Článek
Rozbitá tiskárna
V pátek 5. února 2016 ráno přestala v centrále Bangladéšské národní banky fungovat tiskárna. Nebyla to však tiskárna ledajaká. Nacházela se na desátém podlaží budovy v dobře zabezpečené místnosti s omezeným přístupem, kde úředníci zpracovávali nejvyšší odchozí převody. Právě k tomu tiskárna sloužila: s každou takovou transakcí vytiskla papír s podrobnostmi kvůli ověření a archivaci.
Úředníci závadě zprvu nepřikládali velkou váhu. „Mysleli jsme, že jde o běžnou poruchu. Takové věci už se tu staly,“ vypověděl později manažer banky Zubair Bin Huda na policii. To ovšem neznamená, že by porucha nenarušila chod oddělení: bankéři neměli možnost kontrolovat správnost a oprávněnost převodů.
O to urputněji se snažili problém vyřešit. U přístroje se vystřídaly všechny oprávněné osoby, které byly toho dne v práci. Huda tiskárnu vypínal a zapínal, prosil a nadával jí. Nic nepomohlo. Snahu vzdal okolo poledního, kdy mu končila směna. V Bangladéši a dalších islámských zemích je totiž pátek začátkem víkendu jako u nás sobota.
Tiskárnu se mu tak podařilo zprovoznit až ráno příštího pracovního dne, tedy neděle. Nejprve se mu ulevilo, ale když viděl, jak se během chvíle zásobník na vytištěné papíry začal plnit potvrzeními o vysokých transakcích, radost jej přešla.
Při problémech s tiskárnou nikoho nenapadlo, že jde o projev probíhající kyberkrádeže. K účtům banky nebylo možné se dostat, a tak zaměstnanci vnímali ověřování vytištěných podrobností o převodech jako formalitu.
Tolik převodů banka běžně neprováděla, zvlášť o víkendu ne. Nevěřícně bral do ruky jeden papír za druhým a přejížděl jej očima. Brzy objevil potvrzení o platbě, kterou nezadal a která byla nesmyslně vysoká. V dalších minutách zjistil, že takových plateb je celkem 35 a že jejich celková hodnota dosahuje nepředstavitelné částky — v přepočtu 23 miliard korun, přibližně 4 % bangladéšských státních rezerv.
Začalo to „drobnou“ chybou
Nechápal, jak je možné, že k tak obrovským převodům došlo bez jeho autorizace v systému SWIFT. To se dozvěděl až později z policejního vyšetřování. Došlo k tomu takto:
O necelý měsíc dříve jeho kolega koncem směny z únavy a neopatrnosti otevřel podezřelou přílohu emailu údajného uchazeče o zaměstnání. Očekávaný životopis se však neotevřel, zdánlivě se vlastně nestalo vůbec nic. Těšil se už domů, mávl nad tím tedy rukou a odešel z kanceláře. Netušil, že svým drobným pochybením právě způsobil kolosální průšvih: infikoval vnitřní síť banky malwarem a otevřel do ní přístup zločincům.
Údajný uchazeč o zaměstnání v bance napsal: „Jsem Rasel Ahlam. Myšlenkou na možnost stát se součástí vaší společnosti jsem nadšený a doufám, že mi dáte příležitost svou věc přednést při osobním rozhovoru. Můj životopis a motivační dopis: /ODKAZ NA MALWARE/. Předem děkuji za Váš čas a ohleduplnost.“
Ti nezaháleli. V dalších dnech a týdnech sledovali a studovali, jak to v bance funguje. Dalo jim to hodně práce, měli totiž přístup ke všem datům banky, k uživatelským účtům jednotlivých úředníků i k záběrům z bezpečnostních kamer. Stálo to však za to. Začátkem února už měli hotový přesný plán, jak z banky ukrást miliardy. Začali jej realizovat ve čtvrtek 4. února 2016 večer.
Ten den si nevybrali náhodou. Jak už víme, v Bangladéši a dalších islámských zemích je víkend v pátek a sobotu. Po ní následuje pracovní neděle, kdy je ovšem v mnoha jiných bankách volno. A na pondělí 8. února připadl Čínský nový rok, který je pro několik zemí jihovýchodní Asie velmi významným svátkem. Bylo proto pravděpodobné, že zločin zůstane 2-4 dny neodhalen a že případnou snahu o jeho zmaření volno znemožní nebo alespoň zkomplikuje.
Postup samotné krádeže byl jednoduchý. Zločinci díky bezpečnostním kamerám zjistili přístupové údaje zaměstnanců do mezinárodního platebního systému SWIFT, ve kterém pak autorizovali 35 plateb z účtu bangladéšské centrální banky u Federální rezervní banky v New Yorku, kde měl Bangladéš uloženy miliardy dolarů. Cílovými účty převodu byly účty hackerů v různých asijských zemích.
Zadání převodů jim zabralo většinu večera. Následně skryli stopy v systému SWIFT, zablokovali tiskárnu a napjatě čekali.
SWIFT vznikl jako družstvo stovek západoevropských a severoamerických bank v roce 1977 a postupně téměř zcela nahradil převody dálnopisem. V roce 2016 jej používalo 11000 bank a stovky korporátních klientů. Denní objem zpráv přesahoval 10 milionů. Zneužití sítě bylo v té době nepředstavitelné a vůbec se o něm nemluvilo. Přitom už o rok dříve došlo v Ekvádoru k prvnímu podobnému případu.
Mezitím v New Yorku
Zatímco bankéř Huda v Bangladéši už několik hodin bojoval s tiskárnou, v New Yorku byl začátek posledního pracovního dne v týdnu a bankéři měli napilno. Prováděli převody, ke kterým dostali pokyn z Bangladéše. Transakce by při bližším zkoumání byly podezřelé, ale to nikoho nezajímalo. Systém SWIFT je mimořádně spolehlivý a důvěryhodný, takže platby v něm není nutné znovu manuálně ověřovat. Díky tomu je také velice levný.
Zločincům přišly první čtyři převody na čtyři různé účty v jediné bance na Filipínách. Ty byli schopni rovnou převést. K večeru už měli z ukradených peněz 2 miliardy korun. Většina ukradené částky sice zatím nedorazila, ale neviděli důvod se domnívat, že je něco špatně. Prostě předpokládali, že zbytek je na cestě a obdrží jej začátkem příštího bankovního dne.
Netušili, že měli obrovskou smůlu. Jedno ze slov v adrese u části převodů připomínalo název firmy, která je na sankčním seznamu USA. Počítač proto zastavil 30 z 35 převodů a ty teď čekaly na osobní schválení bankéřem. Ten vyhodnotil riziko spojení s firmou na sankčním seznamu jako nulové, ale větší objem transakcí soukromým osobám a organizacím mu byl podezřelý. Zavolal do Bangladéše. Tam už ale byl večer a nikdo telefon nebral. Američan proto převody raději pozdržel. V New Yorku pak také skončil bankovní den a nejbližší termín schválení byl v pondělí ráno.
Když v neděli ráno bankéř Huda zjistil katastrofální zprávy a všechno mu došlo, skočil po telefonu, aby volal New York. Nikdo to ale nebral. Nechal telefon vyzvánět nahlas na stole a rychle psal svým americkým kolegům e-mail. Uvědomoval si ale, že je neděle, takže v USA se nepracuje. A že od zadání převodů uplynuly dva dny, takže je už skoro jistě zastavit nezvládne. Naštěstí se pletl.
Když Američané v pondělí ráno přišli do práce, obdrželi jeho pokyny. Všech 30 pozdržených převodů proto zrušili a zbylých 21 miliard korun zůstalo na účtu Bangladéše. Tím však štěstí okradeného státu neskončilo.
Už o pár hodin dříve si bankéř na Srí Lance všiml transakce v hodnotě 460 milionů korun ve prospěch malé neznámé neziskovky. Při bližším zkoumání se v podezření utvrdil (ve jménu organizace a adrese bylo několik pravopisných chyb) a rozhodl se převod zpochybnit. Převodní banka mu dala za pravdu a i tyto peníze putovaly zpět na účet Bangladéše v New Yorku.
Zločincům tak zůstaly „pouze“ necelé 2 miliardy korun, které jim přišly jedinými úspěšnými převody na čtyři různé účty v jediné manilské bance. Ty se jim podařilo převést a vyprat přes další bankovní účty, kasina a kurýrní společnost. Kvůli tomu, že Filipíny v pondělí slavily Čínský nový rok, pak získali další náskok.
V pondělí byl svátek a Manila plná lidí. To poslední, co filipínská policie potřebovala, bylo vyšetřování miliardové krádeže s mezinárodním přesahem. Přesto se svého úkolu zhostila na výbornou. Na rozdíl od tamních bankéřů, kterým unikly falešné doklady klientů i převody devítimístných sum. Ty jsou pro Filipínce ještě závratnější, než pro nás.
Přesto filipínská policie dva z nich zadržela. Šlo o čínské občany. Hráli pouze roli prostředníků, ale poskytli policistům informace o ostatních zločincích. Ti už však mezitím odletěli do čínského Macaa a tam se ztratili i s jakoukoli nadějí na své dopadení.
Ačkoliv z plánovaného lupu získali necelou desetinu, v žebříčku bankovních krádeží se dostali na první příčku. A jak se později ukázalo, zdaleka nešlo o jediný jejich zločin.
Za zločinem stál zločinný stát
Počítače bangladéšské banky následně zkoumali mezinárodní experti. Zjistili, že samotný malware i způsob práce se systémem SWIFT odpovídá méně úspěšným hackerským útokům na banky v dalších zemích. V té době šlo o banky v Ekvádoru, ve Vietnamu, v Africe, na Filipínách (šlo ovšem o jinou filipínskou banku) a další banku v neuvedené asijské zemi. V následujících letech k nim přibyly banky ze zemí celého světa: Polska, Indie, Majasie, Indonésie, Iráku, Etiopie, Keni, Gabonu, Nigérie, Kostariky, Uruguaye a patrně i dalších.
Policisté nějakou dobu nechápali, jak může být zločinecká banda, kterou nazvali „Lazarus,“ tak schopná. Vysvětlení ale existovalo.
Při sledování aktivity skupiny narazili na severokorejskou IP adresu. A při zkoumání kódu malwaru si všimli popisku v korejštině. Experti se shodli, že nejde o falešnou stopu, nýbrž o autentické chyby zločinců. Na Severní Koreu ukazovaly i cesty a převody do Macaa — Čína je jednou z mála zemí, která se Severní Koreou udržuje obchodní styky.
Kdo doufal, že za kyberkrádeží stojí novodobý Robin Hood, bude zklamán. Skutečným šéfem bandy je naopak despotický tyran a peníze určitě nerozdává chudým.
Poslední pochyby pak vyvrátilo zjištění, že rukopis pachatelů nesou i kybernetické útoky na infrastrukturu Jižní Koreje a jeden z účtů pachatelů se podílel i na útoku na společnost Sony Pictures z roku 2014, kdy uváděla film Interview — komedii, která si dělá legraci ze samotného Kima Čong-una. V oněch případech už o pachateli nemohlo být pochyb.
Severní Korea stojí i za dalšími kybernetickými zločiny, které se datují až do roku 2010, kdy byl ještě u moci Kimův otec Kim Čong-il, ale Kima Čong-una už stanovil za svého následníka a začal na něj převádět moc.
Od té doby se severokorejské útoky rozmnožily, země se stala hackerskou velmocí.
Místo na klasické peníze ve stále lépe chráněných bankách se však soustředí na kryptoměny. V těch ukradla další miliardy. Hackování je však pro stát také nástrojem vojenské i průmyslové špionáže a asymetrické války proti Jižní Koreji.
Zdroje: Trestní oznámení FBI s podrobnostmi o případu (pdf). Na banky v Asii možná útočili hackeři z KLDR. The Lazarus heist: How North Korea almost pulled off a billion-dollar hack. Total reserves in Bangladesh from 2014 to 2023. Workweek and weekend. Federal Reserve Bank of New York. Lazarus Group. SWIFT. Kim Čong-un. Západní zpravodajské služby prý odhalily rozsáhlou severokorejskou špionáž. KLDR platí své zbrojení i pomocí kradených bitcoinů, kyberútoky si přišla miliardy.
