Кібервійни · 7 Березня, 2022

Як північнокорейські хакери пограбували банк

У грудні 2021 року виповнюється 10 років Кім Чен Ину як верховного лідера Північної Кореї. За цей час він не тільки зберіг і зміцнив ідеологію батька і діда, а й сформував армію державних хакерів, кіберзлочини яких фінансують його програму ядерної зброї і підтримують економіку. За даними Агентства кібербезпеки США, підтримувані державою північнокорейські хакери атакують банки по всьому світу, викрадають оборонні секрети, вимагають гроші, захоплюють цифрову валюту і відмивають незаконно отримані доходи через криптовалютні біржі. Режим Кім Чен Ина вже отримав 2,3 мільярда доларів від кіберзлочинності і не має наміру зупинятися на досягнутому. За даними Банку Кореї в Сеулі, гроші на кіберзлочинність становили 8% від загального доходу Північної Кореї в 2020 році. Була спроба зломукомпанією Pfizer Inc. для отримання даних про вакцину від коронавірусу. Південна Корея повідомила, що кількість спроб злому в першій половині 2021 року її сусідом збільшилася на 9% в порівнянні з другою половиною 2020 року.

“Інтерв’ю” з Кім Чен Ином

Кіберзлочинність стала рятувальним кругом для північнокорейської економіки, яка заблокована санкціями. Крім того, закриття кордонів через Covid-19 поставило невелику легальну торгівлю, яку Північна Корея мала на паузу, і призвело до найбільшого спаду за два десятиліття. Кім Чен Ин не виявив зацікавленості в поверненні до переговорів, які можуть призвести до скасування санкцій, якщо Північна Корея скасує свою програму ядерної зброї.

Але як одна з найбідніших і найбільш ізольованих країн світу тренувала команду елітних хакерів? Той факт, що Північна Корея буде головним підозрюваним у справі про кіберзлочинність, може стати для декого несподіванкою. Це одна з найбідніших країн світу, значною мірою відірвана від світової спільноти — технологічно, економічно і майже в усіх інших відношеннях.
У індустрії кібербезпеки північнокорейські хакери відомі як Lazarus Group. І як би іронічно це не було, все почалося з голлівудського фільму.

У 2013 році Sony Pictures оголосила про створення нового фільму за участю Сета Рогена і ДжеймсаФранко, дія якого відбудеться в Північній Кореї. За сюжетом фільм розповідає про ведучого ток-шоу, якого грає Франко, і його продюсера, якого грає Роген. Вони їдуть до Північної Кореї, щоб взяти інтерв’ю у Кім Чен Ина, і ЦРУ переконує їх убити його.

Північна Корея пригрозила помститися США, якщо Sony Pictures Entertainment випустить фільм, а в листопаді 2014 року босам компанії був відправлений електронний лист від хакерів, які називають себе Вартовими світу, погрожуючи завдати “великої шкоди”.

Після цього, через три дні, хакери здійснили свої погрози. Зарплати керівників, конфіденційні внутрішні електронні листи та деталі ще не випущених фільмів просочилися в Інтернет, і діяльність компанії припинилася, оскільки її комп’ютери були відключені хакерськими вірусами. Працівники не могли використовувати перепустки для входу в свої офіси або використання принтерів. Протягом шести тижнів кав’ярня на базі MGM, штаб-квартири Sony Pictures Entertainment, не могла приймати кредитні картки.

Спочатку Sony наполягала на випуску «Інтерв’ю» звичайним способом, але плани були спішно скасовані, коли хакери погрожували фізичною розправою. Великі мережі кінотеатрів заявили, що не будуть показувати фільм, тому він був випущений тільки в цифровому вигляді і в деяких незалежних кінотеатрах.
Але атака на Sony, як виявилося, була тренуванням для ще більш амбітного злому – пограбування банку в Бангладеш.

Принтер, ФРС і казино

У 2016 році північнокорейські хакери здійснили рейд на Національний банк Бангладеш на суму 1 мільярд доларів і були майже успішними – тільки на щастя, всі перекази, за винятком 81 мільйона доларів, були зупинені.

Банк Бангладеш є центральним банком країни, відповідальним за нагляд за дорогоцінними валютними резервами країни. Для співробітників банку все почалося 5 лютого 2016 року з несправного принтера. Він знаходився в кімнаті суворо охороняється на 10-му поверсі головного офісу банку в Дакці, столиці Бангладеш. Але принтер був нелегким. Його робота полягала в тому, щоб роздрукувати записи багатомільйонних переказів, що надходять в банк і виходять з нього.

Коли співробітники банку перезавантажили несправний принтер, вони отримали «дуже тривожні термінові повідомлення» від Федерального резервного банку в Нью-Йорку, де Бангладеш має рахунок в доларах США. Федеральна резервна система отримала вказівку, мабуть, від банку Бангладеш, спорожнити весь рахунок – близько мільярда доларів. Бангладешці намагалися зв’язатися з ФРС для роз’яснень, але завдяки дуже ретельному підрахунку часу хакерів вони не змогли до них зв’язатися.

Хакерська атака почалася о 20:00 .m за бангладешським часом у четвер, 4 лютого. Але це було в четвер вранці в Нью-Йорку, даючи ФРС достатньо часу, щоб мимоволі здійснити наміри хакерів, поки Бангладеш спав. На наступний день, в п’ятницю, почалися вихідні в Бангладеш, які тривають з п’ятниці по суботу. Так, штаб-квартира банку в Дацці почала два вихідних дні. І коли бангладешці почали розкривати крадіжку в суботу, це були вихідні в Нью-Йорку.

Хакери мали ще один козир у рукаві, щоб купити більше часу. Після того, як вони перевели гроші з ФРС, їх потрібно було кудись відправити. Тому вони перерахували його на рахунки, які вони відкрили в Манілі, столиціФіліппін. А 8 лютого 2016 року, понеділок, був першим днем місячного Нового року, національного свята в багатьох азіатських країнах. Використовуючи різницю в часі між Бангладеш, Нью-Йорком і Манілою, хакери організували чітку п’ятиденну операцію з виведення грошей.

У них було достатньо часу, щоб спланувати все це, тому що, як виявилося, Lazarus Group протягом року ховалася в комп’ютерних системах Банку Бангладеш. У січні 2015 року кілька співробітників банку Бангладеш розіслали нешкідливий на вигляд електронний лист. Він прийшов від шукача роботи, який називав себе Расель Ахлам. Його ввічливе прохання містило запрошення завантажити своє резюме та супровідний лист з веб-сайту. Насправді Rasel не існувало, це була просто обкладинка, яку використовувала Lazarus Group. Принаймні одна людина всередині банку потрапила за цей трюк, завантажила документи і заразилася вірусами, прихованими всередині. Опинившись всередині систем банку, Lazarus Group почала плавно переміщатися від комп’ютера до комп’ютера, прокладаючи собі шлях до цифрових сховищ.

У травні 2015 року, через кілька місяців після того, як хакери отримали доступ до систем Банку Бангладеш, спільники хакерів відкрили чотири рахунки в RCBC Bank в Манілі. Озираючись назад, є кілька підозрілих ознак того, що водійські права, які використовувалися для створення облікових записів, були підробленими, і всі заявники стверджували, що у них однакова посада і зарплата, незважаючи на те, що вони працювали в різних компаніях. Але ніхто, здається, не помітив (або заплющив на це очі). Протягом декількох місяців рахунки заснули, а їх початковий депозит у розмірі 500 доларів залишався недоторканим, поки хакери працювали над іншими аспектами плану.

Їм довелося подолати останню перешкоду – принтер на 10 поверсі. Банк Бангладеш створив паперову систему резервного копіювання для запису всіх переказів, здійснених з його рахунків. Цей запис транзакції може миттєво розкрити роботу хакерів. І так хакери зламали програмне забезпечення, що контролює принтер, і відключили його.

О 20:36 четверга, 4 лютого 2016 року, хакери почали здійснювати свої перекази – всього 35 переказів на загальну суму 951 млн доларів, що становить майже весь вміст банківського рахунку Бангладеш у ФРС Нью-Йорка. Злодії отримали доступ до системи SWIFT банку Бангладеш. Це система, яка використовується тисячами банків по всьому світу для координації переказів великих сум між собою. Хакери не скористалися вразливістю SWIFT – їм це не потрібно – тому з точки зору програмного забезпечення SWIFT хакери виглядали як звичайні співробітники банку.

Коли Банк Бангладеш виявив, що гроші зникли на вихідних, вони звернулися за допомогою до Всесвітньої кібербезпеки Informatix. Незабаром співробітникам банку Бангладеш стало ясно, що транзакції не можуть бути просто скасовані. Частина грошей вже прилетіла на Філіппіни, де влада сказала їм, що їм знадобиться судовий наказ, щоб почати процес їх повернення. Судові рішення є загальнодоступними документами, тому, коли Банк Бангладеш, нарешті, подав позов наприкінці лютого, історія стала публічною у всьому світі. Наслідки для голови банку були негайними. Він був звільнений.

Злодії були на шляху до заробітку величезної зарплати, але, як і в голлівудських фільмах про пограбування, їх віддали однією маленькою деталлю. І через цю деталь більшість перекладів були попереджені. Відділення RCBC Bank в Манілі, якому хакери намагалися перерахувати 951 мільйон доларів, розташовувалося на вулиці Юпітера. У Манілі є сотні банків, якими хакери могли б скористатися, але вони вибрали цей – і це рішення коштувало їм сотні мільйонів доларів.

Транзакції були відкладені у ФРС, оскільки адреса, використана в одному з замовлень, містила слово “Юпітер”, яке також є назвою іранського корабля під санкціями. Простої згадки слова «Юпітер» було достатньо, щоб зробити сигнал тривоги дзвінком в автоматизованих комп’ютерних системах ФРС. Виплати були переглянуті, і більшість з них були зупинені. Але не всі з них. П’ять угод на суму $101 млн подолали бар’єр.

З них 20 мільйонів доларів були переведені на шрі-ланкійську благодійну організацію під назвою Shalika Foundation, яку спільники хакерів використовували як один з каналів для передачі вкрадених грошей. Але і тут крихітна деталь зірвала плани хакерів. Була помилка в слові “Фундація” (Fandation). Уважний співробітник банку помітив орфографічну помилку, і транзакцію скасували. В результаті угода пройшла на 81 мільйон доларів. Не те, до чого прагнули хакери, але втрачені гроші все ще були величезним ударом по Бангладеш, країні, де кожна п’ята людина живе в бідності.

До того часу, коли Банк Бангладеш почав свої зусилля по відновленню грошей, хакери вже вжили заходів для того, щоб вони залишалися недоступними. У п’ятницю, 5 лютого, ожили чотири рахунки, відкриті у відділенні RCBC на вулиці Юпітер. Гроші перераховувалися між рахунками, відправлялися в валютно-обмінну фірму, конвертувалися в місцеву валюту і повторно вносилися в банк. Деякі з них були вилучені готівкою. Для експертів з відмивання грошей така поведінка має сенс.
Однак слідчі все ще могли простежити шлях грошей. Щоб зробити його абсолютно нерозслідуваним, йому довелося покинути банківську систему.

Маніла є чудовою туристичною гарячою точкою для любителів азартних ігор з материкового Китаю, де таке проведення часу є незаконним, а Solaire є одним з найелегантніших казино в Азії. Він має 400 ігрових столів і 2000 ігрових автоматів. Саме тут, в блискучому казино Маніли, злодії банку Бангладеш почали наступний етап своєї операції з відмивання грошей. З 81 мільйона доларів, які пройшли через RCBC Bank, 50 мільйонів доларів були розміщені на рахунках в Solaire і іншому казино, Midas. Що сталося з іншими 31 мільйоном? За даними комітету Філіппінського сенату, створеного для розслідування, вони були виплачені китаянину на ім’я Сюй Вейкан, який, як вважають, вилетів з міста на приватному літаку і з тих пір його не чули.

Ідея використання казино полягала в тому, щоб розірвати ланцюжок простежуваності. Після того, як вкрадені гроші були перетворені в фішки казино, відтворені за столами і обміняні назад на готівку, слідчим було б майже неможливо відстежити їх.

Казино Solaire

Але як щодо ризиків? Хіба злодії не ризикують втратити здобич за столами казино? Зовсім ні. По-перше, замість того, щоб грати в публічних частинах казино, злодії бронювали VIP-кімнати і заповнювали їх своїми спільниками; Це дало їм контроль над тим, як розігрувалися гроші. По-друге, з вкраденими грошима вони грали в баккару, популярну карткову гру в Азії. Є тільки три результати, на які можна зробити ставку, і відносно досвідчений гравець може повернути 90% або більше своєї ставки (відмінний результат для відмивачів грошей, які часто отримують набагато менший прибуток). Злочинці тепер могли відмивати вкрадені кошти і розраховувати на здоровий прибуток, але це вимагало ретельного управління гравцями і їх ставками, і на це потрібен був час. Протягом декількох тижнів гравці сиділи в казино Маніли, відмиваючи гроші.

Банк Бангладеш, тим часом, наздоганяв. Його чиновники відвідали Манілу і встановили грошову стежку, але коли справа дійшла до казино, вони вдарилися об цегляну стіну. У той час гральні будинки на Філіппінах не підпадали під дію правил відмивання грошей. Що стосується казино, то готівка була внесена законними гравцями. Казино Solaire заявляє, що не мало справу з вкраденими коштами. Співробітникам банку вдалося стягнути 16 мільйонів доларів вкрадених грошей у одного з гравців, який організував азартні ігри в казино Midas. Йому було пред’явлено звинувачення, але пізніше звинувачення були зняті. Однак решта грошей – 34 мільйони доларів – втрачена.

Оскільки гроші, вкрадені з банку Бангладеш, були відмиті через Філіппіни, почали з’являтися численні зв’язки з Макао. Кілька людей, які організували азартні ігри в Солейрі, були відстежені до Макао. Слідчі вважають, що більша частина вкрадених грошей опинилася на цій крихітній китайській території, а потім була відправлена назад в Північну Корею.

Макао – анклав Китаю, конституційно схожий на Гонконг. Як і Філіппіни, це популярне місце для азартних ігор і будинок для деяких з найпрестижніших казино в світі. Країна також має давні зв’язки з Північною Кореєю. Саме тут на початку 2000-х років північнокорейські чиновники були спіймані на відмиванні підроблених банкнот номіналом 100 доларів надзвичайно високої якості – так званих “супердоларів”, – які, як стверджує влада США, були надруковані в Північній Кореї. Місцевий банк, через який вони відмивали їх, опинився в списку санкцій США через його зв’язки з режимом Пхеньяна.

Північнокорейська шпигунка також пройшла навчання в Макао, перш ніж вона підірвала корейський літак в 1987 році, убивши 115 осіб. І саме в Макао зведений брат Кім Чен Ина, Кім Чен Нам, жив у вигнанні, перш ніж був убитий в Малайзії.

«Заповітний меч»

У 1990 році Кім Чен Ір вирішив включити кібернетику в стратегію країни, заснувавши Корейський комп’ютерний центр. Вона стає серцем ІТ-операцій країни. Коли Кім Чен Ин – третій син Кім Чен Іра – був оголошений його спадкоємцем в 2010 році, режим почав просувати імідж майбутнього лідера, якому всього 20 років як генію науки і техніки. Це була кампанія, спрямована на те, щоб завоювати лояльність молодого покоління і надихати їх стати його воїнами, використовуючи ці нові інструменти.

Молодий Кім, який прийшов до влади в кінці 2011 року після смерті батька, назвав ядерну зброю “заповітним мечем” і потребував джерела фінансування для неї – завдання, ускладнене все більш жорсткими санкціями, введеними Радою Безпеки ООН після перших випробувань в країні ядерної зброї і балістичної ракети великої дальності в 2006 році. І тоді одним з головних пріоритетів було нарощування потенціалу кібервійни. З тих пір операції Головного розвідувального управління Північної Кореї значно зросли. За оцінками, в несекретних звітах про оборону США і Південної Кореї, його підрозділ з управління кібервійною, також відомий як Бюро 121, в даний час налічує понад 6000 членів.

Однак охоплення науки і техніки не поширилося на те, щоб дозволити північнокорейцям вільно підключатися до глобального Інтернету – це дозволило б занадто багатьом громадянам побачити, як виглядає світ за їхніми кордонами, що суперечить офіційній «міфології» КНДР. Тому для підготовки своїх кібер-воїнів режим відправляє найталановитіших математиків і програмістів за кордон, в основному в Китай. Там вони дізнаються, як решта світу використовує комп’ютери та Інтернет: для покупок, азартних ігор, мережі та розваг. Саме там вони перетворюються з математичних геніїв в хакерів.

Наскільки розумним був злом банку Бангладеш, наскільки задоволений режим Пхеньяна кінцевим результатом? Зрештою, змова почалася як мільярдне пограбування, а остаточне пограбування склало всього десятки мільйонів. Сотні мільйонів доларів були втрачені, коли злодії проникли в світову банківську систему, а десятки мільйонів більше, розплачуючись з посередниками. У майбутньому Північна Корея знайде спосіб уникнути подібних відходів.

У травні 2017 року спалах вірусу-вимагача WannaCry поширився зі швидкістю лісової пожежі, шифруючи файли жертв і стягуючи з них викуп у кілька сотень доларів у криптовалютах, щоб повернути свої дані. У Великобританії Національна служба охорони здоров’я зазнала особливо сильного удару; постраждали приймальні відділення, і термінові онкологічні призначення довелося відкласти.

Коли слідчі з Національного агентства по боротьбі зі злочинністю Великобританії вивчили код, вони виявили вражаючу схожість з вірусами, які використовувалися для злому банку Бангладеш і Sony Pictures Entertainment. Це показує, що кібер-армія Північної Кореї в даний час прийняла криптовалюту – життєво важливий крок вперед, оскільки ця високотехнологічна нова форма грошей в значній мірі обходить традиційну банківську систему – і, отже, може уникнути дорогих накладних витрат, таких як платежі посередникам.

WannaCry був тільки початком. У наступні роки північнокорейські хакери націлювалися на біржі, де криптовалюти обмінювалися на традиційні валюти. Всього розкрадання з цих бірж перевищують 2 млрд доларів. Також КНДР розгорнула шкідливе програмне забезпечення під назвою AppleJeus, яке є платформою для торгівлі криптовалютою для крадіжки коштів у людей, які намагаються його використовувати. З 2018 року різні версії шкідливого ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ використовувалися для цілей більш ніж 30 країн. За даними слідчих ООН і США, з 2019 року по листопад 2020 року хакери AppleJeus вкрали віртуальних активів на суму 316 мільйонів доларів. Для порівняння, експорт вугілля з Північної Кореї обмежений 400 мільйонами доларів на рік на тлі глобальних санкцій.

Уряд США переслідує передбачуваних північнокорейських агентів, подаючи кримінальні позови проти людей, які незаконно отримали конфіденційні дані від Sony Pictures Entertainment Inc. в 2014 році і вкрали 81 мільйон доларів з центрального банку Бангладеш в 2016 році (Північна Корея заперечує будь-яку причетність до цих хакерських атак).

Якщо звинувачення на адресу Північної Кореї правдиві, здається, що багато хто недооцінив технічні можливості країни і небезпеку, яку вона становить. Оскільки хакери Північної Кореї діють під егідою ізольованої держави і винагороджуються вдома за крадіжку за кордоном, мало що можна реально зробити, щоб покарати винних. Атаки у відповідь на веб-інфраструктуру країни обмежені, оскільки Північна Корея має мало підключених пристроїв, а її мобільна мережа передачі даних відрізана від решти світу. Це малює тривожну картину динаміки влади в нашому все більш взаємопов’язаному світі і нашої вразливості до того, що експерти з безпеки називають «асиметричною загрозою» – здатністю меншого супротивника застосовувати силу новими способами, що робить його набагато більшою загрозою.