Цена одной опечатки: Как три неверные буквы сорвали киберограбление на миллиард долларов

1. Миллиард в прицеле: Как Центробанк Бангладеш стал идеальной мишенью

Чтобы украсть миллиард долларов у государства, не нужно взламывать хранилища с золотыми слитками. В современной международной банковской системе деньги — это просто записи на серверах. Центробанк Бангладеш, как и многие другие центробанки мира, хранил свои валютные резервы на счетах Федерального резервного банка Нью-Йорка (ФРС).

Чтобы перевести эти средства куда угодно, достаточно отправить легитимный запрос через межбанковскую систему передачи информации и совершения платежей — SWIFT.

Почему именно Бангладеш? Атаковать серверы ФРС Нью-Йорка или ядро сети SWIFT технически нецелесообразно — это системы с беспрецедентным уровнем защиты. Но интерфейс доступа к деньгам (терминал SWIFT) находится на стороне клиента. И именно инфраструктура ЦБ Бангладеш оказалась идеальной точкой входа.

Причина банальна — тотальная экономия на базовой информационной безопасности:

• Отсутствие сегментации: Комната с терминалом SWIFT должна быть жестко изолирована от остальной корпоративной сети. В Бангладеш этого не сделали.

• Дешевое железо: Вместо энтерпрайз-решений, управляемых коммутаторов и аппаратных фаерволов, банк использовал обычные б/у роутеры стоимостью около $10.

• Дырявый периметр: Любая скомпрометированная машина рядового сотрудника открывала прямой путь к критически важным серверам.

Точка входа В январе 2016 года хакеры из северокорейской группировки Lazarus начали операцию с классического целевого фишинга (spear-phishing).

На электронные адреса нескольких сотрудников банка упало письмо от соискателя по имени «Рассел Алам» (Rasel Ahlam). Внутри находился безобидный на первый взгляд файл с резюме и сопроводительным письмом. На деле файл содержал скрытый троян (скорее всего, документ с вредоносными макросами или запакованный экзешник).

Один из клерков скачал резюме и открыл его на рабочем компьютере. Этого клика оказалось достаточно. Вредонос незаметно отработал в фоне, закрепился в системе и открыл бэкдор. Хакеры Lazarus оказались внутри банковской сети и начали свой путь к терминалу SWIFT.

2. Призрак в системе: Как взломать SWIFT

Получив первичный доступ, хакеры из Lazarus не стали сразу ломать серверы и пытаться вывести деньги. Любая аномалия в сети центробанка могла поднять тревогу. Вместо этого они ушли в глубокую разведку, которая длилась несколько недель.

Разведка боем Всё это время атакующие тихо перемещались по сети (lateral movement), дампили пароли и изучали внутренние процессы. Им нужно было понять бизнес-логику: в какие часы операторы начинают и заканчивают смены, кто и как авторизует транзакции, в какие дни уходят самые крупные суммы.

Хакеры установили кейлоггеры и снимали скриншоты с рабочих машин клерков. Главной задачей было досконально изучить формат сообщений SWIFT (стандарты вроде MT103 и MT202) и специфику заполнения полей. Чтобы ФРС Нью-Йорка без вопросов одобрила переводы на сотни миллионов долларов, запросы должны были выглядеть абсолютно рутинно.

Техническая матчасть Сама по себе система SWIFT — это не просто программа на рабочем столе. Это защищенный аппаратно-программный комплекс. Банки подключаются к глобальной финансовой сети через специализированное серверное ПО — Alliance Access.

Воспользовавшись слабой архитектурой сети (теми самыми дешевыми коммутаторами и отсутствием жесткой изоляции SWIFT-контура), хакеры скомпрометировали контроллер домена, нашли нужные учетные записи и добрались до серверов, на которых крутился Alliance Access.

Кастомная малварь Просто получить доступ к серверу было недостаточно. В SWIFT встроены жесткие механизмы криптографической защиты и проверки целостности данных. Поэтому Lazarus написали кастомную малварь, заточенную исключительно под взлом Alliance Access.

Этот вредонос (позже ИБ-исследователи идентифицируют его как набор модифицированных DLL-библиотек и исполняемых файлов) внедрялся глубоко в процессы банковского софта. Он делал три вещи:

1. Перехватывал управление над процессами Alliance Access в оперативной памяти.

2. Подменял проверки встроенных механизмов валидации и обходил систему контроля целостности локальной базы данных (Oracle), на которую опирался софт.

3. Формировал от лица ЦБ Бангладеш запросы на перевод денег в обход операторов, автоматически подписывая их легитимными криптографическими ключами банка.

Для серверов ФРС в Нью-Йорке всё выглядело так, будто авторизованный сотрудник в Дакке сел за терминал и штатно отправил деньги. Малварь полностью подчинила себе программный комплекс. Оставалось только выбрать правильный момент для удара.

3. Слепой принтер и идеальный тайминг: Кража под прикрытием выходных

Идеальный взлом требует не только сложного кода, но и безупречного планирования времени. Чтобы вывести миллиард долларов, хакерам нужно было окно, когда никто не будет следить за мониторами и сверять остатки на счетах.

Выбор времени Атака стартовала вечером в четверг, 4 февраля 2016 года. Выбор даты был математически точным:

• В Бангладеш пятница и суббота — официальные государственные выходные, банк пуст.

• В США (где находится ФРС Нью-Йорка) выходные — это суббота и воскресенье.

Эта разница в расписаниях и часовых поясах дала группировке Lazarus почти четверо суток идеальной «слепой зоны». В течение этого времени в обоих банках не было людей, способных оперативно связаться друг с другом и заблокировать переводы.

Устранение улик в физическом мире Замести цифровые следы внутри скомпрометированного сервера — половина дела. В защищенной комнате ЦБ Бангладеш находился независимый механизм контроля: обычный матричный принтер. Он был настроен на автоматическую распечатку бумажных квитанций для каждой входящей и исходящей транзакции SWIFT.

Для банковских служащих это был главный физический лог. Если деньги уходят со счета, принтер должен начать шуметь и печатать подтверждение. Бумагу нельзя удалить удаленно.

Патч печатного механизма Хакерам пришлось решать проблему в физическом мире с помощью программного обеспечения. Вредоносная программа, установленная на серверах SWIFT, включала в себя специальный модуль, который перехватывал и блокировал отправку данных на печать.

Когда вечером в четверг вредонос начал генерировать десятки фальшивых запросов на перевод $1 млрд в ФРС Нью-Йорка, принтер в Бангладеш просто замолчал.

Утром в воскресенье, когда сотрудники ЦБ вышли на работу (начало их рабочей недели), они обнаружили, что принтер не работает. Сначала это списали на банальный аппаратный сбой. На починку сети и перезапуск оборудования ушли часы. Когда принтер наконец ожил и начал непрерывно выплевывать накопившиеся чеки о списании сотен миллионов долларов, было слишком поздно — запросы уже давно достигли Нью-Йорка.

4. Роковая опечатка: Fandation вместо Foundation

ФРС Нью-Йорка начала автоматически обрабатывать поступающие запросы. Криптографические подписи были подлинными, формат сообщений — корректным. Система не видела причин для блокировки. Первые четыре транзакции на общую сумму $81 млн успешно прошли все проверки и улетели на заранее подготовленные счета на Филиппинах. Ограбление шло по плану.

Человеческий фактор Пятый перевод на сумму $20 млн был направлен на счет некоммерческой организации на Шри-Ланке, которая называлась Shalika Foundation.

Здесь в безупречный технический план вмешалась человеческая усталость или простое незнание английского языка. Хакер, вбивая реквизиты получателя, допустил банальную опечатку. Вместо Foundation он напечатал Fandation.

Вмешательство случая Международные переводы редко идут напрямую, обычно они проходят через банки-корреспонденты. Платеж на Шри-Ланку маршрутизировался через Deutsche Bank.

Ошибочное слово Fandation зацепило внимание автоматизированной системы комплаенса (или бдительного операциониста). В жестко регламентированной банковской сфере расхождения в названиях юрлиц — это красный флаг. Deutsche Bank приостановил транзакцию и направил в ЦБ Бангладеш рутинный запрос на подтверждение реквизитов.

Именно этот запрос разрушил всю схему. К тому моменту системы фрод-мониторинга ФРС Нью-Йорка также забили тревогу, зафиксировав аномальное количество переводов из резервов суверенного государства на счета сомнительных частных фондов. Цепочка оборвалась. ФРС экстренно заблокировала оставшиеся переводы на $850 млн.

Сложнейшая многомесячная кибероперация с использованием кастомной малвари и патчингом физических устройств провалилась из-за трех неверных букв на клавиатуре.

5. По следам $81 миллиона: Казино, Филиппины и наследие Lazarus

Те $81 млн, что успели проскользнуть через фильтры ФРС, бесследно растворились в Юго-Восточной Азии. Этот этап операции показал, насколько глубоким было планирование.

Идеальное отмывание Деньги упали на четыре счета в филиппинском банке RCBC в Маниле. Эти счета были открыты по поддельным документам еще за год до атаки — в мае 2015 года, и всё это время лежали с балансом в $500, ожидая своего часа.

Как только миллионы поступили на счета, их немедленно перевели брокерам, конвертировали в филиппинские песо и вывели в наличность. Финальной точкой маршрута стали крупные казино Манилы. В игорных зонах наличность обменяли на фишки, провернули через столы для баккары и снова обналичили. В этот момент цепочка транзакций окончательно прервалась: в мире легального гемблинга следы таких денег теряются навсегда. Вернуть удалось лишь жалкие крохи от украденной суммы.

Геополитический контекст Расследованием инцидента занялись топовые ИБ-компании (FireEye, Symantec, Kaspersky). Анализируя логи, IP-адреса и фрагменты кода кастомной малвари, исследователи нашли прямые пересечения с инструментарием печально известной группировки Lazarus.

Это открытие зафиксировало уникальный исторический прецедент. До этого момента считалось, что элитные правительственные хакеры (APT-группировки) занимаются исключительно кибершпионажем, кражей военных секретов или саботажем инфраструктуры противника. Северная Корея изменила правила игры: целое государство использовало кибероружие и топовых специалистов для банального ограбления банков, чтобы пополнить бюджет в условиях жестких международных санкций.

Итог История взлома Центробанка Бангладеш — это классический пример того, как в мире информационной безопасности технологии всегда сталкиваются с человеческим фактором.

Группировка Lazarus провела феноменальную работу: они месяцами сидели в сети, написали сложнейший эксплойт для взлома закрытого комплекса SWIFT и даже удаленно пропатчили матричный принтер, чтобы ослепить службу безопасности в физическом мире. И вся эта многомиллионная операция спецслужб, подготовка которой заняла больше года, с треском провалилась из-за банального незнания английского языка и рутинной внимательности банковского клерка. Опечатка в три буквы спасла миру 850 миллионов долларов.

Анонсы новых статей, полезные материалы, а так же если в процессе у вас возникнут сложности, обсудить их или задать вопрос по этой статье можно в моём Telegram‑сообществе. Смело заходите, если что‑то пойдет не так, — постараемся разобраться вместе.