داستان سرقت بانک مرکزی بنگلادش با کمک های خارجی — داستان سرقت از بانک مرکزی بنگلادش با کمک های خارجی

داستان عجیب سرقت از بانک مرکزی بنگلادش

در ۲۶ تیر ۱۴۰۰ 0

به گزارش گلونی فرید یکی از کاربران توییتر درباره داستان سرقت بانک مرکزی بنگلادش در اکانت خود نوشت:

همه چیز از خراب شدن یک پرینتر شروع شد. اتفاقی که شاید برای همه پیش بیاد و معمولا با چند تا ضربه دست درستش می‌کنیم. اما این پرینتر فرق می‌کرد. این دستگاه در طبقه دهم بانک مرکزی بنگلادش قرار داشت و کارش چاپ کردن تراکنش‌های چند میلیون دلاری بود.

گروه لازاروس و داستان سرقت بانک مرکزی بنگلادش

وقتی کارکنان بانک در ساعت ۸:۴۵ دقیقه‌ جمعه صبح در فوریه سال ۲۰۱۶ متوجه این مشکل شدن، حدس زدن که شاید یه مورد عادی باشه. پرینتر در واقع در امن‌ترین اتاق در کشور بنگلادش قرار داشت اما با یه کم پیگیری، شوکه شدن. فهمیدند که هکرها به کل شبکه‌ بانکی نفوذ کردن و در حال پول جابه‌جا کردن هستن.

هدف، دزدیدن یک میلیارد دلار پول بود. وقتی پرینتر رو ریبوت کردن، خبر ناخوشایندی شنیدن: «بانک فدرال رزرو در نیویورک، که بنگلادش اونجا حساب دلاری داره، بهشون پیغام داده بود که از جانب شما درخواست جابه‌جایی کل حساب، حدود ۱ میلیارد دلار، شده.»

کارکنان بانک مرکزی بنگلادش سعی کردن با این بانک نیویورکی برای گرفتن تاییدیه تماس بگیرن اما به خاطر زمان‌بندی دقیق سرقت موفق به انجام این کار نشدن. هک حساب‌های بانک از دیشب، پنجشنبه ساعت ۸ شب به وقت بنگلادش، شروع شده بود در حالی که در نیویورک صبح بود.

از این رو بانک نیویورکی ناخواسته زمانی که بنگلادشی‌ها خواب بودن کار انتقال تراکنش رو برای سارقین انجام داده بود. روز بعد، یعنی جمعه، روز تعطیلی در بنگلادش هست و طبیعتا بانک تعطیله. روز شنبه که بنگلادشی‌ها خواستن یه کاری انجام بدن، نیویورک تعطیل کرده بود تا دوشنبه.

انتخاب پنجشنبه شب برای انجام این سرقت بسیار دقیق بود. این رو در نظر داشتن که روز بعد جمعه ا‌ست و بنگلادش تعطیله و دو روز بعدش نیویورک تعطیله. این‌طوری خواستن اختلال بندازن در پروسه‌ اداری. البته فکر بعد از یکشنبه رو هم کرده بودن تا روزای تعطیلی بیشتری بخرن.

پروسه بدین شکل بود که پس از بیرون آوردن پول از بانک نیویورکی، اون رو می‌بایست به جایی بفرستن. برای این کار مانیل، پایتخت فیلیپین رو انتخاب کردن. روز دوشنبه ۸ فوریه در اغلب کشورهای آسیایی آغاز سال قمری بود و بنابراین همه تعطیل بودن.

با جابه‌جا کردن پول از بنگلادش به نیویورک، سپس از نیویورک به فیلیپین، سارق‌ها خیلی دقیق ۵ روز رو برای خودشون در نظر گرفته بودن که بتونن کار نقل و انتقال پول رو انجام بدن. هکرها حدود یک‌سال روی این مراحل فکر و کار کرده بودن و بسیار منظم قدم به قدم به پیش می‌رفتن.

ماجرا از ژانویه سال ۲۰۱۵ شروع شد. یعنی یک‌سال قبل از هک بانک. اعضای این گروه هکری ایمیلی رو با اسم راسل احلام برای کارمندای بانک ارسال کردن که حاوی رزومه بود و خیلی مودبانه نوشته شده بود. تو ایمیل به کارمندای بانک نوشته بود که ممنونم اگر رزومه‌ من رو دانلود کنید.

دانلود کردن رزومه همان و نفوذ به بانک همان. هکرها با حربه‌ فیشینگ به بانک نفوذ کردن. در مدت خیلی کوتاهی کنترل تک به تک کامپیوترها و سرورهای بانک رو در دسترس گرفتن. دسترسی به میلیون‌ها دلار پول و صندوق‌ها در نوک انگشتان این گروه بود. اما تا یک‌سال کاری انجام ندادن.

اما چرا یک‌‌سال منتظر موندن وقتی به همه چیز دسترسی داشتن؟ طی این یک‌سال در حال برنامه‌ریزی برای طراحی مسیرهای فرار بودن. مسیرهایی که حساسیت برانگیز نباشه و بتونن راحت پول رو انتقال بدن. برای اینکار در مانیل، پایتخت فیلیپین در خیابانی به اسم Jupiter یک بانک خسته رو انتخاب کردن.

چند ماه پس از نفوذ به بانک، چهار حساب بانکی ان‌جا ایجاد کردن و در هر کدوم ۵۰۰ دلار ریختن. حساب‌ها تراکنشی نداشت و برای روز مبادا گذاشته بودن. اطلاعاتی که باهاش حساب‌ها باز شده بودن همگی فیک بود و مشخص شد همگی با یک گواهینامه‌ رانندگی فیک ایجاد شدن. هرچند که مهم نبود.

در فوریه سال ۲۰۱۶ همه چی آماده بود برای انجام هک و فقط یک مانع وجود داشت: پرینتر واقع در طبقه دهم بانک. این پرینتر کارش چاپ تراکنش‌های چند میلیون دلاری بود. انگار یک متصدی داشته که تراکنش‌ها رو بازبینی می‌کرده و اگر رقم حساسی رو می‌دید گزارش می‌داد. باید این پرینتر رو خاموش می‌کردن.

خاموش نکردنش کل پروژه‌ سرقت رو به خطر می‌انداخت. با دسترسی وسیعی که به نرم افزار بانک داشتن، به پرینتر نفوذ کردن و از کار انداختنش. پرینتر خاموش شد و شروع کردن به جابه‌جایی پول. هکرها ۳۵ تراکنش انجام دادن که حدود ۹۵۱ میلیون دلار می‌شد. این مبلغ تقریبا کلا پول بنگلادش در نیویورک بود.

پس از خاموش کردن پرینتر، هکرها تو اون آخر هفته شروع کردن به جابه‌جایی پول. روز جمعه که مسئولان فهمیدن یه مشکلی پیش اومده، هکرها از یه روز قبل مشغول جابه‌جایی بودن. به رئیس بانک خبر دادن و دور هم جمع شدن. اول فکر می‌کردن می‌تونن جلوی این خسارت و آبروریزی رو بگیرن. ولی نشد. پول رفته بود.

وقتی همه افراد فنی جمع شدن، تازه دیدن این نفوذ چقدر عمیق بوده. هکرها به کل بخش‌های بانکداری بنگلادش نفوذ کرده بودن. و مهم‌تر از همه، به سوییفت Swift دسترسی داشتن. سوییفت سیستم اتصال بین بانک‌های جهانیه برای هماهنگی و انجام تراکنش‌های بزرگ.

اما حتی در سیستم سوییفت هم مشخص نبود که کار خطایی انجام شده چون هکرها با یوزر کارمندا در سوئیفت داشتن پول جابه‌جا می‌کردن و طبیعتا همه چی از نظر این سیستم طبیعی بود. اینجا بود که فهمیدن کاری نمی‌شه کرد. بخش بزرگی از پول در مسیر انتقال به فیلیپین بود.

درخواست حکم دادگاه رو کردن برای رفتن به فیلیپین و برگردوندن پول و همین باعث شد ماجرا عمومی بشه و شد تیتر اول کل خبرگزاری‌ها. اما یک اشتباه خیلی جزئی، یک خطای غیر قابل ‌پیش‌بینی و یک بدشانسی باعث شد نیویورک خیلی اتفاقی مانع ارسال پول به فیلیپین بشه.

همون‌طور که بالا گفتم، بانکی که در فیلپین مد نظر هکرها برای دریافت پول بود در خیابان Jupiter قرار داشت. اون زمان خیلی اتفاقی آمریکا یکی از کشتی‌های ایرانی در آب‌های بین‌المللی به اسم Jupiter رو تحریم کرده بود. همین تشابه اسمی باعث شد بانک نیویورکی مانع از انتقال پول بشه.

سیستم‌های نرم‌افزاری بانک آمریکایی به‌طور خودکار به این کلیدواژه حساس بودن و اگر به چنین اسمی در سیستم بر می‌خوردن، اون رو موقتا متوقف می‌کردن تا بررسی مجدد انجام بشه. همین تشابه اسمی باعث شد بخش بزرگی از پول به فیلیپین منتقل نشه و اینطوری جلوش گرفته شد.

از کل ۹۵۱ میلیون دلار سرقت شده، بانک نیویورکی تونست خیلی اتفاقی جلوی انتقال ۸۵۰ میلیون دلار رو بگیره. ۱۰۱ میلیون دلار اما از این کریدور رد شد. از این مقدار، ۲۰ میلیون دلارش ارسال شد برای یک خیریه به اسم Shalika Foundation در سریلانکا اما اینجا هم یه اشتباهی رخ داد.

هنگام ارسال هکرها آدرس مقصد رو با یک اشتباه تایپی نوشته بودن Shalika fundation که یکی از کارمندای تیزچشم تونست پیداش کنه. این ۲۰ میلیون دلار هم به مقصد اون خیریه ارسال نشد (ارسال پول به خیریه تو برنامه هکرها بود برای اینکه حساسیت برانگیز نباشه).

اما عاقبت ۸۱ میلیون دلار به فیلیپین رسید. از یک میلیارد دلار این مقدار ناچیز به نظر می‌رسه اما هرچی باشه بازم عدد چشم‌گیریه. زمانی که بانک بنگلادش در تلاش بود که پولا رو برگردونه، هکرها هم سخت کار می‌کردن که پول رو از دسترس همه خارج کنن.

پول در بانک فیلیپینی واریز شد. بخشی از این پول رو خیلی سریع از طریق صرافی‌ها به پول فیلیپین تبدیل کردن و دوباره در حساب‌های جداگانه‌ای ریختن. مقداریش رو نقدی از بانک برداشت کردن و کشیدن بیرون. سعی کردن با جابه‌جایی زیاد پول بین حساب‌ها و ارزها، رد پول رو گم کنن.

اما باز هم می‌شد که رد پول رو گرفت. برای اینکه این پول کاملا غیرقابل ردیابی بشه، باید از سیستم بانکداری خارج می‌شد. برای این کار کازینوها رو انتخاب کردن. کازینوی Solaire یکی از بزرگترین و مجلل‌ترین کازینوها در آسیاست که حدود ۴۰۰ میز قمار فقط در سالن عمومیش داره.

سناریوی بعدی هکرها اینجا رنگ گرفت. ۵۰ میلیون دلار از پول رو آوردن تو این کازینو و یه کازینوی دیگه. ایده‌ کازینو برای پاک کردن مسیر انتقال پول بود. اینجا پول به چیپ تبدیل می‌شد، روی میز می‌رفت و سپس دوباره به پول تبدیل می‌شد. این‌طوری دیگه کامل رد پول گم می‌شد.

اما شاید بپرسین پس ریسک دیده شدن چی؟ این پول رو که نمی‌شه آورد وسط سالن عمومی و باهاش قمار کرد. برای این کار، اتاقای خصوصی گرفتن و خیلی از این قمارها با رقم بالا بین آدم‌های پولدار در اتاقای خصوصی برگزار می‌شه. آدم‌های حرفه‌ای داشتن که اینا رو گذاشتن پای میز قمار که با پول بازی کنن.

جالبه بدونین بخشی از این پول رو خرج بازی Baccarat کردن که تو آسیا خیلی محبوبه. بازی ساده‌ایه و فقط سه خروجی داره که یکیش برنده ا‌ست. آدم‌های خیلی حرفه‌ای تا ۹۰ درصد تو این بازی برنده می‌شن. پول زیادی رو ریختن توی این بازی و تونستن درصد بالایی رو از دستگاه‌ها پس بگیرن.

این قماربازهای حرفه‌ای برای هفته‌ها تو هتل‌های این کازینو مستقر بودن و بازی پشت بازی مشغول پولشویی و تبدیل پول کثیف به پول تمیز بودن. بنگلادشی‌ها هم این مدت مشغول ردیابی بودن و خوب پیش رفتن تا اینکه به در بسته‌ کازینو خوردن و در هزارتوی کازینو دیگه نمی‌شد پول رو ردیابی کرد.

البته با زور حکم دادگاه و پیگیری خیلی موشکافانه تونستن یکی دو تا از بازیکنان کازینو رو با ۱۶ میلیون دلار پول بگیرن. البته نتونستن اتهامی بهشون وارد کنن چون اینا گفتن ما خبر نداریم فقط بازیکن هستیم. ۱۶ میلیون دلار رو برگردوندن بنگلادش.

هکرها در کل ۳۴ میلیون دلار وارد کازینو کردن و معلوم نشد چقدر تونستن از اونجا از پول تمیز کنن. ۳۰ میلیون دلار دیگه رو ردیابی کردن که ظاهرا شخصی همون اوایل در فیلیپین گذاشته بود تو کیفش و با جت شخصی فرار کرده بود چین. حالا چند توییت از اینکه این گروه کی هستن.

این هکرها با اسم Lazarus Groups معروف هستن و ایده‌ کلی اینه که کره شمالی پشتشونه. این همون گروهیه که چند سال پیش به شرکت Sony Pictures حمله کردن و مانع از اکران عمومی اون فیلم درباره کیم جونگ اون شدن. حمله به بانک‌ها و بیمارستان‌ها و کلی جاهای دیگه تو رزومه‌شون هست.

آدمایی که توی این گروه هستن همه از نخبگان ریاضی هستن. اینا از بچگی تحت تعلیم و آموزش شدید برای تبدیل شدن به تکنسین‌های حوزه سایبری مدیریت می‌شن. پایگاه فعالیتیشون منطقه‌ای از چین هست که از یه سنی به بعد کره شمالی اینا رو میفرسته اونجا.

ظاهرا سرکرده این گروه فردیه به اسم Park Jin-hyok که خیلی کشورها دنبالشن ولی هنوز نتونستن بگیرن. وقتی ردش رو دنبال می‌کنی می‌بینی خیلی جاها به عنوان برنامه‌نویس کار می‌کرده. برنامه‌نویس در روز و هکر در شب. این باج‌افزار WannaCry هم ظاهرا ساخته‌ این گروه هست.