Jaful Lazarus | Cum hackerii din Coreea de Nord au fost la un pas să fure 1 miliard de dolari

, , ,
Autor:    -  
Hackeri Coreea De Nord
Foto: BBC
Timp de citire: 10 minute

Poveste de film. Niciun scenariu din seria Ocean’s nu ar putea bate cursul evenimentelor unui jaf bancar actual de proporții. O grupare de hackeri nord-coreeni a planificat un jaf de 1 miliard de dolari de la Banca Națională din Bangladesh, în anul 2016. În cazul acesta, doar o întâmplare a dus la oprirea transferurilor de bani, în urma cărora hoții s-au ales totuși cu 81 de milioane de dolari.

Reporterii BBC au prezentat toată operațiunea pusă la cale de hackeri, care a avut drept victimă una dintre cele mai sărace și izolate țări din lume. Toată întâmplarea a început de la o imprimantă stricată, amplasată la etajul 10 al sediului principal al băncii, care avea sarcina de a tipări înregistrările transferurilor de milioane de dolari care intră sau ies din bancă.

În timp ce angajații credeau că defecțiunea imprimantei este doar o defecțiune minoră, se petrecea de fapt un jaf ca în filme. Pentru a transfera banii, hackerii din spatele jafului urmau să folosească conturi bancare false, organizații caritabile, cazinouri și o rețea largă de complici.

Potrivit anchetatorilor, amprentele digitale indică un autor clar: guvernul Coreei de Nord.

În industria securității cibernetice, hackerii care lucrează pentru regimul lui Kim Jong Un sunt cunoscuți drept Grupul Lazarus.

Și totuși, potrivit FBI, îndrăznețul hack al băncii Bangladesh a fost punctul culminant al unor ani de pregătire metodică de către o echipă umbrită de hackeri și intermediari din toată Asia, care a funcționat cu sprijinul regimului nord-coreean.

De ce Lazarus?

Grupul Lazarus (Lazăr) face referire la o figură biblică care a revenit din morți; experții care au abordat virușii informatici ai grupului au descoperit că sunt la fel de rezistenți.

Puține lucruri se știu despre grup, deși FBI a desenat un portret detaliat al unui suspect: Park Jin-hyok, care a trecut și sub numele de Pak Jin-hek și Park Kwang-jin. Acesta îl descrie ca un programator de computere care a absolvit una dintre universitățile de top ale țării și a plecat la muncă pentru o companie nord-coreeană, Chosun Expo, în orașul portuar chinez Dalian, creând programe de jocuri de noroc clasice și online pentru clienții din întreaga lume.

În timp ce se afla în Dalian, el a configurat o adresă de e-mail, a creat un CV și a folosit rețelele sociale pentru a construi o rețea de contacte. Urmele cibernetice l-au plasat în Dalian încă din 2002 și au continuat până în 2013 sau 2014, când activitatea lui pe internet pare să provină din capitala nord-coreeană, Pyongyang, conform declarației unui investigator FBI.

Cine e de fapt Park?

Agenția a lansat o fotografie smulsă dintr-un e-mail din 2011 trimis de un manager Chosun Expo, prezentându-l pe Park unui client extern. Fotografia ne arată un coreean elegant similar celor de la sfârșitul anilor ’20 sau începutul anilor ’30, îmbrăcat într-o cămașă neagră cu dungi și un costum maro ciocolată. Nimic ieșit din comun, la prima vedere, în afară de o privire ciudată pe fața lui.

Dar FBI spune că, în timp ce Park lucra ca programator pe timp de zi, el era hacker noaptea. În iunie 2018, autoritățile SUA l-au acuzat pe Park pentru o acuzație de conspirație la comiterea de fraude și abuzuri pe computer și o acuzație de conspirație pentru comiterea fraudelor bancare (fraudă care implică poștă sau comunicare electronică). Totul între septembrie 2014 și august 2017. Acum Park riscă până la 20 ani de închisoare dacă va fi vreodată prins. 

Park s-a întors din China în Coreea de Nord cu patru ani înainte de depunerea acuzațiilor. Dar Park, dacă acesta este numele său real, nu a devenit hacker pentru stat peste noapte. El este unul dintre miile de tineri nord-coreeni care au fost cultivați din copilărie pentru a deveni războinici cibernetici – matematicieni talentați de până la 12 ani, luați de la școlile lor și trimiși în capitală, unde li se oferă cursuri intensive de dimineață până seara.

Fusul orar și perfecțiunea jafului

Să revenim la filmul evenimentelor. Când personalul băncii a repornit imprimanta buclucașă, au primit vești foarte îngrijorătoare. S-au revărsat mesaje urgente de la Banca Rezervei Federale din New York – „Fed” – unde Bangladesh păstrează un cont în dolari SUA. Fed a primit instrucțiuni, aparent de la Bangladesh Bank, pentru a goli întregul cont – aproape un miliard de dolari. Bangladesh-ul a încercat să contacteze Fed pentru clarificări, dar datorită momentului foarte atent al hackerilor, nu au reușit să o facă.

Hack-ul a început în jurul orei 20:00, ora Bangladeshului, joi, 4 februarie. Dar la New York era joi dimineață, acordându-i Fed-ului suficient timp pentru a îndeplini (fără să vrea) dorințele hackerilor în timp ce Bangladesh-ul dormea.

A doua zi, vineri, a fost începutul weekend-ului din Bangladesh, care este considerat de vineri până sâmbătă. Deci, sediul băncii din Dhaka avea două zile libere. Iar când sâmbătă Bangladesh a descoperit furtul, era deja weekend la New York.

„Deci vedeți eleganța atacului. Data de joi seară are un scop foarte definit. Vineri New York-ul lucrează, dar Bangladesh Bank este închisă. Până când Bangladesh Bank revine pe linie, Federal Reserve Bank este închisă. Deci, fusul orar a întârziat întreaga descoperire cu aproape trei zile.”, spune expertul în securitate cibernetică din SUA, Rakesh Asthana.

Și hackerii au avut un alt as în mânecă pentru a câștiga și mai mult timp. După ce au transferat banii din Fed, au trebuit să-i trimită undeva. Așa că i-au direcționat spre conturile pe care le înființaseră în Manila, capitala Filipinelor. Și în 2016, luni 8 februarie a fost prima zi a Anului Nou Lunar, o sărbătoare națională în toată Asia.

Prin exploatarea diferențelor orare dintre Bangladesh, New York și Filipine, hackerii au conceput o cursă precisă pe parcursul a cinci zile pentru a scoate banii. Aveau destul timp să planifice toate acestea, deoarece se pare că Grupul Lazarus stătea ascuns în sistemele informatice ale Bangladesh Bank de un an.

Calul troian? Un CV aparent inofensiv

În ianuarie 2015, un e-mail cu aspect inofensiv a fost trimis mai multor angajați ai Băncii Bangladesh. A venit de la un căutător de locuri de muncă care se numea Rasel Ahlam. Cererea sa politicoasă a inclus o invitație de a i se descărca CV-ul și scrisoarea de intenție de pe un site web. În realitate, Rasel nu exista – era pur și simplu un nume de copertă folosit de Grupul Lazarus, potrivit anchetatorilor FBI. Cel puțin o persoană din bancă a picat în plasă, a descărcat documentele și s-a infectat cu virușii ascunși în interior.

Odată ajuns în sistemele băncii, Grupul Lazarus a început să sară pe furiș de la computer la computer, făcându-și drum spre seifurile digitale și miliardele de dolari pe care le conțineau. Și apoi s-au oprit brusc.

De ce hackerii au furat banii doar după un an întreg de la e-mailul inițial de phishing care a ajuns la bancă? De ce să riști să fii descoperit în timp ce te ascunzi în sistemele băncii tot timpul? Pentru că, se pare, au avut nevoie de timp pentru a-și alinia căile de evacuare a banilor.

Imprimanta de la etajul 10

Până în februarie 2016, după ce a pătruns cu succes în Bangladesh Bank și în paralel a creat “conductele” pentru bani spre Manila, Filipine, Grupul Lazarus era gata de atac. Dar mai aveau un ultim obstacol de eliminat – imprimanta de la etajul 10.

Bangladesh Bank a creat un sistem de backup pe hârtie pentru a înregistra toate transferurile efectuate din conturile sale. Această înregistrare a tranzacțiilor risca să expună instantaneu munca hackerilor. Așa că au intrat în software controlându-l și l-au scos din acțiune. Cu urmele acoperite, joi, 4 februarie 2016, la ora 20:36, hackerii au început să efectueze transferurile lor – 35 în total, însumând 951 milioane de dolari, aproape întregul conținutul contului din Fed Bank New York al Bangladesh Bank. Hoții se îndreptau spre ziua de plată masivă – dar la fel ca într-un film de la Hollywood, un detaliu mic i-ar fi surprins.

Băieții buni intră pe fir. Târziu!

În timp ce Bangladesh Bank a descoperit banii lipsă în cursul acelui weekend, s-au străduit să descopere cât de repede ce s-a întâmplat. Guvernatorul băncii îl cunoștea pe Rakesh Asthana și compania sa, World Informatix, pe care i-a chemat în ajutor. În acest moment, spune Asthana, guvernatorul încă mai credea că ar putea recupera banii furați. Drept urmare, el a păstrat secretul hack-ului – nu doar publicului, ci chiar și propriului său guvern. Între timp, Asthana descoperea cât de adânc a fost hack-ul.

El a aflat că hoții au obținut acces la o parte cheie a sistemelor Bangladesh Bank, numită codul Swift. Este sistemul utilizat de mii de bănci din întreaga lume pentru a coordona transferurile de sume mari între ele. Hackerii nu au exploatat vreo vulnerabilitate în Swift – nu au avut nevoie – astfel încât, în ceea ce privește software-ul Swift, hackerii arătau ca angajați autentici ai băncii. Curând a devenit clar pentru oficialii Bangladesh Bank că tranzacțiile nu puteau fi anulate.

O parte din bani sosiseră deja în Filipine, unde autoritățile le-au spus că vor avea nevoie de o hotărâre judecătorească pentru a începe procesul de revendicare. Ordinele judecătorești sunt documente publice, așa că atunci când Bangladesh Bank și-a expus în cele din urmă cazul la sfârșitul lunii februarie, povestea a devenit publică și a explodat în întreaga lume. Consecințele pentru guvernatorul băncii au fost aproape instantanee.

„I s-a cerut să demisioneze. Nu l-am mai văzut niciodată.”, spune Asthana.

Congresmana americană Carolyn Maloney își amintește clar unde se afla când a auzit prima dată despre hack-ul asupra Bangladesh Bank.

“Ieșeam din Congres, mergeam spre aeroport și citeam despre jaf. A fost fascinant, șocant – un incident terifiant, probabil unul dintre cele mai terifiante pe care le-am văzut vreodată pentru piețele financiare.”

În calitate de membru al Comitetului pentru Servicii Financiare din Congres, Maloney a văzut o imagine mai largă: atacând codul Swift care sprijină transferurile atât de multor miliarde de dolari din comerțul global, un astfel de hack ar putea submina fatal încrederea în sistem. În plus, s-a arătat deosebit de îngrijorată de implicarea Rezervei Federale.

“Vorbim de Fed-ul din New York, care de obicei este atât de atent. Cum au putut avea loc aceste transferuri?”, se întreabă retoric Maloney.

Banii spălați pe îndelete la cazinou

În arena sclipitoare a cazinoului din Manila, hoții au montat următoarea etapă a operațiunii lor de spălare a banilor. Din cei 81 de milioane de dolari care s-au spălat prin banca RCBC, 50 de milioane de dolari au fost depuși în conturi la Solaire și la un alt cazinou, Midas. Ce s-a întâmplat cu ceilalți 31 de milioane de dolari? Potrivit unui comitet al Senatului din Filipine înființat pentru a investiga cazul, suma fabuloasă a fost plătită unui chinez numit Xu Weikang, despre care se crede că a părăsit orașul cu un avion privat și de atunci nu s-a mai auzit de el.

Ideea folosirii cazinourilor a fost de a sparge lanțul trasabilității. Odată ce banii furați au fost transformați în jetoane de cazino, au jucat peste mese și s-au transformat în numerar, ar fi aproape imposibil ca anchetatorii să le prindă urma. Dar nu existau de riscuri? Nu erau hoții în pericol să piardă prada peste mesele cazinoului? Deloc.

În primul rând, în loc să se joace în părțile publice ale cazinoului, hoții au rezervat camere private și le-au umplut cu complici care ar juca la mese; acest lucru le-a dat controlul asupra modului în care s-au jucat banii.

În al doilea rând, au folosit banii furați pentru a juca Baccarat – un joc extrem de popular în Asia, dar și unul foarte simplu. Există doar trei rezultate pe care poți paria, iar un jucător relativ experimentat își poate recupera 90% sau mai mult din miză (un rezultat excelent pentru spălătorii de bani, care de multe ori obțin un randament mult mai mic).

Deci infractorii s-au pus pe spălat fondurile furate. Săptămâni întregi, hoții au stat în cazinourile din Manila, spălând banii.

Prinde orbul, scoate-i ochii!

Între timp, Bangladesh Bank i-a ajuns din urmă. Oficialii săi au vizitat Manila și au identificat traseul banilor. Dar când a venit vorba despre cazinouri, s-au lovit de un zid. La acea vreme, casele de jocuri de noroc din Filipine nu erau acoperite de reglementări privind spălarea banilor. În ceea ce privește cazinourile, banii au fost depuși de jucători legitimi, care aveau tot dreptul să-i spargă la mese.

Cazinoul Solaire spune că habar nu avea că erau vorba de fonduri furate și a decis să cooperează cu autoritățile. Midas nu a răspuns solicitărilor BBC de a comenta.

Totuși, oficialii băncii au reușit să recupereze 16 milioane de dolari din banii furați de la unul dintre bărbații care au organizat excursii de jocuri de noroc la cazinoul Midas, numit Kim Wong. El a fost acuzat, dar acuzațiile au fost ulterior retrase. Cu toate acestea, restul banilor – 34 de milioane de dolari – s-au evaporat. Următoarea oprire a anchetatorilor: mai aproape de Coreea de Nord.

Prietenii Coreei de Nord

Macao este o enclavă a Chinei, asemănătoare constituțional cu Hong Kong. La fel ca Filipine, este un punct fierbinte pentru jocurile de noroc și găzduiește unele dintre cele mai prestigioase cazinouri din lume. Țara are, de asemenea, legături de lungă durată cu Coreea de Nord. Aici, oficialii nord-coreeni au fost prinși la începutul anilor 2000 spălând bancnote contrafăcute de 100 de dolari de o calitate extrem de ridicată – așa-numiții „Superdolari” – despre care autoritățile americane susțin că au fost tipărite în Coreea de Nord. Banca locală prin care i-au spălat a fost în cele din urmă plasată pe o listă de sancțiuni SUA datorită legăturilor sale cu regimul de la Phenian.

Pe măsură ce banii furați de la Bangladesh Bank au fost spălați prin Filipine, au început să apară numeroase legături cu Macao. Câțiva dintre bărbații care au organizat excursii de jocuri de noroc în cazinoul Solaire au fost urmăriți până în Macao. Două dintre companiile care rezervaseră separeele de jocuri de noroc private aveau, de asemenea, sediul în Macao. Astfel, anchetatorii cred că majoritatea banilor furați au ajuns în acest mic teritoriu chinez, înainte de a fi retrimiși în Coreea de Nord.

Regimul de la Phenian și criptomonedele

Statul Bangladesh, unul dintre cele mai sărace din lume, încă încearcă să recupereze restul banilor săi furați – în jur de 65 de milioane de dolari. Banca sa Națională ia măsuri legale împotriva a zeci de persoane și instituții, inclusiv banca RCBC, care neagă încălcarea oricărei reguli.

Oricât de priceput a fost hacking-ul Bangladesh Bank, cât de mulțumit a fost regimul de la Phenian cu rezultatul final? La urma urmei, complotul a început ca un jaf de miliarde de dolari, iar eventualul transport a fost doar de câteva zeci de milioane. Sute de milioane de dolari se pierduseră pe măsură ce hoții navigaseră în sistemul bancar global și alte zeci de milioane în timp ce plăteau intermediari.

În viitor, conform autorităților americane, Coreea de Nord ar găsi o modalitate de a evita această uzură. În mai 2017, focarul de răscumpărare WannaCry s-a răspândit ca un incendiu, amestecând dosarele victimelor și taxându-le o răscumpărare de câteva sute de dolari pentru a-și recupera datele, plătite folosind moneda virtuală Bitcoin.

În Marea Britanie, Serviciul Național de Sănătate a fost deosebit de afectat; au fost afectate departamentele de accident și urgență, iar programările urgente pentru cancer au trebuit reprogramate. În timp ce anchetatorii de la Agenția Națională pentru Criminalitate din Marea Britanie au aprofundat codul, colaborând cu FBI, au găsit asemănări izbitoare cu virusurile folosite pentru a intra în Bangladesh Bank și Sony Pictures Entertainment, iar FBI a adăugat în cele din urmă acest atac tot la acuzațiile împotriva Park Jin- hyok.

Dacă afirmațiile FBI sunt corecte, atunci armata cibernetică a Coreei de Nord a adoptat deja criptomoneda – un salt vital înainte, deoarece această nouă formă de bani de înaltă tehnologie ocolește în mare măsură sistemul bancar tradițional – și, prin urmare, ar putea evita cheltuielile generale costisitoare, cum ar fi plățile la intermediari.

WannaCry a fost doar începutul. În anii care au urmat, firmele de securitate tehnologică au atribuit Coreei de Nord mult mai multe atacuri cu criptomonede. Ele susțin că hackerii din țară au vizat schimburi în care criptomonedele precum Bitcoin sunt schimbate cu monede tradiționale. Adunate împreună, unele estimări ridică furturile din aceste schimburi la peste 2 miliarde de dolari. Și acuzațiile continuă să vină.

În februarie, Departamentul de Justiție al SUA a acuzat alți doi nord-coreeni, despre care susțin că sunt și membri ai Grupului Lazarus și sunt legați de o rețea de spălare a banilor care se întinde din Canada până în Nigeria.

Google News  Fiți la curent cu ultimele noutăți! Urmăriți AFACERI.news și pe Google News!


CITEŞTE ŞI
bitcoin, coins, virtualBitcoin înregistrează o creștere de 17% în iulie, cea mai bună lună din octombrie 2021
btc, bitcoin, cryptocurrencyDupă ce Fed a decis să mențină neschimbate ratele dobânzilor, Bitcoin atinge 105.000 de dolari
Jeremy SiegelDespre crypto, cu profesorul de finanțe de la universitatea absolvenților Elon Musk și Warren Buffett
Selective focus photo of silver and gold bitcoinsBitcoin încheie cea mai proastă săptămână din noiembrie încoace, la sub 26.000 $. Cauze și efecte
cryptocurrency, bitcoin, financeCotația Bitcoin se apropie de 20.000 de dolari pentru prima dată în 11 ani de existență
Charlie MungerBula stă să explodeze? Analist nonagenar: Piețele sunt supraevaluate mai ceva ca în anii ’90