Привет! Я Роман, копирайтер Сlevertec. На днях прочитал об ограблении банка в Бангладеш, которое похоже на голливудский блокбастер. Я провалился в англоязычные источники и перевел их на пацанский язык. Извиняюсь за радикальные упрощения, но так эта история, похожая на сюжет из GTA, станет только лучше.

Ночь, принтер, начало атаки

3 февраля 2016 года, четверг, вечер. Центральный банк Бангладеш закрылся и ушел на выходные. Но от банка уходили запросы на перевод денег на тридцать шесть счетов в разных странах. Ниже расскажу, как хакеры их подделали. Это интересно. 

У центрального банка деньги лежали не в Бангладеш, а на корреспондентском счете в Федеральном резерве Нью-Йорка. Списать их напрямую нельзя – нужен официальный сигнал через SWIFT.

4 февраля Федеральный резерв в Нью-Йорке начал переводить деньги по запросам. Но запросы еще почти на миллиард остановили случайно: в реквизитах встретилось слово Jupiter – такое же, как у компании и танкера из американского санкционного списка. Это совпадение вызвало подозрения, и переводы заморозили. 

В тот момент в углу офиса Бангладешского банка стоял принтер HP LaserJet. Он нужен, чтобы распечатывать записи о транзакциях SWIFT. Каждый день, в том числе и в выходные. Этот принтер автоматически распечатывает все поступающие транзакции. Бумажные распечатки – одна из мер безопасности. Сотрудники, которые дежурят,  проверяют транзакции в этих записях.

5 февраля 2016 года замдиректора пришёл в офис в Дакке около 10:30 утра, чтобы проверить свежие SWIFT-сообщения, которые обычно автоматически печатал принтер HP. Но принтер барахлил и выдавал пустые листы.

Сотрудник решил, что это обычная поломка, поручил заняться ею позже и ушёл с работы примерно через час.

Пятница в Бангладеш – выходной, и к полудню сотрудники банка разошлись. В субботу утром замдиректора снова попытался включить систему SWIFT, но программа не запускалась и выдавала ошибку «Файл отсутствует или изменён». Когда удалось восстановить работу, на печать вышли скрытые сообщения от Федерального резерва Нью-Йорка: «А что за куча платежных поручений на почти миллиард долларов?». Тогда сотрудники поняли, что произошло…

“Завербовали” принтер

Злоумышленники устроили подмену бумажных подтверждений, чтобы сотрудники банка ничего не заподозрили. 

Когда SWIFT генерировал подтверждающие сообщения, вредоносная программа перехватывала эти сообщения. Вредоносное ПО читало и анализировало их, затем конвертировало в промежуточный файл формата PRT – это файл выводился уже “готовым” текстом, но в языке команд принтера (PCL).

Для печати этих PRT-файлов использовался штатный исполняемый файл nroff.exe (легитимный компонент ПО SWIFT). Через него на принтер отправлялись поддельные распечатки – внешне похожие на нормальные подтверждения, но без упоминания мошеннических переводов.

После печати временные PRT-файлы удалялись, чтобы скрыть следы вмешательства. Принтер барахлил не просто так.   

Как подделали запросы

Еще за год до дня Х в Банк Бангладеш начали приходить фишинговые письма – zip-архив с резюме. Как минимум одно из них оказалось заражено. Так хакеры проникли в сеть. Они потратили время на изучение инфраструктуры: составили карту сети, закрепились в ней и разобрались, как через неё можно переводить деньги.

Дальше им было нужно найти в Банке Бангладеш компьютер с установленным SWIFT-терминалом, чтобы отправить запросы о переводе денег.

Хакеры искали этот компьютер-пульт – и нашли его. Вместо того чтобы ломать систему SWIFT как таковую, они сосредоточились на пользователях, работающих с терминалами. Наблюдали за их действиями, научились выдавать себя за легитимных операторов и отправлять запросы на транзакции, которые выглядели абсолютно реальными.

Их целью было украсть около миллиарда долларов, ВВП маленькой страны. Сумму решили разбить на десятки отдельных переводов, чтобы выглядело правдоподобно. Для этого и открыли 36 счетов. Из-за подозрений и блокировок реально удалось перевести около 81 млн. 

Отмывание через казино

Далее хакерам предстояло отмыть похищенные средства. Для этого они направили их напрямую в казино. Обычно игроки с крупными суммами не приносят чемоданы наличных, а переводят деньги прямо на счета казино – именно так поступили и хакеры.

К утру понедельника хакеры уже сидели за игровыми столами в Маниле – не лично, а через подставных людей. На счета двух местных казино пришли десятки миллионов долларов. Эти деньги мгновенно превратились в фишки. Казино не подпадали под филиппинский закон об отмывании доходов, и потому перевод таких сумм никого не смущал.

Схема была проста: деньги вносятся на счёт казино, превращаются в фишки, делаются формальные ставки – иногда пара партий в баккару (карточная игра) для вида. После этого фишки можно обменять обратно на наличные или перевести на другой счёт. В отчетах такие операции уже выглядели как честный выигрыш.

В общей сумме через казино прошло около 81 миллиона долларов. Позже следователям удалось вернуть примерно 15 миллионов – они осели на счетах одного из операторов, который согласился их отдать. А 66 миллионов исчезли. Часть растворилась в офшорных компаниях, часть – в системах китайских и филиппинских денежных посредников.

Международные спецслужбы пришли к выводу, что за операцией стояла северокорейская кибергруппа Lazarus. Еще ее связывают с вирусом WannaCry и атаками на криптобиржи.

Ключевые организаторы остались безнаказанными. 

Источники: 1, 2, 3, 4, 5.