
他們聲稱,自己是在「劫富濟貧」。
銀行的財富幽靈
盡管在電影、小說中看過很多飛天大盜,但搶銀行在現實中真的可行嗎?
「搶銀行效率很低,一來現在的銀行沒有金庫,短時間內根本搶不了多少;二來現金很重,每張百元大鈔重量1.15克,一百萬大約是11.5公斤,所以即便搶劫成功,要想攜款潛逃也是一個絕對的力氣活。」
這是知乎專欄,關于搶銀行話題中,一位前銀行員工的回答。
事實上,按照美國對搶銀行事件的統計,2010年全年,在美國發生了5546起銀行搶劫案,但一共才損失4301萬6099美元零7美分。
所以,世界各地的監獄中從來不缺少因為搶銀行而鋃鐺入獄的犯罪分子,但卻鮮有通過武力搶銀行來成功致富的典范。
不過,「銀行」作為當今世界財富的代名詞,盯著這個金庫的人可不止莽夫。
2013年,世界各國的銀行系統中出現了一個令他們提名色變的黑客組織——Carbanak。
這個黑客組織不用搶銀行,因為他們可以讓銀行ATM機自動吐錢。
據俄羅斯網絡安全公司卡巴斯基估計,從2013年第一次對銀行系統攻擊,這個打劫國家財富的黑客組織Carbanak,在2015年之前,就已經通過ATM機在全球40多個國家和銀行中,成功獲取超過10億美元的財富。
按照美國2010年的搶銀行數據計算,這一數字,相當于美國在2年內被犯罪分子搶劫了15萬次,平均每天被搶205次。
在搶劫完成后,Carbanak會通過遍布全球的雇傭軍,將現金換成比特幣,并將這些比特幣發送到一個神秘的比特幣賬戶上面。
如此牛X的組織,你沒聽過?
沒聽過也很正常,因為作為當今銀行系統中依然存在的幽靈劫匪和最大丑聞,沒有哪家銀行愿意主動對外承認,「我們曾被Carbanak洗劫過」。
聲音 | 中國證監會原副主席:四川應利用比特幣挖礦的基礎研究區塊鏈、數字貨幣等在內的關系:10月27日,在四川高質量發展決策咨詢(北京)懇談會上,中國證監會原副主席姜洋帶來一組數據:全球70%的比特幣產自中國,排名第二的印度僅占4%,美國僅占1%。而四川因水電資源富集成為全國最大的比特幣挖礦地。區塊鏈涉及各行各業,在金融領域的應用主要是以比特幣為代表的數字貨幣。姜洋由此建議,四川應該好好利用比特幣挖礦的基礎,研究區塊鏈、數字貨幣、水電資源等在內的關系,從中發掘新的產業增長點。(川報觀察)[2019/10/27]
但它卻是真實的存在的一個網絡幽靈。
今年3月,隨著這個幽靈組織的創始人被捕,我們得以揭開它神秘面紗的一角,去窺見這個史上最強黑客的世界。
成名的首秀
「Carbanak」并非這個組織自己的命名,它是第一次作案后,銀行給他們的代號。
對于這個黑客組織而言,只要「搶銀行」,取名字的事情留給銀行就好。
Carbanak組織的第一次作案選擇了烏克蘭的一家銀行。
2013年12月,沒有任何征兆,烏克蘭的一家銀行的ATM瘋狂吐錢。面對突如其來的「ATM機故障」,這家銀行起初并未在ATM機的系統中發現任何病,甚至他們一度懷疑這是ATM機制造商的產品問題。
但在這家銀行束手無策的時候,世界上第二起ATM機搶劫案的發生,讓烏克蘭政府決定向國際網絡安全組織申請外部援助,直到幾個月后,一名計算機專家才在一個電子郵件中發現了異常。
而此時,Carbanak已經悄悄地獲利上千萬美元。
據這名技術專家介紹:這個黑客組織利用了Word文檔的漏洞。
在銀行電腦打開Word文檔后,銀行的系統就會被安裝上基于Carberp的后門程序,因為它基于Carberp,配置文件的名稱是「anak.cfg」所以我們將這一程序稱為Carbanak或Carbanp。
這也成為這批黑客的代號。
只是,讓這家銀行未曾想到的是:這個最初被命名為Carbanak的組織,會在未來幾年成為所有銀行噩夢的代名詞。
調查與對抗
2014年,隨著Carbanak組織對美國、俄羅斯以及歐洲其他國家銀行系統的攻擊,在美國的主導下,國際上開始出現一支專門針對Carbanak組織的調查隊伍。
動態 | 演員Bill Cosby利用比特幣向債權人隱瞞財產:據CCN報道,在線八卦雜志Radar Online表示,一位未透露姓名的“內幕人士”稱,演員Bill Cosby利用比特幣試圖向其債權人隱瞞他剩余的財產。今年早些時候Bill Cosby曾因三項性侵犯罪而被定罪,他在9月底的判決日期之前購買了價值約500萬美元的比特幣。[2018/8/28]
國際知名的電腦病研究機構kaspersky在2015年發布資料顯示:考慮到Carbanak組織發動攻擊過程的規律性和復雜性,該運營很可能得到某個國家的支持,并且組織人數超過100人。
這一猜測,也曾得到歐洲刑警網絡犯罪部門負責人FernandoRuiz的肯定。FernandoRuiz聲稱:「他們是國際背景下的領導者,而且不只是一個私人組織。」
因為Carbanak組織不僅僅只是將現金取回后單純的放入比特幣賬戶中,根據EUROPOL的研究,Carbanak在得到現金后還會通過購買豪華汽車和高端消費品,對所得資金進行洗白,然后才會通過比特幣進行分散式回款。
Carbanak的行為的嚴密性和目前已知的朝鮮黑客組織Lazarus十分相似。
據了解,Lazarus是世界上最著名的國家政府的黑客組織,它的成立是為金正恩竊取其國外貨幣,并在今天成為朝鮮最重要的外匯創收渠道之一。
網絡安全公司Group-IB發布的《2018年高科技網絡犯罪趨勢報告》顯示,從2017年至2018年9月,Lazarus通過攻擊加密貨幣的交易所,已經拿走5.71億美元,這讓Lazarus成為了和Carbanak比肩的世界頂級黑客組織之一。
只是,隨著Carbanak創始人在2018年3月的落網,讓Carbanak是國家黑客組織的猜測被徹底否決,至此,Carbanak的傳奇也為我們揭開了一個關于天才的人生一角。
而Carbanak創始人落網的關鍵,始于發生在臺北市的「第一銀行」最大搶劫案。
臺北市銀行搶劫案
2015年7月9日,夏天的烈日正炙烤著臺北市的街區,此時一個多達19人的摩托車車隊,正在這個安詳的下午急速奔向第一銀行22家分行的41臺ATM機。
他們不是第一銀行的客戶,但他們知道,再過一小時零二十分,第一銀行的22家分行的41臺ATM機將為他們送上8327萬巨款,而這將一舉創造臺北市銀行犯罪的最高紀錄。
歐洲刑警組織利用比特幣區塊鏈來確認會議發言人的身份:歐洲聯盟執法合作機構(歐洲刑警組織)已成為世界上第一個利用區塊鏈確認會議發言人的執法機構。他們說:\"為了切實展示防篡改分布式分類賬技術的好處,所有演講者都獲得了歐洲刑警組織的證書,這些證書永久地存儲在比特幣區塊鏈中并可完全追蹤。\"[2018/6/24]
在一份報告中的搶劫案現場
因為Carbanak是一個只有少數人的網絡組織,所以他們需要找到一些線下組織進行合作,2015年之前,他們的合作對象一直是一家俄羅斯的黑手黨,2016年以后,他們又將合作組織換成了摩洛哥人。
在此之前,Carbanak已經通過這種雇傭軍的手段,洗了很多次錢。
在所有騎手全部準備就位后,臺北市第一銀行22家分行的41臺ATM機隨著北歐一臺電腦的操作,開始如同泄洪的閘口,向等侯在機器前的騎手瘋狂吐錢。
2015年7月14日,在事情發生5天后一家媒體對這次事故進行了報道,在這次不明原因引發的故障中,第一銀行共計損失了8327萬。
而這些騎手們,已經想好了逃脫追捕方式。
Carbanak組織故意讓一臺ATM機器在普通民眾面前發生了吐錢事故,他們的想法是,一旦普通人「撿走」這些錢后,警察就會先調查普通人,雇傭軍們就能乘機逃跑。
一切進行的非常順利,只是,被飛舞的現金震撼的老伯,默默地將錢撿起來,然后交給了警察局。
因此,對這個簡單的對這位老伯的所有親人進行了調查后,迅速回到正軌,開始追蹤這群騎手「雇傭軍」們。
這是Carbanak**的第一個失誤,第一塊多米諾骨牌倒下,整個計劃開始崩塌。**
在ATM機出現故障的第一時間,第一銀行被盜賬戶的另一頭,也收到了來自第一銀行取款異常的電話報警。
正是這一警報,讓臺北市通過異常賬戶所有關聯人的通話記錄,鎖定了這只雇傭軍的個人信息。
2015年7月15日,摩托車車隊的領頭人Babii收到了來自北歐老板的警告,在警告中那個匿名老板讓Babii快速離開臺灣。
這并非Carbanak第一次遇到帶有電話報警系統的銀行,但Carbanak低估了中國人的跨部門辦事效率,以及當地攝像頭的數量。
阿根廷銀行Masventas將利用比特幣進行國際交易:據CCN消息,阿根廷銀行Masventas主要股東Jose Dakak表示,該銀行將退出全球金融網絡SWIFT,并開始利用比特幣區塊鏈網絡結算國際支付。并稱該項服務能夠降低國際轉賬的成本。[2018/5/24]
雖然當時Babii手中還有6000萬現金等待洗白,但出于安全考慮,Babii最終決定,在進一步行動前棄款潛逃。
但另Babii沒想到的是,這19位車手行動前,已有熱心的民眾對這些行為奇怪的人進行了報案。而臺北市用于記錄交通信息的攝像頭,還原了19個車手的逃跑路線。
被抓的騎手
在歐洲和美國,受到一些私人隱私的制約,政府在街頭安裝攝像頭的行為基本是不可想象的。
臺灣通過清查飯店住宿紀錄,在7月15日晚上突襲了這支雇傭軍的臨時住所,并在當天的行動中抓獲了3個騎手,而頭目Babii成功逃脫。
第二天上午,警察在媒體上用頭版頭條發布公告:我們追回了6000萬的損失。
根據歐盟在2015年所做的一份專門針對Carbanak犯罪的研究報告顯示:Carbanak平均每兩到四個月發動一次攻擊,每次攻擊的洗劫金額都在1000萬歐元以上。
所以,臺北市總計8327萬的犯罪只是他們的一次小型活動,但這次小活動卻因為Babii的暴露,而為組織的淪陷埋下了重要的伏筆。
2015年7月,在對被抓的3名騎手進行審問后,依然一無所獲。因為這3人地位較低,只是聽從于Babii的命令安排,并不了解背后的「Carbanak」組織。
8月,第一銀行向美國聯邦調查局和歐洲刑警組織上報了這支雇傭軍領頭人Babii的個人影像信息,盡管警察并不知道Babii是否握有Carbanak組織的一些關鍵資料,但作為讓世界兩大勢力尋找2年未果的重要突破口,各國都給與了Babii足夠重視。
這種重視,最終在2017年獲得果實。
尋找Carbanak的領頭羊
2015年以后,Carbanak組織因為在烏克蘭、美國、俄羅斯和歐洲各大國家屢屢作案,而受到了來自美國聯邦調查局和歐洲刑警組織的共同調查。
甚至,羅馬尼亞、摩爾多瓦、白俄羅斯和俄羅斯的諸多私人網絡安全公司,為了證明自身的技術實力,也都參與其中。
巴西查獲首起利用比特幣洗錢案件:新華社里約熱內盧3月13日電,巴西13日查獲一個利用比特幣洗錢的犯罪團伙。這也是巴西偵破的首起利用虛擬貨幣犯罪的案件。當日發起新一輪反腐敗行動,逮捕里約熱內盧州前政府官員、特警負責人等。他們涉嫌通過開具高價發票侵吞國家資產。巴西聯邦稅務局第七區負責人卡塞米羅說,嫌疑人至少給公共財政造成7300萬雷亞爾(約合1.4億元人民幣)的損失。[2018/3/14]
但這個以搶銀行為利益來源的黑客組織,將自己的信息做的十分隱蔽。
線上調查的無法推動,讓漸漸將調查的重點放在了Carbanak組織的雇傭軍身上,而在2015年臺北市作案的雇傭軍領頭人Babii則是當時所有警察的重點關注對象。
2017年3月,憑借臺北市有限的影像資料,一個和Babii酷似的度假者在白俄羅斯被發現。此時,距離臺北市第一銀行的搶劫案以及過去一年零八個月的時間。
2017年4月,正在白俄羅斯度假的Babii被當地抓獲。作為Carbanak組織的雇傭軍領頭人之一,Babii的被抓沒有引起任何媒體的報道,甚至他的名字也只存于一份關于Carbanak組織的政府報告中。
但審訊中,Babii稱并不知道誰是Carbanak組織的神秘老板。盡管他曾多次為Carbanak組織辦事,但所有的聯系也僅僅只是通過一個特殊加密的郵件系統進行的對話。
美國聯邦調查局將這套加密郵件系統交給專業的網絡安全團隊,Babii與Carbanak組織老板的聊天紀錄中被挖出了兩支病的原代碼信息。
此后,網絡安全部隊通過不斷追查這兩只病原代碼的所有聯系和出處,最終鎖定了身在西班牙的一名電腦技術達人——丹尼斯K。
追蹤了幾年的黑客突然出現在面前,但大家卻開始懷疑調查結果的真實性。
因為按照Carbanak組織的盜竊記錄顯示,丹尼斯K最少擁有數億美元的資產。但據西班牙的知名媒體elmundo報道:丹尼斯K是一名34歲的烏克蘭人,他和他的妻子以及女兒匿名居住在西班牙的一幢價值一百萬歐元的公寓內,除此之外,沒有任何奢華的地方。
甚至,丹尼斯K低調的消費行為一度讓抓捕的警察懷疑,他是否真的是Carbanak組織創辦者。
但隨著警察在丹尼斯K的電腦中發現了15000枚比特幣后,但這一懷疑得以消除。
神秘的竊取者
2018年3月6日,在西班牙18℃的一個溫暖日子里,約20名執法人員對海邊的一所房子破門而入。
面對突如其來的警察,丹尼斯K顯得格外冷靜。
歐洲刑警組織歐洲網絡犯罪中心負責人魯伊斯參與了這次抓捕,并在丹尼斯K房間的電腦中發現了他在編寫的新型病程序。
后來,魯伊斯對媒體稱:丹尼斯K在技術上非常出色,他能夠識別漏洞并編寫惡意軟件來利用這些漏洞,有這種知識的犯罪分子全球都屈指可數。
而此前外界一直對Carbanak組織是國家資助的、200人的黑客團伙的猜測,也水落石出——這個讓世界40多個國家尋找了近5之久的黑客組織,其核心人物只有4個人。
據歐洲網絡犯罪中心的報告顯示,這個4人的分工是:丹尼斯K負責病代碼的編寫,第二個成員,負責利用郵件將病進行惡意傳播;第三個成員負責感染銀行的計算機系統,并讓雇傭軍作案時使銀行的監控失效;第四個成員則控制所有摩爾達維亞國籍的「雇傭軍」成員。
在丹尼斯K被抓后不久,就被歐洲法院以控犯有陰謀罪、電信欺詐罪、計算機黑客罪、訪問設備欺詐罪、嚴重身份盜竊罪等26項罪名進行了起訴。
網絡黑客作為技術性的犯罪者,在世界各國很少有被處死的案例。
畢竟,讓黑客為社會做貢獻的價值,遠遠高于殺死他,而他們也確實并非傳統意義上的壞人,所以,許多黑客被抓后一般都會在監獄中用另一種方式進行工作。
而對于他們而言,一臺電腦便足以滿足他們的精神世界。
事實上,根據丹尼斯K的才華他完全可以通過合法途徑來進行盈利,因為此前丹尼斯K曾利用自己編寫的自動駕駛程序,前往雇傭軍手中收取現金。而為了開發可靠的自動駕駛,此前世界各大汽車廠商以及為此投入了上百億美元的研發經費。
而丹尼斯K在法庭上透漏了這樣做的原因:我并不是不為了賺錢,而是為打敗全球最安全的銀行系統,因為那樣可以證明我的技術。
對于一些罪名指控,丹尼斯K辯解道:「我從未偷取任何人的財富,我只是打劫了一些國家的集權者。」
在歐洲后來的調查中,他們還發現:丹尼斯K曾試圖為俄羅斯的一個黑手黨建立一個合法洗錢的加密貨幣系統,而俄羅斯對這個黑手黨的多次打壓,也反應了Carbanak組織為何總是攻擊俄羅斯銀行的原因。
仍未結束的謎團
2018年8月2日,據cnbeta報道:Carbanak組織的另外三名技術成員DmytroFedorov、FedirHladyr和AndriiKolpakov分別在德國、波蘭以及烏克蘭被抓,因為針對這次行動的信息過少,所以對于這三個人的身份我們無法判定是否屬于Carbanak組織的另外三名高層人員。
隨著丹尼斯K的被抓,Carbanak組織的犯罪活動并未停止,今天依然在活躍。
2016年以后,國際各大銀行面對Carbanak組織的攻擊,選擇了用沉默的方式息事寧人。所以,目前新聞機構對Carbanak組織的盜取金額,也依然只停留在2015年十億歐元的印象中。
事實上,Carbanak組織的所有盜竊金額全部通過比特幣進行回款,而2013年12月到2015年12月時的比特幣僅僅只有300美元左右,面對2018年比特幣上萬美元的價格,這種比特幣的儲存背后,最少給Carbanak組織帶來過30倍的資產升值。
所以,Carbanak組織究竟有多少錢?
可能是一個隱藏在銀行沉默和比特幣升值背后的一個永恒謎題。不過不能改變的事實是:Carbanak組織依然是目前世界上最富有的黑客組織之一。
而2015年以前,對于用10億歐元購買比特幣的Carbanak組織來說,也許比特幣價值的來源還有另一個我們無法證明的假設——Carbanak。
維基百科:https://en.wikipedia.org/wiki/Carbanak各個國家的官方調查資料:1、file:///C:/Users/sishi/Desktop/carbanakcobalt.pdf2、file:///C:/Users/sishi/Desktop/10APRC_Busan_P2_Anchen_Chang.pdf3、file:///C:/Users/sishi/Desktop/Carbanak_APT_eng.pdf西班牙媒體的報道:https://www.elmundo.es/espana/2018/03/26/5ab8bdeb268e3ed01d8b4636.html臺灣媒體的報道:https://www.cw.com.tw/article/article.action?id=5090741彭博社報道:https://www.cw.com.tw/article/article.action?id=5090741技術分析:https://www.fireeye.com/blog/threat-research/2017/06/behind-the-carbanak-backdoor.html
本文來源于非小號媒體平臺:
31區
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627101.html
比特幣
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
安全公司:2018年區塊鏈全生態典型安全事件盤點
下一篇:
鏈安科技創始人楊霞:無懼熊市,安全在任何時候都是剛需
文|棘輪比薩 2019年1月,華鐵科技的一紙公告,讓人們意外發現:這家上市公司早在去年年中,就悄悄進入了數字貨幣挖礦行業。華鐵科技不是唯一一家進入挖礦行業的A股上市公司.
1900/1/1 0:00:00BitMEX研究團隊此前曾對閃電網絡做過理論方面的深入研究。現在,隨著閃電網絡從抽象的概念轉入試驗,他們對這一熱點進行了再次審視.
1900/1/1 0:00:00火星財經APP一線報道,研究機構Diar在其最新的報告中指出,美元穩定幣市值已超40億美元,創歷史新高.
1900/1/1 0:00:002009年1月,中本聰發明的比特幣區塊鏈正式上線并挖出了第一個含有50BTC的區塊,比特幣正式誕生.
1900/1/1 0:00:004大幣種主題日,尋找行情預言帝 2019-05-22 親愛的用戶: DragonEx將于2019年5月22日15:00(UTC8)上線iOS版期權功能,請更新到最新版本進行體驗.
1900/1/1 0:00:00BTC凌晨最低在7960美元附近,從8120美元跌下來后,就沒有再能站在8100美元上,幣價又開始被壓縮在區間內運行,調整期間依舊可以以筆者昨晚給出的思路跟進.
1900/1/1 0:00:00