حمله فیشینگ یک میلیارد دلاری Lazarus Group و کمک کشتی ایرانی
اخبار داغ فناوری اطلاعات و امنیت شبکه
همه چیز از خراب شدن یک پرینتر شروع شد. اتفاقی که شاید برای همه پیش بیاید و معمولا با چند ضربه دست درست شود. اما این پرینتر با همه پرینترها فرق میکرد. این دستگاه در طبقه دهم بانک مرکزی بنگلادش قرار داشت و کارش چاپ کردن تراکنشهای چند میلیون دلاری بود.
وقتی کارکنان بانک در ساعت ۸:۴۵ دقیقهٔ صبح جمعه در فوریه سال ۲۰۱۶ متوجه این مشکل شدند، حدس زدند که شاید این مشکل یک مورد کاملا عادی باشه. پرینتر در واقع در امنترین اتاق در کشور بنگلادش قرار داشت اما با اندکی پیگیری، شوکه شدند. آنها فهمیدند که هکرها به کل شبکهٔ بانکی نفوذ کرده و در حال جابجایی حجم عظیمی از پول هستند.
هدف آنها دزدیدن یک میلیارد دلار پول بود. وقتی پرینتر رو ریبوت کردند، خبر ناخوشایندی شنیدند: بانک فدرال رزرو در نیویورک (که بنگلادش در آنجا حساب دلاری دارد) به آنها پیغام داده بود که از جانب شما درخواست جابجایی کل حساب (حدود ۱ میلیارد دلار) شده است.
کارکنان بانک مرکزی بنگلادش سعی کردند با این بانک نیویورکی برای گرفتن تاییدیه تماس بگیرند اما بخاطر زمانبندی دقیق سرقت موفق به انجام این کار نشدند. هک حسابهای بانک از دیشب (پنجشنبه ساعت ۸ شب به وقت بنگلادش) شروع شده بود در حالی که در نیویورک صبح بود.
از این رو بانک نیویورکی ناخواسته زمانی که بنگلادشیها در خواب بودند، کار انتقال تراکنش را برای سارقین انجام داده بود. روز بعد، یعنی جمعه، روز تعطیلی در بنگلادش بوده و طبیعتا بانک تعطیل است. روز شنبه که بنگلادشیها خواستار انجام اقدامی از طریق بانک نیویورکی بودند، نیویورک تا دوشنبه تعطیل بود.
انتخاب پنجشنبه شب برای انجام این سرقت بسیار دقیق بود. این را در نظر داشتند که روز بعد جمعه بوده و بنگلادش تعطیل و دو روز بعد از آن نیز نیویورک تعطیل است. با این روش میخواستند در فرایند اداری اختلال ایجاد نمایند. البته مهاجمان فکری برای بعد از یکشنبه را نیز کرده بودند تا روزهای تعطیلی بیشتری داشته باشند.
فرایند بدین شکل بود که پس از بیرون آوردن پول از بانک نیویورکی، آن را میبایست به جایی ارسال کنند. برای این کار مانیل، پایتخت فیلیپین را انتخاب کردند. روز دوشنبه ۸ فوریه در اغلب کشورهای آسیایی آغاز سال قمری بود و بنابراین همه تعطیل بودند.
با جابجا کردن پول از بنگلادش به نیویورک، سپس از نیویورک به فیلیپین، سارقان خیلی دقیق ۵ روز را برای خودشان در نظر گرفته بودند تا بتوانند کار نقل و انتقال پول را انجام دهند. هکرها حدود یکسال روی این مراحل فکر و کار کرده بودند و بسیار منظم قدم به قدم به پیش میرفتند.
ماجرا از ژانویه سال ۲۰۱۵ شروع شد، یعنی یکسال قبل از هک بانک. اعضای این گروه هکری ایمیلی را با اسم «راسل احلام» برای کارمندای بانک ارسال کردند که حاوی یک فایل رزومه بود که به شکلی بسیار رسمی و محترمانه نگارش شده بود. در این ایمیل که به کارمندان بانک ارسال شده بود، خطاب به آنها نوشته بود که ″ممنونم اگر لطفا رزومهی من را دانلود نمایید″.
دانلود کردن رزومه کافی بود تا مسیر نفوذ به بانک را باز نماید. هکرها با حربهی فیشینگ به بانک نفوذ کردند. در مدت خیلی کوتاهی کنترل تک به تک کامپیوترها و سرورهای بانک را در دست گرفتند. دسترسی به میلیونها دلار پول و صندوقها در نوک انگشتان این گروه بود. اما تا یکسال دست به هیچ کاری نزدند.
اما چرا وقتی که به همه چیز دسترسی داشتند، یکسال منتظر ماندند؟ آنها در طی این یک سال، در حال برنامهریزی برای طراحی مسیرهای فرار بودند. مسیرهایی که حساسیت برانگیز نباشد و بتوانند راحت پول را انتقال بدهند. برای اینکار در مانیل، پایتخت فیلیپین در خیابانی به اسم Jupiter یک بانک قدیمی و خلوت را انتخاب کردند.
چند ماه پس از نفوذ به بانک، چهار حساب بانکی در آنجا ایجاد کردند و در هر کدام ۵۰۰ دلار واریز نمودند. حسابها تراکنشی نداشتند و برای روز مبادا گذاشته بودند. اطلاعاتی که با آنها حسابها افتتاح شده بودند همگی ساختگی بوده و مشخص گردید که همگی با یک گواهینامهٔ رانندگی جعلی ایجاد شده اند؛ هرچند که اصلا مهم نبود.
در فوریه سال ۲۰۱۶ همه چی برای انجام هک آماده بود و فقط یک مانع وجود داشت: پرینتر واقع در طبقه دهم بانک. این پرینتر کارش چاپ تراکنشهای چند میلیون دلاری بود. گویا این پرینتر یک متصدی داشته است که تراکنشها را بازبینی میکرده و اگر رقم حساسی رو میدیده، گزارش میداده است. مهاجمان باید این پرینتر رو خاموش میکردند.
خاموش نکردن این پرینتر کل پروژهٔ سرقت را به خطر میانداخت. آنها با دسترسی وسیعی که به نرم افزار بانک داشتند، به پرینتر نفوذ کردند و آنرا از کار انداختند. پرینتر خاموش شد و آنها شروع به جابجایی پول ها کردند. هکرها ۳۵ تراکنش را انجام دادند که مجموعا برابر با حدود ۹۵۱ میلیون دلار میشد. این مبلغ تقریبا کلا پول کشور بنگلادش در بانک نیویورک بود.
پس از خاموش کردن پرینتر، هکرها در همان آخر هفته شروع به جابجایی پول ها کردند. روز جمعه که مسئولان فهمیدند مشکلی پیش آمده، هکرها از یک روز قبل مشغول جابجایی پول ها بوده اند. کارمندان به رئیس بانک خبر دادند و به سرعت جلسه ای برگزار کردند. اول آنها فکر میکردند که میتوانند جلوی این خسارت و آبرو ریزی را بگیرند. ولی نشد و پول از دست رفته بود.
وقتی همه افراد فنی گرد آمدند، تازه متوجه شدند که این نفوذ چقدر عمیق بوده است. هکرها به کل بخشهای بانکداری بنگلادش نفوذ کرده بوده و مهمتر از همه، به بخش سوییفت (Swift) نیز دسترسی داشتند. سوییفت سیستم اتصال بین بانکهای جهانی برای هماهنگی و انجام تراکنشهای بزرگ است.
اما حتی در سیستم سوییفت هم مشخص نبود که کار خطایی انجام شده است، چرا که هکرها با حساب کاربری کارمندان در سوئیفت در حال جابجایی پول بودند و طبیعتا همه چیز از نظر این سیستم طبیعی به نظر میرسید. اینجا بود که فهمیدند کاری نمیشود کرد. در همین حین، بخش بزرگی از پول در مسیر انتقال به فیلیپین بود.
آنها درخواست حکم دادگاه را برای رفتن به فیلیپین و برگردوندن پول را اعلام کردند و همین باعث شد ماجرا عمومی شده و تبدیل به تیتر اول کل خبرگزاریها شود. اما یک اشتباه خیلی جزئی، یک خطای غیر قابل پیش بینی و یک بدشانسی باعث شد نیویورک خیلی اتفاقی مانع ارسال پول به فیلیپین شود.
همونطور که بالا نیز گفته شد، بانکی که در فیلیپین مد نظر هکرها برای دریافت پول بود در خیابان Jupiter قرار داشت. آن زمان خیلی اتفاقی آمریکا یکی از کشتیهای ایرانی در آبهای بینالمللی به اسم Jupiter را تحریم کرده بود. همین تشابه اسمی باعث شد بانک نیویورکی مانع از انتقال پول بشود.
سیستمهای نرمافزاری بانک آمریکایی بطور خودکار به این کلیدواژه حساس بودند و اگر به چنین اسمی در سیستم بر میخوردند، آن را موقتا متوقف میکردند تا بررسی مجدد انجام پذیرد. همین تشابه اسمی باعث شد بخش بزرگی از پول به فیلیپین منتقل نشده و بدین صورت جلوی انتقالش گرفته شود.
از کل ۹۵۱ میلیون دلار سرقت شده، بانک نیویورکی توانست خیلی اتفاقی جلوی انتقال ۸۵۰ میلیون دلار را بگیرد. ۱۰۱ میلیون دلار اما از این کریدور عبور کرد. از این مقدار، ۲۰ میلیون دلار آن برای یک خیریه به اسم Shalika Foundation در سریلانکا ارسال شد، اما اینجا هم یک اشتباه رخ داد.
هنگام ارسال هکرها آدرس مقصد را با یک اشتباه تایپی به شکل Shalika fundation نوشته بودند که یکی از کارمندان تیزچشم توانست پیدایش کند. این ۲۰ میلیون دلار هم به مقصد آن خیریه ارسال نشد (ارسال پول به خیریه در برنامه هکرها برای کاهش حساسیت برانگیز بودن انتقال پول قرار داشت).
اما عاقبت ۸۱ میلیون دلار به فیلیپین رسید. از یک میلیارد دلار این مقدار ناچیز به نظر میرسد اما همچنان عدد چشمگیری به نظر میرسد. زمانی که بانک بنگلادش در تلاش بود که پول ها را بازگرداند، هکرها هم سخت کار میکردند تا پول رو از دسترس همه خارج نمایند.
بالاخره پول در بانک فیلیپینی واریز شد. مهاجمان بخشی از این پول را خیلی سریع از طریق صرافیها به پول رایج فیلیپین تبدیل کردند و دوباره در حسابهای جداگانهای واریز نمودند. مقدار دیگری را به شکل نقدی از بانک برداشت کرده و خارج نمودند. آنها سعی کردند با جابجایی زیاد پول بین حسابها و ارزهای مختلف، رد پول رو گم کنند.
اما باز هم امکان پذیر بود که رد پول را بگیرند. برای اینکه این پول کاملا غیرقابل ردیابی باشد، این مبلغ باید از سیستم بانکداری خارج میشد. برای این کار مهاجمان کازینوها رو انتخاب کردند. کازینوی Solaire یکی از بزرگترین و مجللترین کازینوها در آسیاست که حدود ۴۰۰ میز قمار فقط در سالن عمومی خود دارد.
سناریوی بعدی هکرها اینجا رنگ گرفت. ۵۰ میلیون دلار از پول را وارد این کازینو و یک کازینوی دیگر کردند. ایدهی کازینو برای پاک کردن مسیر انتقال پول بود. اینجا پول به چیپ تبدیل شده، روی میز میرفت و سپس دوباره به پول تبدیل میشد. بدین شکل دیگر به طور کامل کامل رد پول گم میشد.
اما شاید بپرسید پس ریسک دیده شدن چه؟ این پول را که نمیشود آشکارا وسط یک سالن عمومی رفته و با آن قمار کرد. برای این کار، اتاق های خصوصی ای را گرفته و خیلی از قمارهای با رقم بالا بین افراد پولدار در اتاق های خصوصی برگزار میشود. مهاجمان و سارقین افراد حرفهای را داشتند که آنها را پای پای میزهای قمار گذاشته که با آن پول ها بازی کنند.
جالب است بدانید آنها بخشی از این پول را خرج بازی Baccarat کردند که تو آسیا بسیار محبوب است. بازی سادهایست و فقط سه خروجی دارد که یکی از آنها همیشه برنده است. افراد خیلی حرفهای تا ۹۰ درصد در این بازی برنده میشوند. سارقین پول زیادی را وارد این بازی کرده و توانستند درصد بالایی رل از دستگاه ها پس بگیرند.
این قماربازهای حرفهای برای هفتهها در هتلهای این کازینو مستقر بودند و پشت سر هم با بازی مشغول پولشویی و تبدیل پول کثیف به پول تمیز بودند. بنگلادشیها هم این مدت مشغول ردیابی بودند و خوب پیش میرفتند تا اینکه به در بستهٔ کازینو برخوردند و در هزارتوی کازینو دیگر نمیشد پول ها را ردیابی کرد.
البته با فشار حکم دادگاه و پیگیری بسیار موشکافانه توانستند دو نفر از بازیکن های کازینو را با ۱۶ میلیون دلار پول دستگیر کنند. البته آنها نتوانستند اتهامی به آن دو نفر وارد کنند، چرا که آنها اظهار بی اطلاعی کردند و گفتند که فقط بازیکن هستند. از مبلغ باقیمانده باز هم ۱۶ میلیون دلار رو به بنگلادش برگردانده شد.
هکرها در کل ۳۴ میلیون دلار وارد کازینو کردند و نهایتا معلوم نشد که توانستند چقدر از پول را در آنجا تبدیل به پول تمیز کنند. نیروهای امنیتی ۳۰ میلیون دلار دیگر را ردیابی کردند و فهمیدند که ظاهرا شخصی همان اوایل کار در فیلیپین از طریق یک کیف و با جت شخصی به مقصد چین فرار کرده بود.
این هکرها به اسم Lazarus Group معروف هستند و ایدهی کلی این است که کره شمالی در پشت این گروه قرار دارد. این گروه، همان گروهیست که چند سال پیش به شرکت Sony Pictures حمله کرده و مانع از اکران عمومی یک فیلم کمدی درباره کیم جونگ اون شده بودند. حمله به بانکها و بیمارستانها و سازمان ها و نهادهای دیگر نیز در رزومه این گروه قرار دارد.
افرادی که در این گروه هستند، همه از نخبگان ریاضی میباشند. این افراد از بچگی تحت تعلیم و آموزش شدید برای تبدیل شدن به تکنسینهای حوزه سایبری مدیریت میشوند. پایگاه فعالیتیشان نیز منطقهای از چین است که از یک سنی مشخص به بعد، کره شمالی آنها را به چین میفرستد.
ظاهرا سرکرده این گروه فردیست به اسم Park Jin-hyok که خیلی کشورها در تعقیب ولی هستند ولی هنوز نتوانسته اند وی را دستگیر کنند. وقتی رد وی را دنبال کنید، میبینید که در خیلی تز سازمان ها به عنوان برنامه نویس کار میکرده است؛ برنامهنویس در روز و هکر در شب. باجافزار WannaCry هم ظاهرا ساختهٔ همین گروه است.
این مطلب خلاصهای از گزارش مفصل بیبیسی بود با کلیک بر روی این لینک، میتوانید آنرا مطالعه نمایید.
برچسب ها: WannaCry, Park Jin-hyok, Sony Pictures, Lazarus Groups, Swift, Jupiter, نیویورک, بنگلادش, cybersecurity, Hack, سوییفت, phishing, ransomware , هک, فیشینگ, باج افزار, امنیت سایبری, Cyber Attacks, حمله سایبری