Эксперты рассказали о попытке Lazarus Group похитить $1 млрд у Центробанка Бангладеш
21 июня 2021 года
В 2016 году северокорейские хакеры из Lazarus Group организовали атаку на национальный банк Бангладеш с целью украсть $1 млрд и оказались на грани успеха. Только по счастливой случайности все переводы, кроме транзакции на $81 млн, были остановлены.
По данным канала BBC, инцидент начался со сбоя в работе офисного принтера, который и сыграл решающую роль в атаке. Устройство находилось в охраняемой комнате на 10-м этаже главного офиса банка в Дакке, столице страны. Его задача заключалась в распечатывании записей о многомиллионных переводах, поступающих в банк и исходящих из него.
Сотрудники банка перезагрузили принтер и получили очень тревожные новости. Устройство напечатало срочные сообщения от Федеральной резервной системы (Federal Reserve System, FED) Нью-Йорка, где Бангладеш держит счет в долларах США. FED получила инструкции от Центробанка Бангладеш об опустошении всего счета — около миллиарда долларов.
Работники банка пытались обратиться к FED за разъяснениями, но, благодаря очень тщательному расчету хакеров, им это не удалось. Взлом начался около 20:00 по бангладешскому времени в четверг, 4 февраля. Но в Нью-Йорке было утро четверга, что дало FED достаточно времени для выполнения указаний хакеров, пока сотрудники Центробанка Бангладеша спали.
На следующий день, в пятницу, в Бангладеш начались выходные — с пятницы по субботу. А когда в Бангладеш начали расследовать кражу в субботу, в Нью-Йорке уже были свои выходные. С целью выиграть еще больше времени, хакеры перевели деньги из FED на счета в Маниле, столице Филиппин. А в 2016 году понедельник 8 февраля был первым днем Лунного Нового года, национального праздника в Азии. Используя разницу во времени между Бангладеш, Нью-Йорком и Филиппинами, хакеры разработали точную пятидневную атаку.
Lazarus Group скрывалась в системах банка в течение года. В январе 2015 года нескольким сотрудникам Бангладешского банка было отправлено безобидное на вид электронное письмо от соискателя по имени Расел Ахлам, предлагавшее загрузить резюме Ахлама и сопроводительное письмо с web-сайта. Как минимум один сотрудник банка попался на уловку, скачал документы и установил на систему вредоносное ПО. Оказавшись в сети банка, Lazarus Group начала незаметно перемещаться по сети к цифровым хранилищам и миллиардам долларов. Вскоре хакеры получили доступ к ключевой части системы национального банка Бангладеш — Swift.
Вскоре должностным лицам банка стало ясно, что часть денег уже поступила на счета в Филиппинах, где власти потребовали постановление суда для осуществления возврата средств. Однако сотрудникам FED удалось предотвратить большинство переводов преступников. Отделение банка RCBC в Маниле, куда хакеры пытались перевести $951 млн, находилось на Jupiter Street.
«Транзакции были отклонены в FED, потому что используемый хакерами адрес содержал слово Jupiter, которое также является названием находящегося под санкциями иранского судоходного судна», — пояснили эксперты.
Одного упоминания слова Jupiter было достаточно, чтобы вызвать тревогу в автоматизированных компьютерных системах FED. Выплаты были пересмотрены, и большинство из них остановлены. Тем не менее, пять транзакций на сумму $101 млн все же прошли проверку.
Из них $20 млн были переведены в благотворительную организацию Шри-Ланки Shalika Foundation, которую сообщники хакеров использовали в качестве одного из каналов для вывоза украденных денег. Для следующего этапа операции по отмыванию денег воры использовали отель Solaire в Маниле. Из $81 млн денег, $50 млн были депонированы на счетах в казино Solaire и Midas. После того, как украденные деньги будут конвертированы в фишки казино, разыграны за столами и обменены обратно на наличные, следователям будет практически невозможно их отследить. В течение нескольких недель игроки сидели в казино Манилы и отмывали деньги. Сотрудникам банка удалось вернуть лишь $16 млн украденных денег у одного из организаторов азартных игр в казино Midas.
По мере того, как деньги, украденные из Центробанка Бангладеш, отмывались через Филиппины, начали появляться многочисленные связи со специальным административным районом КитаяМакао. Некоторые из мужчин, организовавших азартные игры в Solaire, были прослежены до Макао. Две компании, забронировавшие частные игорные комнаты, также находились в Макао. Следователи полагают, что большая часть украденных денег отправилась на эту небольшую китайскую территорию, а затем была перенаправлена в Северную Корею.
Источники править
Эта статья содержит материалы из статьи «Эксперты рассказали о попытке Lazarus Group похитить $1 млрд у Центробанка Бангладеш», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.