Пятница, 5 февраля 2016 года. В офисе Центрального банка Бангладеш в Дакке рабочая неделя заканчивается — в стране пятница и субботу считают выходными. Сотрудники уходят домой. Никто не подозревает, что в эти самые минуты через сеть SWIFT уходят запросы на перевод почти миллиарда долларов со счёта банка в Федеральном резерве Нью-Йорка.

А ещё через день, в субботу, кто-то в офисе банка пытается распечатать ежедневный отчёт о международных транзакциях. Принтер молчит. Сотрудник проверяет кабели, перезагружает устройство — ничего не помогает. Никто пока не понимает, что неисправный принтер — это не сбой техники. Это часть плана.

ПЛАН НА МИЛЛИАРД

Хакеры заранее, ещё в январе 2015 года, заслали в сеть Bangladesh Bank вредоносное ПО — предположительно через фишинговое письмо с заражённым вложением, открытым кем-то из сотрудников. Целый год они тихо изучали внутреннюю инфраструктуру банка, не трогая деньги. Это была не спешка. Это была подготовка.

Главная цель — терминал SWIFT (Society for Worldwide Interbank Financial Telecommunication), через который банк отправляет международные платёжные поручения. Получив контроль над терминалом и украв учётные данные сотрудников, хакеры могли отправлять платёжные поручения от имени банка — выглядящие абсолютно легитимно для любой системы на другом конце.

// ЧТО ТАКОЕ SWIFT

Глобальная сеть финансовых сообщений, через которую банки по всему миру передают друг другу платёжные поручения. SWIFT не переводит деньги сама — она передаёт инструкции вида «перевести X долларов со счёта A на счёт B», которые исполняют банки-корреспонденты. Если сообщение выглядит легитимным и подписано правильными учётными данными — банк его исполняет, даже не подозревая, что инструкция от хакеров.

КАК ЭТО РАБОТАЛО

// СХЕМА ОГРАБЛЕНИЯ ВЫХОДНОГО ДНЯ
ШАГ 01
Год подготовки и кражи учётных данных
Хакеры внедряются в сеть банка примерно за год до атаки, изучают рабочие процессы, крадут логины и пароли для доступа к терминалу SWIFT.
~12 месяцев reconnaissance → SWIFT credentials stolen
ШАГ 02
Выбор времени — выходные в Бангладеш и США
Пятница, 5 февраля — конец недели в Бангладеш (пятница-субботу там не работают). В Нью-Йорке, наоборот, рабочий день. Хакеры используют разницу в графиках и часовых поясах, чтобы расширить окно до обнаружения.
timezone gap exploit → weekend window
ШАГ 03
35 поручений на ~$951 млн
Через SWIFT отправляются десятки запросов о переводе средств со счёта Bangladesh Bank в ФРБ Нью-Йорка на счета на Шри-Ланке и в Филиппинах.
35 fraudulent SWIFT messages → ~$951M requested
ШАГ 04
Малварь блокирует принтер подтверждений
Специальный вредоносный код модифицирует настройки принтера, который автоматически распечатывает копии всех проведённых через SWIFT транзакций. Принтер замолкает — банк не видит подтверждений отправленных сообщений.
printer hijack → confirmation logs suppressed
ШАГ 05
Деньги уходят, маршрут запутывается
Часть переводов проходит. Деньги поступают на счета в филиппинском банке RCBC, открытые заранее на фиктивные имена, и почти сразу обналичиваются через сеть казино в Маниле.
RCBC accounts → casino chips → cash

ОПЕЧАТКА, КОТОРАЯ СПАСЛА $850 МИЛЛИОНОВ

Из запрошенных хакерами почти миллиарда долларов реально удалось вывести лишь часть. Решающую роль сыграла нелепая случайность.

// ПОДОЗРИТЕЛЬНОЕ ПЛАТЁЖНОЕ ПОРУЧЕНИЕ Получатель: Shalika Fandation
Должно быть: Shalika Foundation

Одно из платёжных поручений на $20 млн было направлено в Шри-Ланку, на счёт получателя под названием «Shalika Foundation». Хакеры допустили опечатку — написали fandation вместо foundation. Банк-корреспондент Deutsche Bank, обслуживавший транзакцию, заметил странность в названии и запросил у Bangladesh Bank подтверждение легитимности перевода. Это случайное недоразумение остановило транзакцию на Шри-Ланку — деньги вернули.

«Как опечатка остановила похищение миллиарда долларов? Эксперты до сих пор поражены тем, насколько примитивная случайность сыграла решающую роль в одном из самых технически сложных взломов в истории.»

— из аналитики по делу Bangladesh Bank heist

Оставшиеся $850 млн в запрошенных переводах также не прошли — частично из-за подозрений у других банков-корреспондентов, частично из-за технических ограничений и совпадений в выходные дни. Но пять поручений на сумму $101 млн успешно прошли в филиппинский банк RCBC на счета фиктивных получателей.

ОТМЫВАНИЕ ЧЕРЕЗ КАЗИНО МАНИЛЫ

Из $101 млн, дошедших до Филиппин, $20 млн были позже отправлены на Шри-Ланку и в итоге возвращены — благодаря всё той же подозрительной операции. Оставшиеся $81 млн поступили на счета в филиппинском RCBC, открытые на фиктивные имена задолго до атаки.

Дальше деньги пошли по пути, специально разработанному для того, чтобы запутать любое расследование: их конвертировали в фишки в нескольких манильских казино, а оттуда — обратно в наличные. Филиппинское законодательство на тот момент не считало казино финансовыми учреждениями, обязанными сообщать о подозрительных операциях, — идеальная лазейка для отмывания.

Менеджер филиала RCBC Майя Сантос-Дегито, через счета которой прошли деньги, была впоследствии осуждена на восемь эпизодов отмывания денег. Бо́льшая часть похищенной суммы так никогда и не была возвращена.

ХРОНОЛОГИЯ

~Январь 2015
Первое проникновение
Предположительно через фишинговое письмо вредоносное ПО попадает в сеть Bangladesh Bank. Начинается год тихой разведки.
4–5 февраля 2016, пятница
35 платёжных поручений через SWIFT
Запросы на перевод ~$951 млн отправлены в ФРБ Нью-Йорка. Принтер подтверждений уже заблокирован вредоносным кодом.
5 февраля 2016
Опечатка «fandation» останавливает $20 млн
Deutsche Bank замечает странное название получателя и запрашивает подтверждение. Перевод на Шри-Ланку заблокирован.
6–7 февраля 2016, выходные
Сломанный принтер обнаружен слишком поздно
Сотрудники Bangladesh Bank замечают, что принтер транзакций не работает несколько дней. Банк закрыт на выходные — расследование задерживается.
8 февраля 2016, понедельник
Bangladesh Bank поднимает тревогу
Персонал возвращается на работу, обнаруживает аномалии и связывается с ФРБ Нью-Йорка и SWIFT. Большая часть денег уже движется через Филиппины.
Февраль–март 2016
$81 млн исчезают через казино Манилы
Средства конвертированы в фишки казино и обратно в наличные. След практически теряется.

ЦИФРЫ

// BANGLADESH BANK HEIST: ИТОГИ
Запрошено хакерами
~$951 млн
Заблокировано / возвращено
$850 млн
Успешно похищено
$101 млн
Безвозвратно потеряно
$81 млн

АВТОРСТВО

Расследования американских и южнокорейских спецслужб связали атаку с Lazarus Group — той же северокорейской хакерской группировкой, которую обвиняют в атаках на Sony Pictures и в создании WannaCry. Министерство юстиции США в 2018 году выдвинуло обвинения против программиста, предположительно работавшего на правительство КНДР и связанного с этой операцией.

Bangladesh Bank heist считается одним из первых документированных случаев, когда государство — а не криминальная группировка ради собственной выгоды — использовало кибератаку на финансовую систему как способ заработка для пополнения государственного бюджета, обходящего международные санкции.