Grupa Łazarza

5 lutego 2016 roku w siedzibie centralnego banku Bangladeszu zepsuła się drukarka. Zazwyczaj nie jest to powód do niepokoju, bo awarie sprzętu komputerowego zdarzają się często i są sprawnie usuwane przez odpowiednie ekipy. Tym razem jednak było inaczej. Drukarka znajdowała się w szczególnie pilnie strzeżonym miejscu, a drukowano na niej raporty o wielomilionowych transferach dolarów między bankami...

Gdy rano tego dnia pracownicy bankowej siedziby w stolicy Bangladeszu, Dhace, zorientowali się, że drukarka nie działa, powiadomili o usterce informatyków. Jak wspominał później Zubair Bin Huda, który pełnił rolę kierownika zmiany, nikt nie podejrzewał niczego złego. Tym bardziej że podobne awarie zdarzały się już w przeszłości. Tymczasem dokładnie w tym samym czasie rozpoczęła się próba dokonania największej elektronicznej kradzieży w historii, czego zdefektowana drukarka była pierwszym zwiastunem. Tyle, że nikt o tym jeszcze nie wiedział.

Cel: miliard dolarów

Od ponad 10 lat działa w Azji grupa hakerów, tzw. Grupa Łazarza, której mocodawcą zdaje się być rząd Korei Północnej. O ludziach tych niewiele wiadomo, choć agenci FBI zidentyfikowali jedną z głównych postaci. Jest to Park Jin-hyok, który czasami posługuje się nazwiskami Pak Jin-hek i Park Kwang-jin. Po ukończeniu studiów informatycznych człowiek ten został wysłany do chińskiego miasta Dalian, gdzie w firmie Chosun Expo znalazł zatrudnienie jako projektant gier komputerowych oraz oprogramowania dla witryn oferujących w Internecie hazard online.

Podczas swojego pobytu w Chinach Park stworzył dla siebie specjalne konto e-mailowe, opracował zmyśloną biografię biznesową i nawiązał liczne kontakty, wykorzystując do tego celu serwisy społecznościowe. W Dalian pracował od 2002 do 2014 roku. Następnie wrócił do Korei Północnej. W roku 2018 został w Stanach Zjednoczonych oskarżony o oszustwo i kilka innych przestępstw. Grozi mu kara 20 lat więzienia, ale z pewnością nigdy nie stanie przed amerykańskim sądem.

Trzeba podkreślić, że liczni utalentowani matematycznie młodzi Koreańczycy poddawani są specjalnej edukacji, zwykle już w wieku 12 lat, a następnie studiują na najlepszych uczelniach. Tak przygotowani, delegowani bywają do koreańskich firm technologicznych pracujących w Chinach, gdzie za dnia pracują jako programiści, a po pracy szlifują swoje zdolności hakerskie.

Mniej więcej w roku 2014 Grupa Łazarza zaczęła przygotowywać się do wykonania „skoku stulecia”, którego celem było wykradzenie z banku centralnego Bangladeszu sumy miliarda dolarów. Wprawdzie Bangladesz to kraj, w którym większość obywateli żyje w skrajnej biedzie, ale bank centralny obraca wielkimi sumami pieniędzy i współpracuje z ponad 50 tysiącami instytucji finansowych na całym świecie, w tym z bankami w USA.

Przestępstwo na tak wielką skalę wymagało opracowania niezwykle precyzyjnego planu. Jego kluczowym aspektem był sposób, w jaki skradzione pieniądze miały zostać błyskawicznie rozprowadzone tak, by nie pozostał po nich żaden ślad. W tym celu hakerzy stworzyli liczne fałszywe konta bankowe, założyli kilka organizacji charytatywnych i zaangażowali do procederu prania pieniędzy kasyna gry. Pozyskano też wielu wspólników rozsianych po całym świecie.

Gdy wszystko było gotowe do akcji, przestępcy zdecydowali, że plan zostanie wykonany wieczorem 4 lutego 2016 roku. Data ta nie została wybrana przypadkowo.

Różnica stref czasowych

Hakerzy włamali się do systemu komputerowego banku w Dhace rok wcześniej. Zaczęło się to od wysłania do kilku pracowników niewinnie wyglądającego listu elektronicznego, w którym niejaki Rasel Ahlam wyraził nadzieję na znalezienie w banku zatrudnienia. W przesyłce tej był odnośnik do jego życiorysu zawodowego (CV). Niestety kliknięcie na ten odnośnik spowodowało zakażenie komputera wirusem, który następnie rozprzestrzenił się na całą sieć komputerową i był w zasadzie niewykrywalny.

Przez następne miesiące ludzie z Grupy Łazarza z wolna uzyskiwali dostęp do coraz to nowych urządzeń i zabezpieczeń sieciowych. Przejęli kontrolę nad bankiem, tyle że nie podejmowali żadnych działań, które mogłyby zdradzić ich obecność. Wybrana przez nich data ataku dawała im sporo czasu na rozprowadzenie pieniędzy. Gdy przystąpili do akcji o godzinie 20.00 lokalnego czasu, w Nowym Jorku był już poranek następnego dnia. W nowojorskim Federal Reserve Bank centralny bank Bangladeszu miał konto, na którym znajdowały się ogromne sumy pieniędzy. To tam nagle wpłynął wniosek o wypłacenie z tego konta sumy prawie miliarda dolarów i przelanie pieniędzy na kilkanaście innych kont. W sumie miało być 35 przelewów na 951 milionów.

Transakcje te wzbudziły oczywiście pewne podejrzenia Amerykanów, ale wysłany z Dhaki dokument zdawał się pod wszelkimi względami autentyczny. Przelewy zaczęły odbywać się wkrótce potem, a nowojorski bank wysłał na wszelki wypadek do Bangladeszu kilka zapytań. Jednak te oficjalne dokumenty miały być automatycznie wydrukowane na drukarce, która przestała działać. A przestała działać dlatego, że wkradli się do niej hakerzy, którzy ją celowo unieruchomili. Ponadto, gdy Amerykanie próbowali kontaktować się ze swoimi kolegami w Dhace, w Bangladeszu była głucha noc.

Następne dwa dni, piątek i sobota, były w Bangladeszu dniami wolnymi od pracy, a zaraz potem rozpoczął się weekend w Nowym Jorku. W ten zatem sposób przestępcy uzyskali trzy dni na przeprowadzenie zaplanowanych operacji finansowych. Dwa następne dni zyskali przez zastosowanie dodatkowego manewru. Przelewy z Federal Reserve Bank miały trafić na specjalnie założone konta w Manili na Filipinach, gdzie właśnie rozpoczynały się celebracje związane z chińskim Nowym Rokiem. Innymi słowy, od czwartku do wtorku następnego tygodnia poszczególne instytucje nie mogły się ze sobą skutecznie porozumiewać z powodu rozbieżności w czasie i w datach.

Cztery konta w Manili zostały założone w maju 2015 roku w banku RCBC. Hakerzy posługiwali się fałszywymi prawami jazdy i podali identyczne informacje o swoich zawodach i funkcjach, mimo że pracowali rzekomo w różnych firmach. Nie wzbudziło to jednak żadnych podejrzeń. Na każde z kont wpłacono początkowo 500 dolarów i pozostawiono je przez wiele miesięcy w spokoju, podczas gdy przestępcy zajęli się organizacją ataku.

Czas na alarm

Pracownicy banku w Dhace zaczęli podejrzewać, że dzieje się coś podejrzanego, w sobotę. W dniu tym ostatecznie naprawiono drukarkę, która automatycznie „wypluła” z siebie wcześniej wysłane z Nowego Jorku ostrzeżenia i zapytania. Próbowano nawiązać kontakt z bankiem nowojorskim, ale był to dzień wolny od pracy i nikt nie odpowiadał na telefony ani też na e-maile. Po pewnym czasie wydrukowane zostały potwierdzenia 35 przelewów. Wywołało to wśród pracowników panikę, gdyż zlecone transakcje nie miały żadnego pokrycia w dokumentacji banku. Rozpoczął się wyścig z przestępcami o odzyskanie skradzionych pieniędzy.

Na szczęście, kiedy kolejne przelewy opuszczały rachunek banku w Nowym Jorku, czujni pracownicy innych instytucji finansowych zaczęli kwestionować legalność tych operacji. Rezultat był taki, że tylko 5 z 35 przelewów zostało zrealizowanych. Między innymi, na konta na Filipinach trafiło 81 milionów dolarów. Natomiast przelew na 20 milionów dolarów do banku w Sri Lance został w porę zatrzymany. Stało się tak dzięki temu, że przestępcy przesłali kilka dokumentów z literówkami, co wzbudziło podejrzenia. Między innymi napisali fundation zamiast foundation.

Hakerzy byli bardzo bliscy ogromnego sukcesu. Jednak w porę podniesiony alarm spowodował, że ukradli „tylko” 81 milionów. Pozostałe pieniądze wróciły do nowojorskiego banku. Depozytów na Filipinach nie udało się odzyskać. Pieniądze zostały z RCBC przelane na inne rachunki lub dostarczone w gotówce do lokalnych kasyn gry, takich jak Bloomberry Resorts czy Eastern Hawaii Leisure. Tam ich trop bezpowrotnie przepadł. Kierowniczka oddziału filipińskiego banku, który przyjął przelewy i pozwolił przesłać je dalej, odmówiła składania zeznań. Natomiast jeden z pracowników banku twierdzi, że widział, jak 5 lutego pakowała ona do swojego samochodu torby ze sporą ilością gotówki. Niestety w tym czasie z jakiegoś powodu nie działała większość kamer monitoringu, a zatem sceny ładowania pieniędzy do pojazdu nie zarejestrowano.

Operatorzy kasyn twierdzili, że nie widzieli niczego dziwnego w przelewach na ogromne kwoty – właśnie zaczynał się okres świąteczny, a zatem spodziewali się większego ruchu i bogatszych klientów. W sumie hakerzy zmienili około 50 milionów dolarów na żetony do gier, a następnie wysłali do kasyna swoich ludzi, którzy używali tych żetonów do gry w bakarata. Mogli wprawdzie sporo przegrać, ale wprawni karciarze potrafią w tej bardzo prostej grze stracić bardzo niewiele albo nic. A gdy potem inkasowana jest wygrana suma, dostaje się do kieszeni „czyste” pieniądze. Podejrzewa się, że ostatecznie do Północnej Korei napłynęła suma ok. 35 milionów dolarów. Jest to dużo, ale znacznie mniej od wyznaczonego sobie przez hakerów celu.

Konsekwencje

Prezes okradzionego banku centralnego Bangladeszu zrezygnował ze stanowiska, jednak powodem nie była sama kradzież. O dymisji przesądził fakt, że minister finansów dowiedział się o niej dopiero 29 lutego, kiedy przeczytał o incydencie w gazecie. Informacje o tym, że doszło do hakerskiego ataku na wielką skalę, szef banku ukrywał nie tylko przed mediami, ale również przed rządem, czym sprowadził na siebie falę krytyki. On sam twierdził, że zrobił tak dlatego, iż miał nadzieję, że wszystkie pieniądze zostaną szybko i sprawnie odzyskane, a całą sprawę będzie można zatuszować.

W wypowiedzi na konferencji prasowej minister finansów Bangladeszu poinformował, że jest pewien współudziału w kradzieży pracowników banku, ponieważ rzekomo wysłanie przelewów wymaga, by sześciu upoważnionych ludzi położyło swoje dłonie na specjalnych czytnikach. Inną, bardziej wymierną ofiarą ataku stał się Tanvir Hassan Zoha, lokalny specjalista ds. bezpieczeństwa informacji, który na własną rękę prowadził śledztwo w tej sprawie. Niedawno w drodze do domu został zabrany przez osoby w cywilnych ubraniach i wywieziony w nieznanym kierunku. Od tamtego momentu nie ma z nim kontaktu, co nie wróży niczego dobrego.

W maju 2017 roku doszło do ataku typu ransomware przy pomocy wirusa o nazwie WannaCry. Śledztwo amerykańskie i brytyjskie wykazało, że kod wirusa był bardzo podobny do tego, jaki wykorzystano nie tylko w Bangladeszu, ale również w przypadku ataku na Sony Pictures Entertainment oraz brytyjski system National Health Service. W rezultacie śledczy FBI zdecydowali się dodać te ataki do aktu oskarżenia przeciw Parkowi. W lutym tego roku amerykański Departament Sprawiedliwości formalnie oskarżył dwóch innych członków Grupy Łazarza, którzy są rzekomo odpowiedzialni za pranie pieniędzy w Kanadzie i Nigerii.

Jednak oczywistym problemem jest to, że ludzi działających w Korei Północnej i na zlecenie władz tego kraju nie da się pociągnąć do odpowiedzialności na Zachodzie. Jedyną szansą jest ich aresztowanie w jakimś państwie, które zgodzi się na współpracę z amerykańskim wymiarem sprawiedliwości. Jednak mogą oni już nigdy nie opuścić terytorium Korei, gdyż działalność hakerska może z powodzeniem być prowadzona w dowolnym miejscu.

Andrzej Heyduk