رشته توئیتهایی که باید بخوانید
بزرگترین هک تاریخ
همه چیز از خراب شدن یک پرینتر شروع شد. اتفاقی که شاید برای همه پیش بیاد و معمولا با چند تا ضربه دست درستش میکنیم. اما این پرینتر فرق میکرد. این دستگاه در طبقه دهم بانک مرکزی بنگلادش قرار داشت و کارش چاپ کردن تراکنشهای چند میلیون دلاری بود.
وقتی کارکنان بانک در ساعت ۸:۴۵ دقیقهی جمعه صبح در فوریه سال ۲۰۱۶ متوجه این مشکل شدند، حدس زدن که شاید یه مورد عادی باشه. پرینتر در واقع در امنترین اتاق در کشور بنگلادش قرار داشت اما با یه کم پیگیری، شوکه شدن. فهمیدن هکرها به کل شبکهی بانکی نفوذ کردن و دارن پول جابجا میکنن.
هدف، دزدین یک میلیارد دلار پول بود. وقتی پرینتر رو ریبوت کردن، خبر ناخوشایندی شنیدن: بانک فدرال رزرو در نیویورک - که بنگلادش اونجا حساب دلاری داره - بهشون پیغام داده بود که از جانب شما درخواست جابجایی کل حساب - حدود ۱ میلیارد دلار - شده.
کارکنان بانک مرکزی بنگلادش سعی کردن با این بانک نیویورکی برای گرفتن تاییدیه تماس بگیرن اما بخاطر زمانبندی دقیق سرقت موفق به انجام این کار نشدن. هک حسابهای بانک از دیشب - پنجشنبه ساعت ۸ شب به وقت بنگلادش - شروع شده بود در حالی که در نیویورک صبح بود.
ازینرو بانک نیویورکی ناخواسته زمانی که بنگلادشیها خواب بودن کار انتقال تراکنش رو برای سارقین انجام داده بود. روز بعد، یعنی جمعه، روز تعطیلی در بنگلادش هست و طبیعتا بانک تعطیله. روز شنبه که بنگلادشیها خواستن یه کاری انجام بدن، نیویورک تعطیل کرده بود تا دوشنبه.
انتخاب پنجشنبه شب برای انجام این سرقت بسیار دقیق بود. این رو در نظر داشتن که روز بعد جمعهست و بنگلادش تعطیله و دو روز بعدش نیویورک تعطیله. اینطوری خواستن اختلال بندازن در پروسهی اداری. البته فکر بعد از یکشنبه رو هم کرده بودن تا روزای تعطیلی بیشتری بخرن.
پروسه بدین شکل بود که پس از بیرون آوردن پول از بانک نیویورکی، اون رو میبایست به جایی بفرستن. برای این کار مانیل، پایتخت فیلیپین رو انتخاب کردن. روز دوشنبه ۸ فوریه در اغلب کشورهای آسیایی آغاز سال قمری بود و بنابراین همه تعطیل بودن.
با جابجا کردن پول از بنگلادش به نیویورک، سپس از نیویورک به فیلیپین، سارقا خیلی دقیق ۵ روز رو برای خودشون در نظر گرفته بودن که بتونن کار نقل و انتقال پول رو انجام بدن. هکرها حدود یکسال روی این مراحل فکر و کار کرده بودن و بسیار منظم قدم به قدم به پیش میرفتن.
ماجرا از ژانویه سال ۲۰۱۵ شروع شد. یعنی یکسال قبل از هک بانک. اعضای این گروه هکری ایمیلی رو با اسم راسل احلام برای کارمندای بانک ارسال کردن که حاوی رزومه بود و خیلی مودبانه نوشته شده بود. تو ایمیل به کارمندای بانک نوشته بود که ممنونم اگر رزومهی من رو دانلود کنید.
دانلود کردن رزومه همان و نفوذ به بانک همان. هکرها با حربهی فیشینگ به بانک نفوذ کردن. در مدت خیلی کوتاهی کنترل تک به تک کامپیوترها و سرورهای بانک رو در دسترس گرفتن. دسترسی به میلیونها دلار پول و صندوقها در نوک انگشتان این گروه بود. اما تا یکسال کاری انجام ندادن.
اما چرا یکسال منتظر موندن وقتی به همه چیز دسترسی داشتن؟ طی این یکسال در حال برنامهریزی برای طراحی مسیرهای فرار بودن. مسیرهایی که حساسیت برانگیز نباشه و بتونن راحت پول رو انتقال بدن. برای اینکار در مانیل، پایتخت فیلیپین در خیابانی به اسم Jupiter یک بانک خسته رو انتخاب کردن.
چند ماه پس از نفوذ به بانک، چهار حساب بانکی اونجا ایجاد کردن و در هر کدوم ۵۰۰ دلار ریختن. حسابها تراکنشی نداشت و برای روز مبادا گذاشته بودن. اطلاعاتی که باهاش حسابها باز شده بودن همگی فیک بود و مشخص شد همگی با یک گواهینامهی رانندگی فیک ایجاد شدن. هرچند که مهم نبود.
در فوریه سال ۲۰۱۶ همه چی آماده بود برای انجام هک و فقط یک مانع وجود داشت: پرینتر واقع در طبقه دهم بانک. این پرینتر کارش چاپ تراکنشهای چند میلیون دلاری بود. انگار یک متصدی داشته که تراکنشها رو بازبینی میکرده و اگر رقم حساسی رو میدید گزارش میداد. باید این پرینتر رو خاموش میکردن
خاموش نکردنش کل پروژهی سرقت رو به خطر میانداخت. با دسترسی وسیعی که به نرم افزار بانک داشتن، به پرینتر نفوذ کردن و از کار انداختنش. پرینتر خاموش شد و شروع کردن به جابجایی پول. هکرها ۳۵ تراکنش انجام دادن که حدود ۹۵۱ میلیون دلار میشد. این مبلغ تقریبا کلا پول بنگلادش در نیویورک بود
پس از خاموش کردن پرینتر، هکرها تو اون آخر هفته شروع کردن به جابجایی پول. روز جمعه که مسئولان فهمیدن یه مشکلی پیش اومده، هکرها از یه روز قبل مشغول جابجایی بودن. به رئیس بانک خبر دادن و دور هم جمع شدن. اول فکر میکردن میتونن جلوی این خسارت و آبرو ریزی رو بگیرن. ولی نشد.پول رفته بود.
وقتی همه افراد فنی جمع شدن، تازه دیدن این نفوذ چقدر عمیق بوده. هکرها به کل بخشهای بانکداری بنگلادش نفوذ کرده بودن. و مهمتر از همه، به سوییفت Swift دسترسی داشتن. سوییفت سیستم اتصال بین بانکهای جهانیه برای هماهنگی و انجام تراکنشهای بزرگ.
اما حتی در سیستم سوییفت هم مشخص نبود که کار خطایی انجام شده چون هکرها با یوزر کارمندا در سوئیفت داشتن پول جابجا میکردن و طبیعتا همه چی از نظر این سیستم طبیعی بود. اینجا بود که فهمیدن کاری نمیشه کرد. بخش بزرگی از پول در مسیر انتقال به فیلیپین بود.
درخواست حکم دادگاه رو کردن برای رفتن به فیلیپین و برگردوندن پول و همین باعث شد ماجرا عمومی بشه و شد تیتر اول کل خبرگذاریها. اما یک اشتباه خیلی جزئی، یک خطای غیر قابل پیش بینی و یک بدشانسی باعث شد نیویورک خیلی اتفاقی مانع ارسال پول به فیلیپین بشه.
همونطور که بالا گفتم، بانکی که در فیلپین مد نظر هکرها برای دریافت پول بود در خیابان Jupiter قرار داشت. اون زمان خیلی اتفاقی آمریکا یکی از کشتیهای ایرانی در آبهای بینالمللی به اسم Jupiter رو تحریم کرده بود. همین تشابه اسمی باعث شد بانک نیویورکی مانع از انتقال پول بشه.
سیستمهای نرمافزاری بانک آمریکایی بطور خودکار به این کلیدواژه حساس بودن و اگر به چنین اسمی در سیستم بر میخوردن، اون رو موقتا متوقف میکردن تا بررسی مجدد انجام بشه. همین تشابه اسمی باعث شد بخش بزرگی از پول به فیلیپین منتقل نشه و اینطوری جلوش گرفته شد.
قیافه هکرها پس از یکسال برنامه ریزی دقیق هنگام شنیدن این خبر:
از کل ۹۵۱ میلیون دلار سرقت شده، بانک نیویورکی تونست خیلی اتفاقی جلوی انتقال ۸۵۰ میلیون دلار رو بگیره. ۱۰۱ میلیون دلار اما از این کریدور رد شد. از این مقدار، ۲۰ میلیون دلارش ارسال شد برای یک خیریه به اسم Shalika Foundation در سریلانکا اما اینجا هم یه اشتباهی رخ داد.
هنگام ارسال هکرها آدرس مقصد رو با یک اشتباه تایپی نوشته بودن Shalika fundation که یکی از کارمندای تیزچشم تونست پیداش کنه. این ۲۰ میلیون دلار هم به مقصد اون خیریه ارسال نشد (ارسال پول به خیریه تو برنامه هکرها بود برای اینکه حساسیت برانگیز نباشه).
اما عاقبت ۸۱ میلیون دلار به فیلیپین رسید. از یک میلیارد دلار این مقدار ناچیز به نظر میرسه اما هرچی باشه بازم عدد چشمگیریه. زمانی که بانک بنگلادش در تلاش بود که پولا رو برگردونه، هکرها هم سخت کار میکردن که پول رو از دسترس همه خارج کنن.
پول در بانک فیلیپینی واریز شد. بخشی از این پول رو خیلی سریع از طریق صرافیها به پول فیلیپین تبدیل کردن و دوباره در حسابهای جداگانهای ریختن. مقداریش رو نقدی از بانک برداشت کردن و کشیدن بیرون. سعی کردن با جابجایی زیاد پول بین حسابها و ارزها، رد پول رو گم کنن.
اما باز هم میشد که رد پول رو گرفت. برای اینکه این پول کاملا غیرقابل ردیابی بشه، باید از سیستم بانکداری خارج میشد. برای این کار کازینوها رو انتخاب کردن. کازینوی Solaire یکی از بزرگترین و مجللترین کازینوها در آسیاست که حدود ۴۰۰ میز قمار فقط در سالن عمومیش داره.
سناریوی بعدی هکرها اینجا رنگ گرفت. ۵۰ میلیون دلار از پول رو آوردن تو این کازینو و یه کازینوی دیگه. ایدهی کازینو برای پاک کردن مسیر انتقال پول بود. اینجا پول به چیپ تبدیل میشد، روی میز میرفت و سپس دوباره به پول تبدیل میشد. اینطوری دیگه کامل رد پول گم میشد.
اما شاید بپرسین پس ریسک دیده شدن چی؟ این پول رو که نمیشه آورد وسط سالن عمومی و باهاش قمار کرد. برای این کار، اتاقای خصوصی گرفتن و خیلی از این قمارها با رقم بالا بین آدمای پولدار در اتاقای خصوصی برگزار میشه. آدمای حرفهای داشتن که اینا رو گذاشتن پای میز قمار که با پول بازی کنن.
جالبه بدونین بخشی از این پول رو خرج بازی Baccarat کردن که تو آسیا خیلی محبوبه. بازی سادهایه و فقط سه خروجی داره که یکیش برندهست. آدمای خیلی حرفهای تا ۹۰ درصد تو این بازی برنده میشن. پول زیادی رو ریختن توی این بازی و تونستن درصد بالایی رو از دستگاهها پس بگیرن.
این قماربازهای حرفهای برای هفتهها تو هتلهای این کازینو مستقر بودن و بازی پشت بازی مشغول پولشویی و تبدیل پول کثیف به پول تمیز بودن. بنگلادشیها هم این مدت مشغول ردیابی بودن و خوب پیش رفتن تا اینکه به در بستهی کازینو خوردن و در هزارتوی کازینو دیگه نمیشد پول رو ردیابی کرد.
البته با زور حکم دادگاه و پیگیری خیلی موشکافانه تونستن یکی دو تا از بازیکنای کازینو رو با ۱۶ میلیون دلار پول بگیرن. البته نتونستن اتهامی بهشون وارد کنن چون اینا گفتن ما خبر نداریم فقط بازیکن هستیم. ۱۶ میلیون دلار رو برگردوندن بنگلادش.
هکرها در کل ۳۴ میلیون دلار وارد کازینو کردن و معلوم نشد چقدر تونستن از اونجا از پول تمیز کنن. ۳۰ میلیون دلار دیگه رو ردیابی کردن که ظاهرا شخصی همون اوایل در فیلیپین گذاشته بود تو کیفش و با جت شخصی فرار کرده بود چین. حالا چند توییت از اینکه این گروه کی هستن.
این هکرها با اسم Lazarus Groups معروف هستن و ایدهی کلی اینه که کره شمالی پشتشونه. این همون گروهیه که چند سال پیش به شرکت Sony Pictures حمله کردن و مانع از اکران عمومی اون فیلم درباره کیم جونگ اون شدن. حمله به بانکها و بیمارستانها و کلی جاهای دیگه تو رزومهشون هست.
آدمایی که توی این گروه هستن همه از نخبگان ریاضی هستن. اینا از بچگی تحت تعلیم و آموزش شدید برای تبدیل شدن به تکنسینهای حوزه سایبری مدیریت میشن. پایگاه فعالیتیشون منطقهای از چین هست که از یه سنی به بعد کره شمالی اینا رو میفرسته اونجا.
ظاهرا سرکرده این گروه فردیه به اسم Park Jin-hyok که خیلی کشورها دنبالشن ولی هنوز نتونستن بگیرن. وقتی ردش رو دنبال میکنی میبینی خیلی جاها به عنوان برنامه نویس کار میکرده. برنامهنویس در روز و هکر در شب. این باجافزار WannaCry هم ظاهرا ساختهی این گروه هست.
این رشته توییت خلاصهای بود از گزارش مفصل بیبیسی که لینکش رو اینجا میزارم. بیبیسی یک پادکست ده قسمته هم ساخته که خیلی جذاب و حرفهای به ماجرای این دو هک میپردازه: یکی هک بانک و یکی شرکت سونی پیکچرز. گوش دادنش خالی از لطف نیست.
مطلبی دیگر از این انتشارات
گونه انسان، همدست شر و مجری آن
مطلبی دیگر از این انتشارات
کاهش درد دوران پیش از قاعدگی PMS
مطلبی دیگر از این انتشارات
چرا پدر آرات حسینی متهم به کودک آزاریه؟