Jak zniknęło 81 milionów dolarów – historia prawdziwa

dodał 20 marca 2016 o 18:57 w kategorii Włamania  z tagami:
Jak zniknęło 81 milionów dolarów – historia prawdziwa

Na światło dzienne zaczynają wychodzić szczegóły niecodziennej kradzieży pieniędzy, której ofiarą padł bank centralny Bangladeszu. Znamy już niektóre sztuczki przestępców oraz przybliżony przebieg wydarzeń. Jest ciekawie.

4 lutego z kont centralnego banku Bangladeszu w nowojorskim Banku Rezerw Federalnych zniknęło bezpowrotnie 81 milionów dolarów. Zniknąć mogło dużo więcej, lecz sytuację uratowali czujni pracownicy innych instytucji finansowych. Jak mogło dojść do takiej kradzieży i gdzie podziały się pieniądze?

Dobrze przygotowany atak

Historia tego ataku zaczyna się co najmniej w maju 2015, kiedy to w filipińskim banku ktoś korzystający z fałszywego prawa jazdy założył 4 rachunki bankowe użyte do wyprowadzenia skradzionych pieniędzy. Konta te nie były wykorzystywane aż do momentu ataku. Co najmniej 24 stycznia 2016, a prawdopodobnie dużo wcześniej, zaczęła się penetracja systemów banku. Do tej pory najstarsze znalezione ślady nieautoryzowanego dostępu do systemów banku pochodzą z dwóch tygodni poprzedzających kradzież. Firma FireEye prowadząca analizę systemów banku zidentyfikowała sesję włamywacza która trwała tego dnia krócej niż minutę. Kilka dni później atakujący zainstalowali w systemach banku oprogramowanie monitorujące wykonywane operacje systemowe. Ostatnie ich logowanie zanotowano 6 lutego, dwa dni po wykonaniu przelewów. Śledczy na razie odkryli ślady zaawansowanego technologicznie złośliwego oprogramowania którego celem było zebranie informacji o użytkownikach, w tym także ich haseł oraz usunięcie śladów tej działalności. Tropy ataku odkryto na co najmniej 32 urządzeniach a wszystko wskazuje na to, ze głównym celem atakujących były serwery systemu SWIFT, obsługującego transakcje międzybankowe.

A dlaczego nie miliard?

W kolejnej odsłonie ataku włamywacze przeszli do właściwej części operacji, zlecając przelewy na łączną sumę 951 milionów dolarów. 81 milionów trafiło na Filipiny, 20 milionów na Sri Lankę a kolejne 850 milionów próbowano wysłać do innych krajów, lecz do przelewów nie doszło. Prawdopodobnie zwrócono uwagę na ich niecodzienny charakter i zatrzymano do wyjaśnienia.

Gdy kolejne przelewy opuszczały rachunek banku, jego pracownicy ciągle nie zdawali sobie sprawy z powagi sytuacji. Gdy dyrektor jednego z działów dotarł 5 lutego do pracy zwrócił uwagę, że w tacy z reguły zawierającej wydruki potwierdzeń transakcji SWIFT zrealizowanych w nocy tym razem jest całkiem pusto. Nie było to dla niego zaskoczeniem – system psuł się już wcześniej. Spróbował wydrukować odpowiednie potwierdzenia ręcznie, jednak drukarka nadal odmawiała współpracy. Był piątek, w Bangladeszu, którego znakomita większość obywateli to wyznawcy islamu, uznawany za weekend, zatem dyrektor ok. 11:15 wyszedł do domu przekazując pracownikom, by naprawili feralną drukarkę. Gdy w sobotę zajrzał do biura okazało się, że w ogóle nie można zalogować się do systemu SWIFT. Awarię udało się usunąć po nieco ponad dobie po odkryciu, że w systemie brakuje kluczowego pliku. Wydrukowane w końcu potwierdzenia sprawiły, że osoby je czytające wpadły w panikę. 35 zleconych transakcji nie miało żadnego pokrycia w dokumentacji banku. Rozpoczął się wyścig z przestępcami o odzyskanie skradzionych pieniędzy.

Kto pierwszy ten lepszy

Wśród depesz z systemu SWIFT znalazły się między innymi pytania od Banku Rezerw Federalnych, który prosił o potwierdzenie nietypowych transakcji zleconych przez centralny bank Bangladeszu. Bank, pracujący już w niedzielę, próbował się skontaktować z kolegami w USA, jednak w Nowym Jorku również był weekend i przez całą sobotę oraz niedzielę nikt nie czytał poczty i nie odbierał telefonów. Dopiero w poniedziałek okazało się, że 5 przelewów zostało zrealizowanych. Bank z Bangladeszu wysłał natychmiast zlecenia zatrzymania transakcji przez system SWIFT do wszystkich banków, do których trafiły kradzione środki. Pan Asia Banking zdążył już wcześniej zatrzymać 20 milionów dolarów ze względu na podejrzane literówki w nazwie odbiorcy będącego organizacją pozarządową ( pojawiło się tam słowo fandation zamiast foundation) i odesłać je do Nowego Jorku.

81 milionów wysłanych na rachunki w banku Rizal na Filipinach zniknęło. Najpierw trafiły one na cztery różne konta pod pretekstem płatności za projekty infrastrukturalne takie jak budowa mostów, elektrowni czy metra w stolicy kraju a następnie zostały przelane na rachunki lub dostarczone w gotówce do lokalnych kasyn takich jak Bloomberry Resorts czy Eastern Hawaii Leisure. W kasynach trop ginie.  Kierowniczka oddziału filipińskiego banku który przyjął przelewy i pozwolił przesłać je dalej odmówiła zeznań. Jeden z pracowników banku twierdzi że widział jak 5 lutego pakowała do swojego samochodu torby ze sporą ilością gotówki. W kluczowym dla sprawy okresie od 4 do 9 lutego kamery systemu monitoringu w oddziale akurat nie działały. Z 81 milionów dolarów przelanych przez przestępców na rachunkach pozostało nieco ponad 68 tysięcy.

Reklama kasyna, w którym zniknęły pieniądze

Reklama kasyna, w którym zniknęły pieniądze

Podsumowanie

Bank Rezerw Federalnych poinformował, że nie odnotował żadnego włamania do swoich systemów a wszystkie przelewy były prawidłowo autoryzowane zgodnie z obowiązującymi procedurami. Operatorzy kasyn twierdzą, że nie widzieli niczego dziwnego w przelewach na ogromne kwoty – właśnie zaczynał się chiński Nowy Rok, zatem spodziewali się większego ruchu i bogatszych klientów.

Prezes okradzionego banku centralnego zrezygnował ze stanowiska, jednak powodem nie była sama kradzież, lecz sposób, w jaki dowiedział się o niej minister finansów. Ten przeczytał o incydencie 29 lutego w gazecie. W wypowiedzi podczas konferencji prasowej poinformował że jest pewien współudziału pracowników banku w kradzieży, ponieważ rzekomo wysłanie przelewów wymaga by sześciu pracowników banku położyło swoje dłonie na specjalnych czytnikach.

Inną, bardziej wymierną ofiarą może być Tanvir Hassan Zoha, lokalny specjalista ds. bezpieczeństwa informacji, który na własną rękę prowadził śledztwo w tej sprawie. Kilka dni temu w drodze do domu został zabrany przez osoby w cywilnych ubraniach i wywieziony w nieznanym kierunku. Od tamtego momentu nie ma z nim kontaktu.

Kto stał za atakiem? Nikt na razie nie pokazał palcem sprawców, jednak nazwa Carbanak, grupy stojącej za zuchwałymi włamaniami do systemów bankowych na całym świecie pojawia się w nieformalnych relacjach.

Źródła: 1, 2, 3, 4, 5, 6.