Представьте, что вы низкооплачиваемый работник в Индии, которому предлагают дневную работу в качестве дополнительного работника в болливудском фильме. Ваша роль? Пойти в пункт выдачи наличных и снять немного денег.
В 2018 году несколько мужчин в штате Махараштра думали, что они принимают эпизодическую роль в фильме, но на самом деле их обманом заставили стать денежными мулами, собирающими наличные деньги в амбициозном ограблении банка.
Рейд состоялся в выходные в августе 2018 года и был сосредоточен в co-operative банке Cosmos, штаб-квартира которого находится в Пуне.
В тихий субботний день сотрудники головного офиса банка внезапно получили ряд тревожных сообщений.
Они были из карточной платежной компании Visa в Соединенных Штатах, предупредив, что она может увидеть тысячи требований о снятии больших наличных в банкоматах - людьми, по-видимому, использующими карты Cosmos Bank.
Но когда команда Cosmos проверила свои собственные системы, они не увидели никаких аномальных транзакций.
Примерно через полчаса, чтобы быть в безопасности, они разрешили Visa остановить все транзакции с банковских карт Cosmos. Эта задержка окажется чрезвычайно дорогостоящей.
На следующий день Visa поделилась полным списком подозрительных транзакций с головным офисом Cosmos: около 12 000 отдельных снятий из разных банкоматов по всему миру.
Банк потерял почти $14 млн (£11,5 млн).
Предупреждение: Эта статья содержит спойлеры для подкаста Lazarus Heist
Это было дерзкое преступление, характеризующееся его грандиозным масштабом и тщательной синхронизацией. Преступники разграбили банкоматы в 28 разных странах, включая США, Великобританию, Объединенные Арабские Эмираты и Россию. Все произошло всего за два часа и 13 минут – необыкновенный глобальный флешмоб преступности.
В конце концов, следователи проследили его происхождение до теневой группы хакеров, которые вытащили череду предыдущих укусов, по-видимому, по приказу северокорейского государства.
Но прежде чем они узнали более широкую картину, следователи из отдела киберпреступности в Махараштре были поражены, увидев записи с камер видеонаблюдения, на которых десятки мужчин подходят к серии банкоматов, вставляют банковские карты и запихивают банкноты в сумки.
«Мы не знали о такой сети денежных мулов», — говорит генерал Insp Бриджеш Сингх, который возглавлял расследование.
У одной банды был куратор, который контролировал транзакции банкомата в режиме реального времени на ноутбуке, говорит Сингх. Записи с камер видеонаблюдения показали, что всякий раз, когда денежный мул пытался сохранить часть наличных денег для себя, дрессировщик замечал это и давал ему жесткую пощечину.
Используя записи с камер видеонаблюдения, а также данные мобильных телефонов из районов возле банкоматов, индийские следователи смогли арестовать 18 подозреваемых в течение нескольких недель после рейда. Большинство из них в настоящее время находятся в тюрьме в ожидании суда.
Сингх говорит, что эти люди не были закоренелыми мошенниками. Среди арестованных были официант, водитель и обувщик. Другой имел фармацевтическое образование.
«Они были нежными людьми», — говорит он.
Несмотря на это, он считает, что к тому времени, когда произошел рейд, даже люди, завербованные в качестве «статистов», знали, что они на самом деле делают.
Но знали ли они, на кого они работают?
Следователи считают, что за ограблением стояло скрытное и изолированное государство Северная Корея.
Северная Корея является одной из беднейших стран в мире, но значительная часть ее ограниченных ресурсов идет на создание ядерного оружия и баллистических ракет, деятельность, которая запрещена Советом Безопасности ООН. В результате ООН поставила страну под обременительные санкции, что делает торговлю очень ограничительной.
С момента прихода к власти 11 лет назад северокорейский лидер Ким Чен Ын руководил беспрецедентной кампанией испытаний оружия, включая четыре ядерных испытания и несколько провокационных заявок на испытательный запуск межконтинентальных ракет.
Власти США считают, что правительство Северной Кореи использует группу элитных хакеров для взлома банков и финансовых учреждений по всему миру, чтобы украсть деньги, необходимые для поддержания экономики на плаву и финансирования программы вооружений.
Считается, что хакеры, получившие прозвище Lazarus Group, принадлежат к подразделению, управляемому мощным военным разведывательным агентством Северной Кореи, Генеральным разведывательным бюро.
Эксперты по кибербезопасности назвали хакеров в честь библейской фигуры Лазаря, который возвращается из мертвых — ведь как только их вирусы попадают внутрь компьютерных сетей, их практически невозможно убить.
Группа впервые приобрела международную известность, когда тогдашний президент США Барак Обама обвинил Северную Корею во взломе компьютерной сети Sony Pictures Entertainment в 2014 году. ФБР обвинило хакеров в проведении разрушительной кибератаки в отместку за «Интервью», комедию, которая изображала убийство Ким Чен Ына.
С тех пор Lazarus Group обвиняют в попытке украсть 1 миллиард долларов (815 миллионов фунтов стерлингов) из центрального банка Бангладеш в 2016 году и в запуске кибератаки WannaCry, которая пыталась получить выкуп от жертв по всему миру, включая NHS в Великобритании.
Северная Корея решительно отрицает существование Lazarus Group и все обвинения в хакерских атаках, спонсируемых государством.
Но ведущие правоохранительные органы говорят, что хакерские атаки Северной Кореи более продвинуты, более наглые и более амбициозные, чем когда-либо.
Для ограбления Cosmos хакеры использовали технику, известную как «джекпоттинг» - так называемую, потому что заставить банкомат пролить свои деньги - это все равно, что сорвать джекпот на игровом автомате.
Системы банка изначально были скомпрометированы классическим способом: через фишинговое письмо, открытое сотрудником, который заразил компьютерную сеть вредоносным ПО. Оказавшись внутри, хакеры манипулировали небольшим количеством программного обеспечения, называемого переключателем банкомата, которое отправляет сообщения в банк, чтобы одобрить снятие наличных.
Это дало хакерам возможность разрешить снятие средств в банкоматах со своих сообщников в любой точке мира. Единственное, что они не могли изменить, это максимальную сумму для каждого вывода, поэтому им нужно было много карт и много людей на местах.
При подготовке к рейду они работали с сообщниками над созданием «клонированных» банкоматных карт — используя подлинные данные банковского счета для создания дубликатов карт, которые можно использовать в банкоматах.
Британская охранная компания BAE Systems сразу заподозрила, что это работа Lazarus Group. Он следил за ними в течение нескольких месяцев и знал, что они замышляют нападение на индийский банк. Он просто не знал, какой именно.
«Это было бы слишком большим совпадением, чтобы это была еще одна преступная операция», — говорит исследователь безопасности BAE Адриан Ниш. Lazarus Group универсальна и очень амбициозна, говорит он. «Большинство преступных групп, вероятно, были бы достаточно счастливы, чтобы сойти с рук с парой миллионов и остановиться на этом».
Логистика, связанная с ограблением банка «Космос», ошеломляет. Как хакеры нашли сообщников на местах в 28 странах, в том числе во многих, которые граждане Северной Кореи не могут легально посетить?
Американские следователи по технической безопасности считают, что Lazarus Group встретилась с одним ключевым посредником в темной сети, где есть целые форумы, посвященные обмену хакерскими навыками, и где преступники часто продают услуги поддержки. В феврале 2018 года пользователь, называющий себя Big Boss, опубликовал советы о том, как осуществлять мошенничество с кредитными картами. Он также сказал, что у него есть оборудование для изготовления клонированных карт банкоматов, и что у него есть доступ к группе денежных мулов в Соединенных Штатах и Канаде.
Это был именно тот сервис, который понадобился Lazarus Group для их удара по Cosmos Bank, и они начали работать с Big Boss.
Мы попросили Майка ДеБолта, главного сотрудника разведки Intel 471 - фирмы по технической безопасности в США - узнать больше об этом сообщнике.
Команда ДеБолта обнаружила, что Биг Босс был активен не менее 14 лет и имел ряд псевдонимов: G, Habibi и Backwood. Сыщикам безопасности удалось связать его со всеми этими именами пользователей, так как он использовал один и тот же адрес электронной почты на разных форумах.
«По сути, он ленив», — говорит ДеБолт. «Мы видим это довольно часто: актеры меняют свой псевдоним на форуме, но сохраняют тот же адрес электронной почты».
В 2019 году Биг Босс был арестован в Соединенных Штатах и разоблачен как Галеб Алаумари, 36-летний канадец. Он признал себя виновным в преступлениях, включая отмывание средств от предполагаемых ограблений северокорейских банков, и был приговорен к 11 годам и восьми месяцам.
Северная Корея никогда не признавала никакой причастности к работе в банке «Космос» или какой-либо другой хакерской схеме. Би-би-си передала обвинения в причастности к нападению на Космос посольству Северной Кореи в Лондоне, но не получила ответа.
Однако, когда мы связались с ним ранее, посол Чхве Иль ответил, что обвинения в спонсируемых северокорейским государством хакерстве и отмывании денег являются «фарсом» и попыткой США «запятнать имидж нашего государства».
В феврале 2021 года ФБР, Секретная служба США и Министерство юстиции объявили обвинения против трех подозреваемых хакеров Lazarus Group: Джона Чан Хёка, Ким Ира и Пак Джин Хёка, которые, по их словам, работают на военную разведку Северной Кореи. Теперь считается, что они вернулись в Пхеньян.
По оценкам властей США и Южной Кореи, в Северной Корее насчитывается до 7 обученных хакеров. Маловероятно, что все они работают внутри страны, где мало кто имеет разрешение на использование Интернета, что затрудняет сокрытие деятельности пользователей. Вместо этого их часто отправляют за границу.
Рю Хён Ву, бывший северокорейский дипломат и один из самых высокопоставленных людей, покинувших режим, дал представление о том, как хакеры работают за рубежом.
В 2017 году он работал в посольстве Северной Кореи в Кувейте, помогая контролировать занятость около 10 000 северокорейцев в регионе. В то время многие работали на строительных площадках по всему Персидскому заливу и, как и все северокорейские рабочие, должны были передать большую часть своей заработной платы режиму.
Он сказал, что в его офис ежедневно звонил северокорейский куратор, который контролировал 19 хакеров, живущих и работающих в тесных помещениях в Дубае. «Это действительно все, что им нужно: компьютер, подключенный к Интернету», — сказал он.
Северная Корея отрицает, что хакеры были размещены за границей, только ИТ-работники с действительными визами. Но описание г-на Рю согласуется с утверждениями ФБР о том, как эти кибер-подразделения действуют из общежитий по всему миру.
В сентябре 2017 года Совет Безопасности ООН ввел самые строгие санкции в отношении Северной Кореи, ограничив импорт топлива, еще больше ограничив экспорт и потребовав, чтобы страны-члены ООН отправили северокорейских рабочих домой к декабрю 2019 года.
Тем не менее, хакеры по-прежнему активны. В настоящее время они нацелены на криптовалютные компании и, по оценкам, украли около 3,2 миллиарда долларов.
Власти США назвали их «ведущими мировыми грабителями банков», используя «клавиатуры, а не оружие».
