Как северокорейские хакеры грабят банки по всему миру
Эти банкноты называют супердолларами. В их состав входят три четверти хлопковой и одна четверть льняной бумаги — сложная для производства комбинация. Каждая купюра обладает необходимыми красными и синими защитными волокнами. Защитная полоса находится именно там, где она должна быть, так же как и водяной знак. Тревожный взгляд Бена Франклина идеален и не позволяет заподозрить, что банкнота в $100 — подделка. Большинство систем для обнаружения фальшивых денег ее не заметят. Похоже, что работа над этим видом поддельных купюр велась десятилетиями. Многие связывают их с Северной Кореей, а некоторые даже возлагают личную ответственность на бывшего лидера страны Ким Чен Ира, ссылаясь на приказ, который он предположительно издал в 1970-х годах, только придя к власти. Он считал, что поддельные банкноты в $100 одновременно дадут северокорейскому режиму столь необходимую твердую валюту и подорвут целостность экономики США. Эгоистичное мошенничество было еще и попыткой дестабилизации. По данным Исследовательской службы Конгресса, на пике выпуска фальшивок правительство Северной Кореи получало не менее $15 млн в год. По слухам, купюры распространялись по всему миру стареющим ирландцем и отмывались в небольшом банке в Макао. Считается, что северокорейцы дополнили производство этих банкнот торговлей незаконными товарами: от опиатов и метамфетаминов до поддельной виагры и животных, находящихся под угрозой исчезновения. По оценкам Исследовательской службы Конгресса, в какой-то момент преступная деятельность приносила стране более $500 млн в год. В 2000-х годах США добились значительных успехов в пресечении нелегальных действий Северной Кореи, особенно выпуска фальшивых банкнот. Правоохранительная кампания, охватившая 130 стран, проникла в тайные круги торговцев людьми и обнаружила миллионы долларов на поддельных счетах. Власти даже устроили свадьбу на побережье в Атлантик-Сити, штат Нью-Джерси, чтобы заманить подозреваемых и арестовать их. Министерство финансов США также расширило свои полномочия по Закону о борьбе с терроризмом, наложив санкции на банк в Макао и заморозив его активы на $25 млн. Казалось, что широкомасштабная американская операция сработала. К 2008 году число поддельных купюр резко сократилось. Один агент ФБР, причастный к этой программе, сказал изданию Vice: «Если фальшивки перестали появляться, я бы рискнул предположить, что Северная Корея перестала их выпускать. Возможно, они нашли что-то еще, что легче подделать, после того как потеряли сеть для распространения супердолларов». Из-за давления американских следователей и редизайна банкноты в $100, проведенного в 2013 году, северокорейцы перешли к новым методам незаконного наполнения казны. Неудивительно, что одним из них стали хакерские атаки. Газета The New York Times сообщала, что руководство Северной Кореи отправляет перспективных молодых людей на обучение IT-специальностям в Китай и даже — в качестве дипломатов ООН — в США. После завершения учебы северокорейцы часто живут и проводят кибероперации за границей, обычно в Китае. Это дает им более стабильное подключение к интернету и позволяет более убедительно отрицать связи с северокорейским правительством, но в то же время держит их вне досягаемости правоохранительных органов США. Эти северокорейские хакеры систематически атакуют финансовые учреждения по всему миру. Их методы смелы, хотя и не всегда успешны. В наиболее прибыльных операциях они манипулируют тем, как крупные финансовые организации подключаются к международной банковской системе. Хакеры дублируют компоненты этой системы, заставляя учреждения думать, что являются законными пользователями, и переводят десятки миллионов долларов на свои счета. Они вмешиваются в файлы протокола и записи банковских транзакций, провоцируя поток сигналов тревоги и обновлений в международных финансовых учреждениях. Наиболее открыто и, возможно, случайно хакеры взломали сотни тысяч компьютеров по всему миру, пытаясь собрать ценные данные для последующих атак. Путем проб и ошибок они научились модифицировать и комбинировать свои приемы, чтобы проводить более эффективные операции. И эти попытки манипулировать мировой финансовой системой окупились. Хакерские кампании приносят огромные деньги: по оценкам ООН, всего Северная Корея заработала на них $2 млрд, что является большой суммой для страны, ВВП которой составляет всего около $28 млрд. Северная Корея продолжает разрабатывать ядерное оружие и межконтинентальные баллистические ракеты, и кибероперации помогают финансировать это. Масштаб операций огромен, по крайней мере, по сравнению с прошлыми незаконными акциями. Хакеры приносят гораздо большую прибыль, чем супердоллары. Но, как и в случае с поддельными купюрами, потенциальная ценность финансовых манипуляций для Северной Кореи выходит за рамки поиска денег. В случае успеха кибератаки также несколько подорвут целостность мировых рынков, так как удалят записи транзакций и исказят финансовые факты. Такая тактика заманчива для государственных органов, но несет огромный риск. В преддверии войны в Ираке The New York Times писала, что власти США рассмотрели вопрос об опустошении банковских счетов Саддама Хусейна, но решили не делать этого, опасаясь пересечь грань спонсируемого государством кибермошенничества и нанести ущерб американской экономике и глобальной стабильности. В 2014 году комиссия АНБ под руководством президента Барака Обамы заявила, что США должны взять на себя обязательство никогда не взламывать и не манипулировать финансовыми записями. Главный аргумент заключался в том, что это окажет крайне негативное влияние на доверие к глобальной экономической системе. Ограбление банка — ужасная идея. Это не только незаконно, но и не слишком выгодно. В США средний налет на банк приносит около $4 тысяч наличными, а средний преступник совершает всего три грабежа, прежде чем его поймают. Перспективы чуть лучше за рубежом, но не намного. Поразительно смелые преступления, такие как ограбление бразильского Центробанка в 2005 году, ради которого преступникам пришлось месяцами тайно рыть туннели, могут принести десятки миллионов долларов, но подавляющее большинство таких попыток заканчивается катастрофическими провалами. Северная Корея нашла более удачный способ грабить банки. Хакерам не нужно ломать железобетон и рыть туннели, им не нужно применять силу или угрозы. Вместо этого они просто обманывают компьютеры банка. Для этого они обращаются к главной для международного бизнеса системе, которая называется SWIFT (Society for Worldwide Interbank Financial Telecommunications, Общество всемирных межбанковских финансовых каналов связи). Она существует с 1970-х годов. 11 тысяч финансовых учреждений в более чем 200 странах обрабатывают десятки миллионов транзакций в день. Ежедневные переводы составляют триллионы долларов, что превышает годовой ВВП большинства стран. Многие финансовые учреждения обладают специальными учетными записями в программном обеспечении SWIFT, чтобы связываться с партнерами по всему миру. Отчеты специалистов по киберзащите из компаний BAE Systems и «Лаборатория Касперского», а также репортажи Wired, продемонстрировали, как северокорейцы использовали эти учетные записи. Центробанк Бангладеша хранит часть денег, которые используются для расчетов по международным сделкам, в Федеральном резервном банке Нью-Йорка. 4 февраля 2016 года бангладешский банк инициировал около трех десятков платежей. Согласно запросам на перевод, отправленным через систему SWIFT, банк хотел, чтобы часть его нью-йоркских денег на общую сумму почти в $1 млрд отправилась на счета в Шри-Ланке и на Филиппинах. Примерно в то же время в Центробанке Бангладеша перестал работать принтер. Это был обычный принтер HP LaserJet 400, расположенный в комнате без окон размером 12 на 8 футов. У этого устройства было одна очень важная задача: днем и ночью оно автоматически печатало физические записи SWIFT-транзакций банка. Когда сотрудники пришли утром 5 февраля, они ничего не нашли в выходном лотке принтера. Они попытались запустить печать вручную, но не смогли: терминал, подключенный к сети SWIFT, сгенерировал сообщение об ошибке, в котором говорилось, что файл отсутствует. Сотрудники не могли контролировать операции, которые совершались в их же банке. Бесшумный принтер был собакой, которая не лаяла, — верный признак, что что-то пошло совсем не так. Это был не обычный сбой. Это была кульминация северокорейской подготовки и агрессивности. Умный ход хакеров был направлен не на саму систему SWIFT, а на машину, через которую к ней подключались бангладешцы. Учетные записи Центробанка в SWIFT обладали огромной силой, включая способность проводить транзакции. Сосредоточившись на сети и пользователях банка, хакеры смогли получить доступ к этим учетным записям. Потребовалось время, чтобы выяснить, как бангладешцы подключились к SWIFT, и получить доступ к их данным. Хотя хакеры использовали сеть Центробанка и готовили операцию не один месяц, банк ничего не заподозрил. Отчасти это было связано с тем, что он не прилагал особых усилий. По данным Reuters, расследование, проведенное после взлома, выявило низкое качество систем безопасности, в том числе дешевое оборудование и недостаток программ для киберзащиты, что облегчило хакерам задачу. Получив доступ к учетной записи банка в SWIFT, они смогли инициировать транзакции, как любой авторизованный пользователь. Чтобы в дальнейшем избежать обнаружения, они написали вредоносный код, позволивший обойти внутренние проверки SWIFT. Хуже всего то, что они манипулировали журналами транзакций, затрудняя получение информации о том, куда ушли деньги банка, и ставя под сомнение достоверность журналов. Это был удар в самое сердце системы. Хакеры выключили принтер дополнительным вредоносным кодом, выиграв время, пока система обрабатывала их запросы на перевод. Таким образом, хакеры отправили запросы в Нью-Йорк, но никто в Бангладеше об этом не знал. Однако у сотрудников Федерального резервного банка Нью-Йорка возникли вопросы. Когда они заметили внезапную партию бангладешских транзакций, то подумали: странно, что многие из принимающих счетов принадлежат частным лицам, а не другим банкам. Часть переводов была приостановлена. Лишь после того, как бангладешцам удалось перезапустить компьютерные системы, они осознали всю серьезность ситуации. Отремонтированный принтер выдал записи о транзакциях, многие из которых сразу показались подозрительными. Но к тому времени, когда Центробанк Бангладеша обратился к коллегам из Нью-Йорка, было уже слишком поздно. Наступили выходные, и американцы разъехались по домам. Северокорейским хакерам либо очень повезло со сроками проведения операции, либо они на удивление хорошо ее спланировали. Бангладешским банкирам пришлось ждать, когда нью-йоркцы вернутся на работу. Понедельник принес как хорошие, так и плохие новости. Положительным моментом было то, что бдительные сотрудники банка в Нью-Йорке прервали большинство переводов на общую сумму более $850 млн. В их число входил запрос на перечисление $20 млн особо странному получателю — Shalika Fandation в Шри-Ланке. Похоже, хакеры хотели написать Shalika Foundation, хотя некоммерческой организации с таким названием не существует. Если эта опечатка помогла заподозрить мошенничество, она должна считаться одной из самых дорогих в истории, по крайней мере, для хакеров. Плохая новость заключалась в том, что четыре сделки были одобрены и $81 млн отправился в Rizal Bank на Филиппинах. Он, в свою очередь, уже успел отправить деньги на несколько счетов, связанных с казино. Кто-то, действуя как курьер, снял средства с этих счетов 5 и 9 февраля — и во второй раз уже после того, как бангладешцы предупредили Rizal Bank о мошенничестве. Из $81 млн, отправленных на счета Rizal Bank, остались только $68 356. Специалисты британской компании BAE Systems начали отслеживать хакеров и обнаружили несколько важных улик, которые указали на причастность северокорейцев к этому преступлению. Они связали часть кода, использованного для ограбления Центробанка Бангладеша, с более ранними операциями, в частности, с атакой 2014 года на Sony. Расследование пришло к однозначному выводу: не выходя из домов и офисов хакеры Северной Кореи манипулировали записями транзакций, использовали систему межбанковского доверия и осуществили одно из крупнейших ограблений банков в истории. Хотя операция в Бангладеше была примечательной, она оказалась лишь частью того, что в итоге было признано всемирной кампанией. Параллельной целью этой кампании был банк в Юго-Восточной Азии, название которого не разглашается. На этой второй операции хакеры выполнили ряд довольно хорошо организованных шагов. Похоже, что они изначально скомпрометировали свою цель через сервер, на котором размещался сайт банка. В декабре 2015 года они захватили другой сервер в этом банке. Он управлял программным обеспечением SWIFT, которое связывало банк с глобальной финансовой системой. В следующем месяце хакеры развернули дополнительные инструменты, чтобы начать перемещаться в целевой сети и размещать вредоносный код для взаимодействия с системой SWIFT. 29 января 2016 года они протестировали некоторые из этих инструментов. Примерно в то же время они выполняли аналогичные действия для операции в Бангладеше. 4 февраля, когда хакеры начали инициировать платежные запросы в Бангладеше, они также манипулировали программным обеспечением SWIFT в банке в Юго-Восточной Азии. Но, в отличие от операции в Бангладеше, они еще не проводили никаких мошеннических транзакций. Чуть более чем через три недели после этого хакеры приостановили операции во втором банке. О причинах этого решения известно мало. Даже после получения бангладешских денег хакеры продолжили концентрироваться на второй цели. В апреле они внедрили инструменты для кейлогинга в SWIFT-сервер банка, предположительно, чтобы получить дополнительные данные для самых важных учетных записей. Это было необходимо для кражи денег. Но к тому времени мир международного банкинга почувствовал опасность, отчасти благодаря расследованию BAE Systems. В мае SWIFT обновила системы безопасности — это было ответом на тревогу вокруг инцидента в Бангладеше и обеспокоенность по поводу целостности финансовой системы. Хакерам пришлось бы обойти эти улучшения, чтобы выполнить свою миссию. К июлю они начали тестировать новый вредоносный код для этой цели. В августе они снова внедрили его в SWIFT-сервер банка. Именно здесь северокорейцы столкнулись с удивительным фактом: банк в Юго-Восточной Азии был лучше подготовлен к атаке, чем Центробанк Бангладеша. В августе 2016 года, спустя более чем семь месяцев после того, как хакеры сделали первую запись, банк обнаружил нарушение. Они наняли «Лабораторию Касперского», чтобы провести расследование. Хакеры, понимая, что эксперты идут по горячим следам, начали быстро сворачивать операцию и удалять файлы, но пропустили некоторые из них. Эта ошибка позволила специалистам обнаружить, что большая часть вредоносного кода совпадает с тем, что использовался для атаки на Центробанк Бангладеша. Расследования BAE Systems и «Лаборатории Касперского» выявили контуры северокорейской кампании. В ее рамках планировались атаки не только на два этих банка. Примечательно, что в январе 2017 года северокорейцы скомпрометировали системы польского финансового регулятора и заставили его отправлять вредоносный код всем посетителям его сайта, многие из которых были финансовыми учреждениями. Северокорейцы заранее настроили этот вредоносный код на более чем сто организаций со всего мира, в первую очередь на банки и телекоммуникационные компании. В список целей вошли Всемирный банк, центральные банки из таких стран, как Бразилия, Чили и Мексика, и многие другие известные финансовые учреждения. Северокорейцы также не ограничивались поиском традиционных валют. Их кампания включала в себя ряд попыток украсть криптовалюты, в том числе биткоины, у ничего не подозревающих пользователей по всему миру. Они также нацелились на криптовалютные биржи, включая крупнейшую в Южной Корее Youbit. Из-за атаки она потеряла 17% финансовых активов, но отказалась указать, сколько это в абсолютном выражении. По оценке Group-IB, прибыль Северной Кореи от некоторых малоизвестных операций с криптовалютными биржами превысила $500 млн. Хотя подтвердить эту оценку или выяснить детали атак на биржи невозможно, предполагаемый размер потери показывает, как северокорейцы разграбили более мелкие финансовые учреждения. Специалисты по кибербезопасности достигли консенсуса: северокорейцы явно переориентировали некоторые из своих хакерских инструментов и инфраструктур с разрушительных действией на финансово выгодные и дестабилизирующие. Та же страна, которая совершила DoS-атаки против США в 2009 году, уничтожила компьютеры в крупных южнокорейских компаниях в 2013 году и нанесла удар по Sony в 2014 году, теперь занималась взломом финансовых организаций. Наиболее изолированный режим на планете продолжал вкладывать деньги в приобретение незаконного ядерного оружия и частично финансировал это с помощью хакерских атак. Это был еще один путь, на котором пересеклись государственные и кибероперации. Гораздо больше было впереди. Северокорейские хакеры явно справились с некоторыми ключевыми задачами, которые раньше им были не по зубам. Они научились получать доступ к компьютерным сетям банков по всему миру, разворачивая вредоносный код, проводя обширную разведку и оставаясь в значительной степени незамеченными. Они также выработали исключительное понимание системы SWIFT и того, как банки подключаются к ней, обновляя тактику и инструменты, чтобы не отставать от обновлений безопасности SWIFT и финансовых учреждений. Но у них была проблема: во многих случаях они совершали мошеннические транзакции, не имея возможности получить украденные средства. Банки иногда мешали выводу денег на самых последних этапах. Северокорейцам нужен был более удачный способ обналичивания. Летом 2018 года хакеры опробовали новую тактику. Операция началась с компрометации Cosmos Bank в Индии где-то в июне. Северокорейцы разобрались в работе банка и получили доступ к значительным частям его компьютерной инфраструктуры. Похоже, что к новой атаке они готовились в течение всего лета 2018 года. На этот раз они решили использовать для вывода денег банковские карточки и электронные переводы. Идея обналичивания через банкомат довольно проста: хакеры получают доступ к учетной записи клиента банка, а затем курьер снимает деньги с его счета в банкомате. Если это происходит не в присутствии банковского кассира и вообще не в отделении банка, вероятность ареста существенно снижается. Задача состояла в том, чтобы сделать дубликат карты и получить пин-код от нее. Но прежде чем северокорейцы начали действовать, американские спецслужбы заподозрили неладное. Все указывает на то, что правительство США не знало, какое именно финансовое учреждение скомпрометировали северокорейцы, и 10 августа ФБР направило всем банкам предупреждение. В нем бюро сообщило о возможном обналичивании денег через банкоматы из-за взлома мелких и средних банков. Подобные атаки следователи часто называют «неограниченными операциями» из-за возможности многократно снимать деньги. ФБР призвало банки проявить бдительность и усилить системы защиты. Это уже было неважно. 11 августа северокорейцы сделали свой ход. В окне, которое длилось немногим более двух часов, на работу вышли курьеры в 28 странах. Используя дубликаты банковских карточек, они снимали от $100 до $2500. В то время как предыдущие попытки Северной Кореи заканчивались неудачей из-за того, что крупные банковские переводы было трудно пропустить и легко отменить, эта схема позволяла действовать быстро, гибко и на большой территории. Всего им удалось украсть около $11 млн. Сразу возникает вопрос: как это получилось? Для каждого снятия денег им пришлось бы обманывать систему аутентификации банка. Даже если у них была кое-какая информация о каждом счете, крайне маловероятно, что им удалось получить пин-коды стольких людей. Без этих цифр каждая попытка аутентификации должна была оказаться неудачной. Сахер Наумаан и другие исследователи из BAE Systems выдвинули теорию, которая вполне соответствует имеющимся данным. Они предположили, что компрометация компьютерной инфраструктуры банка могла быть настолько ювелирной, что хакеры получили возможность манипулировать мошенническими запросами на аутентификацию. В результате, когда запрос на снятие средств направлялся через международную банковскую систему в Cosmos Bank, он, вероятно, сразу уходил в отдельную систему аутентификации, созданную хакерами. Эта система могла бы подтверждать запрос и обходить любые механизмы обнаружения мошенничества. Высокопоставленный сотрудник индийской полиции позже подтвердил это предположение в разговоре с Times of India. После успешного обналичивания денег хакеры вернулись к плану А. Два дня спустя они инициировали еще три перевода через систему SWIFT из Cosmos Bank в неизвестную компанию в Гонконге, получив еще около $2 млн. Компания ALM Trading Limited была создана и зарегистрирована всего за несколько месяцев до этого. Ее невзрачное имя и отсутствие в интернете очень затрудняет выяснение судьбы перечисленных ей денег, хотя похоже, что их получили северокорейцы. Эта операция подняла вопросы об аутентификации и доверии к финансовым транзакциям и показала, что тактика северокорейцев в отношении кражи и манипулирования финансовыми данными может иметь последствия, которые выходят за рамки получения денег. Будущие операции могут использовать этот потенциал для более прямой дестабилизации и, возможно, наводнят систему SWIFT мошенническими транзакциями, чтобы вызвать еще большие сомнения в ее целостности. Нет оснований думать, что северокорейская финансовая кампания прекратится. В течение многих лет ее отличительной чертой был код, который постоянно совершенствуется. Нехватку мастерства, по крайней мере, по сравнению с коллегами из АНБ, северокорейцы частично компенсируют агрессивностью и амбициями. Похоже, что они не слишком опасаются ответной реакции и приветствуют последствия разрушения тысяч компьютеров или изменения жизненно важных финансовых данных. Получая необходимые средства, они постепенно меняют геополитическое положение и улучшают свои позиции. Конечно, они терпят неудачи, но все же хакеры собирают огромные суммы для режима, при этом угрожая восприятию целостности глобальных финансовых систем. Дни супердолларов прошли, но Северная Корея соединила мошенничество и дестабилизацию еще раз. Источник.