هكرهاي كره شمالي چگونه از بانكهاي سرتاسر جهان سرقت ميكنند؟
كره شمالي از خبرسازترين كشورهاي جهان محسوب ميشود كه اخبار مرتبط با دولت آن و گروههاي مخفيانهي متعددش، هميشه سرتيتر اخبار را به خود اختصاص ميدهد. گروههاي هكري اين كشور، سهم عمدهاي از اخبار پيرامون حكومت را در رسانههاي بينالمللي شكل ميدهند. گزارشهاي متعدد نشان ميدهد كه اين گروهها مسئول سرقت هكري از بانكهاي متعدد در جهان هستند. يك گزارش ادعا ميكند كه ۸۰ ميليون دلار سرمايه با بهرهگيري از يك شبكهي پيچيده ابتدا از بانكهاي قرباني به سريلانكا و فيليپين رفته و درنهايت از كرهي شمال سر در آورده است. در ادامهي اين مطلب اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران، برگردان مقالهاي را از وايرد ميخوانيد كه چگونگي نفوذ و سرقت گروههاي هكري كرهي شمالي را شرح ميدهد.
سوپرنوت يا سوپردلار، اصطلاحي است كه دولت آمريكا براي نامگذاري يكي از حرفهايترين انواع پول تقلبي در كشورش استفاده ميكند. سوپرنوتها عموما ۱۰۰ دلاريهاي نقد هستند. كاغذ آنها از سهچهارم كتان و يك چهارم پوشش زبركنندهي شبيه به پارچه تشكيل ميشود كه تركيب كردن آن مراحل دشواري بههمراه دارد. فيبرهاي قرمز و آبي موردنياز براي قانوني نشان دادن پول، درون اين اسكناسها نيز ديده ميشود. نوار مشهور ۱۰۰ دلاري كه قانوني بودن آن را مشخص ميكند هم در سوپرنوت ديده ميشود. تمامي بخشهاي ديگر همچون نشان سيستم بانكداري آمريكا و تصوير بنجامين فرانكلين نيز با هنر تمام روي اسكناس نقش بسته است. درنهايت حتي با بازرسي دقيق هم نميتوان متوجه تقلبي بودن اسكناس ۱۰۰ دلاري شد.
اكثر سيستمهايي كه براي شناسايي اسكناسهاي تقلبي طراحي شدند، توانايي تشخيص آنها را نداشتند. ظاهرا برنامهاي كه با هدف توليد سوپردلار و پولهاي مشابه انجام ميشود، عمري بهاندازهي چند دهه دارد. بسياري از متخصص كارشناسان و ناظران سيستم بانكداري، اسكناسها را به دولت كرهي شمالي ارجاع ميدهند و حتي برخي از آنها، شخص كيم جونگ دوم، رهبر سابق اين كشور را مسئول طراحي و توزيع اسكناسهاي تقلبي ميدانند. احتمالا فرماني كه او در دههي ۱۹۷۰ و اولين سالهاي فرمانروايياش، صادر كرد، باعث حدس و گمان متخصص كارشناسان شده است.
كيم جونگ دوم اعتقاد داشت اسكناسهاي تقلبي صد دلاري، قدرت مورد نياز را در اختيار رژيم كرهي شمالي قرار ميدهد تا دربرابر اقتصاد آمريكا قد علم كنند. همچنين كلاهبرداري مورد انديشه متخصصين او، در مسير بيثباتسازي اقتصاد آمريكا نيز حركت ميكرد.
در گزارشي از سرويس تحقيقاتي كنگرهي آمريكا ادعا ميشود كه اسكناسهاي تقلبي احتمالا سالانه ۱۵ ميليون دلار درآمد براي كرهي شمالي بههمراه داشتهاند. در اين گزارش آمده است كه پولها احتمالا توسط يك تبهكار ايرلندي توزيع شدهاند و فرايند پولشويي آنها نيز در بانكي در ماكائو صورت گرفته است. مقامهاي كرهاي ظاهرا برنامهي توزيع پول تقلبي را با ديگر اقدامهاي مجرمانه تركيب كردهاند. قاچاق مواد مخدر و متاآمفتامين و فروش داروهاي تقلبي و قاچاق اعضاي بدن حيوانات در معرض انقراض، از اقدامهاي مجرمانهي احتمالي كرهي شمالي در تركيب با چاپ اسكناس تقلبي محسوب ميشود. گزارش كنگرهي آمريكا درنهايت تخمين ميزند كه مقامهاي كرهاي در طول يك سال، ۵۰۰ ميليون دلار از اقدامهاي مجرمانه درآمد كسب كردهاند.
ايالات متحده در دههي ابتدايي قرن ۲۱ اقدامهاي پيشروندهاي در مقابله با برنامههاي مجرمانهي كرهي شمالي انجام داد و خصوصا در مقابله با فعاليتهاي جعل اسكناس، موفق بود. يكي از كارزارهاي مبارزهي قانوني آمريكاييها عليه كرهي شمالي، ۱۳۰ كشور را در چرخهي اسكناسهاي تقلبي كرهي شمالي شناسايي كرد كه ميليونها دلار سرمايه را بهصورت پول تقلبي جابهجا ميكردند.
در يكي از اقدامهاي امنيتي و دراماتيك نيروهاي آمريكايي، يك مراسم ازدواج صحنهسازي شد تا خلافكاران دخيل در گردش اسكناسهاي تقلبي، شناسايي و بازداشت شوند. حتي وزارت خزانهداري آمريكا نيز در مقابله با اقدامهاي غيرقانوني وارد عمل شد و علاوه بر اعمال تحريمهاي مالي عليه بانك ماكائويي، ۲۵ ميليون دلار از داراييهاي آن را بلوكه كرد.
برنامهي گستردهي آمريكاييها در مقابله با اقدامهاي جعل كرهي شمالي، ظاهرا در سال ۲۰۰۸ به موفقيت رسيد. توزيع و گسترش اسكناسهاي تقلبي از آن سال با كاهش قابلتوجهي روبهرو شد. يكي از مأموران FBI كه در اقدامهاي مقابلهاي عليه كرهي شمالي مشغول بود، توضيح جالبي براي كاهش چرخش اسكناسهاي تقلبي ارائه داد:
اگر توزيع اسكناسهاي تقلبي با كاهش روبهرو شده باشد، احتمالا ميتوان نتيجه گرفت كه كرهي شمالي توليد و توزيع آنها را متوقف كرده است. شايد آنها راهي جديد براي جعل و سوءاستفادهي مالي پيدا كردهاند.
در سال ۲۰۱۳، فشارهاي متعدد ازسوي بازرسان آمريكايي باعث شد كه دولت و وزارت خزانهداري، مجبور به پيادهسازي طراحي جديد در اسكناسهاي ۱۰۰ دلاري شوند. درنتيجه مقامهاي كرهي شمالي به سمت اقدامهاي جديدي براي تأمين سرمايههاي غيرقانوني خود متمايل شدند.
ورود به دنياي هك
هك كردن يكي از اقدامهاي مرسومي محسوب ميشود كه براي جذب غيرقانوني سرمايه، مفيد بهانديشه متخصصين ميرسد. نيويورك تايمز قبلا در گزارشي ادعا كرده بود كه رهبران كرهي شمالي، برنامههايي جدي براي جذب استعدادهاي جوان و يادگيري علوم كامپيوتر به آنها دارند. يادگيريها عموما در چين صورت ميگرفت و حتي نيروهاي جوان تحت پوشش ديپلماتهاي سازمان ملل، در آمريكا يادگيري ميديدند. نيروهاي ماهر اكثرا پس از كسب يادگيري در خارج از كرهي شمالي (اغلب چين) ساكن ميشدند و اقدامهاي سايبري خود را از آنجا مديريت ميكردند. چنين اقدامي باعث ميشد تا آنها به اتصال اينترنت بهتر و سريعتر دسترسي داشته باشند و بهراحتي هرگونه ارتباط با دولت كرهي شمالي را نيز نقض كنند. بهعلاوه، فعاليت در چين آنها را از مقامهاي قانوني آمريكايي هم دور ميكرد.
هكرهاي كرهي شمالي، اقدامهاي سازمانيافته را براي نفوذ به بانكها در سرتاسر جهان انجام دادهاند. آنها فعاليتهايي پيچيده و قوي دارند، هرچند لاخبار تخصصيا در همهي آنها موفق نيستند. هكرها در يكي از موفقترين و بزرگترين اقدامهاي خود، شيوهي اتصال مؤسسههاي مالي را به سيستم بانكداري بينالمللي دستكاري كردند. آنها اجزاء گوناگون سيستم را دچار اختلال كردند و درنتيجه، هكرها بهعنوان متخصصان عادي شناسايي شدند. درنتيجهي همين دستكاري، دهها ميليون دلار سرمايه به حسابهاي تحت كنترل هكرها منتقل شد.
كره شمالي جوانان بااستعداد خود را براي يادگيري علوم كامپيوتر به چين و آمريكا ميفرستد
هكرها فايلهاي گزارش عملكرد (Log) و گزارش تراكنشهاي بانكي را دستكاري كردهاند كه موجب اعلانهاي متعدد امنيتي در سيستم بانكداري بينالمللي شد و بهروزرسانيهاي متعدد را در مؤسسههاي مالي بينالمللي بههمراه داشت. از مهمترين اقدامهاي عمومي هكرها ميتوان به ايجاد اختلال در صدها هزار كامپيوتر در سرتاسر جهان اشاره كرد كه احتمالا بهصورت تصادفي رخ داد. آنها تصميم داشتند تا دادههاي باارزش كامپيوترها را با هدف دريافت باج، نزد خود نگه دارند. در مجموع، اقدامهاي متعدد با سعي و خطاهاي بسيار همراه بود و منجر به بهينهسازي روشهاي نفوذ و سرقت هكرهاي كرهي شمالي شد. پس از مدتي اقدامهاي امنيتي آنها تأثيرگذارتر از هميشه انجام ميشد.
باوجود اينكه هيچ گزارش دقيق و مطمئني از ميزان سوءاستفادهي هكرها با اقدامهاي نفوذ و سرقت در دست نيست، آنها بهمعناي واقعي كلمه موفق بودهاند. سرقتهايي كه درنتيجهي اقدامهاي نفوذ كرهي شمالي انجام ميشود، جابهجايي مبالغ بالايي را بههمراه دارد. سازمان ملل متحد، در يك گزارش ارزش سرقت كرهايها را حدود دو ميليارد دلار تخمين زد. چنين رقمي براي كشوري كه مجموع توليد ناخالص ملياش به ۲۸ ميليارد دلار ميرسد، رقم بالايي محسوب ميشود.
كرهي شمالي اقدامهاي متعددي در جهت توسعهي سلاحهاي هستهاي و موشكهاي بالستيك قارهپيما انجام ميدهد. پولهايي كه ازطريق سرقت بانكهاي جهاني به كشور واريز ميشود، سرمايهي موردنياز را در اختيار رهبران كره قرار ميدهد. حجم و ابعاد اقدامهاي نفوذ و سرقت هكري كرهي شمالي در مقايسه با اقدامهاي مجرمانهي قبلي آنها، بسيار بزرگ تخمين زده ميشود. هكرها امروز سرمايهاي بسيار بيشتر از اسكناسهاي تقلبي براي كرهي شمالي تأمين ميكنند.
ارزش و متخصصد اصلي اقدامهاي هك و سرقت كرهي شمالي، مانند اسكناسهاي تقلبي فراتر از كسب درآمد و سرمايه بهانديشه متخصصين ميرسد. وقتي آنها موفق شوند، بهنوعي يكپارچگي و انسجام بازارهاي جهاني نيز دچار آسيب ميشود. پاك كردن گزارشهاي تراكنشي و ازبينبردن اعتماد به سيستم مالي، نتايج نفوذ هكرها هستند. چنين برنامههايي شايد در ظاهر براي آژانسهاي دولتي وسوسهانگيز باشند؛ اما تهديدهاي بزرگي بههمراه دارند.
نيويورك تايمز پس از جنگ آمريكا و عراق در گزارشي ادعا كرد كه ايالات متحده بهدنبال خالي كردن حسابهاي بانكي صدام حسين بوده؛ اما از اين اقدام چشمپوشي كرده است. درواقع آمريكاييها نگران عبور از مرزهاي احتمالي سازمانهاي كلاهبرداري سايبري دولتي بودهاند كه درنهايت به اقتصاد آمريكا و پايداري اقتصاد جهان ضربه ميزد. كميسيون نظارت بر عملكرد NSA كه در سال ۲۰۱۴ و دوران رياست جمهوري باراك اوباما در آمريكا مشغول به كار بود، در مصوبهاي هرگونه اقدام هك و دستكاري گزارشهاي مالي را ازسوي ايالات متحده ممنوع اعلام كرد. درواقع آنها اعتقاد داشتند چنين اقدامي آثار منفي روي اعتماد مردم و سيستم اقتصاد جهاني دارد.
ايده سرقت از بانك
سرقت از بانك هميشه بدترين ايدهي مجرمانه به حساب ميآيد. نهتنها با اقدامي غيرقانوني روبهرو هستيم، بلكه بازگشت سرمايه و سودي كه به مجرمان ميرسد هم در چنين اقدامي آنچنان زياد نيست. در ايالات متحده، سرقت از بانكها بهطور ميانگين تنها چهار هزار دلار پول نقد براي دزدها به ارمغان ميآورد. البته، اكثر آنها نيز پس از سرقت سوم، دستگير ميشوند. در برخي نقاط ديگر جهان، سارقان بانك سرمايهي بيشتري به جيب ميزنند كه باز هم آنچنان زياد نيست. سرقتهاي بزرگ مانند سرقتي كه در سال ۲۰۰۵، بانك مركزي برزيل را هدف قرار داد، نيازمند ماهها كندن تونل زيرزميني بود تا سارقان، ميليونها دلار سرمايه را به سرقت ببرند. درنهايت، اكثر سرقتهاي بانك پايان خوشي براي مجرمان ندارد.
مأموران و كارگزاران كرهي شمالي، راه بهتري براي سرقت از بانكها يافتهاند. آنها براي بهدست آوردن سرمايهي مورد نياز خود، نيازي به كندل تونل و عبور از لايههاي امنيتي متعدد و فشار و تهديد به نگهبانهاي بانك نداشتند. درواقع مجرمان تنها با نفوذ به كامپيوترهاي بانك مورد انديشه متخصصين، آن را مجبور به ارسال پول ميكردند.
هكرهاي كرهي شمالي براي نفوذ به سيستمهاي بانكي، ابتدا يك سازمان بينالمللي بهنام Society for Worldwide Interbank Financial Telecommunication يا SWIFT را زير انديشه متخصصين گرفتند. سيستم سوئيفت از سال ۱۹۷۰ در بانكهاي بينالمللي استفاده ميشود. ۱۱ هزار مؤسسهي مالي اين سيستم در بيش از ۲۰۰ كشور جهان، روزانه دهها ميليون تراكنش را مديريت ميكنند. مقدار سرمايهي در گردش در سيستم سوئيفت روزانه به چندين تريليون دلار ميرسد كه از توليد ناخالص ملي اكثر كشورهاي جهان، بيشتر است.
سيستم SWIFT هدف اصلي نفوذ هكرهاي كره شمالي بود
بسياري از مؤسسههاي مالي عضو سوئيفت، حساب هاي متخصصي ويژه براي نرمفزار اختصاصي سوئيفت دارند كه با هدف ارتباط بين بانكهاي سرتاسر جهان، به كار گرفته ميشود. گزارشهاي متعدد از شركتهاي امنيت سايبري همچون BAE Systems و Kaspersky، روش نفوذ هكرهاي كرهي شمالي به اين حسابهاي متخصصي را شرح ميدهد.
بانك مركزي بنگلادش، بخشي از سرمايهي خود را در بانك ذخيرهي فدرال نيويورك نگهداري ميكند. سرمايههاي مذكور، براي انجام تراكنشهاي بينالمللي بانك مركزي بنگلادش استفاده ميشوند. بانك بنگلادشي، در چهارم فوريهي سال ۲۰۱۶، حدود ۳۶ تراكنش انجام داد. در هر تراكنش، مقداري از پولهاي ذخيرهشده در حساب ذخيرهي ارزي نيويوركي درخواست شد كه در مجموع به يك ميليارد دلار رسيد. پولهاي درخواستشده، به حسابهاي بانكي در سريلانكا و فيليپين جابهجا شد.
در زمانيكه پولهاي بانك بنگلادشي درحال جريان در كشورهاي گوناگون جهان بودند، يك پرينتر در بانك مركزي از كار افتاد. پرينتر مذكور، يك مدل معمولي HP LaserJet 400 بود كه در اتاقي بدون پنجره نگهداري ميشد. اين دستگاه ساده، يك مأموريت مهم عملياتي داشت. تمامي تراكنشهاي بانك در سيستم سوئيفت بهصورت شبانهروزي بهكمك آن چاپ شده و درنتيجه سندي فيزيكي از تراكنشها ذخيره ميشد.
وقتي متخصصان بانك مركزي بنگلادش در صبح روز پنجم فوريهي سال ۲۰۱۶ به محل كار خود رفتند، هيچگونه برگهي چاپي را در پرينتر مشاهده نكردند. آنها تلاش كردند تا بهصورت دستي تراكنشها را چاپ كنند كه باز هم موفق نبودند. ترمينال كامپيوتر كه به شبكهي سوئيفت متصل ميشد، يك پيام خطا اعلام ميكرد و از عدم وجود يك فايل الزامي در سيستم خبر ميداد. درنتيجه متخصصان در آن لحظه هيچ اطلاع و خبري از تراكنشهاي انجامشده در بانك خودشان نداشتند. پرينتر به سگ نگهباني تبديل شده بود كه پارس نميكرد (اصطلاحي از داستانهاي شرلوك هلمز). همهي شواهد نشان از خرابكاري در سيستم داشت، اما دليل و چگونگي آن بهسرعت كشف نشد.
از كار افتادن پرينتر بانك مركزي بنگلادش، يك رخداد عادي اختلال سختافزاري تلقي نميشد. درواقع اين حادثه نتيجهي برنامهريزي دقيق و حملهي حسابشدهي هكرهاي كرهي شمالي بود. هكرها بهجاي نفوذ به خود سيستم سوئيفت، ماشيني را هدف قرار دادند كه بانك بنگلادشي را به سيستم متصل ميكرد.
حسابهاي بانكي مخصوصي كه توسط بانك مركزي بنگلادش براي ارتباط با سيستم بينالمللي استفاده ميشدند، قدرت و دسترسي بالايي داشتند. آن حسابها ميتوانستند تراكنشهاي جديد را توليد و تأييد و ثبت كنند. هكرها با تمركز برنامهي نفوذ روي شبكهي بانك و متخصصان، درنهايت امكان كنترل حسابهاي مخصوص را پيدا كرده بودند.
هكرها به كمي زمان نياز داشتند تا چگونگي اتصال بنگلادشيها به سيستم سوئيفت را درك كنند و به جزئيات حسابها دسترسي پيدا كنند. البته حتي تا زمانيكه هكرها مشغول فعاليت در شبكه و آمادهسازي عمليات بودند (فرايندي چندماهه)، بانك مركزي بنگلادش توانايي شناسايي آنها را نداشت. يكي از دلايل عدم شناسايي، ضعف عملياتي بانك مركزي بود. رويترز پس از عمليات هك گزارش داد كه اقدامهاي امنيتي ضعيفي ازسوي بانك مركزي بنگلادش در شبكهي داخلي و خارجي پيادهسازي شده بود. تجهيزات ارزان و ضعيف و عدم استفاده از نرمافزارهاي امنيتي، از دلايل ضعف سيستم بانكي بنگلادش بود. همين ضعفها باعث شد تا هكرها راحتتر به كامپيوترهاي حساس دسترسي پيدا كنند.
هكرها بهمحض دسترسي به حسابهاي متخصصي مخصوص در بانك مركزي بنگلادش، امكان پيادهسازي انواع تراكنش را مانند متخصصان رسمي داشتند. آنها براي ازبينبردن هرگونه امكان شناسايي، كدهاي مخربي را اجرا كردند تا بهراحتي از دروازههاي امنيتي و ضد كلاهبرداري نرمافزار سوئيفت عبور كنند.
يكي از اقدامهاي مهم و خطرناك هكرهاي كرهي شمالي، دستكاري گزارشهاي تراكنش در بانك مركزي بنگلادش بود. درنتيجه اين اقدام، شناسايي مقصد تراكنش پولهاي بانك دشوار شد. بهعلاوه شك زيادي پيرامون صحت گزارشها شكل گرفت. فراموش نكنيد كه تمامي مؤسسههاي مالي بزرگ ازجمله بانك مركزي بنگلادش، براي كنترل حسابها و عمليات خود، وابسته به همين گزارشهاي تراكنشي هستند. حملهي كرهي شمالي و هكرهاي وابسته به فايلهاي گزارش، مانند خنجري بود كه به قلب سيستم وارد شد. آنها در زمان انجام كارهاي خود، پرينتر اصلي را با كدهاي مخرب عادي از مدار خارج كردند تا زمان كافي براي اقدامهاي مجرمانه داشته باشند.
سازوكار امنيتي ضعيف در بانك مركزي بنگلادش، فرايند نفوذ و سرقت را براي هكرها آسان كرده بود
هكرها پس از نفوذ به سيستم بانك مركزي بنگلادش، درخواستهاي خود را بدون اطلاع هيچيك از مقامها و متخصصان بنگلادشي به بانك نيويوركي ارسال كردند. البته مقامهاي بانك فدرال نيويوركي بالاخره متوجه اقدام غيرعادي در شبكه شدند. وقتي آنها با مجموعهاي از تراكنشهاي درخواستي از سمت بانك بنگلادشي روبهرو شدند، غيرعادي بودن درخواستها را بهسرعت درك كردند. تراكنشهاي ارسال ازسوي بانك مركزي بنگلادش، حسابهاي بانكي شخصي را بهعنوان مقصد پرداخت اعلام كرده بود كه رويكردي غيرعادي بهانديشه متخصصين ميرسيد. درواقع اكثر درخواستهاي عادي از سوي بانكهاي مركزي، مقصد پرداخت را حسابهاي متعلق به شخصيت حقوقي بانكهاي ديگر عنوان ميكنند. درنهايت، مقامهاي آمريكايي بسياري از درخواستها را براي شفافسازي به بانك مبدأ ارجاع دادند.
مقامهاي بنگلادشي تنها پس از بازگرداندن سيستمهاي كامپيوتري به وضعيت عادي، متوجه وخامت اوضاع شدند. پرينتر پس از تعمير، گزارش تراكنشهاي قبل از خرابي را چاپ كرد. مقامهاي بهسرعت متوجه غيرعادي بودن بسياري از تراكنشهاي درخواستي شدند. وقتي آنها براي مطالعه اوضاع با همكاران آمريكايي خود تماس گرفتند، ديگر كار از كار گذشته بود. زمان تعطيلات آخر هفته فرا رسيده بود و متخصصان آمريكايي در محل كار خود نبودند. هكرهاي كرهاي يا در زمانبندي خوششانس بوده يا بهصورت برنامهريزي شده، آخر هفته را بهعنوان زمان حمله انتخاب كرده بودند. درنهايت، مقامهاي بنگلادشي بايد چند روز را با حداكثر نگراني و استرس ميگذراندند تا آمريكاييها به سر كار خود بازگردند.
دوشنبهي پس از خرابكاري در سيستم بنگلادش، با اخبار گوناگوني همراه بود. خبر خوب اينكه تحليلگران بانك فدرال آمريكايي، اكثر تراكنشها را به مجموع ۸۵۰ ميليون دلار متوقف كرده بودند. يكي از تراكنشهاي عجيب، درخواست انتقال ۲۰ ميليون دلار به گيرندهاي بهنام Shalika Fandation در سريلانكا بود. در نگاه اول، املاي كلمه اشتباه نوشته شده بود و احتمالا هكرهاي بهدنبال نوشتن Shalika Foundation بودهاند. البته حتي با املاي صحيح نيز چنين مؤسسهي غيرانتقاعي در سريلانكا وجود ندارد. باتوجه به اينكه همين اشتباه املايي، اولين زنگ خطرها را پيرامون كلاهبرداري به صدا درآورد، احتمالا با گرانارزشترين اشتباه املايي تاريخ روبهرو هستيم.
اخبار بد دوشنبه، انجام شدن چهار تراكنش تقلبي در سيستم بانك آمريكايي بود. تراكنشها مجموع ۸۱ ميليون دلار سرمايه را به بانك Rizal در فيليپين منتقل كرده بود. در تماس با بانك فيليپيني نيز موفقيتي حاصل نشد، چون آنها وجه دريافتي را بهسرعت بين حسابهاي متعدد متعلق به كازينوها تقسيم كرده بودند. در ادامه، بخشي از وجه دريافتي، در تاريخهاي پنجم و نهم فوريه توسط فردي بهصورت نقدي از بانك دريافت شده بود. فراموش نكنيد كه نهم فوريه، پس از تاريخي است كه بانك بنگلادشي هشدارهاي لازم را نسبت به كلاهبرداري و خرابكاري به بانك فيليپيني اعلام كرده بود. بانك فيليپيني هيچ اظهارانديشه متخصصيني براي گزارش حاضر نداشت. درنهايت از مجموع ۸۱ ميليون دلاري كه به بانك Rizal واريز شده بود، تنها ۶۸،۳۵۶ دلار در حساب باقي ماند و بقيه، خارج شد.
پس از اعلام خبر دستكاري در سيستم بانك مركزي بنگلادش، شركت بريتانيايي تحقيقات امنيتي BAE Systems وارد عمل شد و اقدام هكرها را مطالعه كرد. آنها بهسرعت شواهد متعددي را كشف كردند كه دست داشتن هكرهاي كرهي شمالي را در پروندهي نفوذ تأييد ميكرد. بخشي از كدهاي مخرب كه در سيستم بانك مركزي اجرا شد، قبلا در پروندههاي ديگر هكرهاي كرهاي ديده شده بود. از مهمترين پروندههاي مشابه نيز ميتوان نفوذ به سوني را در سال ۲۰۱۴ مثال زد.
بازرسان امنيتي پس از تحليلهاي متعدد، نتيجهگيري شفافي ارائه كردند. هكرهاي كرهي شمالي از هزاران كيلومتر دورتر و با خيال راحت در خانهها و دفاتر خود، گزارشهاي تراكنشي را دستكاري و از اعتماد بين بانكي سوءاستفاده كردند. آنها يكي از بزرگترين كلاهبرداريهاي بانكي تاريخ را انجام داده بودند.
نفوذ در سطح جهاني
سوءاستفاده از سيستم بانكي بنگلادش، ابعاد گستردهاي داشت. منتهي بعدا مشخص شد كه پروندهي بنگلادش، بخشي از يك اقدام بزرگتر با هدفگيري جهاني بوده است. بانكي در منطقهي آسياي جنوب شرقي، هدف همزمان هكرهاي كرهي شمالي بود (نام بانك مذكور در گزارشهاي عمومي منتشر نشده است). هكرها در حملهي دوم، اقدامهاي هماهنگ و منظمتري انجام داده بودند. آنها با نفوذ به سروري كه وبسايت عمومي بانك را ميزباني ميكرد، اقدامهاي مخرب را پيش بردند.
هكرهاي كرهي شمالي در دسامبر سال ۲۰۱۵ از سرور عمومي بانك قرباني به سرور ديگري نفوذ كردند كه برنامهي قدرتمند و اصلي سوئيفت را براي اتصال بانك به شبكهي جهاني، ميزباني ميكرد. آنها در ماه بعد، ابزارهاي بيشتري را بهكار گرفتند تا بهمرور در شبكه حركت كرده و امكان تعامل با سيستم سوئيفت را كسب كنند. در تاريخ ۲۹ ژانويهي ۲۰۱۶، هكرها برخي از ابزارها را آزمايش كردند. آزمايشها تقريبا بهصورت همزمان با اجراي پروژهي نفوذ در بانك مركزي بنگلادش انجام ميشد.
در روز چهارم فوريهي سال ۲۰۱۶ و همزمان با ارسال تراكنشهاي تقلبي ازسوي بانك بنگلادشي، اقدامهاي مخرب در شبكهي بانك ديگر نيز انجام شد. البته هكرها در بانك دوم هنوز درخواست تراكنش رسمي را ارسال نكرده بودند. حدود سه هفته بعد، اقدامهاي مخرب مجرمان سايبري در بانك دوم متوقف شد. هيچ اطلاعات جزئي از دليل متوقف شدن اقدام آنها در دست نيست.
هكرهاي كرهي شمالي حتي پس از دريافت پولهاي هدف از بانك مركزي بنگلادش، تمركز خود را از هدف دوم بر نداشتند. آنها در ماه آوريل، نرمافزار كيلاگر را در سرور سوئيفت بانك قرباني نصب كردند. آنها احتمالا بهدنبال اطلاعات ورود حسابهاي متخصصي مخصوص بودهاند. اين حسابها كه بهعنوان كليد ورود به قلمرو بانك در سيستم سوئيفت شناخته ميشوند، ابزارهايي حياتي و الزامي براي سرقت پول بودند.
حمله و عمليات ثانويهي هكرهاي بانكي در زماني انجام ميشد كه سيستم بانكداري بينالمللي، بهخاطر بازرسيهاي BAE خطر را احساس كرده بود. سوئيفت در واكنش به رخداد پيشآمده، بهروزرسانيهاي امنيتي را در ماه مه منتشر كرد تا اعلانيهاي را پيرامون رخداد صورتگرفته در بنگلادش و يكپارچگي سيستم مالي اعلام كند. هكرها براي انجام عمليات جديد، بايد از بهروزرسانيهاي امنيتي تازه عبور ميكردند. آنها تا ماه ژوئيه كدهاي مخرب جديد را آزمايش كردند و در ماه اوت، مجددا كدهاي مخرب روي سرور سوئيفت بانك دوم اجرا شدند. هكرها در حملهي مذكور بهدنبال جابهجايي سريع پول بودند.
بانك ديگري در آسياي جنوب شرقي و يك بانك در هند، اهداف بعدي سرقت بودند
حملهي دوم به بانك آسياي جنوب شرقي، با شكست هكرها همراه بود. بانك مذكور، سيستم امنيتي قويتري نسبت به بانك مركزي بنگلادش داشت. بانك در ماه اوت ۲۰۱۶ و حدود هفت ماه پس از نفوذ هكرها، متوجه حضور آنها در سيستم خود شد. آنها شركت امنيتي حرفهاي روسي كسپرسكي را براي بازرسي نفوذ استخدام كردند. هكرها با آگاهي از شروع عمليات شركت امنيتي، بسياري از فايلهاي خود را با هدف پاك كردن ردپا، پاك كردند. البته برخي از آثار فعاليت آنها، در سرورهاي بانك باقي ماند. همين فايلها كافي بود تا كسپرسكي متوجه شباهت نفوذ به بانك دوم با نفوذ به بانك بنگلادشي بشود.
بازرسي و اقدامهاي امنيتي كسپرسكي و BAE، نقشهي كمپين كرهي شمالي را فاش كرد. هكرها برنامههايي بزرگتر از تنها دو بانك آسيايي داشتند. آنها در ژانويهي ۲۰۱۷ يك سيستم تنظيمگري قانوني مالي را در لهستان هدف قرار دادند كه هر بازديدكننده از وبسايت را به كدهاي مخرب آلوده ميكرد. بسياري از بازديدكنندههاي وبسايت مؤسسهي مذكور، مؤسسههاي مالي بودند. كرهايها كدهاي مخرب را در ۱۰۰ مؤسسهي ديگر در سرتاسر جهان اجرا كرده بودند. اكثر اهداف، بانكها و شركتهاي مخابراتي بودند. در فهرست اهداف، نام سازمانهاي بزرگي همچون بانك جهاني و بانكهاي مركزي كشورهاي برزيل و شيلي و مكزيك به چشم ميخورد.
هكرهاي كرهي شمالي نهتنها ارزهاي سنتي و بانكهاي معمولي را هدف قرار داده بودند، بلكه از بازار رمزارزها نيز غافل نشدند. متخصصان متعددي در سرتاسر جهان هدف نفوذ و سرقت رمزارز بهخصوص بيتكوين بودند. صرافيهاي متعدد رمزارز در سرتاسر جهان نيز هدف نفوذ كرهايها بودند. از مهمترين آنها ميتوان صرافي مستقر در كرهي جنوبي بهنام Youbit را نام برد. صرافي مذكور، ۱۷ درصد از دارايي خود را در جريان نفوذ هكرها از دست داد.
يك شركت امنيت سايبري بهنام Group-IB تخمين ميزند كه برخي فعاليتهاي كمترشناخته شدهي هكرهاي كرهي شمالي عليه صرافيهاي رمزارز، سودآوري تا ۵۰۰ ميليون دلار براي آنها بههمراه داشته است. البته نميتوان تخمين مذكور و حجم و ابعاد نفوذ به صرافيهاي رمزارز را تأييد كرد. ازطرفي ابعاد گزارش نشان ميدهد كه هكرها با هدفگيري مؤسسههاي مالي خصوصي و صرافيهاي رمزارز، فعاليتهاي مخفيانهتر انجام دادند، اما اهدافي بسيار بزرگ در سر داشتند.
مؤسسههاي تحقيقات سايبري و امنيتي پس از مطالعه اقدامهاي نفوذ هكرهاي كرهي شمالي، به نتيجهگيري مهمي رسيدند. مأمورهاي كرهي شمالي برخي از ابزارها و زيرساختهاي هك خود را از كاراييهاي مخرب و اخلالگر، به اهداف سودآور و عليه ثبات جهاني تغيير دادهاند. همان كشوري كه در سال ۲۰۰۹ هرگونه حمله به ايالات متحده را تكذيب كرده بود، در سال ۲۰۱۳ به شركتهاي متعددي در كرهي جنوبي حمله كرد و در سال ۲۰۱۴، سوني را هدف قرار داد. آنها پس از گذشت چند سال، مؤسسههاي مالي را هدف قرار داده بودند.
كرهي شمالي بهعنوان بزرگترين كشور تحت تأثير تحريم شناخته ميشود و از منزويترين كشورهاي جهان است. آنها با حملههاي متعدد سايبري اثبات كردند كه همزمان با تلاش براي خريد و توسعهي سلاحهاي هستهاي، سرمايهي موردنياز خود را از اقدامهاي مخرب سايبري تأمين ميكنند. حملههاي سايبري و نفوذهاي كرهي شمالي، مثالي ديگر از همكاري حكومت ديكتاتور با عمليات سايبري محسوب ميشود كه نمونههاي بيشتري از آن قطعا در آينده فاش ميشود.
مهارت در نفوذ
هكرهاي كرهي شمالي مهارت و تجربهي كافي را در فعاليتهاي نفوذ مهمي كسب كرده بودند. آنها اكنون با پيادهسازي كدهاي مخرب توانايي نفوذ به عميقترين لايههاي شبكهي بانكي در مؤسسههاي مالي سرتاسر جهان را داشتند. عمليات گستردهي شناسايي و فعاليت بهصورت مخفيانه، ديگر بخشي از مهارت اصلي آنها محسوب ميشود. بهعلاوه، هكرها امروز دركي كامل از سيستم سوئيفت دارند و اتصال بانكهاي جهاني به آن را بهخوبي تحليل ميكنند. درنتيجه آنها ميتوانند روشهاي خود را با سرعتي بالا با بهروزرسانيهاي امنيتي سوئيفت و بانكهاي متصل، هماهنگ كنند.
باوجود پيشرفتهاي متعدد عملياتي در گروههاي هكري كرهي شمالي، آنها با اشكال بزرگي روبهرو بوده و هستند. در بسياري از موارد، مجرمان نتوانستند پول مورد نياز خود را بهدست بياورند. درواقع بانكها اكثرا در مراحل پاياني واريز وجه، عمليات را شناسايي و متوقف ميكنند. شايد هكرها بايد روشي ديگر براي خروج پولها از بانك پيدا كنند.
هكرها مدام روشهاي برداشت پول دزدي را تغيير ميدهند
هكرها در تابستان ۲۰۱۸ روش جديدي را براي نفوذ و استخراج پول آزمايش كردند. عمليات جديد در ماه ژوئن با حمله به Cosmos Cooperative Bank در هند شروع شد. هكرها بهمحض ورود به بانك هدف، به خوبي مديريت و دسترسي امنيتي آن را به زيرساختهاي كامپيوتري درك كردند. آنها ظاهرا در تابستان ۲۰۱۸ بهدنبال پيادهسازي عملياتي جديد بودند. هكرها از كارتهاي ATM و تراكنشهاي الكترونيكي براي خارج كردن پول مورد انديشه متخصصين خود استفاده ميكردند.
دريافت پول از ATM روشي مرسوم و قديمي در كلاهبرداريها و نفوذهاي بانكي محسوب ميشود. هكرها به اطلاعات يك نفر در بانك دسترسي پيدا كرده و سپس با مراجعه به ATM، پول موجود در حساب او را دريافت ميكنند. در چنين عملياتي هيچ نيازي به ورود به شعبهي بانك و صحبت با بانكدارها نيست. درنتيجه احتمال شناسايي و دستگير شدن نيز كاهش مييابد. حملههاي مشابه گذشته، در ابعاد كوچك به بانكهاي متعددي خسارت وارد كردهاند. بهعنوان مثال ميتوان حمله به بانك ملي بلكسبرگ در ويرجينيا را مثال زد. تنها چالش مجرمان در پروندههاي مذكور، دريافت كارت و رمز عبور آن بود.
باوجود برنامهريزي دقيق هكرهاي كرهي شمالي در هدف قرار دادن بانك هندي، آژانسهاي اطلاعاتي آمريكا متوجه برنامهي آنها و خرابكاري در سيستم شدند. البته ظاهرا دولت آمريكا نميدانست كه كدام مؤسسههاي مالي هدف قرار گرفتهاند؛ اما بههرحال FBI پيامهايي خصوصي را در دهم اوت به بانكها ارسال كرد و نسبت به نفوذ از نوع برداشت ATM در مقياس كوچك تا متوسط، هشدار داد. درنهايت FBI هشدار داده بود كه بانكها بايد روشهاي امنيتي خود را ارتقاء دهند.
كشف آمريكاييها و اعلام هشدار آنها، خللي در پروژهي نفوذ كرهي شمالي ايجاد نكرد. آنها در ۱۱ اوت برنامهي خود را اجرا كردند. در عملياتي كه حداكثر دو ساعت به طول انجاميد، مجرمان در ۲۸ كشور جهان، عمليات دريافت وجه را از ATMهاي متعدد اجرا كردند. حجم دريافتيها از ۱۰۰ تا ۲،۵۰۰ دلار متفاوت بود. برخلاف حملههاي قبلي كه حجم بالايي از تراكنش را انجام ميدادند و شناسايي آنها آسانتر بود، عمليات جديد رويكردي گستردهتر و انعطافپذيرتر و سريعتر داشت. درنهايت مجرمان موفق به سرقتي به ابعاد ۱۱ ميليون دلار شدند.
حملهي گستردهي مجرمان سايبري، سؤال آشناي هميشگي را مطرح كرد. مأموران كرهي شمالي چگونه چنين حملهاي را مديريت كرده بودند؟ آنها براي هر نوبت دريافت پول، بايد سيستم تأييد هويت بانك Cosmos را در ATM دور ميزدند. حتي اگر آنها اطلاعاتي كلي از برخي مشتريان بانك داشتند، دسترسي به تعداد زيادي رمز عبور از متخصصان متعدد، آسان بهانديشه متخصصين نميرسيد. بدون داشتن رمز عبور نيز دريافت وجه ممكن نبود.
ساحر نائومان و ديگر محققان BAE انديشه متخصصينيهي قابلتوجهي را پيرامون حملهي اخير هكرهاي كرهي شمالي مطرح ميكنند. آنها احتمال ميدهند كه نفوذ مجرمان به شبكهي بانك هندي بهقدري عميق بوده كه حتي سيستم تأييد هويت و دريافت رمز در ATM را هم تخريب كرده است. درنتيجه احتمالا هر درخواست دريافت وجه از سيستم ATM بانك هندي در سرتاسر جهان، به سيستم هويتسنجي معيوبي در بانك، ارجاع ميشود كه هكرها توسعه دادهاند. سيستم مخرب، درخواستها را تأييد ميكند و بهنوعي مكانيزم شناسايي سرقت بانك را دور ميزند. يكي از افسران پليس هند، چندي بعد در مصاحبهاي با رسانههاي محلي، اين انديشه متخصصينيه را تأييد كرد.
هكرهاي كرهي شمالي پس از موفقيت در دريافت وجه نقد از ATM، مجددا به نقشهي اول خود بازگشتند. آنها دو روز بعد، سه فرايند انتقال پول را در سيستم سوئيفت بانك هندي اجرا كرده و مجموع دو ميليون دلار را به هنگكنگ واريز كردند. پولها به شركتي بهنام ALM Trading Limited واريز شد كه تنها چند ماه قبل بهصورت رسمي ثبت شده بود. نام مرموز شركت و عدم حضور و فعاليت آن در فضاي وب هرگونه مطالعه و تخمين مقصد پولها را دشوار ميكند. البته ميتوان با احتمال بالايي پيشبيني كرد كه پولها به مقامهاي كرهي شمالي رسيدهاند.
نقوذهاي كره شمالي بيش از همه اعتماد به سيستم بانكداري بينالمللي را از بين ميبرد
حمله به بانك هندي Cosmos سؤالها و نگرانيهاي متعددي را پيرامون امنيت و اعتماد به تراكنشهاي مالي ايجاد كرد. درنتيجه ميتوان ادعا كرد كه فعاليتهاي نفوذ كرهي شمالي، تأثيري بيشتر از تأمين سرمايه براي اقدامهاي مخرب رژيم داشتهاند. شايد عمليات آيندهي آنها تلاش بيشتري براي ازبينبردن ثبات در سيستم بانكي بينالمللي داشته باشد. شايد تراكنشهاي تقلبي بسيار بيشتري به سيستم سوئيفت تزريق شوند و درمجموع، اعتماد را به اين سيستم از بين ببرند.
هيچگاه نميتوان ادعا كرد كه فعاليتهاي مخرب كرهي شمالي يا هر حكومت ديگر در سيستم بانكداري بينالمللي متوقف شود. آنها از سالها پيش فعاليتهاي خود را گستردهتر و پيشرفتهتر كردهاند و هميشه درحال تكامل و پيشرفت هستند. شايد مهارت مأموران كرهاي در برخي موارد در مقابل آژانسهاي اطلاعاتي كمتر باشد؛ اما گستردگي فعاليت و تلاش خستگيناپذير آنها، كمبود مهارت را جبران ميكند. آنها نگران عواقب كار خود نيستند و با خيال راحت، هزاران سيستم و مؤسسه را در سرتاسر جهان هدف قرار ميدهند. گروه هكرهاي كرهي شمالي تاكنون سرمايههاي عظيمي را براي حكومت خود تأمين كردهاند. شايد روزهاي استفاده از اسكناس تقلبي به پايان رسيده باشد؛ اما كرهي شمالي مجددا قدرت ايجاد بيثباتي را در سيستمهاي مالي جهاني پيدا كرده است.
هم انديشي ها