坐在家中点击鼠标，万里之外ATM吐钞……

WannaCry？心脏出血？雅虎？索尼？

在今天的主角面前，它们相形见绌。

一群年轻人远在万里之外，

却遥控了史上最大的黑客劫案。

2016 年 7 月 6 日，超级飓风尼伯特达到了强度巅峰。几乎笼罩了整个西北太平洋的热带气旋，即将于不久后肆虐台湾。

7 月 10 日晚间，台北人都躲在家中，等待风暴的消缩。

一对情侣来到台湾第一商业银行古亭分行，排队等着取款。

排在他们前面的是两个俄国人。他们站在提款机前，并没有插入银行卡，也没有进行任何操作，只是站在那里，玩着手机。

这让外面的人感到奇怪，但在当时没有人意识到，在尼伯特离去之际，却有另一场精心谋划的黑客风暴正在登陆台湾。

而这两个被帽子和口罩遮住了脸的俄国人，即将犯下台湾历史上规模最大、影响最为恶劣的提款机劫案。

紧接着，更令人惊讶的事情发生了：大量钞票突然从提款机里喷出。钞票很快飞满了狭窄的房间，在地面上堆了厚厚的一层……

谢尔盖·别列佐夫斯基和弗拉基米尔·伯克曼，从地上快速地捞起钞票，疯狂塞进包中。没过多久，包就装满了。

二人摸了摸帽子和口罩，快步离开了银行，和被他们惊到不敢出声的那对情侣擦身而过，钻进一辆黑色轿车，消失在雨中。

一切开始的太快，也仿佛结束在瞬息之间。

后面的人开始 警。当他们靠近提款机，发现旁边的地上仍有俄国人未来得及装进包里的 6 万新台币钞票，和一张银行卡。

通过监控录像，警察追踪别列佐夫斯基和伯克曼到了台北君悦酒店，结果发现他们早已退房离开。警察又通过车牌 追踪到桃园机场，发现俄国人已经在早上 7 点登上国泰航空的班机，经香港飞回了莫斯科。

据台湾媒体，在超级飓风和黑客风暴同时席卷台湾的那个周末，共有 15 人通过同样的方式，洗劫了第一商业银行共 22 家分行和 41 台提款机，盗走了约 7,000 万新台币。

《彭博商业周刊》则 称数额更大，达到 8,300 万新台币，约合 270 万美元或人民币 1800 万元。

为什么不插卡、不进行操作，甚至不用碰任何东西，就能让 ATM 机“自动吐钞”？为什么他们又胆敢盗走数额如此巨大的现钞，装箱子都要装好几箱，存不进银行，上飞机也带不走，又怎么回收？

这到底是一个什么样的犯罪组织？警察对这种神奇的作案方式深感不解。

原来，臭名昭著的 Carbanak 犯罪集团，又开始行动了。

Carbanak 犯罪集团因其使用的软件闻名，软件最早的版本叫做 Anunak，主要攻击银行，通过劫持提款机来获益。

2013 年，乌克兰的一家银行发生了第一起劫案，监控系统发现有人凌晨时间在提款机上，不用插卡也不用输密码就取走了大量的现金。

和台湾人一样，乌克兰人最一开始也觉得是提款机被攻破了。银行请来了卡巴斯基，安全人员查看提款机，发现外观没有任何损坏，硬件没有被侵入，硬盘上也没有可疑记录。

后来调查范围扩大到了银行内部员工，才发现了问题所在：有人打开了一个包含恶意软件的 Word 文档，而发送者伪装成了制造提款机公司。

到了 2014 年，软件升级为 Carbanak，波及了乌克兰和俄罗斯的更多银行。

到了 2016 年，Carbanak 又升级成了 Cobalt，不但可以扰乱提款机，还可以允许黑客直接调高账户余额，然后再去取钱、转账，或者用购买数字货币等方式洗钱。

也正是因为它瞄准的是金融机构，和消费者关系不太大，所以在过去知名度并不高。

但是在财务损失上，Carbanak 的杀伤力远超 WannaCry、索尼公司和电影资料库入侵、雅虎入侵、Target 信用卡遭窃等比较知名的漏洞/入侵事件。从 2013 年开始，Carbanak 犯罪集团已经入侵了全球超过 40 个国家的 100 家银行和金融机构，导致超过 12 亿美元失窃。

和其他黑客攻击不同之处在于，Carbanak 攻击者不偷走东西然后要赎金，也不通过胁迫的方式达到商业或者政治目的，他们只偷钱，偷完就走。

Carbanak 是一种非常古老的黑客侵入方式。它能够攻破银行，不是因为能够击败银行花费巨资建立的内部安全系统，而是在于银行内部的某个人疏忽了，点开了邮件里不该点开的那个按钮。

也就是 会工程学。Carbanak 犯罪团伙伪造了一种合情合理的虚假情形，让银行员工以为自己的操作是正确的。而这是个相当漫长的过程。

第一步：黑客伪装成合作伙伴，发给受害者包含宏/恶意软件的邮件，，或者要受害者点击某个链接、下载某个附件。

受害者通常是银行或金融机构里面的职员，职位不需要很高，因为这样的话黑客就可以伪装成更高级别的上司，通过胁迫来取得效果。

比如，黑客可以把自己的邮件名改成受害者上司的邮件地址，伪装成银行高管，谎称忘记了自己的账 密码，但要紧急转一笔账，要求员工提供自己的账 。

（很多邮件服务都默认遮盖邮件地址，只显示名字，不够警惕的人很容易上当）

第二步：当受害者完成了操作，病毒就感染了第一台肉鸡。通常情况下这台设备在办公 络里，而银行的内部系统安全程度能抵御外部攻击，对内部可信设备的防范可能没那么好。

就这样一传十，十传百，最终内部大量其他设备感染病毒，很有可能波及核心系统，将高权限的设备和账户暴露给黑客。

最初的邮件里包含的木马程序，只是开始，当系统被隐秘地贡献后，黑客就可以上传更多的恶意程序，实现更强大的控制。卡巴斯基发现，那家乌克兰银行的电脑，不但用户的键盘输入被记录下来，就连显示和摄像头都被控制，可以截图拍照机密内容，隐秘上传到黑客控制的服务器。

第三步：掌握了权限后，黑客可以达成以下不同的目的：

1

将现金转到自己的账户里，外国银行的账户更佳，因为很难追查过去；

2

可以修改自己的账户余额，然后再取出来；

3

最古老也最有效的方法，控制银行给提款机发指令，让其吐出现钞。

如果是用最后两种办法，那么作案就需要一个团队了：有指挥者，有提供和实施技术的程序员，还得有最后把钱取走，风险也最大的地面人员，在 Carbanak 这行叫做“现金骡”(money mule)。通常这些地面人员一个自己的小团伙，跟一次行动里的其他成员分成。

第四步：无论是电子转账，还是线下取现，黑客都需要把赃款洗干净，可以用常见的洗钱方法，比如赌博，也可以买车买房买股票，转换成数字货币是最简单的方式。

不过在目前的行情下，想要保值可能还得再转回法币……

Carbanak 犯罪集团选定目标银行，需要获得大量的资料，对目标理解至深，好让最初的钓鱼邮件显得很真实。他们需要找到哪个银行高管有足够高的权限，谁管转账，谁管哪个区域，提款机的通讯和加密方式是怎样的。

从踩点，到发起一笔转账或者账户提额，或者去提款机取钱，花费的时间可能长达数个月。欧洲刑警的专家指出，Carbanak 劫案“精心策划、非常复杂，而且是全球性的。”

全球级别的威胁需要全球级别的对策。据《彭博新闻周刊》 道，被波及的国家和地区的警方之间，共享了 Carbanak 劫案数据库。

卡塔纳是乌克兰人，这也解释了为何最早遭窃的是乌克兰的银行。

西班牙警方发现这个人有很多不正常的细节：比如，曾有被警方名单上的犯罪分子和他有过接触；他个人租用海外的服务器，通常运作跨境业务公司才会这样做；此人不会西班牙语，和老婆孩子一起住，没有什么 交，在监控期间一次都没有出去散心，尽管住地离海滩只有几个街区。

随着长时间的监控，警方逐渐对卡塔纳有了更多的了解，确定了此人嫌疑甚大：他跟俄罗斯和乌克兰的伙伴有邮件往来，这个团伙之间有分工：有人负责发钓鱼邮件，有人负责在作案期间和之后清理记录。

卡塔纳的职责比较关键，负责侦查银行，操纵资金流向，就像机场的空管一样，拥有全局视野，掌握信息和动向。

在他的控制下，不同的人组成了多个团伙，先后攻击了各个国家的银行，成功率几乎百分之百。西班牙警方将卡塔纳形容成黑客界的纳达尔：“能像做他这些事情的，全世界没几个人。”

监控期间，警方深入观察了 Carbanak 犯罪集团的一次技术升级。如果说过去的 Carbanak 软件是纯粹的恶意软件，那么新升级的 Cobalt 还是恶意软件，但是披了一层安全检查软件的外衣。

打开缺口的还是钓鱼邮件，一次比一次更像官方的。现在团伙冒充的是金融监管机构，附件是一个 称能检测出系统里 bug 的软件，口径是强制银行运行。

由于银行之间，特别是不同国家银行几乎没有安全方面的沟通，团伙就这样一家又一家地渗透，每家提大约 1200 万美元。高智商犯罪，大抵如此。

但是 Carbanak 团伙也不是完全的无懈可击。

就像黑客入侵利用的是 会工程学，靠的是银行员工的疏忽——团伙成员被捕，也是因为在反侦察上出了纰漏。

在 2016 年台北的那起劫案中，直到别列佐夫斯基和伯克曼离开之前，计划都很稳妥。由于只有一晚的时间，他们没来得及处理赃款就离开了台北。

仅仅五天之后，另外两名俄国人米哈伊尔·克里巴巴和尼古莱·潘科夫降落在桃园机场，出关后去了台北火车站，从行李寄存箱里取出了三个大箱子，然后在维多利亚酒店的房间里呆了整整一天。

次日傍晚，二人前往酒店的餐馆享用晚餐，庆祝这次计划精妙的劫案正式成功，没想到刚走出餐馆，就直接被接到了警察局……

这并不是一次万无一失的劫案，主要在于团伙低估了台北警方的侦查能力。根据不同地点提款机周围的监控，警方很容易地就在案发两天后找到了另一名携款的同伙，跟踪他到火车站，亲眼看着他把装着现钞的三个箱子放到行李寄存。

警方开始了对火车站的监控，没过多久就发现了克里巴巴和潘科夫。现在他们正蹲在台北的监狱里，还有几年的刑期。

台北的挫败给了 Carbanak 团伙警示：要补足人员的短板，必须再次提高入侵的技术水平。

但是警察不想等了。今年三月，西班牙警方直接敲了门，卡塔纳无奈地投降，甚至没有任何反抗。螳螂捕蝉，总有黄雀在后。

警察没收了电脑、汽车等财产，还在整理证据时发现了他这么多年的非法所得：15,000 枚比特币，自逮捕当时约合 1.6 亿美元，今天的价值仍高达 9,100 万美元。

可想而知此人究竟参与了多少起 Carbanak 案件……

卡塔纳被逮捕

对卡塔纳的审讯仍在进行中，但他的逮捕意义并没有想象中大。

因为 Carbanak 并不是专利和独家的技术，在类似案件流行之后，它不可避免地随着作案人员的流动在黑客圈传播开来，不断复制、增生和变种。安全公司 FireEye 指出，已经侦测到 Carbanak 和 Cobalt 的变种病毒，很多团伙都在使用。

问题在于原始团伙只是想用它来赚钱，而其他犯罪组织甚至国家机构却没这么“原教旨主义”。他们会将 Carbanak 及其变种用于更广泛的意图，从金融诈骗升级到经济犯罪，甚至政治上的敲诈。前年美国民主党全国委员会遭俄罗斯黑客攻击，有一种说法就是采用的类似于 Carbanak 的方法。

更糟糕的是，这种攻击方式在近几年的大起大落，让更多金融机构开始自危，寻找免疫和对抗的方式——这反而给了新的犯罪组织更多的机会。

据《彭博商业周刊》 道，最近几周东欧的一些银行员工开始收到伪装成卡巴斯基的邮件，告知他们电脑已被入侵，需要下载附件免疫。而当员工打开附件时，整个 络就被变种的病毒感染了……

就这样，低调的 Carbanak 继续肆虐着全球的银行、党团和政府机构们。史上最大黑客劫案，远未结束。

参考资料：

https://usa.kaspersky.com/resource-center/threats/carbanak-apt

https://www.bloomberg.com/news/features/2018-06-25/the-biggest-digital-heist-in-history-isn-t-over-yet

https://zhuanlan.zhihu.com/p/35004985

https://www.wikiwand.com/en/Carbanak

https://www.bleepingcomputer.com/news/security/leader-of-carbanak-cobalt-hacker-group-who-stole-over-1bil-arrested-in-spain/

关注“硅星人”，

让你看到最不一样的硅谷！

在微信里搜索guixingren123