Na światło dzienne zaczynają wychodzić szczegóły niecodziennej kradzieży pieniędzy, której ofiarą padł bank centralny Bangladeszu. Znamy już niektóre sztuczki przestępców oraz przybliżony przebieg wydarzeń. Jest ciekawie.
4 lutego z kont centralnego banku Bangladeszu w nowojorskim Banku Rezerw Federalnych zniknęło bezpowrotnie 81 milionów dolarów. Zniknąć mogło dużo więcej, lecz sytuację uratowali czujni pracownicy innych instytucji finansowych. Jak mogło dojść do takiej kradzieży i gdzie podziały się pieniądze?
Dobrze przygotowany atak
Historia tego ataku zaczyna się co najmniej w maju 2015, kiedy to w filipińskim banku ktoś korzystający z fałszywego prawa jazdy założył 4 rachunki bankowe użyte do wyprowadzenia skradzionych pieniędzy. Konta te nie były wykorzystywane aż do momentu ataku. Co najmniej 24 stycznia 2016, a prawdopodobnie dużo wcześniej, zaczęła się penetracja systemów banku. Do tej pory najstarsze znalezione ślady nieautoryzowanego dostępu do systemów banku pochodzą z dwóch tygodni poprzedzających kradzież. Firma FireEye prowadząca analizę systemów banku zidentyfikowała sesję włamywacza która trwała tego dnia krócej niż minutę. Kilka dni później atakujący zainstalowali w systemach banku oprogramowanie monitorujące wykonywane operacje systemowe. Ostatnie ich logowanie zanotowano 6 lutego, dwa dni po wykonaniu przelewów. Śledczy na razie odkryli ślady zaawansowanego technologicznie złośliwego oprogramowania którego celem było zebranie informacji o użytkownikach, w tym także ich haseł oraz usunięcie śladów tej działalności. Tropy ataku odkryto na co najmniej 32 urządzeniach a wszystko wskazuje na to, ze głównym celem atakujących były serwery systemu SWIFT, obsługującego transakcje międzybankowe.
A dlaczego nie miliard?
W kolejnej odsłonie ataku włamywacze przeszli do właściwej części operacji, zlecając przelewy na łączną sumę 951 milionów dolarów. 81 milionów trafiło na Filipiny, 20 milionów na Sri Lankę a kolejne 850 milionów próbowano wysłać do innych krajów, lecz do przelewów nie doszło. Prawdopodobnie zwrócono uwagę na ich niecodzienny charakter i zatrzymano do wyjaśnienia.
Gdy kolejne przelewy opuszczały rachunek banku, jego pracownicy ciągle nie zdawali sobie sprawy z powagi sytuacji. Gdy dyrektor jednego z działów dotarł 5 lutego do pracy zwrócił uwagę, że w tacy z reguły zawierającej wydruki potwierdzeń transakcji SWIFT zrealizowanych w nocy tym razem jest całkiem pusto. Nie było to dla niego zaskoczeniem – system psuł się już wcześniej. Spróbował wydrukować odpowiednie potwierdzenia ręcznie, jednak drukarka nadal odmawiała współpracy. Był piątek, w Bangladeszu, którego znakomita większość obywateli to wyznawcy islamu, uznawany za weekend, zatem dyrektor ok. 11:15 wyszedł do domu przekazując pracownikom, by naprawili feralną drukarkę. Gdy w sobotę zajrzał do biura okazało się, że w ogóle nie można zalogować się do systemu SWIFT. Awarię udało się usunąć po nieco ponad dobie po odkryciu, że w systemie brakuje kluczowego pliku. Wydrukowane w końcu potwierdzenia sprawiły, że osoby je czytające wpadły w panikę. 35 zleconych transakcji nie miało żadnego pokrycia w dokumentacji banku. Rozpoczął się wyścig z przestępcami o odzyskanie skradzionych pieniędzy.
Kto pierwszy ten lepszy
Wśród depesz z systemu SWIFT znalazły się między innymi pytania od Banku Rezerw Federalnych, który prosił o potwierdzenie nietypowych transakcji zleconych przez centralny bank Bangladeszu. Bank, pracujący już w niedzielę, próbował się skontaktować z kolegami w USA, jednak w Nowym Jorku również był weekend i przez całą sobotę oraz niedzielę nikt nie czytał poczty i nie odbierał telefonów. Dopiero w poniedziałek okazało się, że 5 przelewów zostało zrealizowanych. Bank z Bangladeszu wysłał natychmiast zlecenia zatrzymania transakcji przez system SWIFT do wszystkich banków, do których trafiły kradzione środki. Pan Asia Banking zdążył już wcześniej zatrzymać 20 milionów dolarów ze względu na podejrzane literówki w nazwie odbiorcy będącego organizacją pozarządową ( pojawiło się tam słowo fandation zamiast foundation) i odesłać je do Nowego Jorku.
81 milionów wysłanych na rachunki w banku Rizal na Filipinach zniknęło. Najpierw trafiły one na cztery różne konta pod pretekstem płatności za projekty infrastrukturalne takie jak budowa mostów, elektrowni czy metra w stolicy kraju a następnie zostały przelane na rachunki lub dostarczone w gotówce do lokalnych kasyn takich jak Bloomberry Resorts czy Eastern Hawaii Leisure. W kasynach trop ginie. Kierowniczka oddziału filipińskiego banku który przyjął przelewy i pozwolił przesłać je dalej odmówiła zeznań. Jeden z pracowników banku twierdzi że widział jak 5 lutego pakowała do swojego samochodu torby ze sporą ilością gotówki. W kluczowym dla sprawy okresie od 4 do 9 lutego kamery systemu monitoringu w oddziale akurat nie działały. Z 81 milionów dolarów przelanych przez przestępców na rachunkach pozostało nieco ponad 68 tysięcy.
Podsumowanie
Bank Rezerw Federalnych poinformował, że nie odnotował żadnego włamania do swoich systemów a wszystkie przelewy były prawidłowo autoryzowane zgodnie z obowiązującymi procedurami. Operatorzy kasyn twierdzą, że nie widzieli niczego dziwnego w przelewach na ogromne kwoty – właśnie zaczynał się chiński Nowy Rok, zatem spodziewali się większego ruchu i bogatszych klientów.
Prezes okradzionego banku centralnego zrezygnował ze stanowiska, jednak powodem nie była sama kradzież, lecz sposób, w jaki dowiedział się o niej minister finansów. Ten przeczytał o incydencie 29 lutego w gazecie. W wypowiedzi podczas konferencji prasowej poinformował że jest pewien współudziału pracowników banku w kradzieży, ponieważ rzekomo wysłanie przelewów wymaga by sześciu pracowników banku położyło swoje dłonie na specjalnych czytnikach.
Inną, bardziej wymierną ofiarą może być Tanvir Hassan Zoha, lokalny specjalista ds. bezpieczeństwa informacji, który na własną rękę prowadził śledztwo w tej sprawie. Kilka dni temu w drodze do domu został zabrany przez osoby w cywilnych ubraniach i wywieziony w nieznanym kierunku. Od tamtego momentu nie ma z nim kontaktu.
Kto stał za atakiem? Nikt na razie nie pokazał palcem sprawców, jednak nazwa Carbanak, grupy stojącej za zuchwałymi włamaniami do systemów bankowych na całym świecie pojawia się w nieformalnych relacjach.
Komentarze
J4K KR45C T0 M1L10NY. J4K RUCH4C TO K513ZN1CZK1.
Współczuję pani kierowniczce, ktora najpewniej jest wrabiana. Filipińska policja znana jest z niekompetencji oraz korupcji i przy sprawie takiego kalibru szukają kozła ofiarnego. Inaczej nie mieli szans wykazania się w inny sposób.
Nie sądzę, aby wrabiano kierowniczkę. Nawet tak skorumpowane władze, jak te filipińskie, nie są na tyle głupie, aby obwiniać kogoś, kto i tak niczego im nie da. Nic dobrego z obwiniania takiej osoby im nie przyjdzie. Nie mówimy o wrobieniu kogoś w morderstwo, ale w kradzież pieniędzy. Od biedaka nic nie odzyskasz, więc próba obciążenia go wydaje się bezsensowna z każdego punktu widzenia.
hmm coraz czesciej mysle, ze by sie przydala jakas opcja bufora na rachunkach bankowych. Np. zeby przelewy wychodzily fizycznie po 3-4 dniach.
Szczególnie przelewy na takie kwoty (liczone w dziesiątkach/setkach milionów) z rachunków należących do instytucji państwowych. Kilka dni nikogo by nie zbawiło, a praktycznie wyeliminowana zostałaby możliwość zrobienia takiego przekrętu.
Pomysł spoko, ale jakoś nie widzę, aby korpa mogły czekać na swoje „sto milionów” kilka dni. Z drugiej strony to może dać kolejną usługę dla banków – szybsza obsługa przelewów, za większą prowizję / opłatę prowadzenia konta.
W jaki niby sposób opóźnienie przesyłania przelewów miałoby cokolwiek poprawić?
@Frank
W ten sposób, że widząc oczekujące podejrzane przelewy, można by je zablokować, zanim wyjdą. Bo potem robi się problem, szczególnie jeśli złodzieje są sprytni i przepuszczą przez kilka banków – zanim się prześledzi trasę, mają szansę już wypłacić.
Oczywiście jeśli ktokolwiek by się przykładał do obserwowania tego… Widać, że w niektórych bankach mieli oko i wstrzymali realizację.
Wtedy nikt by nie widział takiego przelewu. Jeśli ma się dostęp do komputerów banku to można postawić fikcyjny podgląd dla użytkowników. Dzisiaj się tego zazwyczaj nie robi (choć były już takie przypadki), bo nie ma opóźnienia w przelewach, ale gwarantuję Ci, że przestępcy szybko by się dostosowali. To by mogło zadziałać gdyby pracownik firmy/instytucji miałby dostęp do konta także poza własną infrastrukturą, co samo w sobie jest także ryzykowne.
Pomijam już, że przy zmieniających się co sekunda cenach na giełdach kilkudniowy przestój byłby niemożliwy do wprowadzenia w praktyce.
6 osob musialo teoretycznie potwierdzic transakcje kladac rece na czytnikach. 6 osobowa weryfikacja ma chyba dostateczna ilosc etapow, a sa sprawy za ktore nalezy placic na juz, no max na jutro. Zawiodla? A moze ja zlamano? Trudno przesadzac. Ale czasy w ktorych przelew idzie dluzej niz fizyczny kurier raczej nie powinny nadejsc.
Moim zdaniem tok rozumowania osoby wypowiadającej się nt. „6 osobowej weryfikacji” mijają się z realiami. Pewnie by serwer taki przelew podpisał wymagana była autoryzacja/autentykacja przez 6 osób, niestety przestępcy mając dostęp do fizycznego serwera najprawdopodobniej sami sobie to podpisali/zautoryzowali. Być może system podpisów był podatny i klucze prywatne zostały wykradzione, a może nieroztropny administrator zostawił kopię kluczy prywatnych na serwerze? Moim zdaniem jest zbyt mało faktów dostępnych by móc się wypowiedzieć na temat winy.
Wątpię by istniały takie sprawy za które trzeba płacić na już lub na jutro kilkaset/kilkadziesiąt milionów dolarów z pieniędzy publicznych (pomijam prywatne firmy, bo nie o nich jest ten wpis). Należy też zauważyć, że pieniądze zostały przelane jako zapłata za jakieś projekty infrastrukturalne. Nie chcesz chyba powiedzieć, że budowa metra lub mostu nie odbędzie się, bo pieniądze wpłynęłyby trzy dni później? Zresztą, w przypadku kiedy pieniądze musiałyby trafić na konto o określonej dacie np. 20 marca jakim problemem jest wysłać je 16 marca? Wystarczy zastosować taki bufor bezpieczeństwa.
Frank wspomniał w komentarzu wyżej, że przestępcy by się szybko dostosowali… Jak rozumiem nie warto wprowadzać zabezpieczeń (często niestety uciążliwych), bo przecież przestępcy i tak znajdą lukę?
Niestety owszem – NIE WARTO,ponieważ funkcjonowanie tych zabezpieczeń wiąże się z kosztami – możliwe że większymi niż potencjalne straty.W przypadku omawianych wcześniej pomysłów – z GIGANTYCZNYMI kosztami. Bezpieczeństwo bezpieczeństwem,ale ekonomia ekonomią i gospodarka gospodarką…
„Nie chcesz chyba powiedzieć, że budowa metra lub mostu nie odbędzie się, bo pieniądze wpłynęłyby trzy dni później?” – trzy dni przy tego typu projektach i dla firm które je prowadzą to może być całkiem dużo.
„trzy dni przy tego typu projektach i dla firm które je prowadzą to może być całkiem dużo.”
Dlatego w następnym zdaniu swojego komentarza napisałem, że pieniądze należałoby wysłać odpowiednio wcześniej (a były one na koncie dostępne). Nie bawmy się proszę w wyrywanie zdań z kontekstu.
Jeśli chodzi o koszty to ani ja, ani pewnie Ty ich nie znamy. Ciężko jest coś takiego oszacować. Jednak byłbym dalece powściągliwy w wydawaniu osądów, że czegoś nie warto robić nie wiedząc jaki byłby (choćby przybliżony) koszt. Przyznasz chyba sam, że określenie „GIGANTYCZNE koszta” w tym przypadku to zwykły strzał, który niewiele mówi. Najlepiej jakby to było wyrażone w stosunku kosztów do potencjalnych strat (a te są rzeczywiście gigantyczne).
Oczywiście masz rację jeśli chodzi o ekonomiczne podejście do problemu. Ten aspekt TRZEBA wziąć pod uwagę.
A mnie zastanawia fakt, ze ludzie obracajacy milionami a nawet miliardami i niezle zarabiajacy nie pracuja w soboty i niedziele ulatwiajac atak przez brak informacji i nie odbierajac telefony z prosba o interwencje. Jakos zwykly polski robotnik pracujacy za 2 tys. netto moze pracowac w systemie 4-brygadowym w soboty, niedziele i swieta a bankier zarabiajacy duzo wiecej musi miec wolne. Im ktos wiecej zarabia tym mniej pracuje i za mniej odpowiada.
A mnie zupełnie rozłożył fragment o wydrukach potwierdzeń transakcji SWIFT (nieudanych z powodu jakichś problemów z drukarką). Jakby nie można było sobie przejrzeć tych transakcji na ekranie komputera…
Dawno juz po temacie ale czy ktos wie jaki potencjalny malware byl uzyty?