两小时内净赚 1400 万美元的洲际 ATM 盗窃案
2018 年,马哈拉施特拉邦的几名男子以为他们正在接受电影中的小角色——但实际上他们被骗成了钱骡,在一场雄心勃勃的银行抢劫案中套取现金。
突袭发生在 2018 年 8 月的一个周末,重点是总部位于浦那的 Cosmos Co-operative 银行。
在一个安静的星期六下午,银行总行的工作人员突然收到一连串令人震惊的消息。
他们来自美国的信用卡支付公司 Visa,警告说它可能会看到成千上万的需求涌入,要求从 ATM 机提取大笔现金——显然是使用 Cosmos 银行卡的人提出的。
但是当 Cosmos 团队检查自己的系统时,并没有发现任何异常交易。
大约半小时后,为了安全起见,他们授权 Visa 停止所有来自 Cosmos 银行卡的交易。事实证明,这种延迟的代价是极其昂贵的。
第二天,Visa 与 Cosmos 总部分享了完整的可疑交易清单:从全球不同的 ATM 机提取了大约 12,000 笔款项。
该银行损失了近 1400 万美元(1150 万英镑)。
警告:本文包含 Lazarus Heist 播客的剧透
这是一场大胆的犯罪,其特点是规模宏大,同步性极强。犯罪分子在 28 个不同的国家洗劫了 ATM,包括美国、英国、阿拉伯联合酋长国和俄罗斯。这一切都发生在短短 2 小时 13 分钟的时间内——一场非同寻常的全球快闪犯罪。
最终,调查人员将其起源追溯到一群神秘的黑客,他们似乎是在朝鲜政府的要求下实施了一系列先前的攻击。
布里杰什·辛格 (Brijesh Singh) 将军由 B. Singh 友情提供
我们不知道有这样的钱骡网络
Insp Gen Brijesh Singh
网络犯罪专家,马哈拉施特拉邦
但在他们了解更广泛的情况之前,马哈拉施特拉邦网络犯罪部门的调查人员惊讶地看到闭路电视录像显示,数十名男子走到一系列取款机前,插入银行卡并将钞票塞进袋子里。
“我们不知道有这样的钱骡网络,”负责调查的 Insp Gen Brijesh Singh 说。
辛格说,一个团伙有一名处理人员在笔记本电脑上实时监控 ATM 交易。闭路电视录像显示,每当钱骡试图为自己保留一些现金时,经手就会发现并狠狠地打他一巴掌。
利用闭路电视录像和自动取款机附近地区的手机数据,印度调查人员在突袭后的几周内逮捕了 18 名嫌疑人。大多数人现在都在监狱里,等待审判。
辛格说这些人不是顽固的骗子。被捕者中有一名服务员、一名司机和一名鞋匠。另一个拥有药学学位。
“他们是温和的人,”他说。
尽管如此,他认为在突袭发生时,即使是被招募为“临时演员”的人也知道他们真正在做什么。
但是他们知道他们在为谁工作吗?
调查人员认为,盗窃案的幕后黑手是朝鲜的秘密和孤立状态。
拉撒路劫案品牌
黑客、朝鲜和数十亿美元。
听 Jean Lee 和 Geoff White 收听 BBC 世界服务台的 The Lazarus Heist
线
朝鲜是世界上最贫穷的国家之一,但其有限资源的很大一部分用于制造核武器和弹道导弹,这些活动是联合国安理会禁止的。结果,联合国将该国置于严厉制裁之下,使贸易受到高度限制。
自 11 年前上台以来,朝鲜领导人金正恩监督了一场前所未有的武器试验活动,包括四次核试验和几次试射洲际导弹的挑衅性尝试。
朝鲜领导人金正恩视察核弹头
图片来源,韩国广播电台/路透社
图片说明,
朝鲜领导人金正恩视察核弹头
美国当局认为,朝鲜政府正在利用一群精英黑客闯入世界各地的银行和金融机构,以窃取维持经济运转和资助武器计划所需的资金。
这些黑客绰号为 Lazarus Group,据信属于朝鲜强大的军事情报机构侦察总局领导的一个部门。
网络安全专家以死而复生的圣经人物拉撒路为这些黑客命名——因为一旦他们的病毒进入计算机网络,就几乎不可能将其杀死。
当时任美国总统巴拉克奥巴马在 2014 年指责朝鲜入侵索尼影视娱乐公司的计算机网络时,该组织首次声名鹊起。美国联邦调查局指责黑客发动破坏性网络攻击,以报复喜剧《采访》。描绘了金正恩的暗杀。
2014 年 12 月 18 日,在索尼宣布因恐怖威胁取消电影的圣诞节上映后的第二天,工作人员从加利福尼亚州好莱坞的广告牌上取下了“采访”的海报
图片来源,罗宾·贝克
图片说明,
在索尼宣布取消电影的圣诞节上映后,工作人员移除了“采访”的广告牌海报
此后,拉撒路集团被指控试图在 2016 年从孟加拉国中央银行窃取 10 亿美元(8.15 亿英镑) ,并发起 WannaCry 网络攻击,试图从世界各地的受害者那里勒索赎金,包括英国的 NHS。
朝鲜强烈否认 Lazarus Group 的存在,以及所有关于国家支持的黑客攻击的指控。
但主要执法机构表示,朝鲜的黑客攻击比以往任何时候都更先进、更无耻、更野心勃勃。
对于 Cosmos 盗窃案,黑客使用了一种被称为“累积奖金”的技术——之所以这样称呼,是因为让 ATM 机泄露现金就像在老虎机上中大奖一样。
该银行的系统最初以经典方式遭到破坏:通过一名员工打开的网络钓鱼电子邮件,该电子邮件使计算机网络感染了恶意软件。一旦进入,黑客就操纵了一些软件——称为 ATM 交换机——向银行发送消息以批准取款机取款。
这让黑客有能力允许他们在世界任何地方的同伙从 ATM 机上取款。他们唯一不能改变的就是每次取款的最高金额,所以他们需要大量的卡和大量的地面人员。
为准备突袭,他们与同伙合作制作“克隆”ATM 卡——使用真实的银行账户数据制作可在 ATM 机上使用的复制卡。
英国安全公司 BAE Systems 立即怀疑这是 Lazarus Group 所为。它已经监视了他们几个月,并且知道他们正密谋攻击一家印度银行。它只是不知道是哪一个。
BAE 安全研究员 Adrian Nish 说:“如果它是又一次犯罪行动,那就太巧合了。” 他说,Lazarus Group 多才多艺且雄心勃勃。“大多数犯罪集团可能会很高兴能够逃脱几百万并就此止步。”
Cosmos 银行抢劫案涉及的后勤工作令人震惊。黑客是如何在 28 个国家找到同伙的,其中包括许多朝鲜公民无法合法访问的国家?
朝鲜民众瞻仰朝鲜已故领导人金日成和金正日的铜像
图片来源,让·H·李/盖蒂图片社
图片说明,
朝鲜公民不能自由旅行
美国科技安全调查人员认为,拉撒路集团在暗网上遇到了一个关键的推动者,那里有整个论坛专门用于交流黑客技能,犯罪分子经常在那里出售支持服务。2018 年 2 月,一位自称“大老板”的用户发布了如何进行信用卡诈骗的技巧。他还表示,他拥有制造克隆 ATM 卡的设备,并且他可以接触到美国和加拿大的一群钱骡。
这正是 Lazarus Group 在 Cosmos Bank 上取得成功所需的服务,他们开始与 Big Boss 合作。
我们请美国科技安全公司 Intel 471 的首席情报官迈克·德博尔特 (Mike DeBolt) 了解更多关于这个同谋的信息。
DeBolt 的团队发现 Big Boss 已经活跃了至少 14 年,并且拥有一串别名:G、Habibi 和 Backwood。安全侦探设法将他与所有这些用户名联系起来,因为他在不同的论坛中使用相同的电子邮件地址。
“基本上,他很懒惰,”德博尔特说。“我们经常看到这种情况:参与者在论坛上更改别名,但保留相同的电子邮件地址。”
2019 年,Big Boss 在美国被捕,并被揭穿为 36 岁的加拿大人 Ghaleb Alaumary。他承认犯有从涉嫌朝鲜银行抢劫案中洗钱等罪行,并被判处 11 年零 8 个月徒刑。
朝鲜从未承认参与 Cosmos 银行的工作或任何其他黑客计划。BBC 向朝鲜驻伦敦大使馆提出参与 Cosmos 袭击的指控,但没有收到回复。
然而,当我们之前联系他时,崔一大使回答说,朝鲜政府支持的黑客和洗钱指控是“一场闹剧”,是美国企图“玷污我们国家的形象”。
2021 年 2 月,美国联邦调查局、美国特勤局和司法部宣布对三名疑似 Lazarus Group 黑客提出指控:Jon Chang Hyok、Kim Il 和 Park Jin Hyok,他们称这三人为朝鲜军事情报机构工作。他们现在被认为回到了平壤。
金日、朴振赫和全昌赫三部曲合影
图片来源,美国司法部
图片说明,
金日、朴振赫和全昌赫
美国和韩国当局估计,朝鲜拥有多达 7,000 名受过训练的黑客。他们不太可能都在国内工作,很少有人有权使用互联网,这使得用户的活动难以隐藏。相反,他们经常被派往海外。
前朝鲜外交官 Ryu Hyeon Woo 是离开该政权的最资深人士之一,他提供了有关黑客如何在国外工作的见解。
2017 年,他在朝鲜驻科威特大使馆工作,帮助监督该地区约 10,000 名朝鲜人的就业。当时,许多人在海湾地区的建筑工地上工作,和所有朝鲜工人一样,他们被要求将大部分工资上交给政权。
他说他的办公室每天都会接到一名朝鲜管理人员打来的电话,该管理人员正在监督 19 名在迪拜狭窄的地方生活和工作的黑客。“这就是他们真正需要的:一台连接到互联网的电脑,”他说。
朝鲜否认在国外派驻过任何黑客,只有持有有效签证的 IT 人员。但 Ryu 先生的描述与 FBI 关于这些网络单位如何在世界各地的宿舍运作的指控相吻合。
2017 年 9 月,联合国安理会对朝鲜实施迄今为止最严厉的制裁,限制燃料进口,进一步限制出口,并要求联合国成员国在 2019 年 12 月之前将朝鲜工人遣返。
然而,黑客似乎仍然很活跃。他们现在瞄准加密货币公司,估计已盗窃近 32 亿美元。
美国当局称他们为“世界头号银行劫匪”,使用的是“键盘而不是枪支”。