Эксперты рассказали о попытке Lazarus Group похитить $1 млрд у Центробанка Бангладеш

В 2016 году северокорейские хакеры из Lazarus Group организовали атаку на национальный банк Бангладеш с целью украсть $1 млрд и оказались на грани успеха. Только по счастливой случайности все переводы, кроме транзакции на $81 млн, были остановлены.

По данным канала BBC, инцидент начался со сбоя в работе офисного принтера, который и сыграл решающую роль в атаке. Устройство находилось в охраняемой комнате на 10-м этаже главного офиса банка в Дакке, столице страны. Его задача заключалась в распечатывании записей о многомиллионных переводах, поступающих в банк и исходящих из него.

Сотрудники банка перезагрузили принтер и получили очень тревожные новости. Устройство напечатало срочные сообщения от Федеральной резервной системы (Federal Reserve System, FED) Нью-Йорка, где Бангладеш держит счет в долларах США. FED получила инструкции от Центробанка Бангладеш об опустошении всего счета — около миллиарда долларов.

Работники банка пытались обратиться к FED за разъяснениями, но, благодаря очень тщательному расчету хакеров, им это не удалось. Взлом начался около 20:00 по бангладешскому времени в четверг, 4 февраля. Но в Нью-Йорке было утро четверга, что дало FED достаточно времени для выполнения указаний хакеров, пока сотрудники Центробанка Бангладеша спали.

На следующий день, в пятницу, в Бангладеш начались выходные — с пятницы по субботу. А когда в Бангладеш начали расследовать кражу в субботу, в Нью-Йорке уже были свои выходные. С целью выиграть еще больше времени, хакеры перевели деньги из FED на счета в Маниле, столице Филиппин. А в 2016 году понедельник 8 февраля был первым днем ​​Лунного Нового года, национального праздника в Азии. Используя разницу во времени между Бангладеш, Нью-Йорком и Филиппинами, хакеры разработали точную пятидневную атаку.

Lazarus Group скрывалась в системах банка в течение года. В январе 2015 года нескольким сотрудникам Бангладешского банка было отправлено безобидное на вид электронное письмо от соискателя по имени Расел Ахлам, предлагавшее загрузить резюме Ахлама и сопроводительное письмо с web-сайта. Как минимум один сотрудник банка попался на уловку, скачал документы и установил на систему вредоносное ПО. Оказавшись в сети банка, Lazarus Group начала незаметно перемещаться по сети к цифровым хранилищам и миллиардам долларов. Вскоре хакеры получили доступ к ключевой части системы национального банка Бангладеш — Swift.

Вскоре должностным лицам банка стало ясно, что часть денег уже поступила на счета в Филиппинах, где власти потребовали постановление суда для осуществления возврата средств. Однако сотрудникам FED удалось предотвратить большинство переводов преступников. Отделение банка RCBC в Маниле, куда хакеры пытались перевести $951 млн, находилось на Jupiter Street.

«Транзакции были отклонены в FED, потому что используемый хакерами адрес содержал слово Jupiter, которое также является названием находящегося под санкциями иранского судоходного судна», — пояснили эксперты.

Одного упоминания слова Jupiter было достаточно, чтобы вызвать тревогу в автоматизированных компьютерных системах FED. Выплаты были пересмотрены, и большинство из них остановлены. Тем не менее, пять транзакций на сумму $101 млн все же прошли проверку.

Из них $20 млн были переведены в благотворительную организацию Шри-Ланки Shalika Foundation, которую сообщники хакеров использовали в качестве одного из каналов для вывоза украденных денег. Для следующего этапа операции по отмыванию денег воры использовали отель Solaire в Маниле. Из $81 млн денег, $50 млн были депонированы на счетах в казино Solaire и Midas. После того, как украденные деньги будут конвертированы в фишки казино, разыграны за столами и обменены обратно на наличные, следователям будет практически невозможно их отследить. В течение нескольких недель игроки сидели в казино Манилы и отмывали деньги. Сотрудникам банка удалось вернуть лишь $16 млн украденных денег у одного из организаторов азартных игр в казино Midas.

По мере того, как деньги, украденные из Центробанка Бангладеш, отмывались через Филиппины, начали появляться многочисленные связи со специальным административным районом КитаяМакао. Некоторые из мужчин, организовавших азартные игры в Solaire, были прослежены до Макао. Две компании, забронировавшие частные игорные комнаты, также находились в Макао. Следователи полагают, что большая часть украденных денег отправилась на эту небольшую китайскую территорию, а затем была перенаправлена в Северную Корею.