2016年,发生了一起黑客打劫孟加拉国央行的大案,盗贼几近得手,却因一个单词功亏一篑,与10亿美元失之交臂,只拿走1.01亿美元。
5年后,这起大案余波未平,而新的案情陆续浮出水面,令人惊愕。
案发
2016年2月5日,星期五,孟加拉国的法定休息日,首都达卡,孟加拉银行(央行)保安严密的总部大楼10层,一台打印机出了故障。
| 孟加拉银行总部大楼位于首都达卡的金融区
它负责打印的是央行账户款项进出的记录。这种寻常的小故障以前也曾发生过,当天的值班经理祖拜尔·本·胡达,不以为意。
其实,这台打印机的故障是个征兆,显示银行史上最大的一桩劫案,正在悄无声息发生。
此时,侵入孟加拉央行系统的黑客,向SWIFT(环球同业银行金融电讯协会)发出35条指令,要求从纽约联邦储备银行提取10亿美元。
前4条指令,是把8100万美元转账到菲律宾RCBC银行,黑客得手。
第5条指令,是把2000万美元转账到斯里兰卡一个慈善组织——莎丽卡基金会。慈善组织的主人,莎丽卡·佩雷拉后来表示,她以为那是一笔清白合法的捐款。
但是,因为指令中基金会一词拼错了,Foundation 拼写成 Fundation,引起负责处理转账程序的德意志银行职员的怀疑,截停那笔款项,并向孟加拉央行查证。
孟加拉央行高层大吃一惊,对这笔资金的异常流动困惑不解,找到安全专家阿斯塔纳,请他协助调查。
当时央行高层认为还有可能把这笔钱追回来,因此对失窃案保密,不但公众毫不知情,甚至孟加拉当局也蒙在鼓里。
阿斯塔纳很快发现问题所在:银行系统的核心——SWIFT,全球各地的银行之间通过这个系统进行交易清算,被认为是世界上最安全的电子支付系统。孟加拉银行连接SWIFT系统的计算机,竟然没有安装防火墙。
他发现,在SWIFT看来,黑客拥有操作权限,转款指令正确,就是来自银行员工,没有疑问。
那台打印机的故障也很蹊跷,被人用远程木马程序操纵,无法作业,以掩盖行窃证据。它被修正后重启,结果吐出一份更加令人震惊的通知!
| 纽约美联储
通知来自纽约美联储,孟加拉央行的美元储备存在对方的账户上。
通知说,美联储已经收到来自孟加拉央行(客户)的取款指令,提取10亿美元,几乎就是账户里的全部款额。
| 孟加拉妇女在烈日下劳作
孟加拉国是全球最贫困国之一,10亿美元无异于天文数字。
不幸中的万幸,经过查询,美联储证实,大部分涉案钱款没有流出,因为指令被拒。
黑客发出的35条指令,5条被确认,成功转走1.01亿美元,但另30条涉及8.5亿美元的转款指令,被纽约联储银行拒绝,因为一个敏感词。
盗贼选择在菲律宾RCBC银行位于马尼拉的朱庇特街支行开户,当时不会想到这是个致命的错误。
朱庇特是一个敏感词,因为有一艘伊朗货轮也叫这个名字。
朱庇特这个词触发了警报,联储局系统叫停执行,对交易进行审核评估,30条指令被拒,5条获得执行,1.01亿美元被盗。
央行高层发现,钱很难马上追回。菲律宾法律规定,只有通过法庭下达判决,才能开始追款程序。
这就意味着,盖子再难捂下去。
2月下旬,孟加拉央行遭黑客打劫的消息震惊世界。
3月15日,央行行长阿蒂·拉赫曼引咎辞职,两名副行长遭解职。
阴谋
孟加拉央行遭黑客打劫案背后,是一个由黑客和中间人组成的团队,成员散布在亚洲各地。
这个团队叫拉撒路。拉撒路是一个死而复生的传说人物。
专家认为,单就生存能力而言,这个面目不清的团队跟拉撒路不相上下。
调查人员后来发现,早在一年前,拉撒路团队的病毒就侵入孟加拉央行,一直潜伏在电脑系统里。
2015年1月,孟加拉央行几名员工收到一份貌似人畜无害的求职邮件,发件人自称拉塞尔·阿拉姆。他的邮件措辞彬彬有礼,还有一条下载求职信和个人履历的附件链接。
收到这份电邮的员工当中,至少一人毫无防备地点击那个链接,下载了所谓的简历和求职信,把藏在文件里的病毒带入央行电脑系统。
这个病毒很快就感染了一台又一台电脑,轻而易举进入了数字化金库。
然后,它们停下脚步,潜伏下来。
病毒成功潜入央行系统后,拉撒路用了一年时间安排撤退计划和路线。
| 马尼拉朱庇特街上的RCBC支行
朱庇特街是马尼拉城里一条繁忙的商业街。菲律宾最大的银行之一RCBC(黎刹),在这条街上有一个支行。
2015年5月,拉撒路病毒侵入孟加拉央行系统几个月之后,有人在这家RCBC开了四个账户,开户人是黑客的同犯。
事后回想,其实是有疑点的:用来开户的驾照是假的,开户人分别就职于不同的公司,但职务和工资完全一样。
不过,当时没有人注意到这些。
几个月过去了,这几个账户里除了开户时存入的500美元,就再没有钱款进出。
到了2016年2月,拉撒路集团认为一切准备就绪。
除了一个小小的环节:孟加拉央行总部10楼的一台打印机,负责打印央行所有账户的所有钱款流动记录,留作纸质备份。
白纸黑字,看到的人立刻就会发现黑客在作案。
所以必须先侵入控制这台打印机的系统,让它出故障。
2月4日,周四,孟加拉时间晚上20:36时,行动开始。
此时,纽约时间是周四上午,正常工作时间。
孟加拉银行周五、周六休息,接下来就是纽约的周末。
等双方都发现疑窦时,已经过去3天了。
关键在于,周一,2016年2月8日,是农历新年,亚洲各地的银行都关门。黑客们又多了2天先机。
这样,抢劫得手后,黑客们有5天的逃遁时间。
如此大胆缜密、天衣无缝的计划,显然是经过精心设计的。
可是,就像好莱坞大片里的银行打劫案一样,百密一疏,最后眼睁睁看着唾手可得的赃款与自己失之交臂。
这可能是个令拉撒路集团吐血的疏忽,只有一个,非常小,但最后一切都毁在这一小点上:朱庇特,它触发了敏感词警报。
追查
当孟加拉央行开始追款行动时,拉撒路黑客们已经先行了几步。
2月5日,周五,马尼拉朱庇特街RCBC支行的四个账户突然活跃异常,现金进帐,流出,转入一个外汇公司,换成菲律宾货币,重新存入这家银行,有一部分现款被提取。
在专家看来,这些操作完全不出意料。
被成功盗取的8100万美元赃款中,5000万经由RCBC流入了Solaire、Midas两家赌档,另外3100万下落不明。
通过赌档是为了掩盖赃款流动痕迹,但有没有风险?
没有。
盗贼预订了私人包间,里面的玩家都是同伙,他们在里面玩了几个星期。
孟加拉央行在这段时间追了上来,赶到马尼拉,识别出赃款流动轨迹。
但是,线索到赌档之后就断了。
当时,菲律宾的法规还不适用于赌档。从赌档的角度看,没有任何违法之处。
| Kim Wong
孟加拉央行设法从承包Midas私人包间的一个名叫 Kim Wong的人手中追回1600万美元。他先被起诉,后来控方撤诉。
另外6500万美元似乎彻底消失了。
调查的下一站,离真相更近了一步。
| 七宝山饭店
寻着蛛丝马迹,调查团队追踪到沈阳一家酒店——七宝山饭店,门口有一对石狮子。
这家酒店有平壤特色:床单、菜式、服务员的服装和餐厅的歌舞表演,等等。
2014年,黑客就在这家酒店,以此为基地,向索尼影业发起网上攻击,而这已经是互联网社区众所周知的事。
索尼高管的薪酬、保密邮件内容和尚未发行的新片的详情被泄露,在网上曝光,而公司70%的电脑被黑客病毒入侵陷入瘫痪,员工的门禁卡失效,打印机无法启动。
索尼影业公司总部所在地的一个咖啡店长达6个星期无法接受信用卡付款。
最终,主流院线表示不准备放映索尼这部影片,它只能在一些独立影院上映。
起诉
拉撒路团队至今依旧很神秘。
赛门铁克的研究人员表示,他们发现了一些证据,波兰、菲律宾、韩国的20多家银行,越南先锋银行、孟加拉央行、世界银行、欧洲央行、美国银行等遭受的一系列攻击,都来自拉撒路团队。
厄瓜多尔银行被黑客劫走1200万美元。
美国FBI掌握了一名拉撒路团队成员的身份背景。
朴镇赫,化名朴光振,电脑编程员,曾受雇平壤进出口公司大连分公司。
FBI说,朴镇赫白天是程序员,晚上是电脑黑客。
2017年5月,WannaCry 病毒像野火一样全球蔓延,令150国的30万部计算机受到瘫痪。无数受害者的电脑、数据、文档被锁,必须支付价值数百至数百万美元的比特币之后,才能取回。
虚拟货币被打劫的金额估计超过20亿美元。
2018年6月,美国起诉朴镇赫,指控他参与了攻击索尼案、孟加拉央行劫案、WannaCry 病毒案。
| 金日、朴镇赫、全昌赫
2021年2月,美国起诉另外两名男子,称他们也是拉撒路集团成员。
今天,孟加拉央行还在努力追款,大约6500万美元,对数十个机构和个人提起诉讼,包括菲律宾RCBC银行。
RCBC坚称自己没有违反任何法规。
| 菲律宾RCBC银行朱庇特街支行经理Maia Santos Deguito(左)
这是当今全球战场上的一条新战线:模糊不清的地带、活动、团队、黑客,藏在暗处迅速拓展。
1.《[历史逆时针]回顾2016年孟加拉央行10亿美元被劫案,为何赃款至今难以追回?》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《[历史逆时针]回顾2016年孟加拉央行10亿美元被劫案,为何赃款至今难以追回?》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/guoji/1902868.html