サイバー犯罪グループ「カーバナック」は、世界中の銀行から10億ユーロ以上を盗んだとして告発されている。先週、警察は首謀者とみられる男を逮捕した。
WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
銀行に侵入するのに、鉄筋コンクリートを50センチも削る必要はありません。それどころか、金庫室に入る必要すらありません。2013年末、ウクライナのATMが通行人に無料で現金を吐き出し始めました。ポケットに現金を詰め込んでいる人々の中には、現金が出てくるのを待つ運び屋もいました。
被害を受けた銀行のATM(いずれも名前は公表されていない)は、ハッカーの標的となり、金融機関のコンピュータシステムにマルウェアをインストールした。一度侵入されると、ATMは遠隔操作され、任意の方法で現金を引き出すことが可能になる。
セキュリティ企業カスペルスキーは2015年の攻撃後に、ある組織がATM詐欺で730万ドルの被害を受けたと詳細を説明した。「(関与者は)数百人規模だろう」と、ロシアのサイバーセキュリティ企業カスペルスキーの主任セキュリティ研究者セルゲイ・ゴロバノフ氏は語る。「24時間365日体制で働いている人が数十人いれば、それがカーバナック・グループの実際の規模だろう」
サイバー犯罪グループ「カーバナック」は、銀行システムへのアクセスに使用されたマルウェアにちなんで名付けられました。2013年の初期攻撃以来、金融機関から10億ユーロを窃取した疑いがあり、少なくとも40カ国で100以上の金融機関を標的にしています。過去4年間で標的となった国には、英国、スペイン、ロシアなどがあります。
3年前に初めてこのグループの活動を公表したゴロバノフ氏は、このグループの活動を国家支援型ハッカーの活動に例え、攻撃を完了するまでに数ヶ月かかると述べている。カスペルスキーの2015年の調査によると、ATMを偽装して現金を引き出すことは、このグループが金儲けを行う手段の一つに過ぎない。
Carbanakは銀行のシステムにも侵入し、自身の口座に資金を送金したり、データベースを改ざんしたりしていました。口座の残高を人為的に水増しし、それを他の口座に送金していたのです。ある金融グループは、オンラインバンキングプラットフォームの不正利用により1,000万ドルの損失を被ったとされています。
攻撃が発生するたびに、共通点がありました。それは、グループのメンバーが銀行の内部システムに侵入していたことです。「Carbanak(マルウェア)には、攻撃者が被害者のシステムのビデオ機能を制御できるようにするスパイ活動コンポーネントが含まれています」と、ゴロバノフ氏の2015年の報告書は述べています。この監視によって、攻撃者は正規の取引がどのように見えるかを把握し、窃盗を本物らしく見せかけることができました。
「彼らは数百万ドルを投じ、その数百万ドルはマネーロンダリングシステムに流されるだろう」とゴロバノフ氏は言う。「そして次の標的へと移るのだ」
続きを読む:コカイン、タグボート、密告:英国史上最大の麻薬摘発の内幕
2018年3月6日、スペインのアリカンテで気温が18℃に達する中、約20人の警察官が市内の一軒の家に急行した。彼らは、数十億ユーロ規模のサイバー犯罪グループ「Carbanak」の首謀者とされる男を逮捕した。スペイン内務省は彼を「デニス・K」と名付けており、ウクライナ人だとされている。
スペイン当局とユーロポールは先週、「複雑な」捜査を経て、今回の逮捕を発表した。容疑者の活動に関する捜査は継続中で、法執行機関は容疑者の自宅で発見されたコンピューターや機器の捜査を行っている。
カルバナクのリーダーの捜索には、資金を失った金融グループ、FBI、モルドバ、ベラルーシ、台湾の当局が関与した。ユーロポールは逮捕にあたり、カスペルスキーの2015年の調査結果を裏付けた。「これは我々が長い間待ち望んでいたことです」と、ユーロポールの欧州サイバー犯罪センター(EC3)のオペレーション責任者であるフェルナンド・ルイス氏は説明する。
ルイス氏は、逮捕された男がサイバー犯罪集団「カーバナック」の首謀者だと主張している。「スペインで逮捕されたこの人物は、実際にマルウェアをコーディングした人物であるため、これはここ数年で最も重要な逮捕の一つだと考えています」とルイス氏は説明する。ユーロポールも、このグループが使用したマルウェアを開発していたと述べている。
「この人物は技術的に優れており、脆弱性を特定し、それを悪用するマルウェアをコーディングすることができた」と、カーバナックのメンバー追跡のための国際的な取り組みの調整に携わったルイス氏は主張する。彼はまた、このグループが金融グループに対するさらなるサイバー攻撃を計画していると考えている。「これほどの知識と、この種のマルウェアを開発できる能力を持つ犯罪者は多くない」と彼は言う。ルイス氏によると、「最近テストされ、最近作成された新しいマルウェアがあり、すぐにでも展開できる状態だった」という。
デニス・Kに対する法的手続きは継続中です。警察と検察は、彼に対する申し立てを証明する責任を負っています。ユーロポールは今のところ、その主張を裏付ける公的な証拠を一切明らかにしていません。
一方、スペイン警察のカルロス・ユステ警部はブルームバーグに対し、デニス・Kは互いに面識のない他の3人のギャングメンバーと共謀し、オンラインでチャットをしていたと考えていると述べた。ルイス警部は、逮捕された男は「かなり長い間」スペイン当局の監視下にあったが、事件の立証には国際的な法執行機関の協力が必要だったと付け加えた。
ルイス氏によると、男をアリカンテの自宅まで追跡する鍵は台湾とベラルーシ経由だったという。ユーロポール(欧州刑事警察機構)とセキュリティ企業トレンドマイクロが昨年発表した報告書には、両国でATMが現金運び屋に現金を払い出している様子が詳細に記されている。
報告書によると、2016年7月、台湾の第一商業銀行が運営するウィンコー・ニクスドルフATM41台から、250万ドル(178万ポンド)が「キャッシュカードの使用や暗証番号パッドへの接触さえなく」盗まれたという。攻撃後、逮捕者が出ており、銀行のシステム内にマルウェアが発見された。「これは台湾における典型的なATMネットワーク攻撃の一つです。犯人は台湾のネットワークにアクセスし、現金を運び屋に引き渡しました」とルイス氏は述べている。
警察はこれらの運び屋を数人逮捕することができ、私たちは台湾と協力して、その出所を突き止めようとしました。これは重要な要素でした。ベラルーシのグループに繋がり、そこで標的を結びつけることができたのです。パートナーとの情報交換を通じて、台湾、ベラルーシ、スペインを結びつけることができたのです。
ユーロポールは、「犯罪収益」が暗号通貨を通じてロンダリングされたと述べている。「暗号通貨ウォレットにリンクされたプリペイドカードは、高級車や住宅などの商品の購入に使用されていました」と、同国際機関は声明で述べた。
スペイン第2位の新聞「エル・ムンド」の報道によると、デニス・Kは逮捕時に1万5000ビットコイン(現在の価値は約8400万ポンド)を保有していたという。カタルーニャの新聞「エル・ペリオディコ・デ・カタルーニャ」は、逮捕された男は妻と息子と暮らし、2台のBMWを所有し、自宅には50万ユーロ相当の宝石を所持していたと報じている。ルイス氏によると、警察は自宅にどのような技術機器があるのか把握していなかったため、デジタル専門家を派遣して調査を行ったという。
続きを読む: タンカーが消えたとき、すべての証拠はロシアを指し示している
カーバナックの犯罪基盤は高度だったかもしれないが、銀行への侵入に使われた初期の手口は、驚くほど馴染み深いものだった。セキュリティ企業カスペルスキーとユーロポールはいずれも、スピアフィッシングメールが銀行職員に送信されたと述べている。
2013年頃から、銀行組織の職員に、正規のメールを装ったメッセージが送られるようになりました。スピアフィッシング攻撃ではよくあることですが、これらのメールは信頼できる送信者から送信されたように見せかけ、Word 97-2003形式の文書やコントロールパネルのファイルが添付されていました。
2014年末頃、カスペルスキーが報告書を発表する以前、他の2つのセキュリティ企業、Group-IBとFox-ITがCarbanakグループの犯罪を発見し、「Anunak」と呼ばれるマルウェアを使用していることを指摘しました。両社は後に、3社すべてが同じサイバー犯罪に着目していたと発表しました。
カスペルスキー社の当初の報告書によると、添付ファイルに含まれていたマルウェアはWordとOfficeの脆弱性を悪用し、「Carbanak」と呼ばれるバックドアを開くものでした。Carberpマルウェアをベースにしたこのバックドアは、「スパイ活動、データ窃取、そして感染マシンへのリモートアクセス」を可能にします。カスペルスキー社によると、攻撃者はここから金融グループのネットワーク内に侵入し、通常の活動を監視し、それを複製して金銭を窃取することが可能でした。
悪意のあるソフトウェアをダウンロードすると、犯罪者は感染した被害者の端末を遠隔操作し、銀行内部のネットワークにアクセスしてATMを制御するサーバーに感染させることができました。これにより、犯罪者は現金を引き出すために必要な情報を得ることができました。
「犯罪者が金融ネットワークを標的とする手法は進化しています」とルイス氏は語る。2016年から、Carbanakグループが使用するマルウェアは変化したとされている。彼らは、侵入テストソフトウェア「Cobalt Strike」をベースにした「特注のマルウェア」を使い始めた。Cobalt Strikeはサイバー攻撃をシミュレートする正規のソフトウェアであり、Carbanakによる改変版はPCの遠隔操作に使用されていた。
「マルウェアは1種類ではなく、複数種類ありました」と、欧州銀行連盟(EBF)のサイバーセキュリティ作業部会の議長、キース・グロス氏は述べている。Carbanakの捜査は、EBFが逮捕に先立ちユーロポールと積極的に協力した初めてのケースだった。
「首謀者はより高度なマルウェアを開発し、既存のマルウェアを改良していました」とグロス氏は付け加える。「彼の逮捕によって、スペインの法執行機関が押収した機器から膨大な情報が得られたと私は考えています。いわばパンドラの箱です。」
カーバナック・グループに他に何人の人物が関与していたのかは現時点では正確には分かっておらず、当局はデニス・Kが容疑の犯罪に関与していたことを法廷で証明する必要がある。ユステ氏はブルームバーグに対し、「首を切られた」と語った。しかし、カスペルスキーのゴロバノフ氏は、同グループによる活動がまだ続いている可能性があると述べている。「現時点では、犯罪者が強盗に利用していたインフラは依然として稼働している」とゴロバノフ氏は述べている。「規模は縮小し、活動ははるかに困難になると予想しています。」
この記事はWIRED UKで最初に公開されました。
