FBI網絡通緝犯名單上的許多人都是俄羅斯人。雖然一些人據稱為政府工作,賺取正常工資,但其他人則被指控通過勒索軟體攻擊和在線盜竊發財。如果他們離開俄羅斯,他們會被逮捕——但在國內,他們似乎肆無忌憚地勒索。
我在莫斯科以東約700公里一個小鎮外一座破舊的公寓大樓外,看著一隻野貓舔著一隻已經剩下骨架的外賣烤雞,不斷地等著,我在這裏大槪不可能找到一個收入據報數百萬美元的駭客的蹤影。
但我與翻譯和攝影師堅持,把這只髒兮兮的貓趕走後,進入公寓大樓。當我們敲其中一扇門時,一位年輕人應了聲,一位好奇的老婦人從廚房的拐角處窺視著我們。
「圖拉舍夫(Igor Turashev)?不,我不認識這個名字,」他說。
經過一番友好的交談,我們解釋說我們是 BBC 的記者,氣氛突然變了。
那名應門的年輕人憤怒地說:「我不會告訴你他在哪裏,你也不應該試圖找到他。你不應該來這裏。」
我想到安全顧問給我的相互矛盾的建議,那天晚上我沒睡好。
一些人表示,試圖在那些被通緝的網絡罪犯的家鄉追縱他們是有風險的,因為他們會有武裝警衛。有人告訴我,我最終會被殺害,屍體被丟到某個地方的溝裏。但也有人說其實沒問題,因為他們是只懂敲打電腦鍵盤的書呆子。
電腦駭客界中的花花公子
在兩年前的新聞發佈會上,聯邦調查局點名俄羅斯駭客組織「邪惡公司」( Evil Corp)的 9 名成員,指控圖拉舍夫和這個團伙的頭目雅庫貝茨(Maksim Yakubets)竊取或勒索了超過 1 億美元的駭客攻擊,影響了 40 個不同的國家。
受害者的範圍從小型企業到導航軟體公司(Garmin)等跨國企業、慈善機構和學校等,而且這些可能只是冰山一角。
美國司法部形容,這些人是「網絡銀行劫匪」,他們發起勒索軟體攻擊,或侵入賬戶竊取資金。
這令外界視當時只有 32 歲的雅庫貝茨為電腦駭客界中的花花公子。
英國國家打擊犯罪調查局(National Crime Agency)發佈的照片還顯示,這些人開著訂製的蘭博基尼跑車,拿著一大筆現金大笑,還和一隻寵物獅子玩耍。
聯邦調查局對這兩人提訴,是多年工作的結果,包括向前幫派成員問話和使用網絡取證。一些資料可以追溯到 2010 年,當時俄羅斯警方仍然願意與他們的美國同事合作。
這種願意合作的日子早已一去不復返了。俄羅斯政府現在通常不理會美國對俄羅斯公民的駭客攻擊指控。
事實上,安全部門不單止容許這些駭客繼續做他們的不法勾當,甚至會招攬他們為自己服務。
外界留意到,雅庫貝茨從未在婚禮視頻製作公司拍攝的片段中露臉,但可以看到他在美麗的燈光秀下隨著俄羅斯著名歌手現場音樂跳舞。
負責策劃這場婚禮的娜塔莉亞不願意詳細介紹當天的情況,但帶我們參觀了一些關鍵地點,包括一座從湖邊山丘上雕刻出來的柱狀建築。
「這是我們的專屬房間,」她說。「新婚夫婦喜歡它的浪漫氣氛,會在裏邊拍照。」
當我們乘坐高爾夫球車離開時,我在腦海里做了一點計算。據我們所知,這場盛大的婚禮花費比我之前聽說的大約 250,000 美元估計要高得多,可能接近 50 萬、甚至 60 萬美元。
我們不知道他怎麼可能負責這筆高昂開支,但如果雅庫貝茨願意付帳,這表明他的生活方式有多麼奢侈。
「網絡犯罪分子的提款機」
與雅庫貝茨一樣,40 歲的圖拉舍夫也過著十分低調的生活。
我的同事、也就是BBC 駐俄羅斯記者安德烈·扎哈羅夫 (Andrey Zakharov) 根據公開記錄,發現了以圖拉舍夫的名義註冊的三家公司。
所有這些公司都在莫斯科著名的聯邦大廈(Federation Tower)設有辦公室,這座位於金融區的閃亮摩天大樓,完全可以襯托上跟曼哈頓或倫敦的大樓。
我們要求這座大樓的接待員,為我們尋找這數家公司的電話號碼,但他最後發現它們都沒有登記電話號碼,只在公司名下找到一個手機號碼。
我們給這個號碼打電話,電話裡頭播著弗蘭克·辛納特拉(Frank Sinatra)的歌,等待大約五分鐘才有人接聽,電話的另一方聽起來好像在一條繁忙的街道上,但當我們表明記者身份時,就掛斷了電話。
扎哈羅夫解釋,圖拉舍夫在俄羅斯並不是通緝犯,所以他可以隨意租用這個昂貴的辦公空間。
他混在金融公司當中,讓自己做起勾當上來方便一點。這是因為這些公司的部份業務包括買賣比特幣等加密貨幣,而邪惡公司被指會要求受害人以比特幣支付贖金,其中一次的金額相等於約1000萬美元。
彭博社引述比特幣分析公司 Chainalysis 的研究報告指,聯邦大廈擁有眾多加密貨幣公司,它們的行為就像「網絡犯罪分子的提款機」。
我們還到訪了另外兩個與圖拉舍夫相關的地址,也跟一名古謝夫(Denis Gusev )的人聯絡上,他是邪惡公司的關鍵人物。我們嘗試通過電話和電子郵件進行了多次聯繫,但沒有人回答。
扎哈羅夫和我花了很長時間試圖找出雅庫貝茨的工作地點。他曾經在自己母親開設的牛飼料公司當董事,但現在他似乎沒有為任何公司或僱主打工。
但我們仍然找到一個他可能住過的的地址,所以有一天晚上我們去敲了敲他們的門,透過大門的對講機與屋內的人聯絡。當我們解釋我們來自哪裏時,一個男人在對講機上大笑。
這個男人說:「雅庫貝茨不在這裏。他可能已經有 15 年沒有來過這裏了。我是他的父親。」
雅庫貝茨的父親接受訪問時,憤怒地譴責美國當局起訴他的兒子,說美國懸賞 500 萬美元獎勵,向公眾徵求有關他兒子被捕的線索,令他的家人生活在對攻擊的恐懼中,他並要求我們公布他的話。500 萬美元是針對一名網絡犯罪嫌犯最高的懸紅金額。
「美國人給我的家人、很多認識我們的人、給我們的親戚製造了一個問題。目的是什麼?美國的正義變成了跟蘇聯的正義沒有兩樣。他沒有被問話、沒有得到審訊,沒有經過任何可以證明他有罪的程序。」
他否認兒子是網絡罪犯。當我問他怎麼會變得如此富有時,他笑了,說我誇大了婚禮的價格,而且豪車是租來的。他說,馬克西姆的薪水高於平均水平,因為「他工作、得到報酬、有工作」。
他說從自己的兒子被起訴以來,就沒有與對方有任何聯繫,所以無法讓我們與他取得聯繫。
因為網絡攻擊而被制裁的個人和組織中,俄羅斯籍佔比最多。有利可圖的攻擊
隨著西方努力應對網絡攻擊,越來越多俄羅斯公民與雅庫貝茨和圖拉舍夫一樣,成為因為網絡犯罪而被制裁的一分子。因為這種原因被制裁的個人和組織中,俄羅斯籍佔比最多。
起訴這些駭客,可以令他們無法出國,而制裁就會凍結他們在西方的任何資產,並禁止他們與西方公司做生意。
去年,歐盟追隨美國的腳步,開始針對這些網絡犯罪份子實施制裁,在這份名單上的主要是俄羅斯人。
據說這些名單上的絶大多數人都與俄羅斯國家有直接聯繫,他們透過駭客攻擊以進行間諜活動、顯示實力或施加壓力。雖然所有國家都在互相攻擊,但美國、歐盟和盟國聲稱,俄羅斯的一些攻擊跨越了可以接受的界限。
其中一些人被指控通過入侵電網導致烏克蘭2017年發生大面積停電。其他人因在英國索爾茲伯里投毒事件後,試圖入侵化學武器測試設施而被通緝。克里姆林宮否認所有指控,形容它們是西方的歇斯底里和「俄羅斯恐懼症」。
由於沒有明確規定什麼是可接受的民族國家駭客行為,我們特意將調查集中在被指控為犯罪分子、為牟利而進行駭客行為的個人上。
對雅庫貝茨的父親說,他們似乎確實產生了一些影響——至少他們讓他很生氣。
網絡安全研究人員聲稱,這個駭客集團的成員仍在對主要是西方目標的網絡攻擊進行有利可圖的攻擊。
根據研究人員和前駭客的說法,俄羅斯駭客的「黃金法則」是,只要受害者不在俄語系或前蘇聯國家內,這些不是為國家機構效力的犯罪駭客就可以攻擊任何他們喜歡的人。
該規則似乎有效,因為網絡安全研究人員多年來注意到這些國家遭受較少攻擊。他們還發現,駭客設計惡意軟體的時候,會特意指示這些軟體不要攻擊使用俄語作為介面語言的電腦。
去年,歐盟追隨美國的腳步,開始針對這些網絡犯罪份子實施制裁,在這份名單上的主要是俄羅斯人。亞帕羅娃(Lilia Yapparova )是俄羅斯為數不多的獨立新聞機構之一 Meduza 的調查記者,她說黃金法則對情報部門很有幫助,駭客為自己工作的同時可以改進自己發動攻擊的技巧,然後就會獲俄羅斯的情報部門招攬。
「其與把這些駭客關進監獄,招募這些駭客為聯邦安全局(Federal Security Bureau )效力更有價值。我的一個消息來源,一位前聯邦安全局官員告訴我,他曾經親自試圖招募一些來自邪惡公司的人來做一些事情。為他工作。」
美國聲稱雅庫貝茨和其他被通緝的駭客都直接為情報部門工作,包括博加喬夫(Evgeniy Bogachev)。美國當局目前為捉拿他,懸賞 300 萬美元。
雅庫貝茨婚禮儀式拍攝的視頻中,他的岳父也有露臉,而這名岳父正是聯邦安全局的前高級成員,這可能並非巧合。
我們要求俄羅斯政府,就駭客在俄羅斯似乎可以自由活動這一事實發表評論,但沒有得到任何答覆。
今年夏天,俄羅斯總統普京在與美國總統拜登,在日內瓦峰會上被問到這有關源自俄羅斯的網絡攻擊,他否認高調的攻擊起源於俄國,甚至聲稱大多數網絡攻擊始於美國。但他表示將與美國合作以「帶來秩序」。
邪惡公司的崛起
- 2009 年:邪惡公司開始為外界所認識,據稱使用名為 Cridex、Dridex、Bugat 或 Zeus 的惡意軟體來竊取銀行登錄信息並從賬戶中調走金錢。
- 2012 年:邪惡公司的成員被美國內布拉斯加州的一家法院以他們的在線綽號起訴,因為當局無法得知他們的真正身份(據稱雅庫貝茨的名字是「Aqua」)。
- 2017 年:邪惡公司的成員被指控,代其他人向目標發動勒索軟體攻擊,換取金錢,這個做法又稱Randomware as a Service,據稱其他駭客付費使用他們的勒索軟體 BitPaymer。
- 2019 年:美國當局起訴雅庫貝茨、圖拉舍夫和其他七人,又懸賞 500 萬美元,務求拘捕雅庫貝茨。
- 自 2019 年以來,Evil Corp 被指控通過不同名字和勒索軟體的變異版本,繼續進行勾當,這些變異版本包括 DoppelPaymer、Grief、WastedLocker、Hades、Phoenix 和 Macaw。
在過去六個月中,美國及其盟國在網絡制裁之上再進一步,開始採用更具侵略性的策略。
他們已經開始反擊網絡犯罪團伙,並成功地迫使部份團伙最少暫停運作。其中, REvil 和 DarkSide 已在論壇上宣佈,由於執法行動,它們將會解散。
美國政府的駭客甚至曾經兩次,找回了從受害者被偷取的比特幣,價值數百萬美元。
然而,網絡安全研究人員表示,越來越多的團體公開身份,攻擊每周都在發生。他們說,只要駭客能夠在俄羅斯蓬勃發展,這種現象就不會消失。
