Как Северная Корея осуществила крупнейшее ограбление банка в истории. Истории со всего мира

Когда мы говорим об ограблении банка, большинство из нас думает о людях, которые на самом деле грабят банк, или о команде, ведущей туннель в хранилище, но сегодня это не обязательно единственный способ совершить ограбление.
Ещё в 2016 году загадочная организация под названием Lazarus Group начала кибератаку против центрального банка Бангладеш, The Bangladesh Bank. В этой атаке группа Lazarus была близка к тому, чтобы украсть около миллиарда долларов!
Кто стоит за группой Lazarus и как это возможно, что им это удалось?
пины, май 2015 г.
Четверо мужчин входят в филиал Jupiter банка RCBC в Маниле, столице Филиппин. Каждый из них открывает банковский счет с депозитом в 500 долларов, после чего счета бездействуют в течение нескольких месяцев.
Дакка, январь 2016 г.
Сотрудник Бангладешского банка проверил свою электронную почту на работе, после этого он идет домой, ни о чем не подозревая, но он только что запустил события, которые потрясли финансовый мир.
Оказалось, что сотрудник случайно нажал на зараженное письмо, которое сразу же начало устанавливать вредоносное ПО в компьютерные системы банка. Эта программа позволила злоумышленникам получить доступ к их сети и внутренним механизмам банка. Эти злоумышленники теперь шпионили за сотрудниками и изучали операции банков.
7 Февраля 2016г., Четверг
Месяц спустя банк собирались закрыть на выходные, которые в странах с мусульманским большинством обычно приходятся на пятницу и субботу. После закрытия банка хакеры приготовились к действиям.
SWIFT, безопасная межбанковская система связи военного уровня, предназначена для облегчения расчётов между банками. SWIFT фактически не отправляет платеж, но обрабатывает платёжные поручения между счетами, которые затем обрабатываются другими банками. Эта система считается безопасной и надёжной, но, поскольку хакеры смогли украсть данные для входа в банк из-за отсутствия кибербезопасности, теперь они могут манипулировать SWIFT на своей стороне.
Хакеры отправили 35 запросов на перевод в Федеральный резервный банк Нью-Йорка на общую сумму 951 миллион долларов! Детали этого запроса просили Федеральный резервный банк перевести средства из Нью-Йорка на различные счета в Азии.

Но почему Нью-Йорк?
Ну, у Бангладешского банка есть резервный счёт в иностранной валюте с миллиардами долларов для международных расчётов.
На следующий день, пятница, Нью-Йорк
Федеральный резервный банк в Нью-Йорке начинает обработку заказов SWIFT от Бангладешского банка, не имея оснований полагать, что с этими запросами что-то не так.
Воскресное утро, Дакка
Сотрудники Бангладешского банка, вернувшиеся с выходных, пытаются решить проблему с одним из своих принтеров. Этот принтер подключен к сети SWIFT и должен автоматически распечатывать все подтверждения перевода.
Сотрудники банка считают, что это сбой, но это далеко не так. Хакеры сделали это намеренно, в надежде, что это задержит обнаружение банком их средств. Хакеры удалили улики из быстрой сети, а затем сломали принтер. Это дало им дополнительное время.
Банк ремонтирует принтер и начинает просматривать все отложенные подтверждения переводов, и они начинают обнаруживать, что произошло что-то очень плохое. Персонал начинает паниковать, когда понимает, что было сделано запросов почти на миллиард долларов!
Они немедленно отправляют приказы об остановке платежа в Федеральный резервный банк в Нью-Йорке, но сейчас воскресенье, и там некому ответить. К тому времени, когда в понедельник вернётся персонал, будет уже слишком поздно.
Утро понедельника, Нью-Йорк
Но Бангладеш Банку не повезло: 30 из 35 запросов были автоматически помечены для рассмотрения банком Нью-Йорка. Оказывается, одно из слов в заказе SWIFT совпало с названием иранской судоходной компании, внесенной в черный список правительством США. Это было чистое совпадение.
Когда сотрудники просмотрели заказы, они начали замечать несколько красных флажков. Большой объем переводов, тот факт, что они были отправлены частным лицам, а не банкам, и высокая сумма почти в миллиард долларов. Они связались с Бангладешским банком за разъяснениями, и, получив сообщение об их стоп-платежных поручениях, нью-йоркский банк отменяет переводы.
Это было разрушительным для хакеров, поскольку переводы на сумму 872 миллиона долларов были заблокированы, и взлом был обнаружен.
Но это еще не всё, осталось 5 трансферов из 35. Оставшиеся 101 миллион долларов прошли незамеченными!
Один перевод на сумму 20 миллионов долларов попадает в шри-ланкийский банк через Deutsche Bank на счёт некоммерческой НПО Shalika Fandation. Двадцать миллионов долларов были необычно высокой суммой для небольшой НПО, и сотрудник отменил транзакцию и отправил ее обратно в банк  Германии для проверки.
Deutsche Bank также находит тревожные сигналы, особенно в том, что выглядит как опечатка в названии НПО, fandation вместо фонда. Конечно, неудивительно, оказывается, что эта НПО полностью поддельная, и они отправляют деньги обратно на счет в Нью-Йорке.
А теперь их было четыре.
Остальные четыре стоимостью 81 миллион долларов попадают на счета банка RCBC в Маниле, о котором я упоминал ранее. Эти переводы, сделанные физическим лицам, обязательно должны были вызвать предупреждение, но по какой-то причине этого не происходит. Деньги быстро снимаются и отмываются через казино, где их обменивают на наличные, по которым невозможно отследить.
Банк Бангладеш попытался остановить это, но снова время было не на их стороне. Стоп-ордер не был получен, потому что банк был закрыт на китайский Новый год. Вы, наверное, заметили закономерность, на каждом этапе пути были задержки, которые помогли хакерам достичь своих целей, и это было намеренно!
Вторник, Манила, Филиппины
Сотрудники RCBC Bank возвращаются к работе и узнают о мошеннических переводах, но сейчас уже слишком поздно, а денег уже давно нет. Позже были обнаружены двое китайцев, которые создали несколько поддельных счетов в банке.
Они были просто посредниками, но полиция надеялась, что, допросив их, они смогут узнать больше об операции. Но прежде чем власти Бангладеш смогли их задержать, они вылетели рейсом в Макао, специальный административный район Китая, где теперь их невозможно было отследить.
Теперь хакеры завершили ограбление, которое принесло им 81 миллион долларов, не совсем тот миллиард, на который они надеялись, но это все еще самое крупное ограбление банка в истории!
...итики по кибербезопасности теперь просматривали системы Бангладешского банка, чтобы увидеть, не оставили ли хакеры каких-либо улик на компьютерах. Они всё ещё могли ...изировать вредоносное ПО, которое использовали хакеры, и из этого они смогли узнать, что эта атака очень похожа на другие атаки на финансовые учреждения по всему миру. Скорее всего, именно эта хакерская группа несёт ответственность за все эти атаки, в том числе и на банк Бангладеш.
Эта группа была известна как Lazarus, группа подозреваемых северокорейских хакеров.
Продолжая поиск, следователи нашли IP-адрес одного из хакеров, который указывал, что они находятся в Северной Корее! А позже они обнаружили, что корейский язык встроен в вредоносный код, что подтверждает идею о том, что за этим может стоять тоталитарное государство.
Могли подставить Северную Корею?
Конечно, но были и другие улики, которые намекали, что это может быть Северная Корея.
Деньги были переведены в Макао, который известен как финансовые ворота Северной Кореи во внешний мир. Отсюда перевод средств напрямую в Северную Корею не составит труда.                                                                                  
Зачем Северной Кореи это делать?
Что ж, санкции против страны подорвали их экономику, и режим Северной Кореи отчаянно нуждается в иностранных средствах для поддержки своей экономики. Также есть подозрения, что эти средства могли быть использованы для разработки ядерного оружия, и это, конечно, не первый раз, когда страну подозревают в чём-то подобном.
Если бы однажды это было вне всяких сомнений доказано, то это был бы первый случай спонсируемого государством взлома иностранного банка!
И это заставляет меня задуматься, на что еще могла быть способна Северная Корея?