В 2016 году северокорейские хакеры спланировали рейд на Центробанк Бангладеш и почти достигли успеха - только по счастливой случайности вместо запланированного миллиарда долларов удалось украсть лишь 81 миллион.Но как одной из беднейших и самых изолированных стран мира удалось обучить команду элитных киберпреступников? Рассказывают
Джефф Уайт и
Джин Ли.
Сломанный принтер
Все началось со сломавшегося принтера. Неисправным офисным оборудованием сегодня никого не удивишь, поэтому, когда это произошло в офисе Банка Бангладеш, сотрудники не придали этому значения - подумаешь, еще один принтер приказал долго жить. Бывает. Невелика печаль.
В действительности все было не так просто.
Банк Бангладеш - центральный банк государства, отвечающий за валютные резервы страны, где миллионы людей живут за чертой бедности.
Сломавшийся принтер помещался в охраняемой комнате на 10-м этаже главного офиса банка в столице страны Дакке. На нем печаталась отчетность о входящих и исходящих переводах на многие миллионы долларов.
Сотрудники обнаружили, что принтер не работает, в 08:45 в пятницу, 5 февраля 2016 года. "Мы решили, что это обычная проблема, как и в любой другой день, - позже рассказал полиции дежурный менеджер Зубайр Бин Худа. - Такие сбои случались и раньше".
Принтер, однако, отказал не случайно: хакеры взломали компьютерные сети Банка Бангладеш и в этот момент проводили самую дерзкую кибератаку из когда-либо предпринятых. Они собирались украсть миллиард долларов.
Чтобы увести деньги, группа киберпреступников использовала поддельные банковские счета, благотворительные организации, казино и широкую сеть сообщников.
Но кто были эти хакеры и откуда?
Следователи сошлись во мнении, что цифровые свидетельства и улики единогласно указывают в направлении Северной Кореи.
Поверить в это было непросто. Северная Корея - одна из беднейших стран мира, она в значительной степени изолирована от мирового сообщества, в том числе и от его технологических достижений. Откуда там взяться хакерам?
Кибервоины Пхеньяна
АВТОР ФОТО,GETTY IMAGES
И все же, по данным ФБР, дерзкий взлом Банка Бангладеш стал кульминацией многолетней методической работы команды хакеров и посредников по всей Азии, действующей при поддержке Пхеньяна.
В сфере кибербезопасности северокорейские хакеры известны как Lazarus Group. Название отсылает к библейскому Лазарю, воскресшему из мертвых. Эксперты, столкнувшиеся с компьютерными вирусами группы, обнаружили, что они тоже исключительно живучи.
О Lazarus Group, известной также как "Стражи мира" или "Команда Whois", мы знаем немного. ФБР удалось составить достаточно подробный портрет одного подозреваемого, Пак Чин Хёка, который также пользовался именами Пак Чин Хек и Пак Кван Чин.
Окончив один из лучших университетов страны, Пак пошел работать в северокорейскую компанию Chosun Expo в китайском портовом городе Далянь. Здесь он разрабатывал онлайн-игры для клиентов по всему миру.
В Даляне он зарегистрировал адрес электронной почты, написал выдуманное резюме и воспользовался соцсетями для создания сети контактов. Его киберследы привели в Далянь еще в 2002 году, и, по-видимому, он жил в городе до 2013-го или 2014-го года. Согласно показаниям следователя ФБР, если судить по активности в интернете, примерно в это время Пак переместился в Пхеньян.
Агентство опубликовало фотографию, добытую из электронной почты 2011 года менеджера Chosun Expo, где тот представляет Пака клиенту. На ней изображен аккуратный кореец в возрасте от 20 до 30 лет, одетый в черную рубашку и шоколадно-коричневый костюм. На первый взгляд, ничего необычного, если не считать выражения усталости на лице.
АВТОР ФОТО,GETTY IMAGES
Однако, работая программистом днем, ночами Пак орудовал в качестве компьютерного взломщика, утверждает ФБР.
В июне 2018 года власти США обвинили Пака в сговоре с целью совершения компьютерного мошенничества и злоупотреблений и в сговоре с целью совершения электронного мошенничества (то есть с использованием почты или электронных сообщений) в период с сентября 2014 года по август 2017 года. Ему грозит до 20 лет тюрьмы, если его когда-нибудь удастся посадить на скамью подсудимых.
Но Пак (если это его настоящее имя), не появился из ниоткуда. Он - один из тысяч молодых северокорейцев, которых с детства превращали в кибервоинов. Детей с математическим талантом, иногда всего 12 лет от роду, забирали из школ и отправляли в столицу, где их с утра до ночи натаскивали преподаватели.
Элегантная атака
Когда сотрудники банка перезагрузили принтер, из него поползли тревожные новости - срочные сообщения от Федерального резервного банка в Нью-Йорке, где Бангладеш держит счет в долларах США. Из них следовало, что ФРБ получил инструкции - очевидно, от Банка Бангладеш, - о выводе всех имевшихся на счете средств, то есть около миллиарда долларов.
Бангладешцы пытались получить от ФРБ разъяснения, но хакеры тщательно рассчитали время, и связаться с Нью-Йорком не удалось.
Взлом начался около 20:00 по местному времени в четверг, 4 февраля. В Нью-Йорке в это время было раннее утро, и Федеральный резервный банк, сам того не желая, выполнил инструкции хакеров, пока в Бангладеш все спали.
АВТОР ФОТО,GETTY IMAGES
Подпись к фото,
Вечер в столице Бангладеш Дакке
На следующий день, в пятницу, в Бангладеш начались выходные - в стране это пятница и суббота. В штаб-квартире банка в Дакке начался уикенд. А когда бангладешцы обнаружили кражу в субботу, выходные начались уже в Нью-Йорке.
"Атака была весьма элегантной, - говорит американский эксперт по кибербезопасности Ракеш Астхана. - Вечер четверга выбран не случайно. В пятницу Нью-Йорк работает, а Банк Бангладеш отдыхает. К тому времени, когда Банк Бангладеш возвращается к работе, отдыхает уже Федеральный резервный банк. Таким образом, транзакцию не могли обнаружить целых три дня".
Чтобы выиграть больше времени, хакеры пошли и на другую хитрость. После того, как они перевели деньги из ФРБ, их нужно было куда-то отправить. Поэтому они перевели деньги на счета, заблаговременно открытые в столице Филиппин Маниле. А в 2016 году понедельник 8 февраля был первым днем Лунного Нового года, который в Азии отмечается повсеместно.
Разница во времени между Бангладеш, Нью-Йорком и Филиппинами открыла хакерам окно в пять дней, чтобы забрать украденные деньги.
Времени для планирования атаки у них было в избытке: как оказалось, Lazarus Group скрывалась в компьютерных системах главного банка Бангладеш целый год.
В январе 2015 года несколько сотрудников Банка Бангладеш получили безобидное на вид электронное письмо от человека по имени Расел Ахлам, вроде бы искавшего работу. Он предлагал загрузить его резюме и сопроводительное письмо с вебсайта. На самом деле Расела не существовало - по мнению следователей ФБР, это было просто прикрытие для Lazarus Group. Как минимум один человек в банке попался на уловку, скачал документы и заразил свой компьютер скрытыми в них вирусами.
Попав в систему банка, Lazarus Group начала путешествовать с компьютера на компьютер, подбираясь к цифровым сейфам и содержавшимся в них миллиардам долларов.
А потом хакеры остановились.
Почему взломщики украли деньги только через год после первого фишингового письма? Зачем рисковать обнаружением, когда все это время у них уже был доступ к банковской системе? Похоже, затем, что им нужно было время, чтобы выстроить маршрут вывода денег.
Неожиданное препятствие
АВТОР ФОТО,GOOGLE
Подпись к фото,
Филиал банка RCBC на Юпитер-стрит
Юпитер-стрит - оживленная улица Манилы. Рядом с эко-отелем и стоматологической клиникой расположился филиал одного из крупнейших банков страны, RCBC. В мае 2015 года, через несколько месяцев после того, как хакеры получили доступ к системам Банка Бангладеш, их сообщники открыли здесь четыре счета.
Сегодня, по прошествии времени, многое здесь кажется подозрительным: например, водительские права, использованные для удостоверения личности при открытии счетов, были поддельными, и все заявители утверждали, что у них одинаковая должность и зарплата, несмотря на то, что работали в разных компаниях. Но, похоже, никто не обратил на это внимания. В течение нескольких месяцев счета бездействовали, а первые депозиты - по 500 долларов - оставались нетронутым. Тем временем хакеры работали над другими деталями своего плана.
К февралю 2016 года, успешно взломав Банк Бангладеш и создав каналы для вывода денег, Lazarus Group была готова приступить к действиям.
Но им предстояло преодолеть последнее препятствие - тот самый принтер на 10-м этаже. Банк Бангладеш создал систему бумажных резервных копий для регистрации всех переводов со своих счетов. Эта запись транзакций могла мгновенно раскрыть вмешательство хакеров. И поэтому они взломали программное обеспечение принтера и вывели его из строя.
Заметя таким образом следы, в 20:36 в четверг 4 февраля 2016 года хакеры начали осуществлять свои переводы - всего 35 транзакций на общую сумму в 951 миллион долларов, то есть почти все содержимое счета Банка Бангладеш в Федеральном резервном банке Нью-Йорка.
Казалось, все складывается удачно, но, прямо как в голливудском фильме, их подвела одна маленькая деталь.
АВТОР ФОТО,GETTY IMAGES
Подпись к фото,
Вид на площадь Шапла в финансовом районе Дакки с верхнего этажа Банка Бангладеш
Когда в Банке Бангладеш обнаружил пропавшие за выходные деньги, они не могли понять, что произошло. Управляющий банка был знаком с Ракешем Астханой и его компанией World Informatix и позвал его на помощь. В этот момент, говорит Астхана, глава банка все еще надеялся вернуть украденные деньги. И потому держал взлом в секрете - не только от прессы, но даже от правительства.
Тем временем Астхана обнаружил, насколько глубоко взломщики проникли в системы Банка Бангладеш. Оказалось, что воры получили доступ к ключевой части системы Swift банка. Это система, используемая тысячами банков по всему миру для координации переводов крупных сумм между собой. Хакеры не пользовались уязвимостями в Swift - в этом не было необходимости, - и потому самой Swift казались настоящими банкирами.
Вскоре должностным лицам Банка Бангладеш стало ясно, что транзакции нельзя просто отменить. Часть денег уже поступила на Филиппины, где местные власти заявили, что им потребуется постановление суда, чтобы начать процесс возврата. Факт обращения в суд так просто не спрячешь, и поэтому, когда Банк Бангладеш наконец подал иск в конце февраля, история стала достоянием гласности.
Последствия для управляющего банка не заставили себя ждать. "Его попросили уйти в отставку, - говорит Астхана. - Я никогда его больше не видел".
Член Конгресса США Кэролайн Мэлони хорошо помнит, как впервые услышала о рейде на бангладешский Центробанк. "Я вышла из здания Конгресса, собиралась в аэропорт и читала об ограблении, и это было захватывающим и одновременно шокирующим - возможно, один из самых жутких инцидентов на финансовых рынках, который я когда-либо видела".
Будучи членом комитета Конгресса по финансовым услугам, Мэлони смотрела глубже: поскольку через Swift идут многие миллиарды долларов, подобный взлом может полностью подорвать доверие к системе.
Особенно ее поразило поведение Федерального резервного банка. "Это же федералы, обычно они крайне осторожны. Как вообще это могло произойти?"
АВТОР ФОТО,GETTY IMAGES
Подпись к фото,
Кэролайн Мэлони: "Слово "Юпитер" прозвенело тревожным звонком"
Мэлони связалась с ФРБ, и тут выяснилось, что большая часть денег никуда не ушла - благодаря счастливой случайности.
Отделение банка RCBC в Маниле, куда хакеры пытались перевести 951 миллион долларов, находится на Юпитер-стрит. В Маниле есть сотни банков, которыми могли бы воспользоваться хакеры, но они выбрали именно этот - и потеряли сотни миллионов долларов.
"ФРБ задержал транзакции, потому что в одном из адресов было слово "Юпитер" - а это также название находящегося под санкциями иранского судна", - объясняет Кэролайн Мэлони.
Одного слова "Юпитер" было достаточно, чтобы автоматизированные системы ФРБ забили тревогу. Платежи были пересмотрены, и большинство из них было остановлено. Но не все. Пять транзакций на сумму 101 млн долларов успели уйти со счетов ФРБ.
Из них 20 миллионов долларов были переведены благотворительной организации Шри-Ланки под названием Shalika Foundation, которую сообщники хакеров использовали в качестве одного из каналов для украденных денег (его основательница Шалика Перера утверждает, что считала деньги вполне легальным пожертвованием.) Но и здесь крошечная деталь помешала планам хакеров. Деньги отправили в "Shalika Fundation". Внимательный сотрудник банка заметил орфографическую ошибку, и транзакцию отменили.
Итак, 81 миллион долларов утерян. Не миллиард, конечно, но потерянные деньги все равно стали огромным ударом для Бангладеш, где каждый пятый человек живет за чертой бедности.
АВТОР ФОТО,GETTY IMAGES
Операция "Баккара"
К тому времени, когда Банк Бангладеш начал пытаться вернуть деньги, хакеры уже предприняли меры, чтобы их не нашли.
В пятницу, 5 февраля, четыре счета, уже год дремавшие в отделении RCBC на Юпитер-стрит, внезапно ожили.
Деньги гуляли со счета на счет, отправлялись в фирму по обмену валюты, переводились в местную валюту и повторно депонировались в банке. Некоторые из них были сняты наличными. Для экспертов по отмыванию денег такое поведение вполне объяснимо.
"Надо сделать так, чтобы деньги, полученные преступным путем, выглядели чистыми, как будто они получены из законных источников, - говорит Мояра Русен, директор Программы управления финансовыми преступлениями в Миддлберийском институте международных исследований в Калифорнии. - Следы денег должны быть как можно более мутными и неясными".
Но даже идя на такие ухищрения, хакеры все еще не могли рассчитывать, что деньги не найдут. Чтобы их нельзя было отследить, их нужно было вывести за пределы банковской системы.
АВТОР ФОТО,GETTY IMAGES
Подпись к фото,
Казино Solaire открылось в 2013 году
Комплекс Solaire - сверкающий белый дворец на набережной в Маниле. Здесь находится отель, огромный театр, элитные магазины и его самая известная достопримечательность - казино, занимающее целый этаж. Манила притягивает игроков из материкового Китая, где подобное времяпровождение незаконно, а Solaire, по словам Мохаммеда Коэна, главного редактора журнала Inside Asian Gaming Magazine, "одно из самых элегантных казино в Азии". В нем около 400 игровых столов и примерно 2000 игровых автоматов.
Именно здесь, в шикарном казино Манилы, хакеры организовали следующий этап своей операции по отмыванию денег. Из 81 миллиона долларов, прошедших через банк RCBC, 50 миллионов долларов были депонированы на счетах в Solaire и другом казино, Midas. (Что случилось с остальными 31 млн долларов? По данным комитета Сената Филиппин, созданного для расследования, они были выплачены некоему китайцу по имени Сюй Вэйкан, который, как полагают, покинул город на частном самолете, и с тех пор о нем никто не слышал.)
Идея использования казино заключалась в том, чтобы разорвать цепочку, по которой путь денег можно отследить. После того, как украденные деньги превратятся в фишки казино, будут разыграны за столами и обменяны обратно на наличные, отследить их будет практически невозможно.
Но это же казино? Разве воры не рискуют потерять добычу за игорными столами? Нисколько.
Во-первых, вместо того, чтобы играть в общественных пространствах казино, хакеры забронировали личные комнаты, где усадили играть своих сообщников, получив таким образом контроль над тем, как идет игра. Во-вторых, на украденные деньги они играли в баккару - очень популярную в Азии и очень простую игру. В ней возможны только три варианта, на которые можно делать ставки, и относительно опытный игрок может вернуть 90% или более своей ставки. Преступники теперь могли отмывать украденные деньги и рассчитывать на приличную прибыль, но для этого нужно было тщательно следить за игроками и их ставками, а на это требовалось время. Неделями игроки сидели в казино Манилы и отмывали деньги.
Тем временем Банк Бангладеш дышал похитителям в затылок. Его официальные лица посетили Манилу и нашли следы пропавших денег. Но когда дело дошло до казино, следствие остановилось. В то время игорные дома Филиппин не подпадали под действие закона об отмывании денег. Что касается казино, то деньги были депонированы законным образом, и игроки имели полное право разбрасываться ими, как им заблагорассудится. (Казино Solaire заявляет, что не знало, что имеет дело с украденными средствами, и сотрудничает с властями. Midas не ответила на запросы о комментариях.)
Сотрудникам банка удалось вернуть 16 миллионов долларов украденных денег у одного из организаторов азартных игр в казино Midas по имени Ким Вонг. Ему были предъявлены обвинения, но позже их сняли. Однако оставшаяся сумма - 34 миллиона долларов - пропала без следа. По мнению следователей, теперь она найдется ближе к Северной Корее.
Макао - анклав Китая, по устройству похожий на Гонконг. Как и на Филиппинах, здесь процветают азартные игры и находятся некоторые из самых престижных казино в мире. Страна также имеет давние связи с Северной Кореей. Именно здесь в начале 2000-х годов северокорейских чиновников поймали на отмывании фальшивых 100-долларовых банкнот исключительно высокого качества - так называемых "супердолларов", которые, по утверждениям властей США, были напечатаны в Северной Корее. Местный банк, через который они отмывались, был в итоге внесен в санкционный список США из-за его связей с режимом в Пхеньяне.
АВТОР ФОТО,EMPICS
Подпись к фото,
В 2006 году должностные лица японского банка смогли идентифицировать супердоллары, только увеличив их в 400 раз
Именно в Макао проходила обучение северокорейская шпионка, взорвавшая самолет Korean Air в 1987 году, в результате чего погибло 115 человек. И именно в Макао сводный брат Ким Чен Ына, Ким Чен Нам, жил в изгнании, прежде чем
стал жертвой отравления в Малайзии, которое, как многие полагают, санкционировал лично северокорейский лидер.
По мере того, как деньги, украденные из Банка Бангладеш, отмывались через Филиппины, в деле начали всплывать многочисленные связи с Макао. Некоторых из людей, организовавших игры в Solaire, удалось проследить до анклава. Две компании, которые забронировали частные игорные комнаты, также находились в Макао. Следователи полагают, что большая часть украденных денег сначала оказалась здесь, а затем отправилась в Северную Корею...
Джефф Уайт - автор книги "Crime Dot Com: от вирусов к фальсификации голосов". Джин Х. Ли открыла бюро Associated Press в Пхеньяне в 2012 году; в настоящее время - старший научный сотрудник Центра Вильсона в Вашингтоне.Полная статья по ссылке
Ссылка