Povestea operațiunii Lazarus, atacul cibernetic al secolului: cum a vrut Coreea de Nord să fure 1 miliard de dolari

Coreea de Nord nu se poate lăuda deloc cu o influență în lumea occidentală. Totuși, regimul de la Phenian a antrenat oameni în domeniul atacurilor cibernetice, principala armă în lumea tehnologizată de astăzi. Operațiunea Lazarus s-a vrut un succes în valoare de 1 miliard de dolari.

Coreea de Nord e o țară extrem de săracă și izolată. Kim Jong-Un, liderul comunist de la Phenian, nu contează pe scena internațională, dar a căutat să profite de faptul că nimeni nu prea-și îndreaptă atenția către țara sa. A încercat să folosească asta ca pe un avantaj.

În 2016, hackerii antrenați la Phenian au vrut să fure 1 miliard de dolari din Banca Centrală din Bangladesh. Culmea, au fost la un pas să reușească. Au reușit să sustragă doar câteva zeci de milioane de dolari.

Transferurile au fost oprite la timp, dar povestea e una fabuloasă și merită menționată.

Povestea operațiunii Lazarus

Povestea începe într-o zi de vineri, 5 februarie 2016, când angajații de la Bangladesh Bank au observat că imprimanta de la etajul 10 al clădirii nu funcționează corect. Ea se afla într-o cameră securizată, iar rolul ei era să tipărească înregistrările transferurilor de milioane de dolari care intră sau ies din bancă.

Personalul aflat la acel moment în clădire n-a dat prea multă importanță. „Am presupus că este o problemă obișnuită la fel ca în orice altă zi”, spunea ulterior managerul Zubair Bin Huda.

„Astfel de erori s-au mai întâmplat”, adăuga el.

Numai că, de data aceasta, nu era o eroare obișnuită. Hackerii au reușit, de la distanță, să intre în calculatoare băncii și să comită cel mai îndrăzneț atac cibernetic încercat vreodată: furtul a un miliard de dolari.

Pentru a transfera banii, hackerii din spatele jafului urmaru să folosească conturi bancare false, organizații caritabile, cazinouri și o rețea largă de complici.

De unde legătură cu Coreea de Nord

Nimeni nu s-a gândit la acel moment că în spatele atacului ar putea fi hackerii sprijiniți de regimul de la Phenian, din moment ce țara e una izolată, fără acces la noile tehnologii. Doar că FBI avea să descopere mai târziu că totul fusese pus la cale cu sprijinul regimului nord-coreean, iar din operațiune făceau parte hackeri și intermediari din toată Asia.

În breasla lor, atacatorii cibernetici din Coreea de Nord sunt cunoscuți sub numele de grupul Lazarus – referință la personajul biblic Lazăr, care a înviat. FBI susține că liderul grupului ar fi Park Jin-hyok, care a apărut și sub numele Pak Jin-hek și Park Kwang-jin, un programator care a absolvit una dintre universitățile de top din țară și a plecat la muncă pentru o companie nord-coreeană, Chosun Expo, în orașul portuar chinez Dalian.

Acolo ar fi creat programe de jocuri de noroc online pentru clienții din întreaga lume. Ziua era programator, dar noaptea aduna echipe de hackeri în jurul lui pentru a pune la cale diverse atacuri. FBI i-a făcut și un portret, după cum vezi în poza de mai jos:

În vizorul americanilor

În iunie 2018, americanii l-au acuzat pe Park de fraude cibernetice și mai multe atacuri de acest fel comise între septembrie 2014 și august 2017. Ar putea fi condamnat până la 20 ani de închisoare dacă va fi vreodată prins. Se crede că s-a întors din China în Coreea de Nord cu patru ani înainte de depunerea acuzațiilor.

Park nu e un hacker oarecare, el fiind recrutat de mic de regimul de la Phenian. E unul dintre tinerii nord-coreeni care au fost antrenați încă din copilărie pentru a deveni infractori cibernetici – matematicieni talentați de până la 12 ani, luați de la școlile lor și trimiși în capitală, unde li se oferă cursuri intensive de dimineață până seara.

De ce Banca din Bangladesh

Întorcându-ne la atacul din februarie 2016, angajații au reușit să repornească imprimanta, dar veștile n-au fost deloc bune.

Banca din Bangladesh păstra un cont în dolari americani chiar la FED – Rezerva Federală a SUA, adică Banca Centrală a Americii. Americanii i-au anunțat pe cei din Bangladesh că ar fi primit instrucțiuni chiar de la ei referitoare la transferul întregului cont. Suma, ai ghicit, era de 1 miliard de dolari.

Doar că personalul băncii din Bangladesh nu făcuse o astfel de solicitare.

Atacul a început în jurul orei 20:00, ora Bangladeshului, în timp ce la New York era joi dimineață, acordându-le celor de la FED timp suficient pentru a îndeplini (fără să vrea) dorințele hackerilor în timp ce în Bangladesh personalul băncii dormea. A doua zi, vineri, este zi liberă în Bangladesh, fiind început de weekend. Deci, sediul băncii din Dacca era închis.

Și când s-au apucat sâmbătă angajații băncii să investigheze, era deja weekend la New York. Trei zile câștigate de gruparea Lazarus.

Traseul banilor și trucul legat de fusul orar

După ce au transferat banii din Fed, i-au trimis în conturile pe care le înființaseră în Manila, capitala Filipinelor. Și în 2016, luni 8 februarie a fost prima zi a Anului Nou Lunar, o sărbătoare națională în toată Asia.

Hackerii au profitat din plin de diferențele de fus orar dintre Bangladesh, New York și Filipine și au obținut cinci zile pentru a scoate banii. Au avut destul timp să planifice toate detaliile, deoarece se pare că Grupul Lazarus stătea „ascuns” în sistemele informatice ale Bangladesh Bank de un an.

Odată ajuns în sistemele băncii, Grupul Lazarus a început să sară pe furiș de la computer la computer, făcându-și drum spre seifurile digitale și miliardele de dolari pe care le conțineau. Și au așteptat un an de zile fără să acționeze, au stat la pândă, și-au pregătit minuțios atacul și au vrut să dea marea lovitura: 1 miliard de dolari.

Până în februarie, Grupul Lazarus era pregătit pentru atac, însă mai avea o singură problemă: imprimanta de la etajul 10.

Bangladesh Bank a creat un sistem de backup pe hârtie pentru a înregistra toate transferurile efectuate din conturile sale. Această înregistrare a tranzacțiilor risca să expună instantaneu munca hackerilor. Așa că au intrat în software-ul imprimantei și au deconectat-o.

De ce n-a reușit atacul

Cum spuneam, hackerii n-au reușit să fure miliardul de dolari. Ce a mers prost? Joi, 4 februarie 2016, la ora 20:36, hackerii au început să efectueze transferurile, 35 în total, însumând 951 de milioane de dolari, aproape întregul conținut al contului din FED al Bangladesh Bank. Hoții se îndreptau spre o zi de plată masivă – dar la fel ca într-un film de la Hollywood, un detaliu mic le-a stricat planul.

În timp ce Bangladesh Bank a descoperit banii lipsă în cursul acelui weekend, s-au străduit să descopere ce s-a întâmplat. Guvernatorul băncii îl cunoștea pe Rakesh Asthana și compania sa, World Informatix, și l-a chemat în ajutor. În acest moment, spune Asthana, guvernatorul încă mai credea că ar putea recupera banii furați. Drept urmare, el a păstrat secretul hackului – nu doar publicului, ci chiar și propriului său guvern.

Între timp, Asthana descoperea cât de bine pregătit a fost atacul. Hackerii au trecut prin sistemul Swift ca angajați autentici ai băncii.

Oficialii băncii Bangladesh au realizat, la un moment dat, că tranzacțiile nu puteau fi doar anulate. Sume importante fuseseră deja transferate în Filipine, unde autoritățile le-au spus că vor avea nevoie de o hotărâre judecătorească pentru a începe procesul de revendicare.

Și aici ajungem la detaliul de care hackerii n-au ținut cont. Nu s-au gândit și la asta.

Detaliul care le-a scăpat

Sucursala bancară RCBC din Manila către care hackerii au încercat să transfere 951 milioane de dolari se afla pe strada Jupiter. Există sute de bănci în Manila pe care hackerii le-ar fi putut folosi, dar au ales-o pe aceasta – iar decizia i-a costat sute de milioane de dolari.

„Tranzacțiile au fost oprite de Fed, deoarece adresa utilizată într-una dintre comenzi includea cuvântul „Jupiter”, care este, de asemenea, numele unei nave iraniene de transport maritim sancționate de guvernul SUA”, spune Carolyn Maloney.

Doar menționarea cuvântului „Jupiter” a fost suficientă pentru a declanșa alarma în sistemele informatice automate ale Fed. Plățile au fost examinate și majoritatea au fost oprite, dar nu toate. Cinci tranzacții, în valoare de 101 milioane de dolari, au trecut acest obstacol.

Dintre aceștia, 20 de milioane de dolari au fost transferați către o organizație caritabilă din Sri Lanka, numită Fundația Shalika, care fusese folosită de complicii hackerilor ca o conductă pentru banii furați. Însă, hackerii au greșit un detaliu important, în loc de „Shalika Foundation” au scris „Shalika Fundation”. Un angajat al băncii a văzut greșeala de ortografie și tranzacția a fost anulată.

Astfel, din cei 101 milioane de dolari, hackerii au reușit să tranfere cu succes doar 81 de milioane. 

Cum s-au spălat banii

Zecile de milioane de dolari furate figurau încă în sistemul bancar. Pentru ca hackerii să facă această sumă dispărută și anchetatorii să le piardă urma, banii ar fi trebuit scoși de acolo. Așa că a urmat spălarea de bani.

Din cele 81 de milioane de dolari care s-au transferat prin banca RCBC, 50 de milioane de dolari au fost depuși în conturi la Solaire și la un alt cazinou, Midas. Ce s-a întâmplat cu ceilalți 31 de milioane de dolari?

Potrivit unui comitet al Senatului din Filipine înființat pentru a investiga, această sumă a fost plătită unui chinez numit Xu Weikang, despre care se crede că a părăsit orașul cu un avion privat și nu s-a mai auzit de el de atunci. Ideea folosirii cazinourilor a fost să rupă lanțul trasabilității. Odată ce banii furați au fost transformați în jetoane de cazino, jucați la mese și transformați în numerar, ar fi aproape imposibil ca anchetatorii să-i urmărească.

Zile întregi petrecute în cazinouri

Ca să evite riscul de a pierde banii în cazino, hoții au pus la cale un alt plan. În loc să se joace în zonele publice ale cazinoului, hoții au rezervat mese private și le-au umplut cu complici; acest lucru le-a dat controlul asupra modului în care s-au jucat banii.

În al doilea rând, au folosit banii furați pentru a juca Baccarat – un joc extrem de popular în Asia, dar și unul foarte simplu. Există doar două rezultate pe care să pariați, iar un jucător relativ experimentat își poate recupera 90% sau mai mult din miză (un rezultat excelent pentru spălătorii de bani, care de multe ori obțin un randament mult mai mic). Însă, o gestionare atentă a jucătorilor și a pariurilor a durat ceva.

Săptămâni întregi, jucătorii au stat în cazinourile din Manila, spălând banii, scrie BBC. 

Oficialii Bangladesh Bank s-au lovit de legislația permisivă din Filipine și n-au reușit să dea de urma banilor, deși știau că aceștiau au fost plimbați prin cazinouri. Au recuperat doar 16 milioane de dolari din banii furați de la unul dintre bărbații care au organizat excursii de jocuri de noroc la cazinoul Midas, numit Kim Wong, dar pentru restul banilor – 34 de milioane de dolari – s-au pierdut urmele.

Cum s-a ajuns la Coreea de Nord

Mergând pe firul poveștii, anchetatorii au descoperit ulterior și legătura cu regimul de la Phenian. Pentru că banii ajunseseră și-n Macao, o enclavă a Chinei, dar care are legături puternice cu Coreea de Nord. Acolo, oficialii nord-coreeni au fost prinși la începutul anilor 2000 spălând bancnote contrafăcute de 100 de dolari de o calitate extrem de înaltă – așa-numiții „Superdolari” – despre care autoritățile americane susțin că au fost tipărite în Coreea de Nord.

Banca locală prin care i-au spălat a fost în cele din urmă plasată pe o listă de sancțiuni a SUA datorită legăturilor sale cu regimul de la Phenian.

Tot în Macao a fost instruit un spion nord-coreean înainte de a bombarda un zbor Korean Air în 1987, ucigând 115 oameni. Și în Macao fratele vitreg al lui Kim Jong-un, Kim Jong-nam, a trăit în exil înainte de a fi otrăvit în Malaezia într-un asasinat pe care mulți îl cred autorizat personal de liderul nord-coreean.

Pe măsură ce banii furați de la Bangladesh Bank au fost spălați prin Filipine, au început să apară numeroase legături cu Macao.

Cum-necum, se pare că săracul și izolatul stat Coreea de Nord a reușit să formeze o armată de infractori cibernetici. E greu de crezut, dar iată că se poate.

Poate fi un semnal de alarmă pentru puterile occidentale, care tind să subestimeze astfel de națiuni. Povestea miliardului de dolari pe care nord-coreenii voiau să pună mâna trebuie reamintită des. Pare un scenariu de tipul David și Goliath.

E realitatea pură.