Разъяснение: история о том, как хакеры из Северной Кореи украли 81 миллион долларов из Бангладешского банка

BBC опубликовала отчет о расследовании, в котором подробно описывается, как в 2016 году хакеры из Северной Кореи спланировали рейд на 1 миллиард долларов в национальном банке Бангладеш и почти преуспели в этом. Вот как это случилось.

Пассажиры проезжают мимо здания центрального банка Бангладеш в Дакке, 8 марта 2016 г. (Фото Рейтер: Ашикур Рахман, файл)

На этой неделе BBC опубликовала отчет о расследовании, в котором подробно описывается, как в 2016 году северокорейские хакеры спланировали рейд на 1 миллиард долларов в национальном банке Бангладеш и почти полностью преуспели в этом. Кибер-ограбление, известное как ограбление банка Бангладеш, показало, как хакеры перемещались по глобальной банковской системе, используя административные лазейки для проведения хорошо спланированной атаки с целью перевода миллионов долларов. Это был один из величайших киберхейстов в мире.

Ограбление банка в Бангладеш: как произошло ограбление

В расследовании BBC говорится, что атака произошла в период с 4 по 7 февраля 2016 года. Время было тщательно спланировано, чтобы воспользоваться разницей во времени между Даккой и Нью-Йорком, а также графиком работы в обоих городах, а также выпадением выходных в разные дни. в день ограбления.

Хакеры, которых американские следственные органы считают связанными с Северной Кореей, использовали мошеннические приказы в платежной системе SWIFT, чтобы украсть 951 миллион долларов США, что составляло почти все деньги на этом счете, со счета в центральном банке Бангладеш. Хакеры использовали счет в Федеральном резервном банке в Нью-Йорке и успешно украли 81 миллион долларов, которые были переведены на счета в Rizal Commercial Banking Corporation, расположенной в Маниле.

Так как же хакеры на самом деле проникли в системы Bangladesh Bank?

В сообщениях BBC указывается на обычный офисный принтер, расположенный в строго охраняемой комнате на 10-м этаже главного офиса банка в Дакке, который, как сообщается, работал со сбоями. Этот принтер специально использовался для печати отчетов о транзакциях банка на миллионы долларов. 5 февраля 2016 года сотрудники банка обнаружили, что принтер не работает, но предположили, что это технический сбой, который случается довольно часто.

В сообщении BBC говорится, что расследование позже показало, что этот неисправный принтер был первым признаком того, что хакеры взломали компьютерные системы Bangladesh Bank, чтобы украсть 1 миллиард долларов США. Когда сотрудники банка перезагрузили принтер, они получили очень тревожные новости. Из него вышли срочные сообщения от Федерального резервного банка Нью-Йорка - ФРС - где Бангладеш держит счет в долларах США. В сообщении BBC говорится, что ФРС получила инструкции, очевидно, от Бангладешского банка, об опустошении всего счета - около миллиарда долларов.

Сотрудники банка немедленно попытались связаться с Федеральным резервным банком в Нью-Йорке для получения дополнительной информации, но не смогли дозвониться. Это произошло потому, что к тому времени, когда хакеры приступили к работе 4 февраля около 20:00 по бангладешскому времени, в Нью-Йорке было утро. Следующий день, 5 февраля, был пятницей, говорится в сообщении, началом выходных в Бангладеш, когда штаб-квартира Bangladesh Bank в Дакке официально закрыта. К тому времени, как взлом был обнаружен в Дакке, офисы были закрыты в начале уик-энда в Нью-Йорке.

Подробное планирование взлома стало очевидным, когда расследование показало, что хакеры намеренно выбрали именно эту неделю в феврале 2016 года для выполнения своего взлома. Эти выходные также стали началом лунного Нового года в Восточной и Юго-Восточной Азии. Итак, 8 февраля, в понедельник, когда деньги были переведены в банки в Маниле, это совпало с началом там крупного национального праздника.

В отчете BBC поясняется, что, используя разницу во времени между Бангладеш, Нью-Йорком и Филиппинами, хакеры разработали четкий пятидневный пробег, чтобы забрать деньги.

В отчете также рассказывается о том, как хакерам удалось получить доступ к принтеру в защищенной комнате Бангладеш Банка. В отчете говорится, что это произошло почти за год до взлома. У них было достаточно времени, чтобы все это спланировать, потому что оказалось, что Lazarus Group пряталась в компьютерных системах Бангладеш Банк в течение года.

В январе 2015 года нескольким сотрудникам Бангладешского банка было отправлено безобидное на вид электронное письмо. Он исходил от соискателя по имени Расел Ахлам. Его вежливый запрос включал приглашение загрузить его резюме и сопроводительное письмо с веб-сайта. В действительности, Разела не существовало - он был просто прикрытием, используемым Lazarus Group, согласно следователям ФБР, говорится в отчете.

По крайней мере, один человек в банке попался на уловку, скачал документы и заразился скрытыми внутри вирусами. Оказавшись в системах банка, Lazarus Group начала незаметно переходить с компьютера на компьютер, продвигаясь к цифровым хранилищам и миллиардам долларов, которые в них содержались.

Фактическое опустошение аккаунтов произошло только через год, говорится в отчете, потому что хакеры выстраивали следующие этапы, планируя, как удалить деньги таким образом, чтобы их было невозможно получить.

В ходе расследования BBC была предпринята попытка восстановить последовательность событий после того, как деньги были переведены в банки Манилы, но незадолго до того, как они были сняты. Филиал RCBC Bank в Маниле, куда хакеры пытались перевести 951 миллион долларов, находился на Юпитер-стрит. В Маниле есть сотни банков, которые могли бы использовать хакеры, но они выбрали этот - и это решение обошлось им в сотни миллионов долларов, говорится в расследовании BBC.

Транзакции… были задержаны в ФРС, потому что адрес, использованный в одном из заказов, содержал слово «Юпитер», которое также является названием находящегося под санкциями иранского судоходного судна.

Это привело к автоматической проверке переводов, которые были остановлены из-за наложенных санкций. Но расследование BBC объясняет, что не все переводы были остановлены автоматически: пять транзакций на сумму 101 миллион долларов преодолели это препятствие. Хакеры получили бы доступ ко всем 101 миллиону долларов, что было немалой суммой, даже если бы это было не то, что они планировали изначально.

Как поясняет расследование, из 101 миллиона долларов 20 миллионов долларов были переданы шри-ланкийской благотворительной организации Shalika Foundation, которую сообщники хакеров использовали в качестве одного из каналов для украденных денег. Но эта передача была также остановлена, потому что хакеры случайно допустили орфографическую ошибку - они написали Foundation как Fundation - при заполнении названия шри-ланкийской благотворительной организации. Это означает, что хакерам удалось успешно перевести только 81 миллион долларов.

Новостная рассылка| Нажмите, чтобы получать лучшие объяснения дня на свой почтовый ящик

Попытки банка Бангладеш вернуть

Еще до расследования BBC, к 2019 году, следственные органы подтвердили, что деньги были изъяты из банков Манилы, после чего они исчезли в индустрии казино на Филиппинах. В отчете подробно рассматривается сложный процесс отмывания денег, который использовался хакерами для разрыва цепочки отслеживания, целью которой были казино Манилы.

Идея использования казино заключалась в том, чтобы разорвать цепочку отслеживания. В отчете говорится, что после того, как украденные деньги будут конвертированы в фишки казино, разыграны за столами и переведены обратно в наличные, следователям будет практически невозможно их отследить.

Бангладешский банк осознал через несколько часов после кражи денег, что произошло массовое ограбление, и начал предпринимать шаги по их возвращению, что должно было оказаться очень сложным.

Им удалось найти деньги в казино Манилы и вернуть 16 миллионов долларов от одного человека, говорится в сообщении BBC. Но оставшиеся 34 миллиона долларов все равно быстро исчезали. Следователи обнаружили, что большая часть оставшихся денег была отправлена ​​в Макао, еще одну точку доступа к азартным играм, откуда они были переведены в Северную Корею. Следователи обнаружили, что большинство хакеров, участвовавших в кибер-ограблении и других подобных действиях, которые США считают киберпреступлениями, базировались в китайских приграничных городах недалеко от границы между Китаем и Северной Кореей.

Получение денег

В 2018 году ФБР подало уголовное дело против Пак Джин Хёка, гражданина Северной Кореи, за его участие в заговоре с целью проведения нескольких разрушительных кибератак по всему миру, приведших к повреждению огромного количества компьютерного оборудования и значительной потере данных. money и другие ресурсы, согласно публичным документам, опубликованным Министерством юстиции США.

В жалобе Пак обвинялся в том, что он работал на правительство Северной Кореи и участвовал в злонамеренных действиях, включая создание вредоносного ПО, использованного в глобальной атаке вымогателя WannaCry 2.0 в 2017 году; кража 81 миллиона долларов из Бангладеш Банка в 2016 году; атака на Sony Pictures Entertainment (SPE) в 2014 году; и множество других атак или вторжений в индустрии развлечений, финансовых услуг, обороны, технологий и виртуальных валют, академических кругов и электроэнергетических компаний.

В то время первый помощник прокурора США Трейси Уилкисон заявила, что в жалобе участники этого северокорейского заговора обвиняются в кибератаках, которые привели к беспрецедентному экономическому ущербу и сбоям в работе предприятий в Соединенных Штатах и ​​во всем мире.

В 2019 году Бангладеш подала иск в суд США против Rizal Commercial Banking Corp (RCBC) по поводу предполагаемой роли филиппинского банка в крупнейшем кибер-ограблении. RCBC подал встречный иск против Бангладешского банка, утверждая, что его репутация подверглась постоянным злобным публичным атакам со стороны банка, и требует возмещения убытков в размере не менее 1,9 миллиона долларов. Федеральная резервная система Нью-Йорка пообещала помочь Бангладеш вернуть деньги, но этот процесс продолжается с незначительным прогрессом.

Через несколько дней после того, как произошло ограбление, тогдашний министр финансов Бангладеш А.М.А. Мухит попросил Атиура Рахмана, который был управляющим Бангладешского банка, под чьим присмотром было совершено ограбление. Кибер-ограбление сильно смутило правительство Бангладеш.

Бангладеш и Северная Корея поддерживают двусторонние отношения, а у Северной Кореи есть посольство в Дакке. Посольство Бангалдеш в Китае представляет страну в Пекине и Пхеньяне.

ПОДЕЛИТЕСЬ С ДРУЗЬЯМИ: