Predstavte si bežné piatkové ráno v práci. Prídete do kancelárie, sadnete si k stolu s kávou a zistíte, že tlačiareň nefunguje. Pre väčšinu z nás je to len ďalšia banálna technická nepríjemnosť, nad ktorou mávneme rukou a zavoláme IT podporu. Presne takto, s rutinným pokojom, reagovali aj zamestnanci Bangladéšskej banky ráno 5. februára 2016, keď našli zásobník tlačiarne na desiatom poschodí prázdny. V tej chvíli ešte netušili, že toto ticho stroja je prvým, hoci nenápadným varovným signálom katastrofy, ktorá sa práve odohrávala v digitálnom podsvetí. Tlačiareň HP LaserJet, umiestnená v prísne stráženej miestnosti s názvom „dealing room“ v hlavnom meste Dháka, totiž zohrávala v bezpečnosti banky kľúčovú, hoci archaickú úlohu. Jej povinnosťou bolo automaticky a v reálnom čase tlačiť fyzické záznamy o všetkých miliónových prevodoch, ktoré prúdili do banky a z nej. Keď ju personál po hodinách konečne reštartoval, stroj nevychrlil len bežné administratívne správy. Začal chrliť dôkazy o najodvážnejšom kybernetickom útoku v histórii moderného finančníctva. Hackeri sa práve v tom okamihu pokúšali ukradnúť rovnú miliardu dolárov.
Čítajte viac FBI obvinila Severnú Kóreu z krádeže kryptomien za rekordných 1,5 miliardy dolárov
Dokonalá búrka v kalendári
Ak by ste plánovali lúpež storočia, kľúčom k úspechu by neboli len zbrane, masky či sofistikované kódy, ale predovšetkým dokonalé načasovanie. Útočníci, ktorých vyšetrovatelia neskôr identifikovali ako neslávne známu skupinu Lazarus napojenú na Severnú Kóreu, to vedeli veľmi dobre. Ich plán bol elegantný, desivo presný a spoliehal sa na globálnu geografiu. Útok spustili vo štvrtok 4. februára 2016, presne okolo 20:00 bangladéšskeho času. Prečo si vybrali práve tento moment? Pozrite sa na to optikou globálneho kalendára a časových pásiem. V Bangladéši, ktorý je moslimskou krajinou, je piatok voľným dňom, takže centrála banky začínala svoj víkend a kancelárie ostali prázdne. Na opačnom konci sveta, v New Yorku, kde boli bangladéšske rezervy uložené na účte vo Federálnej rezervnej banke (FED), bolo ešte len štvrtkové ráno. Americkí bankári riadne pracovali a nevedomky spracovávali podvodné príkazy, zatiaľ čo Bangladéš spal. Keď sa v Bangladéši v sobotu ráno začali prebúdzať do chaosu a odhaľovať masívnu krádež, v New Yorku už začal víkend a nikto vo FED-e nedvíhal telefóny. Hackeri tak získali náskok niekoľkých dní. A aby toho nebolo málo, peniaze smerovali na Filipíny, kde v pondelok 8. februára oslavovali začiatok lunárneho nového roka. To znamenalo ďalší deň voľna, kedy boli banky zatvorené. Využitím časových pásiem a štátnych sviatkov v troch rôznych krajinách si útočníci vytvorili luxusné päťdňové okno na to, aby peniaze zmizli bez stopy skôr, ako ich niekto dokáže zastaviť.
Americký Federálny rezervný systém (FED) je centrálna banka Spojených štátov. Bol založený v roku 1913 s cieľom zabezpečiť stabilitu a bezpečnosť amerického finančného systému. FED je nezávislá vládna inštitúcia, ktorá má klúčovú úlohu v riadení menovej politiky, regulácii bankového sektoru a udržiavaní stability ekonomiky USA. Hlavné úlohy FED-u:
- Menová politika: FED riadi úrokové sadzby a množstvo peňazí v obehu, čo ovplyvňuje infláciu, zamestnanosť a ekonomický rast.
- Dohľad nad bankami: FED dohliada na banky a finančné inštitúcie, aby zabezpečil ich stabilitu a dodržiavanie pravidiel.
- Finančná stabilita: FED monitoruje a rieši riziká, ktoré by mohli ohroziť finančný systém, napríklad finančné krízy.
- Platobný systém: FED zabezpečuje hladký chod platobného systému v USA, vrátane elektronických platieb a prevodov peňazí.
Tichý zabijak v systéme
Možno sa pýtate, ako je vôbec možné, že sa niekto len tak „vláme“ do národnej centrálnej banky. Nebolo to dielo okamihu ani hrubej sily. Hackeri zo skupiny Lazarus číhali v systémoch banky celý rok ako neviditeľní duchovia. Všetko sa začalo už v januári 2015 nenápadným e-mailom od uchádzača o zamestnanie, ktorý sa predstavil ako Rasel Ahlam. Jeho zdvorilá žiadosť obsahovala odkaz na stiahnutie životopisu a motivačného listu. V skutočnosti však žiadny Rasel neexistoval – išlo len o precízne pripravené krytie pre stiahnutie škodlivého kódu. Stačilo, aby jeden nepozorný zamestnanec klikol na odkaz, a digitálna infekcia bola vnútri. Od tohto momentu sa útočníci ticho presúvali z počítača na počítač, mapovali sieť a sledovali návyky zamestnancov, až kým nezískali prístup k tomu najcennejšiemu – systému SWIFT. Tento systém používajú tisíce bánk po celom svete na vzájomnú komunikáciu a bezpečné prevody obrovských súm. Hackeri však nepotrebovali prelomiť šifrovanie samotného SWIFT-u; stačilo im ukradnúť prístupové údaje oprávnených zamestnancov a tváriť sa ako oni. Špeciálne navrhnutý malvér bol naprogramovaný tak, aby zahladil stopy priamo v databáze a dokonca manipuloval s tou nešťastnou tlačiarňou na 10. poschodí, aby nevypľúvala dôkazy o podvodných transakciách v reálnom čase.
SWIFT (Society for Worldwide Interbank Financial Telecommunication) je globálny platobný systém, ktorý umožňuje bezpečnú a rýchlu výmenu finančných správ a transakcií medzi bankami a finančnými inštitúciami po celom svete. Bol založený v roku 1973 a dnes ho používa viac ako 11 000 finančných inštitúcií v viac ako 200 krajinách. SWIFT nie je banka ani neprevádza peniaze priamo, ale zabezpečuje štandardizovanú komunikáciu medzi bankami, čo umožňuje medzinárodné platby a prevody peňazí.
Osudový preklep za stovky miliónov
V onú osudnú noc hackeri zadali 35 prevodných príkazov v celkovej hodnote 951 miliónov amerických dolárov – takmer celý obsah účtu Bangladéša v americkom FED-e. Peniaze mali smerovať na rôzne účty, prevažne na Filipíny a Srí Lanku. A práve v tomto bode do hry vstupuje ľudský faktor a neuveriteľná náhoda, ktorá zmenila priebeh dejín. Väčšinu transakcií systém zastavil vďaka jedinému slovu: Jupiter. Hackeri si pre svoje ciele vybrali pobočku banky RCBC na ulici Jupiter Street v Manile. Zhodou okolností sa však slovo Jupiter nachádzalo na americkom sankčnom zozname. Nebolo to kvôli ulici, ale kvôli iránskej lodi s rovnakým názvom, ktorá porušovala sankcie. Automatizované systémy FED-u na toto slovo zareagovali spustením alarmu a väčšinu platieb pozastavili na manuálnu kontrolu. Ešte bizarnejšia a takmer komická situácia nastala pri prevode 20 miliónov dolárov na Srí Lanku. Peniaze mali ísť na účet neziskovej organizácie Shalika Foundation. Hackeri, pravdepodobne pod tlakom alebo z nepozornosti, urobili v príkaze školácku gramatickú chybu. V názve príjemcu napísali Fandation namiesto správneho Foundation. Pozorný zamestnanec sprostredkovateľskej Deutsche Bank si tento preklep všimol, transakciu zastavil a požiadal o vysvetlenie. Tieto „drobnosti“ zachránili Bangladéšu, krajine kde milióny ľudí žijú v chudobe, približne 870 miliónov dolárov.
Čítajte viac Severokórejci chceli sfalšovať juhokórejské vojenské identifikačné preukazy
Práčka na peniaze: Kasína a miznúce stopy
Napriek týmto chybám sa hackerom podarilo dostať cez systém päť transakcií v celkovej hodnote 101 miliónov dolárov. Z toho 81 miliónov úspešne dorazilo na Filipíny do banky RCBC. Tu sa začala druhá, nemenej dôležitá fáza operácie – pranie špinavých peňazí. Účty, na ktoré peniaze prišli, boli založené mesiace vopred na základe falošných vodičských preukazov. Všetci fiktívni majitelia mali mať podľa dokladov rovnaké zamestnania a identické platy, čo by si pozorný bankár okamžite všimol, no v tomto prípade to prešlo bez povšimnutia. Peniaze boli následne vybraté, narýchlo vymenené za miestnu menu a – čo je pre tento prípad kľúčové – presunuté do luxusných kasín, ako sú Solaire a Midas v Manile.
Čítajte viac Severokórejské podvody s IT pracovníkmi sa rozširujú do Európy a Japonska
Prečo si útočníci vybrali práve kasína? Odpoveď je prozaická. V tom čase filipínske kasína nepodliehali prísnym zákonom proti praniu špinavých peňazí. Z pohľadu kasína to boli len peniaze od legitímnych hráčov, high-rollerov, ktorí prišli míňať. Zločinci si prenajali súkromné VIP miestnosti, takzvané junket rooms, nakúpili žetóny a začali hrať hru Baccarat. Baccarat je pre pranie peňazí takmer dokonalým nástrojom. Má veľmi jednoduché pravidlá, kde hráte buď na hráča alebo na bankára, a skúsený hráč dokáže pri správnej stratégii získať späť viac ako 90 % svojho vkladu. Princíp prania je jednoduchý: kúpite žetóny za ukradnuté peniaze, chvíľu hráte, aby ste vytvorili zdanie hazardu, a potom si zvyšné žetóny vymeníte späť za hotovosť. Táto hotovosť je už „vypratá“ – má oficiálny pôvod v kasínovej výhre a jej pôvodná digitálna stopa z krádeže je nenávratne prerušená.
Čítajte viac Preteky o "digitálnu atómovú bombu": Čína a USA bojujú o nadvládu nad niečím, čo má každý vrátane vás
Stopa vedie do Pchjongjangu
Kto má kapacity, trpezlivosť a drzosť naplánovať takýto komplexný útok? Digitálne stopy, použité metódy a typy malvéru ukázali vyšetrovateľom jedným smerom: Severná Kórea. V kybernetickej komunite sú títo hackeri známi pod označením Lazarus Group. Pre mnohých môže byť prekvapením, že jedna z najchudobnejších a technologicky najizolovanejších krajín sveta dokáže vyprodukovať elitných kyberzločincov, ktorí dokážu oklamať najväčšie svetové banky. FBI však tvrdí, že severokórejský režim si talentovaných matematikov vyberá už v detstve. Tieto deti sú vytrhnuté zo škôl, posielané na intenzívne školenia do hlavného mesta a neskôr do zahraničia, najmä do Číny, kde majú prístup k lepšiemu internetu a technológiám.
Lazarus Group je jedna z najznámejších a najaktívnejších severokórejských hackerských skupín, ktorá je priamo spojená s vládou KĽDR a jej tajnou službou (Reconnaissance General Bureau). Skupina je známa predovšetkým svojimi sofistikovanými kybernetickými útokomi, ktoré majú za cieľ finančný zisk, špionáž a narúšanie globálnej bezpečnosti. Lazarus Group je pre globálnu kybernetickú bezpečnosť veľkou hrozbou a jej aktivity sú neustále monitorované bezpečnostnými agentúrami po celom svete.
Konkrétnym príkladom je Park Jin-hyok, ktorého FBI obvinila z účasti na tomto útoku. Oficiálne pracoval ako programátor pre firmu Chosun Expo v čínskom prístavnom meste Dalian. Cez deň vyvíjal online hry a softvér pre klientov, no v noci sa menil na hackera pracujúceho pre režim. Jeho digitálna stopa ho spája nielen s útokom na Bangladéš, ale aj s ničivým útokom na filmové štúdio Sony Pictures v roku 2014 (ako pomstu za film zosmiešňujúci Kim Čong-una) a s globálnym ransomvérom WannaCry, ktorý paralyzoval nemocnice a firmy po celom svete. Severná Kórea, odrezaná od medzinárodného obchodu prísnymi sankciami, v podstate používa štátom sponzorovaný hacking ako nástroj na získavanie tvrdej meny. Je to geopolitický paradox – krajina, ktorá v noci na satelitných snímkach takmer nesvieti pre nedostatok elektriny, disponuje armádou hackerov schopných vylúpiť digitálne trezory na druhej strane planéty. Ukradnuté peniaze zrejme putovali z filipínskych kasín do Macaa a odtiaľ späť do KĽDR, kde slúžia na financovanie režimu a jeho jadrových a raketových programov.
Čítajte viac Vjačeslav „Tank“ Penčukov: Spoveď kráľa kyberzločinu z amerického väzenia
Trpká dohra a poučenie
Dôsledky pre Bangladéšsku banku boli zdrvujúce, a to nielen finančné. Guvernér banky musel pod tlakom odstúpiť. Hoci sa úradom podarilo získať späť časť peňazí (približne 16 miliónov dolárov od jedného z organizátorov hazardných hier, ktorý ich vrátil), väčšina z ukradnutých 81 miliónov dolárov nenávratne zmizla v neprehľadnej sieti sprostredkovateľov a kasín. Tento prípad navždy zmenil pohľad na bezpečnosť globálneho bankovníctva. Ukázal, že v reťazci, ktorý chráni miliardy dolárov, je sila celku daná jeho najslabším článkom. V tomto prípade to bola banka v rozvojovej krajine, ktorá nemala dostatočné zabezpečenie. Vyšetrovanie odhalilo, že banka používala lacné sieťové prvky bez firewallu, čo umožnilo hackerom preniknúť dnu a ohroziť celý medzinárodný finančný systém. Zatiaľ čo svetové banky a systém SWIFT po tomto incidente investovali obrovské prostriedky do posilnenia ochrany a zavedenia dvojfaktorovej autentifikácie, páchatelia zostávajú na slobode. Park Jin-hyok sa vrátil z Číny do Severnej Kórey štyri roky predtým, ako boli proti nemu vznesené obvinenia, a je mimo dosahu medzinárodnej spravodlivosti. Lúpež v Bangladéši tak zostáva mementom toho, ako sa v digitálnom veku stierajú hranice medzi organizovaným zločinom, špionážou a štátnou mocou. A pripomína nám, že niekedy aj malý preklep v slove Foundation môže mať hodnotu takmer miliardy dolárov.
