هكرهاي كره شمالي چگونه از بانك‌هاي سرتاسر جهان سرقت مي‌كنند؟

كره شمالي از خبرسازترين كشورهاي جهان محسوب مي‌شود كه اخبار مرتبط با دولت آن و گروه‌هاي مخفيانه‌ي متعددش، هميشه سرتيتر اخبار را به خود اختصاص مي‌دهد. گروه‌هاي هكري اين كشور، سهم عمده‌اي از اخبار پيرامون حكومت را در رسانه‌هاي بين‌المللي شكل مي‌دهند. گزارش‌هاي متعدد نشان مي‌دهد كه اين گروه‌ها مسئول سرقت هكري از بانك‌هاي متعدد در جهان هستند. يك گزارش ادعا مي‌كند كه ۸۰ ميليون دلار سرمايه با بهره‌گيري از يك شبكه‌ي پيچيده ابتدا از بانك‌هاي قرباني به سري‌لانكا و فيليپين رفته و درنهايت از كره‌ي شمال سر در آورده است. در ادامه‌ي اين مطلب اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران، برگردان مقاله‌اي را از وايرد مي‌خوانيد كه چگونگي نفوذ و سرقت گروه‌هاي هكري كره‌ي شمالي را شرح مي‌دهد.

اكثر سيستم‌‌هايي كه براي شناسايي اسكناس‌‌هاي تقلبي طراحي شدند، توانايي تشخيص آن‌ها را نداشتند. ظاهرا برنامه‌‌اي كه با هدف توليد سوپردلار و پول‌هاي مشابه انجام مي‌شود، عمري به‌اندازه‌ي چند دهه دارد. بسياري از متخصص كارشناسان و ناظران سيستم بانك‌داري، اسكناس‌ها را به دولت كره‌ي شمالي ارجاع مي‌دهند و حتي برخي از آن‌ها، شخص كيم جونگ دوم، رهبر سابق اين كشور را مسئول طراحي و توزيع اسكناس‌هاي تقلبي مي‌دانند. احتمالا فرماني كه او در دهه‌ي ۱۹۷۰ و اولين سال‌هاي فرمان‌روايي‌اش، صادر كرد، باعث حدس و گمان متخصص كارشناسان شده است.

كيم جونگ دوم اعتقاد داشت اسكناس‌هاي تقلبي صد دلاري، قدرت مورد نياز را در اختيار رژيم كره‌ي شمالي قرار مي‌دهد تا دربرابر اقتصاد آمريكا قد علم كنند. همچنين كلاهبرداري مورد انديشه متخصصين او، در مسير بي‌ثبات‌سازي اقتصاد آمريكا نيز حركت مي‌كرد.

در گزارشي از سرويس تحقيقاتي كنگره‌ي آمريكا ادعا مي‌شود كه اسكناس‌هاي تقلبي احتمالا سالانه ۱۵ ميليون دلار درآمد براي كره‌ي شمالي به‌همراه داشته‌اند. در اين گزارش آمده است كه پول‌ها احتمالا توسط يك تبهكار ايرلندي توزيع شده‌اند و فرايند پول‌شويي آن‌ها نيز در بانكي در ماكائو صورت گرفته است. مقام‌هاي كره‌اي ظاهرا برنامه‌ي توزيع پول تقلبي را با ديگر اقدام‌هاي مجرمانه تركيب كرده‌اند. قاچاق مواد مخدر و متاآمفتامين و فروش داروهاي تقلبي و قاچاق اعضاي بدن حيوانات در معرض انقراض، از اقدام‌هاي مجرمانه‌ي احتمالي كره‌ي شمالي در تركيب با چاپ اسكناس تقلبي محسوب مي‌شود. گزارش كنگره‌ي آمريكا درنهايت تخمين مي‌زند كه مقام‌هاي كره‌اي در طول يك سال، ۵۰۰ ميليون دلار از اقدام‌هاي مجرمانه درآمد كسب كرده‌اند.

ايالات متحده در دهه‌ي ابتدايي قرن ۲۱ اقدام‌هاي پيش‌رونده‌اي در مقابله با برنامه‌هاي مجرمانه‌ي كره‌ي شمالي انجام داد و خصوصا در مقابله با فعاليت‌هاي جعل اسكناس، موفق بود. يكي از كارزارهاي مبارزه‌ي قانوني آمريكايي‌ها عليه كره‌ي شمالي، ۱۳۰ كشور را در چرخه‌ي اسكناس‌هاي تقلبي كره‌ي شمالي شناسايي كرد كه ميليون‌ها دلار سرمايه را به‌صورت پول تقلبي جابه‌جا مي‌كردند.

در يكي از اقدام‌هاي امنيتي و دراماتيك نيروهاي آمريكايي، يك مراسم ازدواج صحنه‌سازي شد تا خلافكاران دخيل در گردش اسكناس‌هاي تقلبي، شناسايي و بازداشت شوند. حتي وزارت خزانه‌داري آمريكا نيز در مقابله با اقدام‌هاي غيرقانوني وارد عمل شد و علاوه بر اعمال تحريم‌هاي مالي عليه بانك ماكائويي، ۲۵ ميليون دلار از دارايي‌هاي آن را بلوكه كرد.

برنامه‌ي گسترده‌ي آمريكايي‌ها در مقابله با اقدام‌‌هاي جعل كره‌ي شمالي، ظاهرا در سال ۲۰۰۸ به موفقيت رسيد. توزيع و گسترش اسكناس‌هاي تقلبي از آن سال با كاهش قابل‌توجهي روبه‌رو شد. يكي از مأموران FBI كه در اقدام‌هاي مقابله‌اي عليه‌ كره‌ي شمالي مشغول بود، توضيح جالبي براي كاهش چرخش اسكناس‌هاي تقلبي ارائه داد:

اگر توزيع اسكناس‌هاي تقلبي با كاهش روبه‌رو شده باشد، احتمالا مي‌توان نتيجه گرفت كه كره‌ي شمالي توليد و توزيع آن‌ها را متوقف كرده است. شايد آن‌ها راهي جديد براي جعل و سوءاستفاده‌ي مالي پيدا كرده‌اند.

در سال ۲۰۱۳، فشارهاي متعدد ازسوي بازرسان آمريكايي باعث شد كه دولت و وزارت خزانه‌داري، مجبور به پياده‌سازي طراحي جديد در اسكناس‌هاي ۱۰۰ دلاري شوند. درنتيجه مقام‌هاي كره‌ي شمالي به‌ سمت اقدام‌هاي جديدي براي تأمين سرمايه‌هاي غيرقانوني خود متمايل شدند.

ورود به دنياي هك

هك كردن يكي از اقدام‌هاي مرسومي محسوب مي‌شود كه براي جذب غيرقانوني سرمايه، مفيد به‌انديشه متخصصين مي‌رسد. نيويورك تايمز قبلا در گزارشي ادعا كرده بود كه رهبران كره‌ي شمالي، برنامه‌هايي جدي براي جذب استعدادهاي جوان و يادگيري علوم كامپيوتر به آن‌ها دارند. يادگيري‌ها عموما در چين صورت مي‌گرفت و حتي نيروهاي جوان تحت پوشش ديپلمات‌هاي سازمان ملل، در آمريكا يادگيري مي‌ديدند. نيروهاي ماهر اكثرا پس از كسب يادگيري در خارج از كره‌ي شمالي (اغلب چين) ساكن مي‌شدند و اقدام‌هاي سايبري خود را از آنجا مديريت مي‌كردند. چنين اقدامي باعث مي‌شد تا آن‌ها به اتصال اينترنت بهتر و سريع‌تر دسترسي داشته باشند و به‌راحتي هرگونه ارتباط با دولت كره‌ي شمالي را نيز نقض كنند. به‌علاوه، فعاليت در چين آن‌ها را از مقام‌هاي قانوني آمريكايي هم دور مي‌كرد.

هكرهاي كره‌ي شمالي، اقدام‌هاي سازمان‌يافته را براي نفوذ به بانك‌ها در سرتاسر جهان انجام داده‌اند. آن‌ها فعاليت‌هايي پيچيده و قوي دارند، هرچند لاخبار تخصصيا در همه‌ي آن‌ها موفق نيستند. هكرها در يكي از موفق‌ترين و بزرگ‌ترين اقدام‌هاي خود، شيوه‌ي اتصال مؤسسه‌هاي مالي را به سيستم بانك‌داري بين‌المللي دست‌كاري كردند. آن‌ها اجزاء گوناگون سيستم را دچار اختلال كردند و درنتيجه، هكرها به‌عنوان متخصصان عادي شناسايي شدند. درنتيجه‌ي همين دست‌كاري، ده‌ها ميليون دلار سرمايه به حساب‌هاي تحت كنترل هكرها منتقل شد.

باوجود اينكه هيچ گزارش دقيق و مطمئني از ميزان سوءاستفاده‌ي هكرها با اقدام‌هاي نفوذ و سرقت در دست نيست، آن‌ها به‌معناي واقعي كلمه موفق بوده‌اند. سرقت‌هايي كه درنتيجه‌ي اقدام‌هاي نفوذ كره‌ي شمالي انجام مي‌شود، جابه‌جايي مبالغ بالايي را به‌همراه دارد. سازمان ملل متحد، در يك گزارش ارزش سرقت كره‌اي‌ها را حدود دو ميليارد دلار تخمين زد. چنين رقمي براي كشوري كه مجموع توليد ناخالص ملي‌اش به ۲۸ ميليارد دلار مي‌رسد، رقم بالايي محسوب مي‌شود.

كره‌ي شمالي اقدام‌هاي متعددي در جهت توسعه‌ي سلاح‌هاي هسته‌اي و موشك‌هاي بالستيك قاره‌پيما انجام مي‌دهد. پول‌هايي كه ازطريق سرقت بانك‌هاي جهاني به كشور واريز مي‌شود، سرمايه‌ي موردنياز را در اختيار رهبران كره قرار مي‌دهد. حجم و ابعاد اقدام‌هاي نفوذ و سرقت هكري كره‌ي شمالي در مقايسه با اقدام‌هاي مجرمانه‌ي قبلي آن‌ها، بسيار بزرگ تخمين زده مي‌شود. هكرها امروز سرمايه‌اي بسيار بيشتر از اسكناس‌هاي تقلبي براي كره‌ي شمالي تأمين مي‌كنند.

ارزش و متخصصد اصلي اقدام‌هاي هك و سرقت كره‌ي شمالي، مانند اسكناس‌هاي تقلبي فراتر از كسب درآمد و سرمايه به‌انديشه متخصصين مي‌رسد. وقتي آن‌ها موفق شوند، به‌نوعي يكپارچگي و انسجام بازارهاي جهاني نيز دچار آسيب مي‌شود. پاك كردن گزارش‌هاي تراكنشي و ازبين‌بردن اعتماد به سيستم مالي، نتايج نفوذ هكرها هستند. چنين برنامه‌هايي شايد در ظاهر براي آژانس‌هاي دولتي وسوسه‌انگيز باشند؛ اما تهديدهاي بزرگي به‌همراه دارند.

نيويورك تايمز پس از جنگ آمريكا و عراق در گزارشي ادعا كرد كه ايالات متحده به‌دنبال خالي كردن حساب‌هاي بانكي صدام حسين بوده؛ اما از اين اقدام چشم‌پوشي كرده است. درواقع آمريكايي‌ها نگران عبور از مرزهاي احتمالي سازمان‌هاي كلاهبرداري سايبري دولتي بوده‌اند كه درنهايت به اقتصاد آمريكا و پايداري اقتصاد جهان ضربه مي‌زد. كميسيون نظارت بر عملكرد NSA كه در سال ۲۰۱۴ و دوران رياست جمهوري باراك اوباما در آمريكا مشغول به كار بود، در مصوبه‌اي هرگونه اقدام هك و دستكاري گزارش‌هاي مالي را ازسوي ايالات متحده ممنوع اعلام كرد. درواقع آن‌ها اعتقاد داشتند چنين اقدامي آثار منفي روي اعتماد مردم و سيستم اقتصاد جهاني دارد.

ايده سرقت از بانك

سرقت از بانك هميشه بدترين ايده‌ي مجرمانه به حساب مي‌آيد. نه‌تنها با اقدامي غيرقانوني روبه‌رو هستيم، بلكه بازگشت سرمايه و سودي كه به مجرمان مي‌رسد هم در چنين اقدامي آن‌چنان زياد نيست. در ايالات متحده، سرقت از بانك‌ها به‌طور ميانگين تنها چهار هزار دلار پول نقد براي دزدها به‌ ارمغان مي‌آورد. البته، اكثر آن‌ها نيز پس از سرقت سوم، دستگير مي‌شوند. در برخي نقاط ديگر جهان، سارقان بانك سرمايه‌ي بيشتري به جيب مي‌زنند كه باز هم آن‌چنان زياد نيست. سرقت‌هاي بزرگ مانند سرقتي كه در سال ۲۰۰۵، بانك مركزي برزيل را هدف قرار داد، نيازمند ماه‌ها كندن تونل زيرزميني بود تا سارقان، ميليون‌ها دلار سرمايه را به سرقت ببرند. درنهايت، اكثر سرقت‌هاي بانك پايان خوشي براي مجرمان ندارد.

مأموران و كارگزاران كره‌ي شمالي، راه بهتري براي سرقت از بانك‌ها يافته‌اند. آن‌ها براي به‌دست آوردن سرمايه‌ي مورد نياز خود، نيازي به كندل تونل و عبور از لايه‌هاي امنيتي متعدد و فشار و تهديد به نگهبان‌هاي بانك نداشتند. درواقع مجرمان تنها با نفوذ به كامپيوترهاي بانك مورد انديشه متخصصين، آن را مجبور به ارسال پول مي‌كردند.

هكرهاي كره‌ي شمالي براي نفوذ به سيستم‌هاي بانكي، ابتدا يك سازمان بين‌المللي به‌نام Society for Worldwide Interbank Financial Telecommunication يا SWIFT را زير انديشه متخصصين گرفتند. سيستم سوئيفت از سال ۱۹۷۰ در بانك‌هاي بين‌المللي استفاده مي‌شود. ۱۱ هزار مؤسسه‌ي مالي اين سيستم در بيش از ۲۰۰ كشور جهان، روزانه ده‌ها ميليون تراكنش را مديريت مي‌كنند. مقدار سرمايه‌ي در گردش در سيستم سوئيفت روزانه به چندين تريليون دلار مي‌رسد كه از توليد ناخالص ملي اكثر كشورهاي جهان، بيشتر است.

بانك مركزي بنگلادش، بخشي از سرمايه‌ي خود را در بانك ذخيره‌ي فدرال نيويورك نگه‌داري مي‌كند. سرمايه‌هاي مذكور، براي انجام تراكنش‌هاي بين‌المللي بانك مركزي بنگلادش استفاده مي‌شوند. بانك بنگلادشي، در چهارم فوريه‌ي سال ۲۰۱۶، حدود ۳۶ تراكنش انجام داد. در هر تراكنش، مقداري از پول‌هاي ذخيره‌شده در حساب ذخيره‌ي ارزي نيويوركي درخواست شد كه در مجموع به يك ميليارد دلار رسيد. پول‌هاي درخواست‌شده، به حساب‌هاي بانكي در سري‌لانكا و فيليپين جابه‌جا شد.

در زماني‌كه پول‌هاي بانك بنگلادشي درحال جريان در كشورهاي گوناگون جهان بودند، يك پرينتر در بانك مركزي از كار افتاد. پرينتر مذكور، يك مدل معمولي HP LaserJet 400 بود كه در اتاقي بدون پنجره نگه‌داري مي‌شد. اين دستگاه ساده، يك مأموريت مهم عملياتي داشت. تمامي تراكنش‌هاي بانك در سيستم سوئيفت به‌صورت شبانه‌روزي به‌كمك آن چاپ شده و درنتيجه سندي فيزيكي از تراكنش‌ها ذخيره مي‌شد.

وقتي متخصصان بانك مركزي بنگلادش در صبح روز پنجم فوريه‌ي سال ۲۰۱۶ به محل كار خود رفتند، هيچ‌گونه برگه‌ي چاپي را در پرينتر مشاهده نكردند. آن‌ها تلاش كردند تا به‌صورت دستي تراكنش‌ها را چاپ كنند كه باز هم موفق نبودند. ترمينال كامپيوتر كه به شبكه‌ي سوئيفت متصل مي‌شد، يك پيام خطا اعلام مي‌كرد و از عدم وجود يك فايل الزامي در سيستم خبر مي‌داد. درنتيجه متخصصان در آن لحظه هيچ اطلاع و خبري از تراكنش‌هاي انجام‌شده در بانك خودشان نداشتند. پرينتر به سگ نگهباني تبديل شده بود كه پارس نمي‌كرد (اصطلاحي از داستان‌هاي شرلوك هلمز). همه‌ي شواهد نشان از خراب‌كاري در سيستم داشت، اما دليل و چگونگي آن به‌سرعت كشف نشد.

از كار افتادن پرينتر بانك مركزي بنگلادش، يك رخداد عادي اختلال سخت‌افزاري تلقي نمي‌شد. درواقع اين حادثه نتيجه‌ي برنامه‌ريزي دقيق و حمله‌ي حساب‌شده‌ي هكرهاي كره‌ي شمالي بود. هكرها به‌جاي نفوذ به خود سيستم سوئيفت، ماشيني را هدف قرار دادند كه بانك بنگلادشي را به سيستم متصل مي‌كرد.

حساب‌هاي بانكي مخصوصي كه توسط بانك مركزي بنگلادش براي ارتباط با سيستم بين‌المللي استفاده مي‌شدند، قدرت و دسترسي بالايي داشتند. آن حساب‌ها مي‌توانستند تراكنش‌هاي جديد را توليد و تأييد و ثبت كنند. هكرها با تمركز برنامه‌ي نفوذ روي شبكه‌ي بانك و متخصصان، درنهايت امكان كنترل حساب‌هاي مخصوص را پيدا كرده بودند.

هكرها به كمي زمان نياز داشتند تا چگونگي اتصال بنگلادشي‌ها به سيستم سوئيفت را درك كنند و به جزئيات حساب‌ها دسترسي پيدا كنند. البته حتي تا زماني‌كه هكرها مشغول فعاليت در شبكه و آماده‌سازي عمليات بودند (فرايندي چندماهه)، بانك مركزي بنگلادش توانايي شناسايي آن‌ها را نداشت. يكي از دلايل عدم شناسايي، ضعف عملياتي بانك مركزي بود. رويترز پس از عمليات هك گزارش داد كه اقدام‌هاي امنيتي ضعيفي ازسوي بانك مركزي بنگلادش در شبكه‌ي داخلي و خارجي پياده‌سازي شده بود. تجهيزات ارزان و ضعيف و عدم استفاده از نرم‌افزارهاي امنيتي، از دلايل ضعف سيستم بانكي بنگلادش بود. همين ضعف‌ها باعث شد تا هكرها راحت‌‌تر به كامپيوترهاي حساس دسترسي پيدا كنند.

هكرها به‌محض دسترسي به حساب‌هاي متخصصي مخصوص در بانك مركزي بنگلادش، امكان پياده‌سازي انواع تراكنش را مانند متخصصان رسمي داشتند. آن‌ها براي ازبين‌بردن هرگونه امكان شناسايي، كدهاي مخربي را اجرا كردند تا به‌راحتي از دروازه‌هاي امنيتي و ضد كلاهبرداري نرم‌افزار سوئيفت عبور كنند.

يكي از اقدام‌هاي مهم و خطرناك هكرهاي كره‌ي شمالي، دست‌كاري گزارش‌هاي تراكنش در بانك مركزي بنگلادش بود. درنتيجه اين اقدام، شناسايي مقصد تراكنش پول‌هاي بانك دشوار شد. به‌علاوه شك زيادي پيرامون صحت گزارش‌ها شكل گرفت. فراموش نكنيد كه تمامي مؤسسه‌هاي مالي بزرگ ازجمله بانك مركزي بنگلادش، براي كنترل حساب‌ها و عمليات خود، وابسته به همين گزارش‌هاي تراكنشي هستند. حمله‌ي كره‌ي شمالي و هكرهاي وابسته به فايل‌هاي گزارش، مانند خنجري بود كه به قلب سيستم وارد شد. آن‌ها در زمان انجام كارهاي خود، پرينتر اصلي را با كدهاي مخرب عادي از مدار خارج كردند تا زمان كافي براي اقدام‌هاي مجرمانه داشته باشند.

مقام‌هاي بنگلادشي تنها پس از بازگرداندن سيستم‌‌هاي كامپيوتري به وضعيت عادي، متوجه وخامت اوضاع شدند. پرينتر پس از تعمير، گزارش تراكنش‌هاي قبل از خرابي را چاپ كرد. مقام‌هاي به‌سرعت متوجه غيرعادي بودن بسياري از تراكنش‌هاي درخواستي شدند. وقتي آن‌ها براي مطالعه اوضاع با همكاران آمريكايي خود تماس گرفتند، ديگر كار از كار گذشته بود. زمان تعطيلات آخر هفته فرا رسيده بود و متخصصان آمريكايي در محل كار خود نبودند. هكرهاي كره‌اي يا در زمان‌بندي خوش‌شانس بوده يا به‌صورت برنامه‌ريزي شده،‌ آخر هفته را به‌عنوان زمان حمله انتخاب كرده بودند. درنهايت، مقام‌هاي بنگلادشي بايد چند روز را با حداكثر نگراني و استرس مي‌گذراندند تا آمريكايي‌ها به سر كار خود بازگردند.

دوشنبه‌ي پس از خراب‌كاري در سيستم بنگلادش، با اخبار گوناگوني همراه بود. خبر خوب اينكه تحليل‌گران بانك فدرال آمريكايي، اكثر تراكنش‌ها را به مجموع ۸۵۰ ميليون دلار متوقف كرده بودند. يكي از تراكنش‌هاي عجيب، درخواست انتقال ۲۰ ميليون دلار به گيرنده‌اي به‌نام Shalika Fandation در سري‌لانكا بود. در نگاه اول، املاي كلمه اشتباه نوشته شده بود و احتمالا هكرهاي به‌دنبال نوشتن Shalika Foundation بوده‌اند. البته حتي با املاي صحيح نيز چنين مؤسسه‌ي غيرانتقاعي در سري‌لانكا وجود ندارد. باتوجه به اينكه همين اشتباه املايي،‌ اولين زنگ خطرها را پيرامون كلاهبرداري به صدا درآورد، احتمالا با گران‌ارزش‌ترين اشتباه املايي تاريخ روبه‌رو هستيم.

اخبار بد دوشنبه، انجام شدن چهار تراكنش تقلبي در سيستم بانك آمريكايي بود. تراكنش‌ها مجموع ۸۱ ميليون دلار سرمايه را به بانك Rizal در فيليپين منتقل كرده بود. در تماس با بانك فيليپيني نيز موفقيتي حاصل نشد، چون آن‌ها وجه دريافتي را به‌سرعت بين حساب‌هاي متعدد متعلق به كازينوها تقسيم كرده بودند. در ادامه، بخشي از وجه دريافتي، در تاريخ‌هاي پنجم و نهم فوريه توسط فردي به‌صورت نقدي از بانك دريافت شده بود. فراموش نكنيد كه نهم فوريه، پس از تاريخي است كه بانك بنگلادشي هشدارهاي لازم را نسبت به كلاهبرداري و خراب‌كاري به بانك فيليپيني اعلام كرده بود. بانك فيليپيني هيچ اظهارانديشه متخصصيني براي گزارش حاضر نداشت. درنهايت از مجموع ۸۱ ميليون دلاري كه به بانك Rizal واريز شده بود، تنها ۶۸،۳۵۶ دلار در حساب باقي ماند و بقيه، خارج شد.

پس از اعلام خبر دست‌كاري در سيستم بانك مركزي بنگلادش، شركت بريتانيايي تحقيقات امنيتي BAE Systems وارد عمل شد و اقدام هكرها را مطالعه كرد. آن‌ها به‌سرعت شواهد متعددي را كشف كردند كه دست داشتن هكرهاي كره‌ي شمالي را در پرونده‌ي نفوذ تأييد مي‌كرد. بخشي از كدهاي مخرب كه در سيستم بانك مركزي اجرا شد، قبلا در پرونده‌هاي ديگر هكرهاي كره‌اي ديده شده بود. از مهم‌ترين پرونده‌هاي مشابه نيز مي‌توان نفوذ به سوني را در سال ۲۰۱۴ مثال زد.

بازرسان امنيتي پس از تحليل‌هاي متعدد، نتيجه‌گيري شفافي ارائه كردند. هكرهاي كره‌ي شمالي از هزاران كيلومتر دورتر و با خيال راحت در خانه‌ها و دفاتر خود، گزارش‌هاي تراكنشي را دست‌كاري و از اعتماد بين بانكي سوءاستفاده كردند. آن‌ها يكي از بزرگ‌ترين كلاهبرداري‌هاي بانكي تاريخ را انجام داده بودند.

نفوذ در سطح جهاني

سوءاستفاده از سيستم بانكي بنگلادش، ابعاد گسترده‌اي داشت. منتهي بعدا مشخص شد كه پرونده‌ي بنگلادش، بخشي از يك اقدام بزرگ‌تر با هدف‌گيري جهاني بوده است. بانكي در منطقه‌ي آسياي جنوب شرقي، هدف هم‌زمان هكرهاي كره‌ي شمالي بود (نام بانك مذكور در گزارش‌هاي عمومي منتشر نشده است). هكرها در حمله‌ي دوم، اقدام‌هاي هماهنگ و منظم‌تري انجام داده بودند. آن‌ها با نفوذ به سروري كه وب‌سايت عمومي بانك را ميزباني مي‌كرد، اقدام‌هاي مخرب را پيش بردند.

هكرهاي كره‌ي شمالي در دسامبر سال ۲۰۱۵ از سرور عمومي بانك قرباني به سرور ديگري نفوذ كردند كه برنامه‌ي قدرتمند و اصلي سوئيفت را براي اتصال بانك به شبكه‌ي جهاني، ميزباني مي‌كرد. آن‌ها در ماه بعد، ابزارهاي بيشتري را به‌كار گرفتند تا به‌مرور در شبكه حركت كرده و امكان تعامل با سيستم سوئيفت را كسب كنند. در تاريخ ۲۹ ژانويه‌ي ۲۰۱۶، هكرها برخي از ابزارها را آزمايش كردند. آزمايش‌ها تقريبا به‌صورت هم‌زمان با اجراي پروژه‌ي نفوذ در بانك مركزي بنگلادش انجام مي‌شد.

در روز چهارم فوريه‌ي سال ۲۰۱۶ و هم‌زمان با ارسال تراكنش‌هاي تقلبي ازسوي بانك بنگلادشي، اقدام‌هاي مخرب در شبكه‌ي بانك ديگر نيز انجام شد. البته هكرها در بانك دوم هنوز درخواست تراكنش‌ رسمي را ارسال نكرده بودند. حدود سه هفته بعد، اقدام‌هاي مخرب مجرمان سايبري در بانك دوم متوقف شد. هيچ اطلاعات جزئي از دليل متوقف شدن اقدام آن‌ها در دست نيست.

هكرهاي كره‌ي شمالي حتي پس از دريافت پول‌هاي هدف از بانك مركزي بنگلادش، تمركز خود را از هدف دوم بر نداشتند. آن‌ها در ماه آوريل، نرم‌افزار كي‌لاگر را در سرور سوئيفت بانك قرباني نصب كردند. آن‌ها احتمالا به‌دنبال اطلاعات ورود حساب‌هاي متخصصي مخصوص بوده‌اند. اين حساب‌ها كه به‌عنوان كليد ورود به قلمرو بانك در سيستم سوئيفت شناخته مي‌شوند، ابزارهايي حياتي و الزامي براي سرقت پول بودند.

حمله و عمليات ثانويه‌ي هكرهاي بانكي در زماني انجام مي‌شد كه سيستم بانك‌داري بين‌المللي، به‌خاطر بازرسي‌هاي BAE خطر را احساس كرده بود. سوئيفت در واكنش به رخداد پيش‌آمده، به‌روزرساني‌هاي امنيتي را در ماه مه منتشر كرد تا اعلانيه‌اي را پيرامون رخداد صورت‌گرفته در بنگلادش و يكپارچگي سيستم مالي اعلام كند. هكرها براي انجام عمليات جديد، بايد از به‌روزرساني‌هاي امنيتي تازه عبور مي‌كردند. آن‌ها تا ماه ژوئيه كدهاي مخرب جديد را آزمايش كردند و در ماه اوت، مجددا كدهاي مخرب روي سرور سوئيفت بانك دوم اجرا شدند. هكرها در حمله‌ي مذكور به‌دنبال جابه‌‌جايي سريع پول بودند.

بازرسي و اقدام‌هاي امنيتي كسپرسكي و BAE، نقشه‌ي كمپين كره‌ي شمالي را فاش كرد. هكرها برنامه‌هايي بزرگ‌تر از تنها دو بانك آسيايي داشتند. آن‌ها در ژانويه‌ي ۲۰۱۷ يك سيستم تنظيم‌گري قانوني مالي را در لهستان هدف قرار دادند كه هر بازديدكننده از وب‌سايت را به كدهاي مخرب آلوده مي‌كرد. بسياري از بازديدكننده‌هاي وب‌سايت مؤسسه‌ي مذكور، مؤسسه‌هاي مالي بودند. كره‌‌اي‌ها كدهاي مخرب را در ۱۰۰ مؤسسه‌ي ديگر در سرتاسر جهان اجرا كرده بودند. اكثر اهداف، بانك‌ها و شركت‌هاي مخابراتي بودند. در فهرست اهداف، نام سازمان‌هاي بزرگي همچون بانك جهاني و بانك‌هاي مركزي كشورهاي برزيل و شيلي و مكزيك به چشم مي‌خورد.

هكرهاي كره‌ي شمالي نه‌تنها ارزهاي سنتي و بانك‌هاي معمولي را هدف قرار داده بودند، بلكه از بازار رمزارزها نيز غافل نشدند. متخصصان متعددي در سرتاسر جهان هدف نفوذ و سرقت رمزارز به‌خصوص بيت‌كوين بودند. صرافي‌هاي متعدد رمزارز در سرتاسر جهان نيز هدف نفوذ كره‌اي‌ها بودند. از مهم‌ترين آن‌ها مي‌توان صرافي مستقر در كره‌ي جنوبي به‌نام Youbit را نام برد. صرافي مذكور، ۱۷ درصد از دارايي خود را در جريان نفوذ هكرها از دست داد.

يك شركت امنيت سايبري به‌نام Group-IB تخمين مي‌زند كه برخي فعاليت‌هاي كمترشناخته شده‌ي هكرهاي كره‌ي شمالي عليه صرافي‌هاي رمزارز، سودآوري تا ۵۰۰ ميليون دلار براي آن‌ها به‌همراه داشته است. البته نمي‌توان تخمين مذكور و حجم و ابعاد نفوذ به صرافي‌هاي رمزارز را تأييد كرد. ازطرفي ابعاد گزارش نشان مي‌دهد كه هكرها با هدف‌گيري مؤسسه‌هاي مالي خصوصي و صرافي‌هاي رمزارز، فعاليت‌هاي مخفيانه‌تر انجام دادند، اما اهدافي بسيار بزرگ در سر داشتند.

مؤسسه‌هاي تحقيقات سايبري و امنيتي پس از مطالعه اقدام‌هاي نفوذ هكرهاي كره‌ي شمالي، به نتيجه‌گيري مهمي رسيدند. مأمورهاي كره‌ي شمالي برخي از ابزارها و زيرساخت‌هاي هك خود را از كارايي‌هاي مخرب و اخلال‌گر، به اهداف سودآور و عليه ثبات جهاني تغيير داده‌اند. همان كشوري كه در سال ۲۰۰۹ هرگونه حمله به ايالات متحده را تكذيب كرده بود، در سال ۲۰۱۳ به شركت‌هاي متعددي در كره‌ي جنوبي حمله كرد و در سال ۲۰۱۴، سوني را هدف قرار داد. آن‌ها پس از گذشت چند سال، مؤسسه‌هاي مالي را هدف قرار داده بودند.

كره‌ي شمالي به‌عنوان بزرگ‌ترين كشور تحت تأثير تحريم شناخته مي‌شود و از منزوي‌ترين كشورهاي جهان است. آن‌ها با حمله‌هاي متعدد سايبري اثبات كردند كه هم‌زمان با تلاش براي خريد و توسعه‌ي سلاح‌هاي هسته‌اي، سرمايه‌ي موردنياز خود را از اقدام‌هاي مخرب سايبري تأمين مي‌كنند. حمله‌هاي سايبري و نفوذهاي كره‌ي شمالي، مثالي ديگر از همكاري حكومت ديكتاتور با عمليات سايبري محسوب مي‌شود كه نمونه‌هاي بيشتري از آن قطعا در آينده فاش مي‌شود.

مهارت در نفوذ

هكرهاي كره‌ي شمالي مهارت و تجربه‌ي كافي را در فعاليت‌هاي نفوذ مهمي كسب كرده بودند. آن‌ها اكنون با پياده‌سازي كدهاي مخرب توانايي نفوذ به عميق‌ترين لايه‌هاي شبكه‌ي بانكي در مؤسسه‌هاي مالي سرتاسر جهان را داشتند. عمليات گسترده‌ي شناسايي و فعاليت به‌صورت مخفيانه، ديگر بخشي از مهارت اصلي آن‌ها محسوب مي‌شود. به‌علاوه، هكرها امروز دركي كامل از سيستم سوئيفت دارند و اتصال بانك‌هاي جهاني به آن را به‌خوبي تحليل مي‌كنند. درنتيجه آن‌ها مي‌توانند روش‌هاي خود را با سرعتي بالا با به‌روزرساني‌هاي امنيتي سوئيفت و بانك‌هاي متصل، هماهنگ كنند.

باوجود پيشرفت‌هاي متعدد عملياتي در گروه‌هاي هكري كره‌ي شمالي، آن‌ها با اشكال بزرگي روبه‌رو بوده و هستند. در بسياري از موارد، مجرمان نتوانستند پول مورد نياز خود را به‌دست بياورند. درواقع بانك‌ها اكثرا در مراحل پاياني واريز وجه، عمليات را شناسايي و متوقف مي‌كنند. شايد هكرها بايد روشي ديگر براي خروج پول‌ها از بانك پيدا كنند.

دريافت پول از ATM روشي مرسوم و قديمي در كلاهبرداري‌ها و نفوذهاي بانكي محسوب مي‌شود. هكرها به اطلاعات يك نفر در بانك دسترسي پيدا كرده و سپس با مراجعه به ATM، پول موجود در حساب او را دريافت مي‌كنند. در چنين عملياتي هيچ نيازي به ورود به شعبه‌ي بانك و صحبت با بانك‌دارها نيست. درنتيجه احتمال شناسايي و دستگير شدن نيز كاهش مي‌يابد. حمله‌هاي مشابه گذشته، در ابعاد كوچك به بانك‌هاي متعددي خسارت وارد كرده‌اند. به‌عنوان مثال مي‌توان حمله به بانك ملي بلكسبرگ در ويرجينيا را مثال زد. تنها چالش مجرمان در پرونده‌هاي مذكور، دريافت كارت و رمز عبور آن بود.

باوجود برنامه‌ريزي دقيق هكرهاي كره‌ي شمالي در هدف قرار دادن بانك هندي، آژانس‌هاي اطلاعاتي آمريكا متوجه برنامه‌ي آن‌ها و خراب‌كاري در سيستم شدند. البته ظاهرا دولت آمريكا نمي‌دانست كه كدام مؤسسه‌هاي مالي هدف قرار گرفته‌اند؛ اما به‌هرحال FBI پيام‌هايي خصوصي را در دهم اوت به بانك‌ها ارسال كرد و نسبت به نفوذ از نوع برداشت ATM در مقياس كوچك تا متوسط، هشدار داد. درنهايت FBI هشدار داده بود كه بانك‌ها بايد روش‌هاي امنيتي خود را ارتقاء دهند.

كشف آمريكايي‌ها و اعلام هشدار آن‌ها، خللي در پروژه‌ي نفوذ كره‌ي شمالي ايجاد نكرد. آن‌ها در ۱۱ اوت برنامه‌ي خود را اجرا كردند. در عملياتي كه حداكثر دو ساعت به طول انجاميد، مجرمان در ۲۸ كشور جهان، عمليات دريافت وجه را از ATMهاي متعدد اجرا كردند. حجم دريافتي‌ها از ۱۰۰ تا ۲،۵۰۰ دلار متفاوت بود. برخلاف حمله‌هاي قبلي كه حجم بالايي از تراكنش را انجام مي‌دادند و شناسايي آن‌ها آسان‌تر بود، عمليات جديد رويكردي گسترده‌تر و انعطاف‌پذيرتر و سريع‌تر داشت. درنهايت مجرمان موفق به سرقتي به ابعاد ۱۱ ميليون دلار شدند.

حمله‌ي گسترده‌ي مجرمان سايبري، سؤال آشناي هميشگي را مطرح كرد. مأموران كره‌ي شمالي چگونه چنين حمله‌اي را مديريت كرده بودند؟ آن‌ها براي هر نوبت دريافت پول، بايد سيستم تأييد هويت بانك Cosmos را در ATM دور مي‌زدند. حتي اگر آن‌ها اطلاعاتي كلي از برخي مشتريان بانك داشتند، دسترسي به تعداد زيادي رمز عبور از متخصصان متعدد، آسان به‌انديشه متخصصين نمي‌رسيد. بدون داشتن رمز عبور نيز دريافت وجه ممكن نبود.

ساحر نائومان و ديگر محققان BAE انديشه متخصصينيه‌ي قابل‌توجهي را پيرامون حمله‌ي اخير هكرهاي كره‌ي شمالي مطرح مي‌كنند. آن‌ها احتمال مي‌دهند كه نفوذ مجرمان به شبكه‌ي بانك هندي به‌قدري عميق بوده كه حتي سيستم تأييد هويت و دريافت رمز در ATM را هم تخريب كرده است. درنتيجه احتمالا هر درخواست دريافت وجه از سيستم ATM بانك هندي در سرتاسر جهان، به سيستم هويت‌سنجي معيوبي در بانك، ارجاع مي‌شود كه هكرها توسعه داده‌اند. سيستم مخرب، درخواست‌ها را تأييد مي‌كند و به‌نوعي مكانيزم شناسايي سرقت بانك را دور مي‌زند. يكي از افسران پليس هند، چندي بعد در مصاحبه‌‌اي با رسانه‌هاي محلي، اين انديشه متخصصينيه را تأييد كرد.

هكرهاي كره‌ي شمالي پس از موفقيت در دريافت وجه نقد از ATM، مجددا به نقشه‌ي اول خود بازگشتند. آن‌ها دو روز بعد، سه فرايند انتقال پول را در سيستم سوئيفت بانك هندي اجرا كرده و مجموع دو ميليون دلار را به هنگ‌كنگ واريز كردند. پول‌ها به شركتي به‌نام ALM Trading Limited واريز شد كه تنها چند ماه قبل به‌صورت رسمي ثبت شده بود. نام مرموز شركت و عدم حضور و فعاليت آن در فضاي وب هرگونه مطالعه و تخمين مقصد پول‌ها را دشوار مي‌كند. البته مي‌توان با احتمال بالايي پيش‌بيني كرد كه پول‌ها به مقام‌هاي كره‌ي شمالي رسيده‌اند.

هيچ‌گاه نمي‌توان ادعا كرد كه فعاليت‌هاي مخرب كره‌ي شمالي يا هر حكومت ديگر در سيستم بانك‌داري بين‌المللي متوقف شود. آن‌ها از سال‌ها پيش فعاليت‌هاي خود را گسترده‌تر و پيشرفته‌تر كرده‌اند و هميشه درحال تكامل و پيشرفت هستند. شايد مهارت مأموران كره‌اي در برخي موارد در مقابل آژانس‌هاي اطلاعاتي كمتر باشد؛ اما گستردگي فعاليت و تلاش خستگي‌ناپذير آن‌ها، كمبود مهارت را جبران مي‌كند. آن‌ها نگران عواقب كار خود نيستند و با خيال راحت، هزاران سيستم و مؤسسه را در سرتاسر جهان هدف قرار مي‌دهند. گروه هكرهاي كره‌ي شمالي تاكنون سرمايه‌هاي عظيمي را براي حكومت خود تأمين كرده‌اند. شايد روزهاي استفاده از اسكناس تقلبي به پايان رسيده باشد؛ اما كره‌ي شمالي مجددا قدرت ايجاد بي‌ثباتي را در سيستم‌هاي مالي جهاني پيدا كرده است.