【澳纽网编译】想象一下,你是印度的一个低薪工人,在宝莱坞电影里当了一天的临时演员。你的角色?去取款点取钱。
2018年,马哈拉施特拉邦(Maharashtra)的几名男子以为他们在接受一部电影中的一个小角色——但事实上,他们被骗成了钱骡,在一次雄心勃勃的银行抢劫中收集现金。
袭击发生在2018年8月的一个周末,集中在总部位于浦那的宇宙合作银行(Cosmos Co-operative bank)。
在一个安静的周六下午,该行总行的工作人员突然收到了一连串令人震惊的消息。
他们来自美国的信用卡支付公司Visa,该公司警告称,可能会有数以千计的人要求从自动取款机上提取大量现金——显然是使用宇宙银行卡的人。
但当Cosmos团队检查他们自己的系统时,他们没有发现异常交易。
大约半个小时后,为了安全起见,他们授权Visa停止使用Cosmos银行卡的所有交易。这种拖延将导致极其昂贵的代价。
第二天,Visa向Cosmos总部提供了可疑交易的完整清单:在世界各地不同的ATM机上分别取款约1.2万次。
银行损失了近1400万美元(1150万英镑)。
这是一次胆大妄为的犯罪,其特点是规模宏大,作案手法一丝不苟。犯罪分子抢劫了28个不同国家的自动取款机,包括美国、英国、阿联酋和俄罗斯。这一切都发生在短短两个小时13分钟的空间——一个非同寻常的全球快闪犯罪。
最终,调查人员会追溯到一个神秘的黑客组织,他们似乎是在朝鲜政府的授意下实施了一之前的系列犯罪活动。
但在了解更广泛的情况之前,马哈拉施特拉邦网络犯罪部门的调查人员惊讶地看到了闭路电视的画面,数十名男子走到一系列取款机前,插入银行卡,并将纸币塞进袋子。
调查负责人辛格(Brijesh Singh)说:“我们不知道有这样的金钱走私网络。”
[xyz-ihs snippet=”googleAD300x100″]辛格说,其中一个团伙有一个负责人,他用笔记本电脑实时监控ATM交易。监控录像显示,每当一个钱骡试图把一些现金据为己有时,经手人就会发现并狠狠地扇他一巴掌。
利用监控录像以及自动取款机附近地区的手机数据,印度调查人员在突袭后的几周内逮捕了18名嫌疑人。大多数人现在都在监狱里,等待审判。
辛格说,这些人不是顽固的骗子。被捕者中有一名服务员、一名司机和一名鞋匠。另一个拥有药学学位。
“他们都是温和的人,”他说。
尽管如此,他认为,当突袭发生时,即使是作为“临时演员”招募的人也知道他们真正在做什么。
但他们知道自己在为谁工作吗?
调查人员认为,神秘而孤立的朝鲜是此次劫案的幕后黑手。
朝鲜是世界上最贫穷的国家之一,但其有限资源的很大一部分用于制造核武器和弹道导弹,这是联合国安理会禁止的活动。因此,联合国对该国实施了严厉的制裁,使贸易受到高度限制。
自11年前上台以来,朝鲜领导人金正恩监督了一场前所未有的武器试验,包括四次核试验和几次挑衅性的洲际导弹试射。
美国当局认为,朝鲜政府正在利用一群精英黑客入侵世界各地的银行和金融机构,窃取该国维持经济运转和资助武器计划所需的资金。
这些黑客绰号“拉撒路集团”,据信属于朝鲜强大的军事情报机构侦察总局(Reconnaissance General Bureau)指挥的一个单位。
网络安全专家以《圣经》中死而复生的拉撒路的名字命名这些黑客,因为一旦他们的病毒进入计算机网络,病毒几乎不可能被杀死。
该组织首次在国际上崭露头角是在当时的奥巴马指责朝鲜在2014年侵入索尼影视娱乐公司的计算机网络。美国联邦调查局指控黑客发动破坏性的网络攻击,以报复电影“采访“,这是一部描述金正恩遇刺事件的喜剧片。
此后,拉撒路集团被指控试图偷走10亿美元(8.15亿英镑)他们在2016年从孟加拉国中央银行获得了赎金,并发动了“WannaCry”网络攻击,试图从世界各地的受害者中勒索赎金,其中包括英国的NHS。
朝鲜强烈否认拉撒路集团的存在,以及所有国家支持黑客的指控。
但主要执法机构表示,朝鲜的黑客比以往任何时候都更先进、更无耻、更有野心。
在宇宙银行劫案中,黑客使用了一种被称为“中头奖”(”jackpotting”)的技术——之所以这么说,是因为让自动取款机里的现金溢出就像在老虎机上中头奖一样。
该银行的系统最初是以经典的方式被入侵的:通过一名员工打开的钓鱼电子邮件,用恶意软件感染了计算机网络。一旦进入,黑客们操纵一个名为ATM交换机的软件,它会向银行发送消息,批准自动取款机取款。
这就给了黑客权力,让他们在世界任何地方从同伙那里提款。他们唯一不能改变的是每次取款的最大金额,所以他们需要很多卡,很多人在地面上。
在为突袭做准备的过程中,他们与同伙合作创建“克隆”ATM卡——使用真实的银行账户数据创建可在自动取款机上使用的复制卡。
英国安全公司BAE系统公司立即怀疑这是拉撒路集团干的。它已经监视了他们几个月,并知道他们正在策划袭击一家印度银行。它只是不知道是哪一个。
BAE安全研究员阿德里安·尼什(Adrian Nish)说:“如果这是另一次犯罪行动,那就太巧合了。”拉撒路集团是多才多艺的,非常雄心勃勃,他说。“大多数犯罪集团可能会很乐意带着几百万离开,并就此罢手。”
宇宙银行抢劫案中涉及的后勤保障是惊人的。黑客是如何在28个国家找到同谋的,其中包括许多朝鲜公民不能合法访问的国家?
美国科技安全调查人员认为,拉撒路集团在暗网上遇到了一个关键的推动者。暗网上有专门交流黑客技能的整个论坛,犯罪分子经常在暗网上出售支持服务。2018年2月,一位自称“大老板”的用户发布了如何进行信用卡诈骗的提示。他还说,他有制造克隆ATM卡的设备,他可以接触到美国和加拿大的一群钱骡。
[xyz-ihs snippet=”GoodAD300x100″]这正是拉撒路集团袭击宇宙银行所需要的服务,他们开始与“大老板”合作。
我们请美国科技安全公司英特尔471的首席情报官迈克·德博尔特(Mike DeBolt)来了解更多关于这个共犯的信息。
德博尔特的团队发现,“大老板”已经活跃了至少14年,并有一系列别名:G、哈比比和巴克伍德。安全调查人员设法将他与所有这些用户名联系起来,因为他在不同的论坛中使用了相同的电子邮件地址。
“基本上,他很懒,”德波特说。“我们经常看到这样的情况:演员在论坛上改变了他们的别名,但电子邮件地址保持不变。”
2019年,“大老板”在美国被捕,并被揭露为36岁的加拿大人Ghaleb Alaumary。他承认了包括从朝鲜银行抢劫案中洗钱在内的罪行,并被判处11年零8个月的监禁。
朝鲜从未承认参与宇宙银行的工作,或任何其他黑客计划。BBC向朝鲜驻伦敦大使馆提出了参与宇宙号袭击的指控,但没有得到任何答复。
然而,当我们之前联系他时,崔日大使回答说,朝鲜政府支持的黑客和洗钱的指控是“一场闹剧”,是美国试图“玷污我国形象”。
2021年2月,美国联邦调查局、美国特勤局和司法部宣布的指控针对三名涉嫌拉撒路集团黑客:张赫、金日和朴镇赫,他们说这三人为朝鲜军事情报机构工作。他们现在被认为回到了平壤。
美国和韩国当局估计,朝鲜有多达7000名训练有素的黑客。他们不太可能都在国内工作,在国内很少有人获准使用互联网,这使得用户的活动很难隐藏。相反,他们经常被派往海外。
前朝鲜外交官柳铉宇(Ryu Hyeon Woo)是离开朝鲜政权的最高级别人士之一,他对黑客在国外的工作方式提供了见解。
2017年,他在朝鲜驻科威特大使馆工作,帮助监督该地区约1万名朝鲜人的就业情况。当时,许多人在海湾地区的建筑工地上工作,和所有朝鲜工人一样,他们被要求将大部分工资交给朝鲜政权。
他说,他的办公室每天都接到一个朝鲜联络人的电话,此人监督19名黑客在迪拜狭窄的宿舍里生活和工作。“这就是他们真正需要的:一台连接到互联网的电脑,”他说。
朝鲜否认有任何黑客派驻国外,只有持有有效签证的IT人员。但Ryu先生的描述与联邦调查局关于这些网络单位如何在世界各地的宿舍中运作的指控相吻合。
2017年9月,联合国安理会对朝鲜实施了迄今最严厉的制裁,限制燃料进口,进一步限制出口,并要求联合国成员国在2019年12月前将朝鲜工人遣返回国。
然而,黑客似乎仍然很活跃。他们现在的目标是加密货币公司,据估计已经窃取了近32亿美元。
美国当局称他们为“世界领先的银行劫匪”,他们使用的是“键盘而不是枪支”。
958 views