În 2016 grupul Lazarus, hackerii de elită ai Coreei de Nord, au plănuit un atac cibernetic de un miliard de dolari asupra băncii centrale din Bangladesh, informează BBC.
Totuși, cum se face de a fost posibil ca o ţară izolată şi lipsită de resurse precum Coreea de Nord să fie pe punctul de a reuşi o astfel de operațiune informatică de proporţii?
Potrivit FBI, atacul cibernetic a fost pregătit ani de zile de Grupul Lazarus şi de complici din Asia cu sprijinul regimului nord-coreean.
Liderul grupului este Park Jin-hyok, cunoscut şi sub numele de Pak Jin-hek sau Park Kwang-jin, un programator absolvent al unei universităţi de vârf din Coreea de Nord şi care apoi s-a angajat la Chosun Expo, o companie nord-coreeană specializată în software de cazinouri online cu sediul în Dailan, China,.
În 2011, fotografia lui Park, publicată de FBI, înfățișează un bărbat de circa 30 de ani, normal, dacă n-ar fi fost epuizarea ce i se citea pe chip.
Park, dacă ăsta e numele său, este doar unul din tinerii nord-coreeni talentaţi cultivaţi de regim să devină hackeri încă de la vârsta de 12 ani – ei sunt aduşi în capitală şi educați și instruiţi de dimineaţa până seara.
În dimineaţa zilei de 5 februarie 2016, copiatorul ce trebuia să printeze transferurile Băncii Centrale din Bangladesh nu mai funcţiona, hackerii se infiltraseră deja în reţeaua informatică.
Când copiatorul a fost pus din nou în funcţiune, un mesaj alarmant le-a apărut angajaţilor Băncii Centrale din Bangladesh – Rezerva Federală din New York le solicita golirea contului de aproape un miliard de dolari.
Iar Banca Centrală din Bangladesh nu reușea să ia legătura cu instituţia financiară din SUA, pentru că era sfârșit de săptămână.
Atacul fusese orchestrat foarte atent – a început joi seara, ora locală în Bangladesh, respectiv vineri dimineaţa la New York, adică fix când banca din țara asiatică nu avea program în timp ce în SUA era zi de lucru.
Diferenţa de fus orar le-a oferit hacker-ilor un răstimp de trei zile şi au câştigat încă două zile după ce au transferat banii din Rezerva Federală în conturi deschise în Filipine, unde de luni începea Anul Nou Lunar, o vacanţă naţională în Asia.
Grupul Lazarus se infiltrase în reţeaua de computere încă din 2015, printr-un email conţinând un CV pe care un angajat al băncii l-a încărcat în sistem.
Hackerii aveau însă nevoie de un plan de transfer al banilor în siguranţă. Complicii lor, toţi cu permise de conducere false şi acelaşi loc de muncă şi salarii, au deschis mai multe conturi la sucursala RCBC din Manila. Nimeni n-a observat asta.
Grupul Lazarus avea un singur obstacol – copiatorul de la etajul 10 al Băncii Centrale din Bangladesh prin care se tipăreau pe hârtie copii ale transferurilor de bani din conturi.
După ce şi-au acoperit urmele, scoţând copiatorul din funcţiune, au început să retragă banii – 35 de transferuri totalizând 951 de milioane de dolari, adică aproape toţi banii din conturile Rezervei Federale.
Un singur detaliu le-a scăpat, cel care i-a și dat de gol. Banca Centrală din Bangladesh a descoperit atacul în weekend şi guvernatorul a cerut ajutor unei companii, fără a face publică operațiunea şi chiar fără a informa guvernul de la Dhaka.
Hackerii se infiltraseră în sistemul SWIFT de plăţi interbancare. O parte din bani ajunseseră deja în conturile din Filipine şi puteau fi înapoiaţi doar prin ordin judecătoresc.
Acest tip de documente sunt publice în Filipine aşa că povestea a explodat în presa din toată lumea la sfârşitul lunii februarie, când Bangladesh a făcut demersurile în instanţă. Guvernatorii Băncii centrale şi-a dat demisia.
Carolyn Maloney, membru al Comisiei pentru servicii financiare din Congresul american, îşi aminteşte de acest jaf pe care l-a găsit ”şocant”, gândindu-se că a înşelat vigilenţa Rezervei Federale şi întrebându-se cum au reuşi aceşti hackeri să facă asta.
Sucursala băncii RCBC din Manila se afla pe strada Jupiter – hackerii au ales-o neinspirat, Jupiter fiind numele unui vas iranian sancţionat de SUA.
Acest nume a dat alarma în sistemele informatice ale Rezervei Federale şi astfel au fost oprite majoritatea tranzacţiilor cu excepţia a cinci, în valoare totală de 100 de milioane de dolari.
Din aceşti bani, alţi 20 de milioane de dolari au fost opriţi după ce un angajat al unei bănci din Sri Lanka a observat o greşeală – transferul era către ”Shalika Fundation”.
Aşa hackerii s-au ales doar cu 81 de milioane de dolari care au fost schimbaţi în monedă locală, redepozitaţi în conturile din Flipine, iar o parte, retraşi.
Restul au ajuns în conturile Solaire şi Midas, două cazinouri din Manila, după ce au fost schimbaţi pe jetoane şi apoi în cash.
Hackerii au folosit complici care le-au jucat la mese private unde au pariat la baccara, un joc simplu ce nu necesita riscuri mari, mai ales pentru jucătorii experimentaţi.
Dar banca pakistaneză dăduse de urma banilor ”curățați” la cazinourile din Flipine şi oficiali ai băncii au mers acolo, reuşind să recupereze 16 milioane de dolari de la un bărbat care organiza pariurile la cazinoul Midas.
O altă urmă a tranferurilor banilor i-a purtat la Macao, care are de asemenea cazinouri cunoscute în toată lumea. Dar ţara are şi legături apropiate cu Coreea de Nord, fiind locul în care a trăit în exil Kim Jong-nam, fratele vitreg al actualului lider nord-coreean, înainte de a fi otrăvit în Malaysia.
O parte din pariorii care spălaseră banii furaţi la cazinoul Solaire au fost descoperiţi în Macao – două din companiile care organizaseră jocurile private în Filipine îşi aveau sediul aici. Anchetatorii cred că grosul banilor au ajuns de aici în Coreea de Nord.
Dar cum de are Coreea de Nord hackeri atât de experimentaţi şi capabili de asemenea lovituri?
Strategia Coreei de Nord este trimiterea unor tineri talentaţi la instruire şi avanposturi în China.
Una dintre locaţiile operaţiunilor a fost descoperită la un hotel din Shenyang (nord-estul Chinei), numit Chilbosan, după un lanţ muntos faimos din Coreea de Nord. Hotelul e decorat în stil nord-coreean şi oferă preparate tradiţionale din Coreea de Nord. Kyung-jin Kim, spune că atacurile informatice au fost conduse inclusiv de aici, începând din 2014.
Potrivit lui Hyun-seung Lee, fost anchetator FBI în Coreea – a cărui familie a fugit din ţară în 2014 – oraşul-port chinez Dalian, de unde a operat suspectul atacului de la Banca din Bangladesh, este gazda unei comunităţi de programatori implicaţi în operaţiuni de fraudă cibernetică conduse din Coreea de Nord.
Hyun-seung Lee, care trăieşte de mai mulţi ani în Dalian, unde tatăl său, un om de afaceri, a lucrat pentru guvernul nord-coreean până a dezertat în 2014, spune că sunt cel puţin 60 de tineri programatori în oraş, iar pe unii dintre ei i-a cunoscut.
A fost invitat la birourile lor de lucru – 20 de oameni înghesuiţi într-un spaţiu unde dormeau şi lucrau producând jocuri pe computer pe care le vindeau în Coreea de Sud şi Japonia, cu câştiguri de 1 milion de dolari pe an.
