拉撒路的兴趣:朝鲜如何几乎退出了十亿美元的黑客
2016年,朝鲜黑客计划在孟加拉国和第39号国家银行计划1美元突袭,并在一英寸的成功范围内进入 - 只有侥幸,除了8100万美元的转移时,才会被停止,杰罗德怀特和杰恩H李。但是世界上的一个和最贫穷和最孤立的国家的一个是如何训练一支精英网络罪犯的团队?
这一切都始于故障打印机。它只是现代生活的一部分,所以当它发生在孟加拉国银行的工作人员时,他们认为我们大多数人都这样做:另一天,另一种技术头痛。它没有似乎是一个很大的事。
孟加拉国银行是国家'中央银行,负责监督一个百万居住在贫困中的国家的宝贵货币储备。
并且打印机发挥了重要作用。它位于首都达卡的10楼的高度安全的房间内。它的工作是打印出流入和退出银行的数百万美元转移的记录。
当工作人员发现它不是工作,在2016年2月5日星期五的08:45工作,"我们认为这是一个常见的问题,就像任何其他日子一样,"尊税经理Zubair Bin Huda后来告诉警方。 "这样的毛刺发生在之前。"
事实上,这是孟加拉国银行在很多麻烦的第一个迹象表明。黑客已闯入其计算机网络,在那个时刻正在进行有史以来最容易的网络攻击。他们的目标:偷了十亿美元。
为了让钱消失,他背后的帮派将使用假银行账户,慈善机构,赌场和广泛的同谋网络。
根据调查人员,数字指纹只有一个方向:到朝鲜政府。
SPOILER ALERT:这是一个在10集发作BBC世界服务播客中讲述的故事,拉撒路哈斯特 - 点击这里听。这篇文章读了20分钟。
朝鲜将成为一个网络犯罪的嫌疑人可能会让一些人令人惊讶。它'世界之一,并在最贫穷的国家之一,在很大程度上与全球社区与全球社区有关,经济地,以及几乎所有其他方式。
然而,根据联邦调查局的说法,大胆的孟加拉国银行黑客是在亚洲的黑客和中间人的阴影团队的多年方法准备,经营朝鲜制度的支持。
在网络安全行业中,朝鲜黑客被称为拉撒路集团,这是一个从死者回来的圣经的人物的参考;解决该组的专家' S计算机病毒发现它们同样有弹性。
虽然联邦调查局涂上了一个嫌疑人的详细肖像:Park Jin-Hyok,谁也通过名字Pak Jin-Hek和Park Kwang-Jin的肖像。
它将他描述为毕业的计算机程序员,毕业于该国的顶级大学之一,并为朝鲜公司,在中国港口博览会上工作,在中国港口城市,为客户提供在线游戏和赌博计划世界。
在大连,他设置了一个电子邮件地址,创建了一个CV,并使用社交媒体来构建联系人网络。根据联邦调查局调查员兼宣传者,在2013年或2014年,网络脚印在2002年和2013年或2014年播出,直到2013年或2014年。
原子能机构发布了一张照片从ChoSun Expo Manager将公园介绍到外部客户发送的2011年电子邮件。它显示了20多岁或30岁以下的清洁韩国人,穿着钉子镶边黑色衬衫和巧克力棕色西装。乍一看,除了在他脸上排出的外观,乍一看竟然没有。
但是,联邦调查局说,当他作为一天的程序员工作时,他夜间是一个黑客。
2018年6月,美国当局向公园收取了一项统称的阴谋,致力于2014年9月至2017年9月之间犯下电脑欺诈和滥用的欺诈和滥用(涉及邮件或电子通信的欺诈)。他面临高达20如果他被追踪,那么徒刑。 (他四年从中国从中国回到朝鲜之前,在收费提起指控之前。)
但是公园,如果这是他的真名,DONN' T成为州的黑客过夜。他是从童年培养的成千上万的年轻朝鲜人之一,成为网络 - 勇士的数学家,只有12人从他们的学校送到首都并被送到首都,在那里他们在早晨直到左右的学费。
当银行'工作人员重新启动了打印机时,他们有一些非常令人担忧的消息。泄漏出来是纽约美联储银行的紧急信息 - "美联储" - 孟加拉国保留了美元账户。美联储已收到指示,显然来自孟加拉国银行,排除整个账户 - 接近十亿美元。
孟加拉国试图联系美联储进行澄清,但感谢黑客和#39;非常仔细的时机,他们不能通过'
黑客于2月4日星期四孟加拉国时间左右开始。但在纽约,这是星期四早上,让美联储充足的时间(不知不觉)执行黑客和#39;孟加拉国睡着了。
第二天,周五是孟加拉国周末的开始,从周五到周六跑。所以银行'在达卡的总部休息了两天。当孟加拉国在星期六开始揭开盗窃时,它已经是纽约的周末。
"所以你看到了攻击的优雅,"说美国网络安全专家Rakesh Asthana。 "星期四晚上的日期有一个非常明确的目的。纽约周五工作,孟加拉国银行已关闭。孟加拉国银行回到线上,美联储银行已关闭。所以它几乎三天延迟了整个发现。"
而黑客有另一个伎俩,他们的袖子甚至可以买到更多的时间。一旦他们把钱转移到美联储中,他们需要将其发送到某处。所以他们将它连接到他们在菲律宾首都马尼拉建立的账户'在2016年,2月8日星期一是农历新年的第一天,亚洲全国假期。
通过利用孟加拉国,纽约和菲律宾之间的时间差异,黑客已经设计了一个清晰的五天跑了。
他们有足够的时间来规划所有这些,因为它已经落后了Lazarus集团一年内潜伏在孟加拉国银行'一年内。
2015年1月,已寄给几家孟加拉国银行员工的无害的电子邮件。它来自一位求职者,称自己罗斯艾哈里。他的礼貌询问包括一个邀请下载他的简历和网站求职信的邀请。根据FBI调查人员,Rasel不存在罗萨尔并不存在 - 他只是Lazarus集团使用的封面名称。银行里面至少有一个人为诀窍落下,下载了文件,并感染了隐藏在里面的病毒。
一旦进入银行' S系统,拉撒路集团开始从电脑悄悄地跳到计算机,向数字保险库和他们所遏制的数十亿美元工作。
为什么在初始网络钓鱼电子邮件到达银行后,黑客只偷了这笔钱?为什么当时隐藏在银行内的风险时被发现'因为,似乎,他们需要时间排队他们的逃生路线。
木星街是马尼拉忙碌的通道。毗邻Eco-Hotel和牙科手术是RCBC的一个分支,其中一个国家'最大的银行。在2015年5月,黑客访问孟加拉国银行' S系统的几个月,黑客和#39在此处设置了四个帐户;同谋。在后古,有一些可疑的标志:驾驶员'用于建立账户的许可证是假货,尽管在不同的公司工作,但申请人都声称拥有完全相同的职称和薪水。但没有人似乎注意到了。几个月,账户卫星休眠,他们的初始500美元的矿床未受破坏,而黑客在计划的其他方面工作。
到2016年2月,成功地砍成了孟加拉国银行并为这笔钱创造了导管,拉撒库集团已准备好。
但他们仍然有一个最终障碍清除 - 在10楼的打印机。孟加拉国银行创建了一个纸质备份系统,以记录由其账户制成的所有转移。这笔交易记录冒着暴露黑客和#39;立即工作。因此,他们被黑了解了控制它并将其失去行动。
凭借他们的曲目,2016年2月4日星期四的20:36,黑客开始进行他们的转移 - 35次,总计951万美元,几乎是孟加拉国银行的整个内容'纽约美联储账户。盗贼正在前往巨大的发薪日 - 但就像在好莱坞兴趣的电影一样,一个微小的细节会赶上它们。
正如孟加拉国银行在那个周末的过程中发现了缺失的钱,他们努力锻炼身体发生了什么。银行'州长知道Rakesh Asthana及其公司,世界信息,并称他为帮助。此时,司法纳说,总督仍然认为他可以伸出偷来的钱。结果,他保留了黑客秘密 - 不仅仅是公众,而且甚至来自他自己的政府。
与此同时,asthana正在发现黑客攻击的深度。他发现盗贼已经获得了孟加拉国银行的关键部分的权限,称为Swift。它'在世界各地的数千家银行使用的系统中使用的系统来协调自己之间的大笔资金。黑客没有利用SWIFT的脆弱性 - 他们不需要 - 所以,即SWIFT' S软件担心的是黑客看起来像真正的银行员工。
孟加拉国银行的官员很快就会变得清晰,交易无法逆转。有些钱已经抵达菲律宾,当局告诉他们他们需要一个法院命令开始进程来回收它。法院命令是公共文件,所以当孟加拉国银行终于在2月下旬提交了案件时,故事公开并在全球范围内爆炸。
对银行的后果'州长几乎是即食的。 "他被要求辞职,"说asthana。 "我再也没有见过他。"
美国国会议员卡罗琳马洛尼在她第一次听到孟加拉国银行的袭击时,她会清楚地记得。 "我要离开国会并前往机场,阅读议员,令人震惊,令人震惊 - 一个可怕的事件,可能是我最恐怖的事件之一,我曾经看到过金融市场。&# 34;
作为金融服务国会委员会的成员,Maloney看到了更大的画面:随着Swift支持这么多数十亿美元的全球贸易,这是一种像这样的黑客攻击可能会对系统造成致命的信心。
她特别关注美联储银行的参与。 "他们是纽约喂养的,通常是如此谨慎。在世界上如何发生这些转移?"
Maloney联系了美联储,员工向她解释的是,大多数转移实际上已经被预防 - 感谢微小的,巧合的细节。
黑客试图转移951万美元的马尼拉的RCBC银行分公司在木星街。马尼拉有数百家银行,黑客可以使用,但他们选择了这一点 - 而且决定花费了数亿美元。
"交易......是在美联储的情况下举行,因为其中一个订单中使用的地址包括单词'木星&#39 ;,这也是受批准的伊朗运输船只的名称," Carolyn Maloney说。
只是提到这个词"木星"足以在FED和#39;自动化计算机系统中设置闹钟铃声。付款被审查,大多数都停止了。但不是所有的。五项交易价值101万美元,越过这次障碍。
其中,20万美元被转移到斯里兰卡慈善机构,称为Shalika基金会,由黑客排队'同谋为被盗的钱的一条管道。 (它的创始人Shalika Perera表示,她认为这笔钱是一个合法的捐款。但是,再次,一个微小的细节脱轨了黑客'计划。转移到了" Shalika"一只鹰眼银行雇员发现了拼写错误,交易逆转。
所以81 00美元通过了。不是黑客瞄准的目标,但失去的钱仍然是孟加拉国的巨大打击,这是一个五分之一的国家,在贫困线以下一个。
当孟加拉国银行开始努力抓住钱后,黑客已经采取了措施确保它超越了。
2月5日星期五,四年账户在木星街的RCBC分行突然向生活突然攀升。
这笔钱被转移到账户之间,送到货币兑换公司,交换为当地货币并重新存放在银行。其中一些是现金撤回的。对于洗钱专家来说,这种行为是完美的意义。
"你必须让所有犯罪派生的金钱看起来很干净,看起来它是从合法来源中得出的,以便以后保护任何你的钱,"加利福尼亚州蒙特雷莫特里国际研究所金融犯罪管理计划主任Moyara Ruehsen表示。 "你想把钱追踪尽可能浑浊和模糊。"
即便如此,调查人员仍然可以追踪钱的路径。使其完全无法到达它必须离开银行系统。
Solaire坐落在马尼拉的海滨,一位闪闪发光的白宫宫殿,家园,巨大的剧院,高端商店和最着名的吸引力 - 一个庞大的赌场地板。马尼拉已成为来自中国大陆的赌徒的大型赌注,消遣是非法的,索尔雷斯是"亚洲最优雅的赌场楼层之一,根据穆罕默德科恩,编辑 - 大大的编辑在亚洲博彩杂志内。 "它非常精美地设计,与东南亚的任何东西相当。它有大约400张游戏桌和大约2,000台老虎机。"
它在Manila'孟加拉国银行盗贼的Glitzy Casino场景中的下一阶段的洗钱运作。在通过RCBC银行洗涤的8100万美元中,索勒州和米纳斯另一个赌场的账户存入了5000万美元。 (其他3100万美元发生了什么?根据菲律宾参议院委员会成立调查,它被支付给一个叫做徐伟康的中国人,&#39被认为留在私人飞机上,从未听过过自从。)
使用赌场的想法是打破可追溯性链。一旦被盗的钱被转换为赌场筹码,赌博桌子上赌博,并更换为现金,调查人员几乎不可能追踪它。
但风险呢? aren' t the the the overs and and the赌场桌子的战利品?一点也不。
首先,除了在赌场的公共部门,盗贼预订了私人房间,并用会在桌子上玩的同谋填写它们;这让他们控制了如何赌博的钱。其次,他们用偷来的钱在亚洲玩百家乐 - 一个疯狂的游戏,也是一个非常简单的游戏。赌注只有两种成果,而且相对经历的球员可以收回90%或更多的股份(往往得到较小的回报的最优秀的洗涤器结果)。犯罪分子现在可以偷走被盗的资金,并期待健康的回报 - 但要做的事情会仔细管理球员及其投注,而且需要时间。几周,赌徒坐在马尼拉里面'赌场,洗钱。
与此同时,孟加拉国银行正在追赶。它的官员访问了马尼拉并确定了金钱踪迹。但是当它来到赌场时,他们撞到了一堵砖墙。那时,菲律宾赌博房屋没有由洗钱法规涵盖。到目前为止,赌场担心,现金已经被合法赌徒存放,他们有权将其勒出桌子上。 (Solaire Casino表示,它不知道它正在处理被盗资金,并与当局共同运作。Midas没有回应评论的要求。)
银行'官员设法从其中一个人中恢复了1600万美元的被盗的钱,他们在Midas赌场组织了赌博赌场,称为Kim Wong。他被指控,但收费后来掉了下来。然而,剩下的钱 - 3400万美元 - 正在浸出。根据调查员的说法,它的下一站式将迈出朝鲜的一步。
澳门是中国的飞地,宪法在香港。像菲律宾一样,它'是一个热点赌博和一些世界上的家园和#39;最负盛名的赌场。该国还拥有朝鲜的长期联系。这是在这里,朝鲜官员在2000年代初推迟洗涤假冒100美元的极高质量 - 所谓的"超级色调" - 美国当局索赔被印在朝鲜。他们通过与平壤政权的联系,他们通过洗涤他们的当地银行最终被置于美国制裁清单上。
它还在澳门,朝鲜间谍在1987年轰炸了韩国航空航行之前训练,杀死了115人。它是在澳门,金正军' S半兄弟金正南,在恶作剧之前在马来西亚致致致命中毒,在暗杀中,许多人认为朝鲜领导人个人授权。
随着从孟加拉国银行被菲律宾洗的金钱,众多链接到澳门开始出现。组织索勒尔赌博的赌博的几名男子被追溯到澳门。已预订私人赌博房间的两家公司也在澳门。调查人员认为,在被送回朝鲜之前,大多数被盗的钱最终在这个小型中国境内。
在晚上,由于全国大部分地区的电力缺乏电力,朝鲜似乎是从美国宇航局缺乏电力的照片日夜。根据中央情报局的说法,朝鲜在世界上12名最贫困国家的国家排名第12个最贫困国家,估计每人只有1,700美元,而不是塞拉利昂和阿富汗。
然而,朝鲜已经产生了世界上一些世界'它出现了最繁华和最先进的黑客。
了解如何以及为什么,朝鲜已经设法培养精英网络战争单位需要看着自1948年作为现代国家成立以来统治了朝鲜的家庭:金斯。
创始人Kim Il-sung建立了国家正式称为民主党人'朝鲜民共和国的政治制度,这是一个社会主义者,但更像是君主制。
他的儿子Kim Jong-IL依靠军队作为他的权力基础,激发了美国的弹道导弹和核设备的考验。为了资助该计划,根据美国当局的说法,该政权转向非法方法 - 包括高度复杂的假冒超级球体。
Kim Jong-IL还提前决定将网络纳入国家/ 39; S战略,在1990年建立了韩国电脑中心。它仍然是该国的心脏'它的IT运营。
什么时候,在2
......
