法網恢恢疏而不漏 10億歐元黑客大盜終在西班牙落網

譯文聲明

本文是翻譯文章，文章原作者Catalin Cimpanu，文章來源：http://www.bleepingcomputer.com

原文地址：https://www.bleepingcomputer.com/news/security/leader-of-carbanak-cobalt-hacker-group-who-stole-over-1bil-arrested-in-spain/

歐洲刑警組織昨天宣布稱，西班牙警方逮捕了一名疑似是當前規模最大的銀行網路犯罪團伙之一 Carbanak 的頭目。

歐洲刑警組織指出，Carbanak （或稱為 Cobalt）黑客組織在40多個國家執行了100多起入侵活動，共竊取超過10億歐元（摺合12.4億美元），平均每次入侵活動竊取1000萬歐元（摺合1240萬美元）。

僅攻擊銀行和 ATM 系統

Carbanak 黑客組織臭名昭著的原因是它僅攻擊銀行、電子支付系統和金融機構。根據他們所使用的惡意軟體，該黑客組織的黑客行動可分為三個主要階段：

• 2013—2014年：開發並使用 Anunak 惡意軟體並主要針對金融機構和 ATM 網路。
• 2014—2016年：開發並使用 Carbanak 惡意軟體，它是 Anunak 的升級和複雜版本。
• 2016—2017年：通過合法的滲透測試框架 Cobalt Strike開發自定義惡意軟體。

每次入侵行動的操作方式一致

雖然使用的惡意軟體有所不同，但 Carbanak 黑客組織在執行攻擊時遵循同樣的操作模式，而這種操作模式如今已被很多其它黑客組織所模仿。

所有攻擊的開始都是由黑客向目標發送魚叉式釣魚郵件。郵件通過域名欺騙來假冒成合法業務合作夥伴或協作夥伴，並且其中包含帶有惡意軟體的文件附件。

攻擊者通常會首先感染一個目標然後使感染傳播至內部網路的其餘部分，從中查找哪些計算機可訪問管理目標資金的軟體的許可權。這些軟體包括受控制的 ATM、銀行賬戶、金錢轉移等。

竊取錢財的方式有三種

或者這些系統的訪問許可權後，黑客會選擇如下三種方式中的一種竊取錢財。

第一種是和錢騾組織合作，讓 ATM 在預設的某天的某個時點吐出鈔票。錢騾隨後會收錢，中介收取一定的費用後會把錢交給 Carbanak 黑客組織。

第二種是，Carbanak 黑客組織會把錢從合法賬戶轉移到自己或錢騾所擁有的賬戶中，隨後在 ATM 清空賬戶或使用這些賬戶購買昂貴的產品然後洗錢。

第三種是，黑客使用銀行內部系統的訪問許可權提前人為地把錢騾所創建的賬戶中的餘額抬高，而不是從其他賬戶中轉移錢財。和之前的方式一樣，錢騾會儘快提空賬戶。

這些犯罪所得有的也會通過密幣洗錢。調查人員表示黑客還會使用和密幣錢包存在關聯的預付卡購買奢侈品如高端汽車和房屋。

對 Carbanak 頭目的逮捕預計會阻礙該組織的行動，如果說還不能完全切斷的話。相關機構並未透露這名嫌疑犯的名字，只是表示經過大量冗長的調查活動包括歐洲刑警組織，美國聯邦調查局，網路安全私營機構，銀行部門，西拔牙、羅馬尼亞、布魯塞爾、中國台灣等國家和地區的警方支持之後，在西班牙阿利坎特市將其逮捕。

不久，烏克蘭警方也詳細說明了逮捕 Carbanak/Cobalt 組織的另外一名成員。西拔牙警方也公布了相關逮捕視頻。

推薦閱讀：