Ограбление Lazarus: ограбление межконтинентального банкомата, в результате которого за два часа было собрано 14 миллионов долларов

Представьте, что вы низкооплачиваемый рабочий в Индии, которому предлагают однодневную работу статистом в болливудском фильме. Твой ход? Подойти к кассе и снять немного денег.

В 2018 году несколько мужчин в Махараштре думали, что соглашаются на небольшую роль в фильме, но на самом деле их обманом заставили стать денежными мулами, собирая наличные в амбициозном ограблении банка.

Рейд прошел в выходные в августе 2018 года и сосредоточился на кооперативном банке «Космос», штаб-квартира которого находится в Пуне.

В тихий субботний день сотрудники главного офиса банка неожиданно получили серию пугающих сообщений.

Они были от американской платежной компании Visa, предупредив, что они могут увидеть тысячи запросов на снятие наличных в крупных банкоматах — по всей видимости, от людей, использующих карты Cosmos Bank.

Но когда команда Cosmos проверила свои собственные системы, они не обнаружили никаких аномальных транзакций.

Примерно через полчаса, просто для безопасности, они позволили Visa остановить все транзакции с банковскими картами Cosmos. Эта задержка обойдется очень дорого.

На следующий день Visa поделилась полным списком подозрительных транзакций с головным офисом Cosmos: около 12 000 отдельных снятий наличных в различных банкоматах по всему миру.

Банк потерял почти 14 миллионов долларов (11,5 миллионов фунтов стерлингов).

Предупреждение: эта статья содержит спойлеры к подкасту Lazarus Heist.

Это было дерзкое нападение, отличавшееся большим размахом и точным расчетом времени. Преступники ограбили банкоматы в 28 странах, включая США, Великобританию, ОАЭ и Россию. Все это произошло всего за 2 часа 13 минут — необыкновенная глобальная преступная группировка.

В конечном итоге следователи проследят его происхождение от теневой группы хакеров, которые осуществили ряд предыдущих атак, очевидно, по указанию северокорейского государства.

Но прежде чем они узнали более широкую картину, следователи отдела по борьбе с киберпреступностью штата Махараштра были поражены, увидев кадры с камер видеонаблюдения, на которых десятки мужчин подходят к ряду банкоматов, вставляют банковские карты и кладут купюры в сумки.

«Мы не знали о такой сети денежных мулов», — говорит генеральный инспектор Бриджеш Сингх, который руководил расследованием.

По словам Сингха, в одной банде был процессор, который отслеживал транзакции банкоматов в режиме реального времени на ноутбуке. Запись с камер видеонаблюдения показала, что всякий раз, когда денежный мул пытался оставить себе немного наличных, дилер это замечал и сильно давал ему пощечину.

Используя записи с камер видеонаблюдения, а также данные мобильных телефонов в районе банкоматов, индийские детективы смогли арестовать 18 подозреваемых в течение нескольких недель после рейда. Большинство из них сейчас находятся в тюрьме в ожидании суда.

Сингх говорит, что эти парни не были закоренелыми мошенниками. Среди арестованных были официант, водитель и сапожник. Другой получил степень в области фармации.

«Они были вежливыми людьми, — говорит он.

Несмотря на это, считается, что к тому времени, когда произошел рейд, даже люди, завербованные в качестве «массовки», знали, что они на самом деле делают.

Но знали ли они, на кого работали?

Следователи считают, что за кражей стоит скрытное и изолированное государство Северная Корея.

Северокорейские хакеры и миллиарды долларов.

Северная Корея — одна из беднейших стран мира, но большая часть ее ограниченных ресурсов идет на создание ядерного оружия и баллистических ракет, что запрещено Советом Безопасности ООН. В результате ООН ввела против страны жесткие санкции, сильно ограничив торговлю.

С момента прихода к власти 11 лет назад северокорейский лидер Ким Чен Ын руководил беспрецедентной кампанией испытаний оружия, включая четыре ядерных испытания и несколько провокационных демонстраций испытательных пусков межконтинентальных баллистических ракет.

Власти США считают, что правительство Северной Кореи использует группу элитных хакеров для взлома банков и финансовых учреждений по всему миру, чтобы украсть деньги, необходимые для поддержания экономики на плаву и финансирования программы создания оружия.

Предполагается, что хакеры, получившие название Lazarus Group, принадлежат к подразделению, находящемуся в ведении могущественного северокорейского агентства военной разведки, Главного бюро разведки.

Специалисты по кибербезопасности окрестили хакеров библейским персонажем Лазарем, воскресшим из мертвых, — потому что, как только их вирусы попадают в компьютерные сети, их практически невозможно убить.

С тех пор Lazarus Group обвиняют в попытке украсть 1 миллиард долларов (815 миллионов фунтов стерлингов) из центрального банка Бангладеш в 2016 году и в запуске кибератаки WannaCry, которая пыталась получить выкуп от жертв по всему миру, в том числе в NHS в Великобритании.

Северная Корея категорически отрицает существование Lazarus Group и все обвинения в хакерских атаках, спонсируемых государством.

Но ведущие правоохранительные органы говорят, что взлом Северной Кореи стал более продвинутым, смелым и амбициозным, чем когда-либо прежде.

Для ограбления Cosmos хакеры использовали метод, известный как «джекпоттинг» — так называемый, потому что заставить банкомат вылить свои деньги — все равно, что сорвать джекпот на игровом автомате.

Системы банка изначально были взломаны классическим способом: через фишинговое электронное письмо, открытое сотрудником, который заразил компьютерную сеть вредоносным ПО. Оказавшись внутри, хакеры манипулировали некоторым программным обеспечением, называемым ключом банкомата, которое отправляет в банк сообщения, подтверждающие снятие наличных.

Это дало хакерам возможность разрешать снятие средств через банкоматы своих партнеров в любой точке мира. Единственное, что они не могли изменить, так это максимальную сумму на вывод, поэтому им нужно было много карт и много людей в зале.

Готовясь к рейду, они работали с партнерами над созданием «клонов» карт для банкоматов, используя исходные данные банковского счета для создания дубликатов карт, которые можно было использовать в банкоматах.

Британская охранная компания BAE Systems сразу заподозрила, что это дело рук Lazarus Group. Она наблюдала за ними несколько месяцев и знала, что они планируют напасть на индийский банк. Она просто не знает, какой.

«То, что это была очередная преступная операция, было совпадением», — говорит Адриан Ниш, исследователь безопасности BAE. Он говорит, что Lazarus Group очень многогранна и амбициозна. «Большинство преступных групп, вероятно, были бы достаточно счастливы, чтобы уйти с двумя миллионами и остановиться на этом».

Логистика, задействованная в ограблении Cosmos Bank, ошеломляет. Как хакерам удалось найти партнеров в 28 странах, в том числе в те, которые граждане Северной Кореи не могут посетить на законных основаниях?

Американские следователи по технической безопасности считают, что Lazarus Group встретила ключевого посредника в даркнете, где есть целые форумы, посвященные обмену хакерскими навыками, и где преступники часто продают услуги поддержки. В феврале 2018 года пользователь, назвавший себя Big Boss, опубликовал советы о том, как заниматься мошенничеством с кредитными картами. Он также сказал, что у него есть оборудование для изготовления клонированных карт для банкоматов и что у него есть доступ к группе денежных мулов в США и Канаде.

Это была именно та услуга, в которой Lazarus Group нуждалась для достижения успеха в Cosmos Bank, и они начали работать с Big Boss.

Мы попросили Майка ДеБолта (Mike DeBolt), главного разведчика Intel 471, американской компании по обеспечению безопасности технологий, узнать больше об этом партнере.

Команда ДеБолта обнаружила, что Биг Босс был активен не менее 14 лет и имел ряд псевдонимов: Джи, Хабиби и Бэквуд. Следователи безопасности смогли связать его со всеми этими именами пользователей, поскольку он использовал один и тот же адрес электронной почты на разных форумах.

«В основном это лень, — говорит ДеБолт. «Мы видим это очень часто: актеры меняют свой псевдоним на форуме, но сохраняют тот же адрес электронной почты».

В 2019 году Биг Босс был арестован в США и разоблачен как Галиб Аль-Омари, 36-летний канадец. Он признал себя виновным в преступлениях, включая отмывание денег от предполагаемого ограбления банка в Северной Корее, и был приговорен к 11 годам и восьми месяцам тюремного заключения.

Северная Корея никогда не признавала своей причастности к функционированию Cosmos Bank или любой другой схеме взлома. Би-би-си выдвинула обвинения в причастности к нападению Космоса на посольство Северной Кореи в Лондоне, но не получила никакого ответа.

Однако, когда мы связались с ним ранее, посол Чхве Иль ответил на обвинения в хакерских атаках и отмывании денег, спонсируемых Северной Кореей, как на «фарс» и на попытку Соединенных Штатов «запятнать имидж нашей страны».

В феврале 2021 года ФБР, Секретная служба США и Министерство юстиции объявили об обвинениях против трех подозреваемых хакеров Lazarus Group: Джун Чан Хёк, Ким Ир и Пак Джин Хёк, которые, по их словам, работали на военную разведку Северной Кореи. Сейчас считается, что они вернулись в Пхеньян.

По оценкам властей США и Южной Кореи, в Северной Корее насчитывается до 7000 обученных хакеров. Маловероятно, что все они работают внутри страны, так как мало кто имеет разрешение на пользование Интернетом, что затрудняет сокрытие деятельности пользователей. Вместо этого их часто отправляют за границу.

Рю Хён Ву, бывший северокорейский дипломат и один из самых высокопоставленных левых в правительстве, рассказал о том, как хакеры действуют за границей.

В 2017 году он работал в посольстве Северной Кореи в Кувейте, где помогал контролировать трудоустройство около 10 000 северокорейцев в регионе. В то время многие работали на стройках по всему Персидскому заливу, и, как и все северокорейские рабочие, они должны были отдавать большую часть своей зарплаты системе.

Он сказал, что в его офис ежедневно звонил северокорейский терапевт, который курировал 19 хакеров, которые жили и работали в тесных помещениях Дубая. «Это все, что им действительно нужно: компьютер с доступом в Интернет», — сказал он.

Северная Корея отрицает присутствие хакеров, но только ИТ-специалистов с действующими визами. Но описание Рио согласуется с утверждениями ФБР о том, как эти электронные блоки работают в общежитиях по всему миру.

В сентябре 2017 года Совет Безопасности ООН ввел самые жесткие санкции в отношении Северной Кореи, ограничив импорт топлива, введя дополнительные ограничения на экспорт и потребовав от стран-членов ООН отправить северокорейских рабочих домой к декабрю 2019 года.

Однако, похоже, хакеры все еще активны. Теперь они нацелены на криптовалютные компании, и, по оценкам, они украли около 3,2 миллиарда долларов.

Власти США охарактеризовали их как «лучших в мире грабителей банков» с «клавиатурами вместо оружия».