Útskýrt: Sagan af því hvernig tölvuþrjótar í Norður-Kóreu stálu 81 milljón dala frá Bangladesh banka
BBC hefur birt rannsóknarskýrslu þar sem greint er frá því hvernig árið 2016, norður-kóreskir tölvuþrjótar skipulögðu 1 milljarð dollara árás á landsbanka Bangladess og tókst næstum því. Svona gerðist það.
Farþegar fara fram hjá seðlabankabyggingu Bangladesh í Dhaka 8. mars 2016. (Reuters mynd: Ashikur Rahman, File) Í þessari viku birti BBC rannsóknarskýrslu sem lýsir því hvernig árið 2016, norður-kóreskir tölvuþrjótar skipulögðu 1 milljarð dollara árás á landsbanka Bangladess og tókst næstum algjörlega. Netránið sem varð þekkt sem bankaránið í Bangladesh sýndi hvernig tölvuþrjótar sigldu um alþjóðlegt bankakerfi og notuðu glufur í stjórnsýslunni til að framkvæma vel skipulagða árás til að flytja milljónir dollara. Það var einn stærsti netræningi heims.
Bankaránið í Bangladess: Hvernig ránið gerðist
Rannsókn BBC segir að árásin hafi átt sér stað á tímabilinu 4. til 7. febrúar 2016. Tímasetningin var vandlega skipulögð til að nýta tímamismuninn á milli Dhaka og New York borgar, og vinnutíma í báðum borgum, þar sem einnig helgi á mismunandi dögum rann upp á dag ránsins.
Tölvuþrjótarnir, sem bandarískar rannsóknarstofnanir telja að tengist Norður-Kóreu, notuðu sviksamlega pantanir á SWIFT-greiðslukerfinu til að stela 951 milljónum Bandaríkjadala, sem var næstum öllum peningunum á þeim reikningi, af seðlabankareikningi Bangladess. Tölvuþrjótarnir notuðu Seðlabankareikning í New York og tókst með góðum árangri að stela 81 milljón dala sem voru færð á reikninga hjá Rizal Commercial Banking Corporation í Manila.
Svo hvernig fóru tölvuþrjótarnir í raun inn í kerfi Bangladesh Bank?
Í frétt BBC er bent á venjulegan skrifstofuprentara sem er staðsettur inni í mjög öruggu herbergi á 10. hæð í aðalskrifstofu bankans í Dhaka sem var að sögn bilaður. Þessi prentari var sérstaklega notaður til að prenta viðskiptaskrár bankans að verðmæti milljóna dollara. Þann 5. febrúar 2016 komust starfsmenn banka að því að prentarinn virkaði ekki en hafði gert ráð fyrir að þetta væri tæknileg bilun, sem kom nokkuð oft fyrir.
Í frétt BBC segir að rannsóknir hafi síðar leitt í ljós að þessi bilaði prentari hafi verið fyrsta vísbendingin um að tölvuþrjótarnir hefðu brotist inn í tölvukerfi Bangladesh banka til að stela einum milljarði Bandaríkjadala. Þegar starfsmenn bankans endurræstu prentarann fengu þeir mjög áhyggjufullar fréttir. Út úr því voru brýn skilaboð frá Seðlabankanum í New York - Fed - þar sem Bangladess geymir reikning fyrir Bandaríkjadal. Seðlabankinn hafði fengið fyrirmæli, að því er virðist frá bankanum í Bangladesh, um að tæma allan reikninginn - nálægt milljarði dollara, segir í frétt BBC.
Starfsfólk bankans reyndi strax að hafa samband við Seðlabankann í New York til að fá frekari upplýsingar en komst ekki í gegn. Það var vegna þess að þegar tölvuþrjótarnir höfðu hafið vinnu sína 4. febrúar um 20:00 tíma að Bangladess tíma var morgunn í New York borg. Daginn eftir, 5. febrúar, var föstudagur, segir í skýrslunni, upphaf helgarinnar í Bangladesh, þegar höfuðstöðvar Bangladesh Bank í Dhaka er formlega lokað. Þegar innbrotið uppgötvaðist í Dhaka var helgin þegar hafin í New York borg þegar skrifstofur voru lokaðar.
Nákvæm skipulagning hakksins var augljós þegar rannsóknir leiddu í ljós að tölvuþrjótarnir völdu viljandi þessa tilteknu viku í febrúar 2016 til að framkvæma hakkið sitt. Sú helgi var einnig upphaf tunglnýárs í Austur- og Suðaustur-Asíu. Svo, þann 8. febrúar, mánudaginn, þegar peningarnir voru fluttir til banka í Manila, bar það saman við upphaf stórs þjóðhátíðar þar.
Með því að nýta sér tímamun milli Bangladesh, New York og Filippseyja höfðu tölvuþrjótarnir skipulagt skýran fimm daga hlaup til að koma peningunum í burtu, segir í frétt BBC.
Skýrslan kafaði einnig í því hvernig tölvuþrjótunum hafði tekist að komast í prentarann í öruggu herbergi Bangladesh Bank. Það gerðist næstum ári fyrir raunverulegt hakk, segir í skýrslunni. Þeir höfðu haft nægan tíma til að skipuleggja þetta allt, því það kemur í ljós að Lazarus Group hafði leynst inni í tölvukerfum Bangladesh Bank í eitt ár.
Í janúar 2015 hafði saklaus útlit tölvupóstur verið sendur til nokkurra starfsmanna banka Bangladesh. Það kom frá atvinnuleitanda sem kallaði sig Rasel Ahlam. Kurteisleg fyrirspurn hans innihélt boð um að hlaða niður ferilskrá hans og kynningarbréfi af vefsíðu. Í raun og veru var Rasel ekki til - hann var einfaldlega fornafn sem Lazarus Group notar, samkvæmt rannsakendum FBI, segir í skýrslunni.
Að minnsta kosti einn í bankanum féll fyrir bragðinu, hlaðið niður skjölunum og smitaðist af vírusunum sem voru faldir inni. Þegar komið var inn í kerfi bankans, byrjaði Lazarus Group að hoppa laumulega frá tölvu yfir í tölvu og vinna sig í átt að stafrænu hvelfingunum og milljörðum dollara sem þær innihéldu.
Raunveruleg tæming á reikningunum átti sér stað aðeins ári síðar, segir í skýrslunni, vegna þess að tölvuþrjótarnir voru að stilla upp næstu stigum og skipuleggja hvernig ætti að fjarlægja peningana á þann hátt að ekki væri hægt að ná þeim.
Rannsókn BBC reyndi að raða saman atburðarrásinni eftir að peningarnir voru sendir til Manila banka og rétt áður en þeir voru teknir út. Útibú RCBC banka í Manila sem tölvuþrjótarnir reyndu að flytja 951 milljón dala til var í Jupiter Street. Það eru hundruðir banka í Manila sem tölvuþrjótarnir gætu hafa notað, en þeir völdu þennan - og ákvörðunin kostaði þá hundruð milljóna dollara, segir í rannsókn BBC.
Viðskiptin...var stöðvuð hjá Fed vegna þess að heimilisfangið sem notað var í einni af pöntununum innihélt orðið „Júpíter“, sem er einnig nafn á írönsku skipaskipi sem hefur verið refsað.
Þetta leiddi til sjálfvirkrar endurskoðunar á greiðslumiðlum sem voru stöðvaðar vegna álagðra viðurlaga. En rannsókn BBC útskýrir að ekki hafi allar millifærslur verið stöðvaðar sjálfkrafa: Fimm viðskipti, að andvirði 1 milljón, fóru yfir þessa hindrun. Tölvuþrjótarnir hefðu haft aðgang að allri 101 milljón dollara, það var ekki lítil upphæð, jafnvel þótt það væri ekki það sem þeir höfðu upphaflega áætlað.
Eins og rannsóknin útskýrir, af 101 milljón dala, voru 20 milljónir dala færðar til góðgerðarmála á Sri Lanka sem heitir Shalika Foundation, sem hafði verið stillt upp af vitorðsmönnum tölvuþrjótanna sem eina leið fyrir stolnu peningana. En þessi flutningur var líka stöðvaður vegna þess að tölvuþrjótarnir höfðu óvart gert stafsetningarvillu - þeir stafsettu Foundation sem Fundation - þegar þeir fylltu út nafn góðgerðarstofnunarinnar á Sri Lanka. Það þýðir að tölvuþrjótunum tókst aðeins að flytja 81 milljón dala.
Fréttabréf| Smelltu til að fá bestu útskýringar dagsins í pósthólfið þitt
Tilraunir Bangladesh Bank til að sækja
Jafnvel fyrir rannsókn BBC, árið 2019, höfðu rannsóknarstofnanir staðfest að peningarnir voru fjarlægðir úr Manila-bönkunum, eftir það hvarf þeir inn í spilavítisiðnaðinn á Filippseyjum. Í skýrslunni er kafað í flókið ferli peningaþvættis sem tölvuþrjótarnir notuðu til að rjúfa rekjanleikakeðjuna, en áfangastaðurinn var spilavítin í Manila.
Hugmyndin um að nota spilavíti var að rjúfa rekjanleikakeðjuna. Þegar stolnu peningunum hafði verið breytt í spilavítispeninga, teflt yfir borðin og breytt aftur í reiðufé, væri nánast ómögulegt fyrir rannsakendur að rekja þá, segir í skýrslunni.
Banki Bangladesh hafði gert sér grein fyrir því nokkrum klukkustundum eftir að peningunum var stolið að hið mikla rán hafði átt sér stað og byrjaði að gera ráðstafanir til að ná þeim, ferli sem átti eftir að verða mjög krefjandi.
Þeim tókst að rekja peningana til spilavíta í Manila og tókst að endurheimta 16 milljónir dollara frá einum manni, segir í frétt BBC. En hinar 34 milljónir dala sem eftir voru voru samt að hverfa hratt. Rannsakendur komust að því að stór hluti peninganna sem eftir var var sendur til Macau, annars fjárhættuspilastöðvar, þaðan sem það var flutt til Norður-Kóreu. Rannsakendur komust að því að flestir tölvuþrjótanna sem tóku þátt í netráninu og öðrum svipuðum aðgerðum sem Bandaríkin líta á sem netglæpi, voru staðsettir í kínverskum landamærabæjum nálægt landamærum Kína og Norður-Kóreu.
Að sækja peningana
Árið 2018 lagði FBI fram sakamálakæru þar sem Park Jin Hyok, norður-kóreskur ríkisborgari, var ákærður fyrir aðild hans að samsæri um að framkvæma margar eyðileggjandi netárásir um allan heim sem leiddu til skemmda á gríðarlegu magni af tölvubúnaði og miklu tapi á gögnum, peningar og aðrar auðlindir, samkvæmt opinberum skjölum sem bandaríska dómsmálaráðuneytið gefur út.
Í kvörtuninni var Park sakaður um að vinna fyrir stjórnvöld í Norður-Kóreu og um að taka þátt í illgjarnri starfsemi sem felur í sér að búa til spilliforrit sem notað var í 2017 WannaCry 2.0 alþjóðlegu lausnarhugbúnaðarárásinni; 2016 þjófnaði milljón frá Bangladesh Bank; árásin 2014 á Sony Pictures Entertainment (SPE); og fjölmargar aðrar árásir eða afskipti af afþreyingar-, fjármálaþjónustu-, varnar-, tækni- og sýndargjaldeyrisiðnaði, háskóla og rafveitum.
Á þeim tíma hafði Tracy Wilkison, fyrsti aðstoðarlögmaður Bandaríkjanna, sagt að kvörtunin sakaði meðlimi þessa samsæris sem byggir á Norður-Kóreu fyrir að vera ábyrgir fyrir netárásum sem ollu fordæmalausu efnahagslegu tjóni og truflunum á fyrirtækjum í Bandaríkjunum og um allan heim.
Árið 2019 höfðaði Bangladesh mál fyrir bandarískum dómstóli gegn Rizal Commercial Banking Corp (RCBC) vegna meints hlutverks Filippseyja bankans í stærsta netráninu. RCBC höfðaði gagnmál gegn Bangladesh banka þar sem hann hélt því fram að orðspor hans hefði orðið fyrir viðvarandi grimmilegri og opinberri árás bankans og krefst að minnsta kosti 1,9 milljóna dollara í skaðabætur. Seðlabanki New York hét því að aðstoða Bangladesh við að ná peningunum en það ferli er í gangi með litlum árangri.
Nokkrum dögum eftir að ránið átti sér stað bað þáverandi fjármálaráðherra Bangladess, A.M.A. Muhith, Atiur Rahman, sem hafði verið bankastjóri Bangladess banka undir hans eftirliti ránsins, að segja af sér. Netránið hafði skammað stjórnvöld í Bangladess gríðarlega.
Bangladess og Norður-Kórea eiga í tvíhliða samskiptum og Norður-Kórea er með sendiráð í Dhaka. Sendiráð Bangaldesh í Kína er fulltrúi landsins í Peking og í Pyongyang.
Deildu Með Vinum Þínum:
