Адрес для входа в РФ: exler.wiki
Как грабили центробанк Бангладеш
Какая интересная история. Первый раз вчера о ней прочитал.
Эксперты рассказали о попытке Lazarus Group похитить $1 млрд у Центробанка Бангладеш.
В 2016 году северокорейские хакеры из Lazarus Group организовали атаку на национальный банк Бангладеш с целью украсть $1 млрд и оказались на грани успеха. Только по счастливой случайности все переводы, кроме транзакции на $81 млн, были остановлены.
По данным канала BBC, инцидент начался со сбоя в работе офисного принтера, который и сыграл решающую роль в атаке. Устройство находилось в охраняемой комнате на 10-м этаже главного офиса банка в Дакке, столице страны. Его задача заключалась в распечатывании записей о многомиллионных переводах, поступающих в банк и исходящих из него.
Сотрудники банка перезагрузили принтер и получили очень тревожные новости. Устройство напечатало срочные сообщения от Федеральной резервной системы (Federal Reserve System, FED) Нью-Йорка, где Бангладеш держит счет в долларах США. FED получила инструкции от Центробанка Бангладеш об опустошении всего счета — около миллиарда долларов.
Работники банка пытались обратиться к FED за разъяснениями, но, благодаря очень тщательному расчету хакеров, им это не удалось. Взлом начался около 20:00 по бангладешскому времени в четверг, 4 февраля. Но в Нью-Йорке было утро четверга, что дало FED достаточно времени для выполнения указаний хакеров, пока сотрудники Центробанка Бангладеша спали.
На следующий день, в пятницу, в Бангладеш начались выходные — с пятницы по субботу. А когда в Бангладеш начали расследовать кражу в субботу, в Нью-Йорке уже были свои выходные. С целью выиграть еще больше времени, хакеры перевели деньги из FED на счета в Маниле, столице Филиппин. А в 2016 году понедельник 8 февраля был первым днем Лунного Нового года, национального праздника в Азии. Используя разницу во времени между Бангладеш, Нью-Йорком и Филиппинами, хакеры разработали точную пятидневную атаку.
Lazarus Group скрывалась в системах банка в течение года. В январе 2015 года нескольким сотрудникам Бангладешского банка было отправлено безобидное на вид электронное письмо от соискателя по имени Расел Ахлам, предлагавшее загрузить резюме Ахлама и сопроводительное письмо с web-сайта. Как минимум один сотрудник банка попался на уловку, скачал документы и установил на систему вредоносное ПО. Оказавшись в сети банка, Lazarus Group начала незаметно перемещаться по сети к цифровым хранилищам и миллиардам долларов. Вскоре хакеры получили доступ к ключевой части системы национального банка Бангладеш — Swift.
Вскоре должностным лицам банка стало ясно, что часть денег уже поступила на счета в Филиппинах, где власти потребовали постановление суда для осуществления возврата средств. Однако сотрудникам FED удалось предотвратить большинство переводов преступников. Отделение банка RCBC в Маниле, куда хакеры пытались перевести $951 млн, находилось на Jupiter Street.
«Транзакции были отклонены в FED, потому что используемый хакерами адрес содержал слово Jupiter, которое также является названием находящегося под санкциями иранского судоходного судна», — пояснили эксперты.
Одного упоминания слова Jupiter было достаточно, чтобы вызвать тревогу в автоматизированных компьютерных системах FED. Выплаты были пересмотрены, и большинство из них остановлены. Тем не менее, пять транзакций на сумму $101 млн все же прошли проверку.
Из них $20 млн были переведены в благотворительную организацию Шри-Ланки Shalika Foundation, которую сообщники хакеров использовали в качестве одного из каналов для вывоза украденных денег. Для следующего этапа операции по отмыванию денег воры использовали отель Solaire в Маниле. Из $81 млн денег, $50 млн были депонированы на счетах в казино Solaire и Midas. После того, как украденные деньги будут конвертированы в фишки казино, разыграны за столами и обменены обратно на наличные, следователям будет практически невозможно их отследить. В течение нескольких недель игроки сидели в казино Манилы и отмывали деньги. Сотрудникам банка удалось вернуть лишь $16 млн украденных денег у одного из организаторов азартных игр в казино Midas.
По мере того, как деньги, украденные из Центробанка Бангладеш, отмывались через Филиппины, начали появляться многочисленные связи со специальным административным районом КитаяМакао. Некоторые из мужчин, организовавших азартные игры в Solaire, были прослежены до Макао. Две компании, забронировавшие частные игорные комнаты, также находились в Макао. Следователи полагают, что большая часть украденных денег отправилась на эту небольшую китайскую территорию, а затем была перенаправлена в Северную Корею. (Отсюда.)
Тут самый прикол в том, что система тупо среагировала на слово Jupiter, которое является названием иранского судна, для запуска процедуры проверки, потому что адрес банка, куда пытались перевести деньги, находилось на Jupiter Street. То есть налицо полнейшая некомпетентность программистов системы, которая, однако, позволила пресечь большую часть хищения.
Забавно, да?
www.bbc.co.uk
О самой атаке любопытно, но поверхностно. Суть отражена в статье. Наиболее интересными мне показались зарисовки о Северной Корее.
Говорилось что хакеров подвели ошибки в написании слов, которые насторожили банковских клерков.
И что время выбрали прямо перед местными праздниками и длинными выходными.
В целом да, как развлекательная история по мотивам реальных событий с участием принтера и Jupiter 😄
Да и про принтер тоже какая то фигня...
Но взлом имел метос быть. en.wikipedia.org
Тема атаки на принтер интересна, учитывая, что принтер это мощный комп, который может анализировать и печатать/не печатать нужное.
Вообще-то это самый логичный способ отследить среди миллиардов всех транзакций те, которые надо проверить более пристально. У банков РФ тоже подобные системы в рамках ПОД/ФТ работают.
Или прикол в том, что система не "поняла", что один Юпитер это судно, а другой это улица? Так и не должна вообще. Это же не ИИ, а просто поиск строк в тексте.
Дальше уже сотрудники будут смотреть на платеж и решать. Примут решение, что в конкретном поле слово вызывает ложные срабатывания - правила поправят. Обычный процесс.
То есть данный кусок использовался как самый первый входной фильтр и понятно, что он сам по себе примитивнейший. За ним, понятно, стоят более серьезные проверки и системы. Кроме того, он и должен был сделан так, что лучше пусть будет допускать ложные срабатывания, чем пропустит что-то реально неправильное.
Говорить тут о некомпетентности программистов системы, не зная требований к ней и задач, которые стояли перед программистами - это тоже полнейшая некомпетентность, если что 😉
Хотя вряд ли подобную систему разрабатывали дилетанты, с нулевым опытом работ в этой сфере. А если так, то они должны (обязаны!) обратить внимание заказчика на слабые места. То, что он потом будет ослаблять параметры защиты или даже отключать - ну, тогда руки прогеров чисты.
Вот в таком виде все логично. Более того, система-то в итоге и сработала и защитила существенную часть денег, пусть и по случайному совпадению 😄.
Самурай носит свой меч каждый день, хотя он может ему понадобится всего один раз в жизни.
Если система после этого начинает слишком громко и часто вопить, тогда закручивают чувствительность. Слишком редко - откручивают. Как-то так.
Ещё скажи, что работники СББ не обмениваются информацией неформально...
Там расследование началось с расхождения в несколько "копеек" в счете за телефон.
Полсантиметра в толщину, форматом со школьную тетрадку, иногда коротенькие детективы в нем печатали.
Легенда, скорее всего.
Принтер логгирования в защищенной комнате, но подвержен взлому, а Swift-терминалы доступны из локальной сети, никто платежи не аппрувит, ключики не вставляет, не подписывает.
С той стороны огромные платежи банка страны тоже автоматом. Маркер сработки Jupiter - думается, в туевой хуче наименований используется в мире.
Ну и думается, если платежек на миллиард единовременно, таки очень вероятно, что с федрезерва таки поинтересуются, что это мол вы вдруг, не ошиблись ли?
И вообще, завидую твоим познаниям о том, как обстоят дела с авторизацией платежей в ЦБ Бангладеш. Сам факт кражи говорит о том, что не так, как ты себе это представляешь
Или там очень много недосказано скажем про инсайд, планировавшиеся переводы, соучастников и пр.
Вот у какого-то клиента банка через БК это имеет больше шансов на успех при раздолбайстве с обоих сторон и везении.
Во времена оны наш SWIFT терминал, не только был отключен от общей сети банка, он еще и ездил на OS/2. А ты пойди к ней трояна еще напиши, да на трехдюймовую дискету залей.
p.s. А зачем вы оставили ему дискету? Даже я, помню, демонтировал FDD у серверов. На всякий случай.
Спросите в Молдавии. Они вам расскажут.
1. Банки выдают невозвратные кредиты.
2. Банки жалуются, что им не возвращают деньги. Работать невозможно.
3. Правительство выделяет 1 миллиард евро в помощь банкам.
4. Банки банкротятся.
5. Всё довольны. Кроме народа. Ему надо найти денег, закрыть дыру в бюджете. Четверть годового бюджета.
Конечно, это было не так просто и быстро, как я написал.
Но пятый пункт актуален до сих пор.
Выдавали исключительно представителям народа. 😀
Депутатам, министрам, их жёнам, детям, любовницам...
Они и будут против. Им самим места мало.
Если только кто-то "разрешил" своровать.
Почему-то вспомнился Н. Карамзин: "В России воруют не миллионами и миллиардами, а веками".
И никаких тебе современных систем анализа и предотвражение. То есть они есть ести ситсемы, но цари, вожди и их свита, плевали на них, т.к. народу всё равно, когда его обворовывают.
И да, такое реально только в системах с человеческим фактором.
там про это, про то как киностудию хакнули, на кот. сняли "Интервью" и пр.
Это, примерно, как "паровой паровоз", но только не по рельсам едет, а по воде.
Там по ссылке есть веселая песенка "Котоход".
Так и есть, переводы с "подозрительными" назначениями платежа попадают на ручную обработку. А это, в первую очередь, время.
Списать с арестованных счетов сумму ущерба и всё.
Нет счетов? Арестовать первую же закупку любых товаров в страну.
Голод у них? Так Бангладеш их кормить не обещал.
Тут даже отмывание денег не поможет. Никого не интересует где они взяли конкретные деньги.
Тоесть списать нужно с хозяина дома, как заказчика, а исполнителя просто посадить, если поймается.
Да закон так и работает, только в этом случае работает пункт в составе преступной группы
Хакеры работают на государство и никак иначе.
Хакеры работают на государство и никак иначе.
В КНДР есть интрАнет, который обычно и именуют частной или приватной сетью.
Счета у частных лиц насколько я знаю, там тоже есть...
Тот же вопрос реквизиты для перевода на частный счёт в северной Корее не подскажете?
Тот же вопрос реквизиты для перевода на частный счёт в северной Корее не подскажете?
Самый простой способ - это биткойн и прочие криптовалюты.
Кстати вопрос, а если кроме северокорейских засветились айпишники сша - то может проще деньги с США стребовать, наверняка они за это отвечают?
А вообще да, забавно, что такая мелочь, которую предусмотреть почти невозможно, остановила такой грабеж ...
это вечная борьба систем антифрода и мошенников
если чуваки готовились год, то уж посчитали про антифрод американцев и могли аккуратно прятать платежи, конкретно с юпитером не повезло