Как хакеры из Северной Кореи грабят банки по всему миру

Такие купюры называются супердолларами (поддельные банкноты высочайшего качества — прим. Newочём). Они на три четверти состоят из хлопковой и на четверть из льняной бумаги. Этот состав сложно подделать. В каждой банкноте есть красные и синие защитные волокна. Защитная линия именно там, где и должна быть, как и водяные знаки. Даже Бенджамин Франклин выглядит идеально и ничем не выдает тот факт, что банкнота номиналом в $100 — подделка.

Большинство систем, созданных для обнаружения фальшивых купюр, не способны распознать супердоллары. Недаром же на их создание ушли десятки лет упорного труда. Многие приписывают их производство Северной Корее, а некоторые уверены, что это личная ответственность бывшего правителя государства, Ким Чен Ира. Последние ссылаются на приказ, который он предположительно отдал в 1970-х, когда пришел к власти. Поддельные банкноты в $100 одновременно дадут режиму устойчивую валюту и подорвут экономику США. Фальшивомонетничество также было попыткой дестабилизации.

На пике подделки денег прибыль правительства Северной Кореи составляла по меньшей мере $15 млн в год, согласно отчету Исследовательской службы Конгресса США. Банкноты распространились по всему миру, по неподтвержденным данным, с подачи пожилого ирландца и «отмывались» через маленький банк в Макао. Считается, что северокорейцы грешат не только подделкой денег. Среди их преступлений: незаконный оборот опиатов и метамфетаминов, продажа поддельной виагры и контрабанда частей тела животных, находящихся на грани вымирания. В целом, по оценкам Исследовательской службы Конгресса США, в какой-то момент прибыль режима от незаконной деятельности составляла около $500 млн в год.

Иллюстрация: WIRED;GETTY IMAGES

За период с 2000 по 2010 год США добились серьезных успехов в пресечении противозаконных действий Северной Кореи. Кампания правоохранительных органов была направлена на 130 стран.  Люди под прикрытием внедрились в преступные круги и обнаружили поддельные счета с выведенными на них миллионами долларов. Власти даже устроили поддельную свадьбу на побережье в Атлантик-Сити, Нью-Джерси, чтобы завлечь на нее подозреваемых и арестовать их. Министерство финансов США расширило свои полномочия по Закону о борьбе с терроризмом, наложив финансовые санкции на подозрительный банк в Макао и заморозив активы на $25 млн.

Казалось, масштабная операция США сработала. К 2008 году распространенность супердолларов существенно снизилась. Агент ФБР, причастный к вышеупомянутой кампании, заявил изданию Vice: «Раз супердоллары больше не встречаются, осмелюсь сказать, что Северная Корея перестала их производить. Возможно, после утраты путей распространения банкнот они нашли что-то другое, что подделать проще». Под давлением американского расследования и в силу редизайна стодолларовых банкнот 2013 года Северная Корея перешла к другим методам незаконного пополнения казны.

Естественно, одним из них стал хакинг. По данным The New York Times, правительство Северной Кореи отобрало талантливых молодых людей и отправило их учиться программированию в Китай и даже в США, под маской дипломатов ООН. После обучения северокорейцы чаще всего остаются жить за границей, обычно в Китае, где они проводят кибероперации. Интернет-соединение там лучше, и, кроме того, так проще отрицать свою связь с северокорейским правительством. В то же время это позволяет держаться вдали от влияния американского законодательства.

Северокорейские хакеры регулярно пытаются атаковать финансовые организации по всему миру. Их методы дерзкие, но не всегда успешные. Наибольшей прибыли они добились, управляя подключением крупных финансовых учреждений к международной банковской системе. Обманом заставляя эту систему принимать их за законных пользователей, хакеры вывели десятки миллионов долларов на подложные счета. Они взломали файлы протокола и записи банковских транзакций, вызвав тем самым поток предупреждений систем безопасности и последующие их обновления. Наиболее же известна их случайная, но успешная попытка взлома сотен тысяч компьютеров в поисках ценной информации для новых атак. Благодаря своим успехам и неудачам они научились модифицировать и комбинировать свои приемы, чтобы работать более эффективно.

Даже учитывая неоднозначный послужной список эти попытки манипулирования мировой финансовой системой в буквальном смысле окупились. Хакерские прибыли Северной Кореи огромные, ООН оценила их в $2 млрд — довольно крупная сумма для страны, чей ВВП составляет $28 млрд. КНДР  продолжает разрабатывать ядерное оружие и межконтинентальные баллистические ракеты, а киберпреступления помогают финансированию режима. Масштаб этих преступлений велик, особенно по сравнению с предыдущими. Сейчас хакеры приносят куда больше прибыли, чем когда-либо могли бы супердоллары.

Но, как и в случае с супердолларами, потенциальная ценность финансовых махинаций Северной Кореи выходит далеко за рамки обычной денежной прибыли. В случае успеха они по крайней мере несколько подорвут целостность мировых рынков, стерев записи транзакций и исказив финансовую историю. Такая тактика может показаться заманчивой для некоторых государственных органов, но она несет огромный риск.

В преддверии войны в Ираке издание The New York Times заявило, что США рассматривали вопрос о блокировке банковских счетов Саддама Хуссейна, но приняли решение не делать этого, опасаясь перейти грань спонсируемого государством кибермошенничества и тем самым причинить вред американской экономике и подорвать мировую стабильность. В 2014 году комиссия АНБ (Агентство национальной безопасности — прим. Newочём) президента Барака Обамы утверждала, что США должны взять на себя обязательство никогда не взламывать и не производить махинации с финансовыми записями. Иначе это может оказать негативное влияние на доверие мировой финансовой системе.

Ограбление банка — всегда ужасная идея. Это не только незаконно, но и оказывает огромное влияние на инвестиции. В США ограбление банка в среднем приносит $4000, а среднестатистический вор может совершить до трех краж прежде, чем будет пойман. Перспективы за рубежом лучше, но не намного. Поразительно дерзкие ограбления, как, например, кража в Banco Central в Бразилии в 2005 году, для осуществления которой месяцами копали туннели, конечно, могут принести значительную прибыль, но подавляющее большинство подобных попыток оканчиваются крахом.

Северокорейские агенты нашли лучший способ ограбления банков. Для этого им не нужно ломать железобетонные стены или рыть туннели, не нужно применять силу и угрозы. Вместо этого, они просто взламывают банковские компьютеры. Их цель — взломать SWIFT, международную межбанковскую систему передачи информации и совершения платежей (Общество всемирных межбанковских финансовых каналов связи, англ. Society for Worldwide Interbank Financial Telecommunications — прим. Newочём).

Эта система существует с 1970-х годов, к ней относится 11000 финансовых институтов в более чем 200 странах. Каждый день она обрабатывает десятки миллионов транзакций. Ежедневные переводы составляют миллиарды долларов — больше, чем ВВП большинства стран. Многие финансовые институты системы имеют специальные аккаунты с возможностью пользоваться программным обеспечением, устанавливающим связь с банками по всему миру. Отчеты компаний по кибербезопасности BAE Systems и Лаборатории Касперского, а также наши собственные данные приводят доказательства того, как Северная Корея использовала эти учетные записи.

Центральный банк Бангладеша хранит часть средств для международных транзакций в Федеральном резервном банке Нью-Йорка (ФРБ). 4 февраля 2016 года Центробанк произвел порядка трех десятков платежей. Согласно запросам на перевод, отправленным в систему SWIFT, банк просил Нью-Йорк провести платежи на общую сумму около $1 млрд на счета в Шри-Ланке и Филиппинах.

Примерно в это же время в Центральном банке Бангладеша перестал работать принтер. Это был обычный HP LaserJet 400, который стоял в маленькой комнатушке без окон. У этого устройства была одна важная задача: днем и ночью он печатал физические записи международных транзакций. Пришедшие утром 5 февраля сотрудники банка не нашли ничего в выходном лотке принтера. Они пытались напечатать документы вручную, но ничего не вышло — терминал, подключенный к системе SWIFT, выдавал ошибку, связанную с утерей файла. Сотрудники банка отныне не могли отслеживать операции, происходящие в их собственном банке. Нерабочий принтер — это как собака, которая не залаяла: что-то не так, но непонятно, что именно.

Это был не просто технический сбой. На самом деле это была кульминация приготовлений и агрессии Северной Кореи. Умный ход хакеров заключался в атаке не на саму систему платежей, а на агрегат, через который бангладешский банк подключался к этой системе. SWIFT-аккаунты Центрального банка Бангладеша обладали огромными полномочиями, в том числе способностью создавать, утверждать и проводить новые транзакции. Сосредоточив свои действия на банковской сети и ее пользователях, хакеры получили доступ к этим учетным записям.

Потребовалось время, чтобы выяснить, как Центробанк Бангладеша был подключен к системе SWIFT, и получить доступ к его учетным данным. Но несмотря на месяцы, что хакеры провели в банковской системе, готовясь к операции, бангладешцы не смогли их вычислить. Частично потому, что не особо и старались это сделать. После взлома, согласно изданию Reuters, полицейское расследование выявило сразу несколько уязвимостей в системе безопасности, включая дешевое оборудование и отсутствие должного программного обеспечения. Это и позволило хакерам так легко взломать компьютеры.

Получив доступ к аккаунтам в системе, хакеры могли производить транзакции, как любые другие авторизованные пользователи. Чтобы не оставлять следов, они написали специальный вредоносный код, с помощью которого обошли внутренние проверки SWIFT. Что еще хуже, они производили махинации с журналами транзакций, чтобы было труднее выяснить, куда идут деньги банка. Северокорейская атака ударила кинжалом в самое сердце системы. Для принтера хакеры написали дополнительный вредоносный код, выиграв тем самым время для своих операций.

Таким образом хакеры отправляли запросы в банк в Нью-Йорке, оставаясь незамеченными в Бангладеше. Но сотрудники Федерального резервного банка заподозрили неладное. Заметив внезапный рост транзакций из Бангладеша, они удивились, почему счета, на которые переводили деньги, принадлежали частным лицам, а не другим банкам. Они поставили на вопрос десятки переводов и отправили обратный запрос на разъяснение.

Лишь снова запустив компьютерные системы, бангладешцы осознали всю серьезность ситуации. Оживший принтер выдал пачку записей о транзакциях, большинство из которых казались подозрительными. Когда сотрудники банка обратились к своим партнерам из Нью-Йорка, было уже слишком поздно. Начались выходные, и американцы разошлись по домам. Оказалось, северокорейцы удачно подгадали момент для проведения операции или же грамотно его запланировали. Бангладешским банкирам ничего не оставалось, кроме как ждать, когда сотрудники ФРБ вернутся к работе.

Понедельник принес и хорошие, и плохие вести. Хорошая новость: бдительные сотрудники ФРБ Нью-Йорка приостановили большинство транзакций, в общей сумме на $850 млн, включая перевод на $20 млн на счет довольно странного получателя «Shalika Fandation» в Шри-Ланке. Хакеры, должно быть, хотели указать «Shalika Foundation», но ошиблись в орфографии, хотя, даже правильно написанной, такой организации не существует. Эта опечатка, которая помогла аналитикам установить факт мошенничества, должно быть, стала самой дорогой для хакеров.

Плохая новость: четыре транзакции все-таки прошли, и на счет Rizal Bank на Филиппинах был отправлен в общей сложности $81 млн, откуда деньги ушли на счета нескольких казино. Посредник снял средства с этих счетов 5 и 9 февраля — последний раз уже после предупреждения Rizal Bank о мошенничестве (банк не ответил на запрос о комментариях). Из $81 млн, отправленных на счет Rizal, согласно иску, остались только $68 356. Остальные были утеряны.

Специалисты из британской компании BAE Systems начали дело против хакеров и при расследовании обнаружили несколько улик, указывающих на причастность к преступлению Северной Кореи. Они увидели схожесть кодов, использованных при ограблении банка Бангладеша, с кодами из предыдущих атак Северной Кореи, особенно в операции 2014 года против Sony. Был вынесен четкий вердикт: сидя дома и в офисах, в отдалении от места преступления, северокорейские хакеры провернули махинации с записями транзакций, подорвали систему межбанковского доверия и совершили одно из крупнейших банковских ограблений в истории.

Громкая операция в Бангладеше была лишь частью, как оказалось, всемирной кампании. Параллельно происходило хищение денег из банка в Юго-Восточной Азии, название которого так и не было обнародовано. В ходе этой операции хакеры действовали последовательно и организованно. Похоже, они взломали цель через сервер, на котором размещался веб-сайт банка.

В декабре 2015 года они захватили другой сервер банка, который управлял программным обеспечением для доступа в SWIFT, который в свою очередь соединял банк с мировой финансовой системой. В следующем месяце хакеры направили свои силы на разработку дополнительных инструментов, которые бы позволили им внедряться в атакуемую сеть и размещать вредоносный код внутри системы международных платежей. И 29 января 2016 года они протестировали эти инструменты. Случилось это практически одновременно с операцией в Бангладеше.

4 февраля, во время отправки запросов из Бангладеша, они также проворачивали махинации с программным обеспечением в банке Юго-Восточной Азии. Однако там они не инициировали никаких мошеннических транзакций. Примерно через три недели они прекратили операцию во втором банке. Об обстоятельствах отмены до сих пор мало что известно.

Даже после успеха с бангладешским Центробанком хакеры продолжали концентрироваться на своей второй цели. В апреле они применили кейлоггинг (операция по регистрации действий пользователей — нажатий клавиш на клавиатуре, движение мыши и т.д.  — прим. Newочём) к системе программного обеспечения SWIFT-сервера банка, чтобы получить доступ к наиболее влиятельным учетным записям. Эти записи, ключи от королевства SWIFT, могли бы сыграть важнейшую роль в краже средств.

К настоящему моменту мир банковского дела ощутил опасность, отчасти из-за расследования BAE Systems. SWIFT выпустила новые требования безопасности в мае в ответ на тревогу вокруг инцидента в Бангладеше и волнений по поводу целостности финансовой системы в целом. Хакерам пришлось бы обойти эти обновления, чтобы совершить свои злодеяния. Для этого к июлю они стали пробовать новые коды. В августе они снова начали пробовать запустить код на серверах SWIFT с целью перевода средств.

Но здесь, несмотря на проверенный тестами вредоносный код, северокорейцы потерпели поражение: банк из Юго-Восточной Азии был подготовлен и оборудован гораздо лучше, чем банк Бангладеша. В августе 2016, больше, чем через полгода после начала операции, хакеров все-таки вычислили. В этом банку помогла Лаборатория Касперского. Хакеры, понимая, что специалисты идут по горячим следам, пытались как можно быстрее прекратить операции относительно банка, удалили большинство файлов, чтобы замести следы, но кое-что упустили. Эта ошибка помогла экспертам из Лаборатории Касперского установить схожесть кода с тем, что использовался для взлома в Бангладеше.

Расследования BAE Systems и Лаборатории Касперского установили очертания северокорейской кампании. Амбиций у хакеров было куда больше, чем на два банка. Примечательно, что в январе 2017 года Северная Корея поставила под угрозу систему финансового регулирования Польши, запрограммировав ее отправлять вредоносный код всем посетителям веб-сайта, большинством из которых были финансовые институты. Северокорейцы направили этот вредоносный код в более чем 100 учреждений по всему миру, в первую очередь в банки и телекоммуникационные компании. В списке целей значились Всемирный банк, центральные банки Бразилии, Чили и Мексики, а также крупные финансовые организации.

Северокорейцы не ограничивались традиционными валютами. В ходе своей кампании они совершили несколько попыток кражи особо ценных криптовалют, в том числе биткоинов, у ничего не подозревающих пользователей по всему миру. Хакеры совершили несколько нападений на различные криптовалютные биржи, включая  южнокорейскую Youbit, которая из-за атак потеряла 17% своего капитала. По оценке Group-IB (один из ведущих международных разработчиков решений для детектирования и предотвращения кибератак  — прим. Newочём), прибыль Северной Кореи от операций с криптовалютами составила более $500 млн. Хотя невозможно установить правильность этой оценки и детали взлома криптовалютной биржи, известно, что такими крупными преступлениями они отвлекали внимание от атак на меньшие частные финансовые институты.

Компании, обеспечивающие кибербезопасность, пришли к общему мнению: северокорейцы переориентировали хакерское программное обеспечение из просто вредоносного в способное приносить крупный финансовый ущерб и дестабилизировать системы. То же государство, что в 2009 году совершило DDoS-атаки на США, в 2013 стерло данные с южнокорейских компьютеров и совершило кибернападение на Sony в 2014, теперь занималось взломом финансовых учреждений. Изолированная и подверженная санкциям страна, продолжая вкладывать деньги в разработку ядерного оружия, частично самофинансируется за счет хакинга. Так столкнулись искусство управления государством и кибероперации. Большее, конечно, впереди.

Северокорейские взломщики хорошо научились справляться с некоторыми задачами, которые раньше были для них невыполнимы. Они получали доступ к банковским сетям по всему миру с помощью вредоносных кодов, качественной подготовки и способности оставаться незаметными. Они также хорошо изучили систему SWIFT и подключение к ней банков. Они постоянно выдают новые тактики и инструменты, чтобы не отставать от обновлений безопасности SWIFT и финансовых учреждений.

Но были у них и проблемы: в большинстве случаев они не могли вывести средства, полученные в ходе мошеннических транзакций. Порой банки прерывали операции в самом начале пути. Хакерам нужен был другой путь похищения средств, с гарантией их вывода.

Летом 2018 года хакеры испробовали новую тактику. Операция началась в июне со взлома Cosmos Cooperative Bank в Индии. Оказавшись внутри системы банка, они получили представление о его функционировании и секретный доступ к важнейшим составляющим его компьютерной инфраструктуры. В течение лета они, по всей видимости, готовились к новым операциям. На этот раз для вывода денег хакеры использовали банковские карты и электронные переводы.

Обналичивание через банкомат — довольно простой и понятный способ: хакеры получают доступ к учетным данным клиентов банка, а затем посредник снимает средства с их счетов. Не нужно контактировать с работниками банка или приходить в офис, что значительно сокращает риск быть пойманными. Предыдущие подобные операции срабатывали редко, самым крупным было ограбление Национального банка Блаксбурга в Вирджинии. Задача состояла в том, чтобы получить дубликат карты и пин-код, ввести его в банкомате и снять наличные.

Но прежде чем северокорейцы начали действовать, спецслужбы США заподозрили неладное. Хотя не было точной информации, на какие финансовые учреждения готовится атака, 10 августа ФБР отправило личные сообщения банкам. В нем бюро предупредило о схеме обналичивания денег, полученных мошенническим путем, через банкоматы в мелких и средних банках. Это вписывалось в так называемую схему «неограниченных операций», которая появляется в силу возможности неограниченного снятия средств. ФБР призывало банки проявлять бдительность и совершенствовать системы безопасности.

Но это не помогло. 11 августа Северная Корея сделала свой ход. За каких-то два часа в 28 странах принялись за дело посредники. Используя дубликаты реальных банковских карт, они снимали в банкоматах суммы от $100 до $2500. Предыдущие попытки подобного мошенничества провалились из-за хороших систем безопасности крупных банков, а с маленькими все оказалось куда быстрее и проще. Всего на своих махинациях они заработали около $11 млн.

Возникает вопрос: как северокорейским хакерам это удалось? Ведь для каждого снятия денег им нужно было обходить систему аутентификации Cosmos Bank, чтобы получить разрешение на обналичивание. Даже при том, что они получили учетные данные счетов всех пользователей, довольно маловероятно, что им удалось получить пины от каждого из этих счетов. Без этих цифр все попытки снятия средств провалились бы.

Сахер Наумаан и другие исследователи из BAE Systems предположили, что, взломав систему банка, северокорейцы проникли настолько глубоко, что могли сами управлять запросами на аутентификацию. В результате все запросы на снятие банковских средств, проходившие через международную банковскую систему в Cosmos Bank, выходили на отдельную систему аутентификации, созданную хакерами. Система подтверждала запрос и обходила все механизмы обнаружения мошенничества. Старший офицер полиции Индии в последствии подтвердил эту теорию в the Times of India.

После успеха операции по обналичиванию хакеры вернулись к плану А: двумя днями позже они осуществили еще три перевода на сумму $2 млн с помощью системы SWIFT из Cosmos Bank на счет компании в Гонконге. Компания под названием ALM Trading Limited была создана и зарегистрирована несколькими месяцами ранее. Незаметное имя и отсутствие информации в сети привело к трудностям при отслеживании, но, скорее всего, северокорейцам удалось вывести эти средства.

Кроме того что операция в Cosmos подняла вопросы об аутентификации и доверии денежным транзакциям, она показала, как северокорейские тактики краж и махинаций могут выходить за рамки просто получения прибыли на благо режима. Будущие операции могут быть направлены на более конкретные задачи, например, наводнение системы международных платежей поддельными транзакциями с целью большего подрыва доверия к ней.

Нет причин полагать, что северокорейские финансовые махинации прекратятся. В течение многих лет их отличительной чертой был код, который с каждым годом становится все более совершенным. То, в чем северокорейцам не хватает мастерства, по сравнению с их противниками из АНБ, они с лихвой компенсируют агрессивностью и амбициями. Кажется, они не задумываются о возможных последствиях взлома и уничтожения тысяч компьютеров и записей о финансовых транзакциях. Получая необходимые денежные средства, они улучшают геополитическое положение. Конечно, порой они терпят неудачи, но за все время хакеры принесли режиму внушительные суммы и поставили под угрозу целостность мировой финансовой системы. Времена супердолларов прошли, но Северная Корея вновь обогащается через мошенничество и дестабилизацию других государств.

По материалам Wired
Автор: Бен Бучанан. Это отрывок из его книги «Хакер и государство: кибератаки и новые нормы геополитики».

Переводила: Аполлинария Белкина; Newочём