最近三年，一个神秘网络犯罪团伙利用恶意软件“Carbanak”，袭击了全球30多个国家的100多家银行。许多安全公司以及人员都力图设法找到Carbanak幕后黑手。

　　知名的网络安全专家Brian Krebs展开了一项调查，调查Carbanak网络犯罪团伙与俄罗斯安全公司Infocube之间的关联。
 

　　Carbanak犯罪团伙名为“Carbanak cybergang”，因他们使用恶意软件“Carbanak”攻击银行计算机和其它金融机构而得此名。卡巴斯基的专家表示，大多数受害者来自俄罗斯，而另一些受感染用户也分布在日本、欧洲和美国等。
 

　　该犯罪团伙从全球超过100家金融机构盗取至少10亿美元。安全研究员RonGuilmette分析了Carbanak网络犯罪团伙散播该恶意软件使用的域名。

　　他发现与该团伙注册域名有关的数据，根据Domaintools.com保留的“WHOIS”域名注册记录，“weekend-service.com、coral-trevel.com和freemsk-dns.com”

　　均包含“Xicheng Co”以及同样的电话号码和传真号码—1066569215和1066549216，每个号码前加+86(中国国家电话代码)或+01(美国电话代码)。每个域名还包含一样的联系地址：williamdanielsen@yahoo.com。

　　Infokube公司声称与大型安全公司有合作

　　Krebs在博文中写道：“ThreatConnect(一家威胁情报提供商)收集的数据可以看出，至少有484域名注册在williamdanielsen@yahoo.com下，其中至少有304个域名与之前Carbanak活动的恶意软件有关。

　　仔细看这两个号码：1066569215和1066549216，可以看出中间和结尾有差异。通过调查注册通过中国电话号码下的这些域名，他发现一个网站cubehost.biz，该网站未用来散播Carbanak。cubehost.biz的域名于2013年9月注册在俄罗斯彼尔姆地区的Artem Tveritinov名下。似乎这个网站与俄罗斯安全公司Infocube有关。

　　Brian Krebs联系了Infokube的CEO Artem Tveritinov。Krebs注意到Tveritinov删除了社交媒体信息。

　　Tveritinov通过邮件告诉Krebs：“我们公司从未干违法乱纪之事，公司按照俄罗斯联邦法律开展经营活动。此外，使用我们自己的个人信息注册域名用来犯罪太过愚蠢，因为我们是信息安全行业的专家。”

　　Krebs表示：“我注意到Vkontakte的社交网络个人资料自2012年4月以来一直定期维护，而被发现后却将其删除。Tveritinov的个人资料页面的图片确实消失无踪。”

　　Krebs强调，InfoKube/Cubehost还运行大量PetersburgInternet Network(简称PIN)公司管理的互联网网址。PIN是俄罗斯一家网络服务提供商，这家公司声名狼藉。

　　尚不清楚Carbanak犯罪团伙的活跃程度。上月，俄罗斯当局逮捕了50名声称与这个有组织的网络犯罪团伙有紧密联系的罪犯，据称其成员来自俄罗斯、中国、乌克兰以及欧洲。逮捕行动是俄罗斯有史以来对金融黑客最大的打击行为。

(责任编辑：宋编辑)