Глава X Фінансовий фронт Північної Кореї

Все почалося зі зламаного принтера.

Несправним офісним обладнанням в наш час особливо нікого не здивуєш, тому, коли в кінці робочого дня четверга це трапилось в головному офісі Банку Бангладеш в Дакі, співробітники не надали цьому особливого значення. Буває! Закінчився тонер, злетіли драйвери чи щось там. Невелика біда! Після вихідних розберемося (для тих, хто не знає – вихідні в Бангладеш: п’ятниця і субота)!

В реальності все було набагато складніше. Банк Бангладеш – центральний банк країни, який відповідає за державні золото-валютні резерви. Зламаний принтер розміщувався в кімнаті на десятому поверсі і знаходився під цілодобовою охороною. На ньому друкувалася звітність про вхідні і вихідні платежі на сотні мільйонів доларів. Точніше – НЕ друкувалася!

Хакерський злом був продуманий до хвилини.

4 лютого 2016 року о 20:00 за місцевим часом і о 10:00 за нью-йоркським, з бангладешського банку до Федерального резервного банку США були відправлені платіжні доручення на перерахування одного мільярду доларів на рахунки в столиці Філіппін, Манілі. Це були абсолютно всі гроші на кореспондентському рахунку, тому американські банкіри здивувалися і, навіть, спробували зв’язатися телефоном зі своїми південно-азійськими колегами. Але в Бангладеш була глупа ніч і довгі вихідні попереду, тому голосове повідомлення на автовідповідачі прослухали лише о 8:00 неділі, коли уїк-енд розпочався вже в Америці. Після ремонту принтера і з’ясування всіх обставин пограбування лише в понеділок, бангладешці спробували зв’язатися з колегами з Маніли. На горе банкірів, понеділок 8 лютого 2016 року був першим днем Нового року за місячним календарем – головного свята Азії. Різниця в часі між Бангладеш, Нью-Йорком і Філіппінами відкрила хакерам вікно в п’ять днів, щоб забрати вкрадені гроші.

До пограбування хакери готувалися, більш ніж, ретельно. В січні 2015 року декілька співробітників Банку Бангладеш отримали невинне, на перший погляд, повідомлення від такого собі Расела Ахлама, який начебто шукав роботу. Він пропонував завантажити його резюме і супровідний лист із зовнішнього веб-сайту.

Як Ви, напевно, здогадалися, ніякого Расела Ахлама не існувало і, як мінімум один співробітник таки завантажив документи і заразив шкідливим вірусом свій комп’ютер.

Потрапивши в систему банку вірус почав мандрувати з комп’ютера на комп’ютер, підбираючись до цифрових сейфів і мільярдам доларів в них.

Паралельно зловмисники вибудовували маршрути виводу грошей і відшліфовувалися інші деталі операції. В травні 2015 року на Юпітер-стріт в Манілі, поряд з еко-готелем і стоматологічною клінікою, ними по підробленим водійським посвідченням було відкрито чотири рахунки, в одному з найбільших банків країни – RCBC. Були знайдені підставні особи, вирішені питання з транспортом та способи відмивання грошей.

План був опрацьований до дрібниць і на початку лютого зловмисники були готові втілити його в життя. Але перед ними залишилася ще одна перепона – той самий злощасний принтер на десятому поверсі. Банк Бангладеш створив систему паперових резервних копій для реєстрації всіх своїх грошових переказів. Цей друк транзакцій міг сильно зашкодити грабіжникам, тому хакерам довелося написати окреме програмне забезпечення для злому локального принтера, його вирішили просто відключити.

«Ідеальний план» плюс «ідеальне виконання» помножені на 35 транзакцій і 951 мільйон доларів і без того небагатого Бангладешу о 20:36 в четвер 4 лютого 2016 року почав витікати з рахунків в Федеральному резервному банку.

Здавалося, все складалося більш ніж вдало, але прямо як в детективному романі, грабіжників підвела одна малюсінька деталь. В Манілі є сотні банків, якими могли скористатися хакери, але з невідомих причин вони відвідали саме відділення, яке розташоване на Юпітер-стріт і втратили сотні мільйонів доларів. Автоматизовані системи Федерального резервного банку знайшли співпадіння адреси в міжнародних санкційних списках з іранським морським судном «Юпітер» і заблокували платежі. Заблокували, але не всі – п’ять транзакцій на суму 101 мільйон таки дісталися до рахунків підставних осіб в RCBC. Не мільярд, звичайно, але теж непогано. Втім, навіть школяр Вам розповість, що перед тим як використовувати крадені гроші, їх потрібно відмити.

Рахунки в RCBC на Юпітер-стріт, після річної сплячки, несподівано ожили – гроші гуляли з рахунку на рахунок, переводились на фірму по обміну валют, обмінювались в місцеву валюту і знову поверталися на рахунки. Але навіть такі хитрощі не гарантували хакерам, що гроші не знайдуть – їх потрібно було вивести за межі банківської системи.

Найпростіший для цього спосіб – готівка. 31 мільйон доларів було знято готівкою одним з чотирьох власників рахунку китайцем на ім’я Сюй Вейкан. 310 кілограмів стодоларових банкнот довелося вантажити в орендований спеціально для цього мікроавтобус. В той же вечір на приватному літаку Сюй Вейкан залишив Філіппіни і більше про нього ніхто не чув. Чому лише 31 мільйон? Все просто – це все, що залишилось в банківському сховищі в переддень новорічних свят.

Ще один із досить розповсюджених для відмивання способів в світі – благодійні організації. Під добрими намірами спасіння бенгальських тигрів чи антарктичних пінгвінів можуть маскуватися контори по легалізації доходів отриманих злочинним шляхом з мільярдними оборотами. Їх послугами зазвичай користуються торговці зброєю, людьми і наркотиками. Вирішили скористатися ними і наші хакери, але знову допустилися помилки, цього разу орфографічної. 20 мільйонів доларів було переведено благодійній організації Шрі-Ланки «Shalika Foundation», але в призначенні платежу було прописано «Shalika Fundation», і якийсь банкір-бюрократ і крючкотворець, заблокував операцію до з’ясування.

Третій спосіб, який обрали зловмисники був несподіваним навіть для професіоналів – казино: після того, як вкрадені гроші перетворяться в фішки, будуть розіграні між столами і знову обміняні на готівку, їх вже не можна буде відслідкувати.

Але хіба злодії не ризикували втратити все за гральними столами? Аніскілечки! По-перше, хакери забронювали окремі приватні кімнати, де посадили грати виключно своїх спільників, отримавши таким чином повний контроль над грою. По-друге, зловмисники вибрали найпопулярнішу в Азії і найпростішу гру – баккару. В ній можливі лише три варіанти, на які можна робити ставки і відносно досвідчений гравець з легкістю може повернути 90 і більше процентів ставки. Все що було потрібно – слідкувати за гравцями і їх ставками, своєчасно перераховувати кошти на придбання фішок, виносити з казино сумки з готівкою і, звісно, час.

Його ж залишалося все менше.

Поліція дихала грабіжникам в потилицю, спеціалісти з кібербезпеки знайшли уражений комп’ютер, офіційні особи вже були в Манілі, проводилися вилучення документів з архівів банку, встановлені фотороботи осіб на які відкривалися рахунки, але коли справа дійшла до казино, слідство зупинилося.

В той час гральні заклади Філіппін не підпадали під дію закону про відмивання коштів і відвідувачі казино могли вільно розкидатися грошима на свій розсуд без жодної необхідності комусь щось пояснювати. І хоча співробітникам банку вдалося повернути 16 мільйонів, залишок суми – 34 мільйони доларів – безслідно зник.

На жаль для Банку Бангладеш і на щастя для злочинців, поліція так нікого і не затримала і нікому не висунула звинувачень, а 65 мільйонів вічнозелених знайти так і не вдалося.

Слідчі зійшлися в думці, що цифрові свідчення і докази одностайно вказують в напрямку… Північної Кореї. Повірити в це було непросто. Північна Корея – одна з найбідніших країн світу, вона в значній мірі ізольована від світового суспільства, в тому числі і від технологічних досягнень. Звідкіля там взятися хакерам?!!! І все ж таки, за даними ФБР, зухвалий злом Банку Бангладеш став кульмінацією багаторічної методичної роботи команди хакерів і посередників по всій Азії, яка діяла за підтримки офіційного Пхеньяна.

В сфері кібербезпеки північнокорейські хакери відомі як Lazarus Group або «Вартові Світу», як вони самі себе називають. Назва відсилає нас до біблійного Лазаря, який воскрес з мертвих. Експерти зіткнулися з комп’ютерними вірусами групи і з’ясували, що ті також напрочуд живучі.

Північна Корея – інкубатор самих хитрих, підступних і розумних хакерів на планеті! Щоб повірити в цей вислів, який навіть звучить напіванекдотично, і зрозуміти завдяки чому Північній Кореї вдалося створити елітні підрозділи для ведення кібервоєн, необхідно придивитися до сімейства Кімів, що керує країною з моменту її заснування в 1948 році.

Засновник династії Кім Ір Сен розбудовував країну, що отримала офіційну назву Корейська народно-демократична Республіка, на політичному фундаменті, який називають соціалістичним, хоча скоріше працює це як монархія.

Його син Кім Чен Ір покладався на збройні сили, постійно провокуючи США випробуваннями балістичних ракет і ядерних пристроїв. Американці вважають, що для фінансування атомних програм режим звернувся до незаконних методів, друкуючи «супердолари» – підроблені купюри надвисокої якості фальшування. Той же, Кім Чен Ір вирішив включити кібернетику в стратегію держави, заснувавши в 1990 році Корейський комп’ютерний центр, який до цього часу залишається центром інформаційних операцій країни.

Коли в 2010 році Кім Чен Ин – третій син Кім Чен Іра – був проголошений його спадкоємцем, режим розвернув кампанію по вимальовуванню майбутнього лідера, якому щойно виповнилося двадцять років і який був абсолютно невідомий в країні, в якості поборника науково-технічного прогресу. Метою кампанії було забезпечити лояльність його ровесників і надихнути їх на подальші звершення на славу режиму з використанням цих нових інструментів і досягнень.

Отримавши в 2011 році владу після смерті батька, молодий Кім назвав ядерну зброю «заповітним мечем». Але для того щоб його кувати потрібні були гроші. Багато грошей, яких якраз і не вистачало. Жорсткі санкції, що були введені Радою безпеки ООН після перших випробувань балістичної ракети з ядерною боєголовкою великої дальності в 2006 році, також не додавали великого фінансового оптимізму. Тоді ж, як стверджують спеціалісти, було вирішено звернутися до комп’ютерних зломів.

Науково-технічний прогрес, звісно, чудово, але Північна Корея не підключена до інтернету – інакше вся країна змогла б побачити, як виглядає, зовнішній світ і наскільки його устрій відрізняється від картинки, намальованою пропагандистським апаратом. Тому для того щоб навчати своїх кібервоїнів, режим відправляє самих талановитих і обдарованих математиків за кордон, головним чином в Китай, перетворюючи їх в хакерів.

Вважається, що там десятки, а то і сотні молодих людей під пильним наглядом північнокорейської розвідки, займаються тим же, що і звичайні айтішні фрілансери. Вони працюють на великі корпорації, промальовують героїв онлайн-ігор, розробляють мобільні додатки, заробляючи при цьому до мільйона доларів на рік. Вони ходять в кіно, відвідують кафе, розважаються, грають в азартні ігри, спілкуються в мережі, і живуть цілком безпечним і відносно вільним життям. Але вони готові в будь-яку хвилину виконати завдання своєї країни, навіть незаконне і вкрай небезпечне.

Про те, що це не теорія змови і не плоди хворої фантазії журналістів свідчить кібератака на одну з найбільших в світі розважальних компаній – Sony Pictures Entertainment в Лос-Анджелесі. В 2013 році кінокомпанія оголосила про створення нового фільму з Сетом Рогеном і Джеймсом Франко в головних ролях, дія якого відбувається в Північній Кореї. За сценарієм, ведучий ток-шоу, якого грає Франко, і його продюсер (його грає Роген) збираються до Пхеньяну, щоб взяти інтерв’ю у Кім Чен Ина, а ЦРУ переконує їх вбити північно-корейського лідера.

КНДР погрожував застосувати відповідні заходи до США, якщо фільм буде випущено, а в листопаді 2014 хакери, які назвали себе «Вартовими Світу», надіслали листи з погрозами на адресу компанії. Через декілька днів хакери почали втілювати в життя свої погрози – робочі комп’ютери співробітників Sony Pictures було уражено невідомим вірусом, конфіденційна інформація злилася в глобальну мережу, перестали працювати службові перепустки. Спочатку Sony не збиралося відміняти випуск «Інтерв’ю», але коли хакери пригрозили фізичною розправою топ-менеджерам, плани довелось переглянути. В результаті фільм так і не вийшов в широкий прокат.

В травні 2017 року програма-здирник WannaCry розлетілася по всьому світу – вона шифрувала файли жертв і пропонувала заплатити викуп. Особливо тоді дісталося Національній службі охорони здоров’я Великобританії: постраждали відділення швидкої допомоги, було знищено цілі масиви даних, довелося перенести термінові візити хворих.

Вивчаючи код WannaCry, слідчі Національної агенції по боротьбі зі злочинністю Великобританії разом зі співробітниками ФБР виявили вражаючу схожість з вірусами, що використовувалися для злому Банку Бангладеш та Sony Pictures Entertainment.

І звинувачення на цьому не закінчуються! Якщо брати до віри твердження правоохоронців, кіберармія Північної Кореї доклала руки вже не до однієї з хакерських атак на компютерні системи банків і криптовалютних бірж, а загальні збитки тільки за останні три роки вже перевищили два мільярди доларів США.

Повертаючись до реалій: атака на Банк Бангладеш була проведена більше ніж майстерно, але чи залишились задоволені її результатами в Пхеньяні? Адже розраховували на мільярд, а отримали всього лише декілька десятків мільйонів. Та ще й левова частина з того, що вдалося вкрасти, розчинилася в процесі подорожей по банківській системі і на виплати посередникам.

Знаючи крутий норов північнокорейського лідера, можна з впевненістю стверджувати, що відповідні «оргвисновки» були зроблені, винні покарані і була проведена відповідна робота по недопущенню подібних «утрусок» і «усушок» в подальшій роботі, а бійці, зімкнувши поріділі ряди, ще міцніше вчепилися в свої ноутбуки, продовжуючи стійко тримати фінансовий фронт Північної Кореї.