ComenteazăOperațiunea care ar fi putut duce la unul dintre cele mai mari furturi bancare din istorie a început, aparent, cu o imprimantă defectă.
Nu orice imprimantă însă. Ea se afla într-o cameră securizată, la etajul zece al sediului Băncii centrale din Bagladesh, instituția însărcinată cu gestionarea prețioasei rezerve valutare a țării în care milioane de oameni trăiesc în sărăcie.
Rolul imprimantei era de a tipări documentele care înregistrau transferurile de milioane de dolari operate de bancă.
Când angajații băncii au observat că imprimanta nu funcționează, la 8.45, pe 5 februarie 2016, și-au închipuit că este vorba despre o defecțiune comună. De fapt, defecțiunea cu pricina era prima indicație a problemelor în care urma să se afle banca.
Hackerii se aflau deja în rețeaua de computere și chiar în acel moment încercau cel mai îndrăzneț atac informatic din istorie. Scopul lor: să sustragă un miliard de dolari.
Pentru a face acest lucru, hackerii aveau de gând să folosească conturi bancare false, asociații caritabile, cazinouri și o rețea de complici.
Dar cine erau acești hackeri? Potrivit anchetatorilor, indiciile digitale au arătat o singură direcție: guvernul Coreei de Nord.
Gruparea Lazarus
La prima vedere, Coreea de Nord – deconectată de restul lumii din punct de vedere economic și tehnologic – nu ar fi prima suspectă în cazul unui astfel de atac informatic.
Însă, potrivit FBI, tentativa de furt din Banca centrală din Bangladesh a fost totuși opera unei echipe de hackeri și intermediari din Asia, care operau cu susținerea guvernului nord-coreean.
În industria securității informatice, hackerii nord-coreeni sunt cunoscuți sub numele de Gruparea Lazarus, o referire la personajul biblic care s-a întors din morți.
Nu se știu prea multe despre acest grup, dar FBI-ul a făcut portretul unui suspect, cunoscut drept Park Jin-hyok (sau Pak Jin-hek sau Park Kwang-jin).
Omul este un programator care a absolvit una dintre universitățile importante ale țării și lucrează pentru compania nord-coreană Chosun Expo, din portul chinez Dalian, unde creează jocuri online și programe pentru jocuri de noroc.
În Dalian, el și-a făcut o adresă de e-mail, un CV și a folosit rețelele sociale pentru a construi o rețea de contacte. A rămas acolo, potrivit anchetatorilor, cu întreruperi, din 2002 până în 2013 sau 2014, când din activitatea sa de pe internet a rezultat că s-a mutat în Phenian.
FBI a dat publicității o fotografie cu Park Jin-hyok: nimic neobișnuit, un tânăr coreean de 20-30 de ani. Polițiștii federali au indicat însă faptul că el nu era doar programator, ci și un hacker abil.
În iunie 2018, autoritățile americane l-au pus sub acuzare pe Park, pe care îl suspectează de fraude informatice. Tânărul riscă 20 de ani de închisoare dacă este prins, un lucru deocamdată greu de crezut.
Park nu a devenit un infractor cibernetic peste noapte. El este unul dintre miile de tineri nord-coreeni atent instruiți de guvern încă din copilărie pentru a deveni hackeri.
Au dispărut banii!
Când angajații Băncii centrale din Bangladesh au repornit imprimanta, s-au trezit cu vești îngrijorătoare de la banca centrală din SUA – Rezerva Federală Americană, sau Fed, acolo unde Bangladesh își ține conturile în dolari.
Americanii primiseră instrucțiuni, aparent chiar de la Banca din Bangladesh, de a retrage toate rezervele valutare, adică în jur de un miliard de dolari.
Angajații băncii au încercat să îi contacteze pe americani, dar din cauza hackerilor, nu au reușit acest lucru în timp util.
Atacul informatic începuse pe 4 februarie, la ora 20.00, ora Bangladesh-ului. Dar în New York, era abia dimineață, ceea ce înseamnă că Fed avea suficient timp pentru a derula operațiunile cerute (de hackeri), în vreme ce oficialii din Bangladesh dormeau.
Vineri este începutul weekendului în Bangladesh, care durează de vineri până sâmbătă. Așa că sediul central al băncii, din Dhaka, începea o perioadă mai relaxată, de două zile. Când oficialii din Bangladesh au descoperit furtul, sâmbătă, la New York era deja weekend.
„A existat o eleganță a atacului”, spune pentru BBC Rakesh Asthana, un american expert în securitate informatică. „Au întârziat descoperirea întregii afaceri cu aproape trei zile”, observă el.
Hackerii au mai folosit o strategie pentru a câștiga timp. După ce au transferat banii din New York, i-au trimis în conturi deschise în Manila, capitala Filipinelor. Luni, pe 8 februarie, era prima zi a Noului An Lunar, o sărbătoare națională în întreaga Asie.
Folosind aceste diferențe de fus orar, hackerii au câștigat cinci zile pentru a scăpa cu banii furați.
Au și avut timp suficient pentru a plănui acest lucru, deoarece, așa cum a descoperit ancheta, ei intraseră în sistemul informatic al Băncii din Bangladesh de un an.
Cum au reușit? În ianuarie 2015, mai mulți angajați au primit un e-mail cu o aplicație de job, venită din partea unui om pe nume Rasel Ahlam, care atașase și un CV și o scrisoare de intenție.
Doar că Rasel nu exista, era doar un personaj virtual folosit de Gruparea Lazarus, potrivit FBI. Cel puțin un angajat al băncii a căzut în capcană însă, a descărcat documentele și și-a infectat computerul cu un virus.
Odată ce au intrat în sistemul informatic, hackerii și-au croit drum spre vistieria virtuală și miliardele de dolari aflate acolo.
Apoi, s-au oprit timp de aproape un an.
De ce nu au sustras banii imediat și au stat așa timp îndelungat, riscând să fie descoperiți? Anchetatorii spun că ei au avut nevoie de timp pentru a stabili căi pentru a șterge urma banilor.
Strada Jupiter din Manila
Pe strada Jupiter, din Manila, se află o sucursală a RCBC, una dintre cele mai mari bănci din țară. În mai 2015, la câteva luni după ce hackerii au accesat rețeaua Băncii centrale din Bangladesh, patru conturi au fost deschise aici de complici ai hackerilor.
Timp de luni, conturile au rămas inactive, conținând doar cei 500 de dolari depuși inițial. În februarie 2016, după ce au reușit să retragă banii din New York, hackerii erau însă gata să scape.
Motivul pentru care au intrat în sistemul informatic al imprimantei și au scos-o temporar din funcțiune era unul clar. Imprimanta ținea contul tuturor tranzacțiilor, astfel că urmele banilor ar fi putut fi imediat detectate.
La 20.36, joi, pe 4 februarie 2016, hackerii au început să facă transferurile – 35 în total, totalizând 951 de milioane de dolari, și erau aproape de a da lovitura secolului.
Un singur detaliu le-a dejucat însă planurile.
Când angajații băncii din Bangladesh au descoperit lipsa banilor, oficialii au intrat în acțiune. Guvernatorul îl cunoștea pe expertul în securitate informatică din SUA, Rakesh Asthana, așa că l-a contactat imediat. În acest timp, furtul banilor a fost ținut secret, nu doar în fața publicului, dar și a guvernului.
Rapid, a devenit clar însă că tranzacțiile nu puteau fi pur și simplu anulate. O parte din bani ajunseseră deja în Filipine, unde autoritățile le-au spus că au nevoie de un ordin judecătoresc pentru a-i revendica.
Când oficialii băncii au cerut un astfel de ordin în februarie, cazul a devenit public, iar povestea a explodat. Guvernatorului i s-a cerut demisia. „Nu l-am mai văzut niciodată”, spune Asthana.
Congresmena americană Carolyn Maloney, membră a Comisiei pentru Servicii Financiare, spune pentru BBC că își amintește perfect și azi momentul în care a aflat despre cazul furtului.
„Un incident îngrozitor, poate unul dintre cele mai îngrozitoare incidente văzute vreodată pe piețele financiare”, spune ea.
Maloney era în mod special îngrijorată de rolul jucat de Fed. „De obicei sunt foarte atenți. Cum de au făcut acele transferuri”, s-a întrebat ea?
Maloney a contactat Fed și angajații i-au explicat însă că cele mai multe transferuri au fost de fapt prevenite, mulțumită unui detaliu aparent nesemnificativ.
Sucursala băncii RCBC din Manila se afla pe strada Jupiter. Există sute de bănci în Manila pe care hackerii le-ar fi putut folosi, dar au ales-o pe aceasta, iar decizia i-a costat sute de milioane de dolari.
Tranzacțiile au fost oprite de banca americană deoarece adresa folosită în ordine includea cuvântul „Jupiter”, care este, de asemenea, numele unei companii navale aflate sub sancțiunile SUA, deoarece a fost folosită pentru a încălca embargoul impus Iranului, spune Maloney.
Simpla menționare a cuvântului „Jupiter” a fost suficientă pentru sistemele automate ale băncii. Plățile au fost revizuite și multe dintre ele, blocate. Doar cinci tranzacții au fost aprobate, în valoare de 101 milioane de dolari.
Din aceștia, 20 de milioane de dolari au fost transferați unei asociații caritabile din Sri Lanka, Shalika Foundation, folosită de complicii hackerilor pentru a ascunde urma banilor.
Fondatoarea acestei asociații, Shalika Perera, a spus că a crezut cu sinceritate că banii au fost o donație legitimă.
Și aici, un mic detaliu a dejucat planurile. Transferul a fost făcut pe numele greșit „Shalika Fundation” (fără o). Un angajat al băncii a depistat eroarea și a anulat tranzacția.
În cele din urmă, 81 de milioane de dolari au fost transferați. Nu chiar ce sperau hackerii, dar în orice caz, o lovitură dură pentru Bangladesh, o țară unde una din cinci persoane trăiește în sărăcie.
Jocuri de noroc
În momentul în care oficialii din Bangladesh au început eforturile de a recupera acești bani, hackerii erau deja avansați în goana lor de la locul faptei.
Pe 5 februarie, cele cinci conturi inactive ale băncii RCBC din Manila s-au trezit la viață. Banii au fost transferați între conturi, apoi schimbați în moneda locală. O parte dintre ei au fost retrași.
Chiar și așa, anchetatorii mai puteau încă depista urma banilor. Pentru ca banii să fie definitiv sustrași, ei ar fi trebuit să fie retrași complet din sistemul bancar. Exista un plan și pentru acest lucru.
Din cei 81 de milioane de dolari, 50 de milioane au fost depuse în conturile a două cazinouri din Filipine – Solaire și Midas.
Potrivit unei comisii senatoriale din Filipine, instituită pentru investigarea cazului, celelalte 31 de milioane au fost transferate unui cetățean chinez numit Xu Weikang, despre care se crede că a părăsit Manila cu un avion privat.
Ideea folosirii cazinourilor era de a ascunde urmele banilor. Odată ce banii urmau să fie convertiți în jetoane pentru jocurile de noroc, iar acestea folosite la mese și schimbate apoi iarăși în bani, ar fi fost aproape imposibil pentru anchetatori să le mai dea de urmă.
Riscul pierderii banilor la cazinouri era și el luat în calcul. De fapt, era aproape inexistent.
În primul rând, în loc să joace la mesele publice, hoții aveau de gând să folosească mese private, la care urmau să stea și complicii lor. Asta le-ar fi oferit un control asupra felului în care erau mizați banii.
Apoi, ei au folosit banii furați pentru a juca Baccarat, un joc foarte popular în Asia și totodată unul simplu. Un jucător abil care pariază poate recupera în jur de 90% din miză – un scenariu excelent pentru operațiunile de spălare de bani, care de obicei recuperează o proporție mai mică din suma investită.
Totuși, pentru a duce la bun sfârșit operațiunea, hoții și complicii lor aveau nevoie de timp, pentru a controla cu grijă toți jucătorii implicați și mizele lor. De aceea, timp de săptămâni, jucătorii au rămas în cazinourile din Manila, în tentativa lor de a spăla banii.
Oficialii băncii din Bangladesh avansau și ei cu ancheta și au ajuns la Manila, unde au întâmpinat o problemă.
La momentul respectiv, cazinourile filipineze nu erau acoperite de legile privind împiedicarea spălării banilor. Din punctul de vedere al cazinourilor, banii jucați fuseseră depuși de oameni care aveau tot dreptul să facă ce vor cu ei.
Responsabilii cazinoului Solaire au precizat că nu aveau idee că au parte de fonduri furate și că acum, cooperează cu autoritățile. Reprezentanții cazinoului Midas au refuzat să comenteze.
Totuși, oficialii băncii au reușit să recupereze 16 milioane de dolari din banii furați, de la unul dintre oamenii care a organizat operațiunea la cazinoul Midas. Restul banilor, 34 de milioane de dolari, erau tot mai aproape de a ajunge în Coreea de Nord.
Intermediar, pe ultima sută de metri, a fost Macao, un teritoriu chinez autonom, de asemenea un centru al jocurilor de noroc.
Legăturile Coreei de Nord cu Macao sunt vechi. Aici au spălat nord-coreenii, la începutul anilor 2000, dolari falși de o foarte bună calitate, tipăriți cel mai probabil la Phenian.
Tot aici a fost instruită spioana nord-coreeană care a detonat o bombă la bordul unui zbor Korean Air, în 1987, omorând 115 persoane. Și tot aici, fratele lui Kim Jong-un, Kim Jong-nam, a trăit în exil înainte de a fi asasinat în Malaysia.
Nu a fost de mirare că anchetatorii au descoperit aceste legături cu Macao și în cazul furtului. Mai mulți dintre oamenii care au organizat jocurile din Manila erau din Macao. La fel, două dintre companiile care au rezervat camerele private de joc.
Anchetatorii cred că cea mai mare parte a banilor furați au ajuns în cele din urmă pe acest teritoriu chinez, înainte de a fi transferați în Coreea de Nord.
O abilitate spectaculoasă pentru o țară atât de săracă
Coreea de Nord este una dintre cele mai sărace 12 țări de pe glob, cu un PIB de doar 1.700 de dolari pe cap de locuitor, mai mic decât cel al Afganistanului, spre exemplu.
Și totuși, se pare că țara a reușit să producă unii dintre cei mai sofisticați hackeri.
Dinastia Kim, aflată la putere la Phenian de decenii, a provocat constant comunitatea internațională cu testele rachetelor balistice și ale dispozitivelor nucleare.
Pentru a finanța programele militare, Phenianul a apelat la metode ilegale de toate felurile, inclusiv la fabricarea dolarilor falși.
Kim Jong-il, tatăl actualului lider, a decis, de asemenea, să adauge o dimensiune cibernetică acestei strategii, așa că a înființat Centrul Coreean de Computere, în 1990, care a rămas până azi baza operațiunilor IT ale țării. Kim Jong-un a continuat aceste eforturi.
Pentru a-și instrui hackerii, regimul își trimite cei mai talentați informaticieni peste hotare, în China. Acolo, ei învață cum se folosesc de fapt calculatoarele în restul lumii. Acolo sunt transformați din matematicieni de geniu în hackeri.
Se presupune că mulți dintre ei trăiesc și lucrează în avanposturi ale Coreei de Nord din China.
„Sunt foarte buni în ascunderea urmelor, dar câteodată, ca orice criminal, lasă în urmă unele dovezi. Și atunci putem să le identificăm adresele”, spune Kyung-jin Kim, fost oficial FBI din Coreea de Sud, care acum lucrează ca anchetator în sectorul privat de la Seul.
Aceste dovezi sunt cele care i-au condus pe anchetatori spre un hotel din Shenyang, China, numit Chilbosan, după un lanț muntos din Coreea de Nord.
Era bine-cunoscut în comunitatea serviciilor secrete că hackerii nord-coreeni operau din hotelul Chilbosan, în momentul în care au apărut pentru prima dată pe scena internațională, în 2014, spune Kyung-jin Kim.
În acest timp, în orașul chinez Dalian, unde suspectul Park Jin-hyok a lucrat vreme îndelungată, o comunitate de programatori trăia și lucra în condiții similare, potrivit lui Hyun-seung Lee, un nord coreean care a fugit din țară.
Orașul port de la Marea Galbenă adăpostea în jur de 500 de nord-coreeni pe vremea în care Hyun-seung Lee trăia acolo.
Dintre aceștia, în jur de 60 erau programatori, care trăiau în mici apartamente, care le serveau drept dormitoare și birouri în același timp.
În general, ei produceau jocuri pentru telefoanele mobile, care erau vândute apoi prin intermediari în Coreea de Sud și Japonia, cu un profit de aproximativ un milion de dolari pe an.
Erau supravegheați de serviciile secrete ale Phenianului, dar aveau totuși o viață mai liberă decât a cetățenilor care trăiau în Coreea de Nord.
După aproape opt ani petrecuți în Dalian, suspectul Park Jin-hyok ar fi vrut să se întoarcă acasă și să se căsătorească cu logodnica sa, potrivit FBI, care a reușit să îi intercepteze o serie de mesaje.
Însă superiorii săi aveau o sarcină importantă pentru el – un atac informatic asupra Sony Pictures Entertainment, din Los Angeles.
În 2013, Sony Pictures a anunțat că realizează un film cu Seth Rogen și James Franco, a cărui acțiune se petrecea în Coreea de Nord.
Filmul „Interviul” spune povestea unui moderator TV, jucat de Franco, și a producătorului său, Rogen, care merg în Coreea de Nord să îl intervieveze pe Kim Jong-un și sunt convinși de CIA să îl asasineze.
Phenianul a amenințat că se va răzbuna, dacă Sony Pictures va scoate filmul pe piață. Și s-a ținut de cuvânt.
Un atac informatic a dezvăluit publicului tot felul de informații secrete – salariile directorilor, mesaje interne și detalii despre filme care nu apăruseră încă. Activitatea companiei s-a blocat temporar, deoarece hackerii accesaseră rețeaua informatică.
Sony a încercat inițial să meargă mai departe cu filmul, dar planurile au fost anulate, când hackerii au amenințat cu violența fizică. Lanțurile de cinematografe au refuzat să difuzeze filmul, care a rulat în cele din urmă în doar unele cinematografe independente.
Atacul asupra Sony, scrie BBC, pare să fi fost doar o repetiție pentru marele jaf de la banca din Bangladesh.
Atacul WannaCry
Bangladesh încearcă încă să își recupereze restul banilor furați – în jur de 65 de milioane de dolari. Banca sa centrală a acționat în instanță zeci de persoane și instituții, inclusiv banca RCBC din Filipine, care spune că nu a încălcat vreo lege.
De atunci, hackerii nord-coreeni nu au stat degeaba.
În mai 2017, un masiv atac informatic de tip „ransomware” a afectat zeci de mii de companii și organizații din aproape 100 de țări, inclusiv România.
Calculatoarele au fost blocate de un virus numit „WannaCry”, care îi împiedica pe utilizatori să acceseze datele și programele.
Pentru a debloca calculatoarele, hackerii cereau bani, plătiți în criptomede – bitcoin, mai exact.
Oficialii britanici, în colaborare cu FBI, au analizat codul virusului și au ajuns la concluzia că există similarități evidente cu virușii folosiți în atacurile asupra Sony și a Băncii centrale din Bangladesh.
Dacă acuzațiile sunt corecte, asta arată că armata de hackeri a Phenianului a îmbrățișat și criptomonedele – un posibil ajutor pentru operațiunile sale ilegale, deoarece acestea scapă de constrângerile sistemului bancar tradițional.
WannaCry a fost doar începutul. În următorii ani, firmele de securitate au atribuit Coreei de Nord numeroase atacuri informatice care cereau criptomonede.
Investigatorii spun că hackerii nord-coreeni vizau firmele care schimbă criptomonede în valută tradițională. Adunate, furturile din aceste locuri ar totaliza în jur de două miliarde de dolari.
Dacă acuzațiile sunt corecte, scrie BBC, toate aceste operațiuni arată că mulți oameni au subestimat abilitățile tehnice ale Coreei de Nord. În același timp, ele dovedesc cât de vulnerabili putem fi într-o lume interconectată, în fața a ceea ce experții numesc „amenințări asimetrice”.