Jak se Severní Koreji málem podařil miliardový hackerský útok
V roce 2016 severokorejští hackeři naplánovali útok na bangladéšskou národní banku. Šlo o 1 miliardu dolarů a jen o vlásek se jim to podařilo. Jen díky náhodě se podařilo zastavit všechny převody kromě 81 milionů dolarů. Jak ale jedna z nejchudších a nejizolovanějších zemí světa vycvičila tým elitních kyberzločinců?
Server Daily Star píše, že vše začalo nefunkční tiskárnou. Je to prostě součást moderního života, a tak když se to stalo zaměstnancům Bangladéšské banky, pomysleli si totéž, co většina z nás: další den, další technický problém. Nezdálo se, že by o něco šlo. Nebyla to obyčejná banka. Bangladéšská banka je centrální bankou země, která je zodpovědná za dohled nad cennými měnovými rezervami země, kde miliony lidí žijí v chudobě.
A taky to nebyla obyčejná tiskárna. Tato tiskárna totiž hrála klíčovou roli. Byla umístěna v přísně střežené místnosti v 10. patře hlavní kanceláře banky v hlavním městě Dháce. Jejím úkolem bylo tisknout záznamy o mnohamilionových převodech, které proudily do banky a z banky. Když zaměstnanci v pátek 5. února 2016 v 8:45 zjistili, že nefunguje, předpokládali, že jde o běžný problém jako každý jiný den.
Ve skutečnosti to byl první náznak, že Bangladéšská banka má velké potíže. Hackeři se nabourali do jejích počítačových sítí a právě v tu chvíli prováděli nejodvážnější kybernetický útok o jaký se kdy pokusili. Jejich cílem bylo ukrást miliardu dolarů.
Dobře promyšlený plán
K odcizení peněz měl gang stojící za loupeží využít falešné bankovní účty, charitativní organizace, kasina a širokou síť kompliců. Kdo však byli tito hackeři a odkud pocházeli? Podle vyšetřovatelů ukazují digitální otisky prstů jediným směrem: k vládě Severní Koreje.
Podle FBI byl odvážný hackerský útok na Bangladéšskou banku vyvrcholením mnohaleté metodické přípravy stínového týmu hackerů a prostředníků z celé Asie, kteří pracovali s podporou severokorejského režimu. V odvětví kybernetické bezpečnosti jsou severokorejští hackeři známí jako Lazarova skupina, což je odkaz na biblickou postavu, která vstala z mrtvých. Odborníci, kteří se zabývali počítačovými viry této skupiny, zjistili, že jsou stejně odolné.
Lazarova skupina
O skupině je známo jen málo, ačkoli FBI vytvořila podrobný portrét jednoho z podezřelých: Park Jin-hyok, který vystupuje také pod jmény Pak Jin-hek a Park Kwang-jin. Popisuje ho jako počítačového programátora, který vystudoval jednu z nejlepších univerzit v zemi a odešel pracovat pro severokorejskou společnost Chosun Expo v čínském přístavním městě Dalian, kde vytvářel online herní a hazardní programy pro klienty z celého světa.
Během pobytu v Dalianu si založil e-mailovou adresu, vytvořil životopis a pomocí sociálních médií si vybudoval síť kontaktů. Podle kybernetických otisků se v Dalianu nacházel již v roce 2002 a s přestávkami až do roku 2013 nebo 2014, kdy jeho internetové aktivity podle všeho pocházely ze severokorejského hlavního města Pchjongjangu, uvádí se v místopřísežném prohlášení vyšetřovatele FBI.
Agentura zveřejnila fotografii vytrženou z e-mailu z roku 2011, který poslal manažer společnosti Chosun Expo a představil Parka externímu klientovi. Je na ní zachycen čistý Korejec ve věku kolem 20 až 30 let, oblečený do černé košile s proužky a čokoládově hnědého obleku. Na první pohled nic neobvyklého, kromě vyčerpaného výrazu ve tváři.
Foto: Steve Barker / Unplash
Přes den programátor, v noci hacker
V červnu 2018 americké úřady Parka obvinily z jednoho případu spiknutí za účelem spáchání počítačového podvodu a zneužití a z jednoho případu spiknutí za účelem spáchání podvodu (podvodu zahrnujícího poštu nebo elektronickou komunikaci) v období od září 2014 do srpna 2017. Pokud se ho podaří vypátrat, hrozí mu až 20 let vězení. (Z Číny se do Severní Koreje vrátil čtyři roky před vznesením obvinění).
Ale Park, pokud je to jeho skutečné jméno, se nestal hackerem pro stát ze dne na den. Je jedním z tisíců mladých Severokorejců, kteří jsou od dětství vychováváni k tomu, aby se stali kybernetickými bojovníky – talentovaní matematici ve věku 12 let jsou odváděni ze škol a posíláni do hlavního města, kde se jim od rána do večera dostává intenzivní výuky.
Jak to celé pokračovalo?
Když zaměstnanci banky tiskárnu restartovali, dozvěděli se velmi znepokojující zprávu. Vyplývaly z ní naléhavé zprávy z Federální rezervní banky v New Yorku „Fedu“, kde má Bangladéš účet v amerických dolarech. Fed obdržel instrukce, zřejmě od Bangladéšské banky, aby z účtu odčerpal celou částku – téměř miliardu dolarů. Bangladéšané se snažili kontaktovat Fed kvůli vysvětlení, ale díky velmi pečlivému načasování hackerů se jim nepodařilo dovolat.
Hackerský útok začal ve čtvrtek 4. února kolem 20:00 bangladéšského času. V New Yorku však byl čtvrtek ráno, což dalo Fedu dostatek času na to, aby (nevědomky) splnil přání hackerů, zatímco Bangladéš spal. Následující den, v pátek, začínal bangladéšský víkend, který trvá od pátku do soboty. Centrále banky v Dháce tak začínaly dva dny volna. A když Bangladéšané začali v sobotu krádež odhalovat, v New Yorku už byl víkend.
Elegance útoku
Datum čtvrtečního večera má zcela konkrétní účel. V pátek New York pracuje a Bangladéšská banka má volno. V době, kdy se Bangladéšská banka vrátí do provozu, je Federální rezervní banka mimo provoz. Takže to celé odhalení zpozdilo téměř o tři dny.
A hackeři měli v rukávu ještě jeden trik, jak získat ještě více času. Jakmile převedli peníze z Fedu, potřebovali je někam poslat. Převedli je tedy na účty, které si zřídili v Manile, hlavním městě Filipín. A v roce 2016 bylo pondělí 8. února prvním dnem lunárního nového roku, státního svátku v celé Asii. Využitím časových rozdílů mezi Bangladéšem, New Yorkem a Filipínami hackeři zkonstruovali jasný pětidenní běh, aby peníze dostali pryč.
Na plánování měli dost času, protože se ukázalo, že skupina Lazarus Group číhala v počítačových systémech Bangladéšské banky už rok. V lednu 2015 byl několika zaměstnancům Bangladéšské banky zaslán nevinně vypadající e-mail. Pocházel od uchazeče o zaměstnání, který si říkal Rasel Ahlam. Jeho zdvořilý dotaz obsahoval výzvu ke stažení životopisu a motivačního dopisu z webové stránky.
Ve skutečnosti Rasel neexistoval – podle vyšetřovatelů FBI byl pouze krycím jménem, které používala skupina Lazarus Group. Nejméně jeden člověk uvnitř banky naletěl, stáhl si dokumenty a nakazil se viry ukrytými uvnitř. Jakmile se Lazarus Group dostala do systémů banky, začala nenápadně přeskakovat z počítače na počítač a postupovat směrem k digitálním trezorům a miliardám dolarů, které obsahovaly.
Foto: Max Bender / Unsplash
Proč hackeři ukradli peníze až po roce?
Proč hackeři ukradli peníze až celý rok poté, co do banky dorazil první phishingový e-mail? Proč riskovali, že budou odhaleni, když se celou tu dobu skrývali v systémech banky? Protože, jak se zdá, potřebovali čas na to, aby si připravili únikové cesty k penězům.
Jupiter Street je rušná dopravní tepna v Manile. Vedle ekohotelu a zubní ordinace se nachází pobočka RCBC, jedné z největších bank v zemi. V květnu 2015, několik měsíců poté, co se hackeři dostali do systémů Bangladéšské banky, zde komplicové hackerů založili čtyři účty. Při zpětném pohledu se ukázalo několik podezřelých znaků: řidičské průkazy použité k založení účtů byly falešné a všichni žadatelé tvrdili, že mají naprosto stejnou pracovní pozici a plat, přestože pracovali v různých společnostech. Ale nikdo si toho nevšiml. Účty zůstaly několik měsíců nečinné a počáteční vklad 500 dolarů zůstal nedotčen, zatímco hackeři pracovali na dalších aspektech plánu.
V únoru 2016, kdy se úspěšně nabourali do Bangladéšské banky a vytvořili kanály pro peníze, byla skupina Lazarus připravena. Stále však museli překonat poslední překážku – tiskárnu v 10. patře. Bangladéšská banka vytvořila záložní papírový systém, který zaznamenával všechny převody z jejích účtů. Tento záznam transakcí znamenal riziko okamžitého odhalení práce hackerů. A tak se nabourali do softwaru, který jej ovládal, a vyřadili jej z provozu.
Když měli zahlazené stopy, začali hackeři ve čtvrtek 4. února 2016 ve 20:36 provádět převody – celkem 35 převodů v celkové výši 951 milionů dolarů, což byl téměř celý obsah účtu Bangladéšské banky u newyorského Fedu.
Zdroj: thedailystar.com