بزرگترین هک تاریخ

همه چیز از خراب شدن یک پرینتر شروع شد. اتفاقی که شاید برای همه پیش بیاد و معمولا با چند تا ضربه دست درستش می‌کنیم. اما این پرینتر فرق می‌کرد. این دستگاه در طبقه دهم بانک مرکزی بنگلادش قرار داشت و کارش چاپ کردن تراکنش‌های چند میلیون دلاری بود.

وقتی کارکنان بانک در ساعت ۸:۴۵ دقیقه‌ی جمعه صبح در فوریه سال ۲۰۱۶ متوجه این مشکل شدند، حدس زدن که شاید یه مورد عادی باشه. پرینتر در واقع در امن‌ترین اتاق در کشور بنگلادش قرار داشت اما با یه کم پیگیری، شوکه شدن. فهمیدن هکرها به کل شبکه‌ی بانکی نفوذ کردن و دارن پول جابجا می‌کنن.

هدف، دزدین یک میلیارد دلار پول بود. وقتی پرینتر رو ریبوت کردن، خبر ناخوشایندی شنیدن: بانک فدرال رزرو در نیویورک - که بنگلادش اونجا حساب دلاری داره - بهشون پیغام داده بود که از جانب شما درخواست جابجایی کل حساب - حدود ۱ میلیارد دلار - شده.

کارکنان بانک مرکزی بنگلادش سعی کردن با این بانک نیویورکی برای گرفتن تاییدیه تماس بگیرن اما بخاطر زمانبندی دقیق سرقت موفق به انجام این کار نشدن. هک حسابهای بانک از دیشب - پنجشنبه ساعت ۸ شب به وقت بنگلادش - شروع شده بود در حالی که در نیویورک صبح بود.

ازینرو بانک نیویورکی ناخواسته زمانی که بنگلادشی‌ها خواب بودن کار انتقال تراکنش رو برای سارقین انجام داده بود. روز بعد، یعنی جمعه، روز تعطیلی در بنگلادش هست و طبیعتا بانک تعطیله. روز شنبه که بنگلادشی‌ها خواستن یه کاری انجام بدن، نیویورک تعطیل کرده بود تا دوشنبه.

انتخاب پنجشنبه شب برای انجام این سرقت بسیار دقیق بود. این رو در نظر داشتن که روز بعد جمعه‌ست و بنگلادش تعطیله و دو روز بعدش نیویورک تعطیله. اینطوری خواستن اختلال بندازن در پروسه‌ی اداری. البته فکر بعد از یکشنبه رو هم کرده بودن تا روزای تعطیلی بیشتری بخرن.

پروسه بدین شکل بود که پس از بیرون آوردن پول از بانک نیویورکی، اون رو می‌بایست به جایی بفرستن. برای این کار مانیل، پایتخت فیلیپین رو انتخاب کردن. روز دوشنبه ۸ فوریه در اغلب کشورهای آسیایی آغاز سال قمری بود و بنابراین همه تعطیل بودن.

با جابجا کردن پول از بنگلادش به نیویورک، سپس از نیویورک به فیلیپین، سارقا خیلی دقیق ۵ روز رو برای خودشون در نظر گرفته بودن که بتونن کار نقل و انتقال پول رو انجام بدن. هکرها حدود یکسال روی این مراحل فکر و کار کرده بودن و بسیار منظم قدم به قدم به پیش می‌رفتن.

ماجرا از ژانویه سال ۲۰۱۵ شروع شد. یعنی یکسال قبل از هک بانک. اعضای این گروه هکری ایمیلی رو با اسم راسل احلام برای کارمندای بانک ارسال کردن که حاوی رزومه بود و خیلی مودبانه نوشته شده بود. تو ایمیل به کارمندای بانک نوشته بود که ممنونم اگر رزومه‌ی من رو دانلود کنید.

دانلود کردن رزومه همان و نفوذ به بانک همان. هکرها با حربه‌ی فیشینگ به بانک نفوذ کردن. در مدت خیلی کوتاهی کنترل تک به تک کامپیوترها و سرورهای بانک رو در دسترس گرفتن. دسترسی به میلیون‌ها دلار پول و صندوق‌ها در نوک انگشتان این گروه بود. اما تا یکسال کاری انجام ندادن.

اما چرا یکسال منتظر موندن وقتی به همه چیز دسترسی داشتن؟ طی این یکسال در حال برنامه‌ریزی برای طراحی مسیرهای فرار بودن. مسیرهایی که حساسیت برانگیز نباشه و بتونن راحت پول رو انتقال بدن. برای اینکار در مانیل، پایتخت فیلیپین در خیابانی به اسم Jupiter یک بانک خسته رو انتخاب کردن.

چند ماه پس از نفوذ به بانک، چهار حساب بانکی اونجا ایجاد کردن و در هر کدوم ۵۰۰ دلار ریختن. حساب‌ها تراکنشی نداشت و برای روز مبادا گذاشته بودن. اطلاعاتی که باهاش حساب‌ها باز شده بودن همگی فیک بود و مشخص شد همگی با یک گواهینامه‌ی رانندگی فیک ایجاد شدن. هرچند که مهم نبود.

در فوریه سال ۲۰۱۶ همه چی آماده بود برای انجام هک و فقط یک مانع وجود داشت: پرینتر واقع در طبقه دهم بانک. این پرینتر کارش چاپ تراکنش‌های چند میلیون دلاری بود. انگار یک متصدی داشته که تراکنش‌ها رو بازبینی میکرده و اگر رقم حساسی رو می‌دید گزارش می‌داد. باید این پرینتر رو خاموش میکردن

خاموش نکردنش کل پروژه‌ی سرقت رو به خطر می‌انداخت. با دسترسی وسیعی که به نرم افزار بانک داشتن، به پرینتر نفوذ کردن و از کار انداختنش. پرینتر خاموش شد و شروع کردن به جابجایی پول. هکرها ۳۵ تراکنش انجام دادن که حدود ۹۵۱ میلیون دلار میشد. این مبلغ تقریبا کلا پول بنگلادش در نیویورک بود

پس از خاموش کردن پرینتر، هکرها تو اون آخر هفته شروع کردن به جابجایی پول. روز جمعه که مسئولان فهمیدن یه مشکلی پیش اومده، هکرها از یه روز قبل مشغول جابجایی بودن. به رئیس بانک خبر دادن و دور هم جمع شدن. اول فکر میکردن میتونن جلوی این خسارت و آبرو ریزی رو بگیرن. ولی نشد.پول رفته بود.

وقتی همه افراد فنی جمع شدن، تازه دیدن این نفوذ چقدر عمیق بوده. هکرها به کل بخش‌های بانکداری بنگلادش نفوذ کرده بودن. و مهمتر از همه، به سوییفت Swift دسترسی داشتن. سوییفت سیستم اتصال بین بانکهای جهانیه برای هماهنگی و انجام تراکنش‌های بزرگ.

اما حتی در سیستم سوییفت هم مشخص نبود که کار خطایی انجام شده چون هکرها با یوزر کارمندا در سوئیفت داشتن پول جابجا می‌کردن و طبیعتا همه چی از نظر این سیستم طبیعی بود. اینجا بود که فهمیدن کاری نمیشه کرد. بخش بزرگی از پول در مسیر انتقال به فیلیپین بود.

درخواست حکم دادگاه رو کردن برای رفتن به فیلیپین و برگردوندن پول و همین باعث شد ماجرا عمومی بشه و شد تیتر اول کل خبرگذاری‌ها. اما یک اشتباه خیلی جزئی، یک خطای غیر قابل پیش بینی و یک بدشانسی باعث شد نیویورک خیلی اتفاقی مانع ارسال پول به فیلیپین بشه.

همونطور که بالا گفتم، بانکی که در فیلپین مد نظر هکرها برای دریافت پول بود در خیابان Jupiter قرار داشت. اون زمان خیلی اتفاقی آمریکا یکی از کشتی‌های ایرانی در آبهای بین‌المللی به اسم Jupiter رو تحریم کرده بود. همین تشابه اسمی باعث شد بانک نیویورکی مانع از انتقال پول بشه.

سیستم‌های نرم‌افزاری بانک آمریکایی بطور خودکار به این کلیدواژه حساس بودن و اگر به چنین اسمی در سیستم بر می‌خوردن، اون رو موقتا متوقف میکردن تا بررسی مجدد انجام بشه. همین تشابه اسمی باعث شد بخش بزرگی از پول به فیلیپین منتقل نشه و اینطوری جلوش گرفته شد.

قیافه هکرها پس از یکسال برنامه ریزی دقیق هنگام شنیدن این خبر:

از کل ۹۵۱ میلیون دلار سرقت شده، بانک نیویورکی تونست خیلی اتفاقی جلوی انتقال ۸۵۰ میلیون دلار رو بگیره. ۱۰۱ میلیون دلار اما از این کریدور رد شد. از این مقدار، ۲۰ میلیون دلارش ارسال شد برای یک خیریه به اسم Shalika Foundation در سریلانکا اما اینجا هم یه اشتباهی رخ داد.

هنگام ارسال هکرها آدرس مقصد رو با یک اشتباه تایپی نوشته بودن Shalika fundation که یکی از کارمندای تیزچشم تونست پیداش کنه. این ۲۰ میلیون دلار هم به مقصد اون خیریه ارسال نشد (ارسال پول به خیریه تو برنامه هکرها بود برای اینکه حساسیت برانگیز نباشه).

اما عاقبت ۸۱ میلیون دلار به فیلیپین رسید. از یک میلیارد دلار این مقدار ناچیز به نظر میرسه اما هرچی باشه بازم عدد چشمگیریه. زمانی که بانک بنگلادش در تلاش بود که پولا رو برگردونه، هکرها هم سخت کار می‌کردن که پول رو از دسترس همه خارج کنن.

پول در بانک فیلیپینی واریز شد. بخشی از این پول رو خیلی سریع از طریق صرافی‌ها به پول فیلیپین تبدیل کردن و دوباره در حسابهای جداگانه‌ای ریختن. مقداریش رو نقدی از بانک برداشت کردن و کشیدن بیرون. سعی کردن با جابجایی زیاد پول بین حسابها و ارزها، رد پول رو گم کنن.

اما باز هم می‌شد که رد پول رو گرفت. برای اینکه این پول کاملا غیرقابل ردیابی بشه، باید از سیستم بانکداری خارج میشد. برای این کار کازینوها رو انتخاب کردن. کازینوی Solaire یکی از بزرگترین و مجلل‌ترین کازینوها در آسیاست که حدود ۴۰۰ میز قمار فقط در سالن عمومیش داره.

سناریوی بعدی هکرها اینجا رنگ گرفت. ۵۰ میلیون دلار از پول رو آوردن تو این کازینو و یه کازینوی دیگه. ایده‌ی کازینو برای پاک کردن مسیر انتقال پول بود. اینجا پول به چیپ تبدیل میشد، روی میز میرفت و سپس دوباره به پول تبدیل میشد. اینطوری دیگه کامل رد پول گم میشد.

اما شاید بپرسین پس ریسک دیده شدن چی؟ این پول رو که نمیشه آورد وسط سالن عمومی و باهاش قمار کرد. برای این کار، اتاقای خصوصی گرفتن و خیلی از این قمارها با رقم بالا بین آدمای پولدار در اتاقای خصوصی برگزار میشه. آدمای حرفه‌ای داشتن که اینا رو گذاشتن پای میز قمار که با پول بازی کنن.

جالبه بدونین بخشی از این پول رو خرج بازی Baccarat کردن که تو آسیا خیلی محبوبه. بازی ساده‌ایه و فقط سه خروجی داره که یکیش برنده‌ست. آدمای خیلی حرفه‌ای تا ۹۰ درصد تو این بازی برنده میشن. پول زیادی رو ریختن توی این بازی و تونستن درصد بالایی رو از دستگاهها پس بگیرن.

این قماربازهای حرفه‌ای برای هفته‌ها تو هتل‌های این کازینو مستقر بودن و بازی پشت بازی مشغول پولشویی و تبدیل پول کثیف به پول تمیز بودن. بنگلادشی‌ها هم این مدت مشغول ردیابی بودن و خوب پیش رفتن تا اینکه به در بسته‌ی کازینو خوردن و در هزارتوی کازینو دیگه نمیشد پول رو ردیابی کرد.

البته با زور حکم دادگاه و پیگیری خیلی موشکافانه تونستن یکی دو تا از بازیکنای کازینو رو با ۱۶ میلیون دلار پول بگیرن. البته نتونستن اتهامی بهشون وارد کنن چون اینا گفتن ما خبر نداریم فقط بازیکن هستیم. ۱۶ میلیون دلار رو برگردوندن بنگلادش.

هکرها در کل ۳۴ میلیون دلار وارد کازینو کردن و معلوم نشد چقدر تونستن از اونجا از پول تمیز کنن. ۳۰ میلیون دلار دیگه رو ردیابی کردن که ظاهرا شخصی همون اوایل در فیلیپین گذاشته بود تو کیفش و با جت شخصی فرار کرده بود چین. حالا چند توییت از اینکه این گروه کی هستن.

این هکرها با اسم Lazarus Groups معروف هستن و ایده‌ی کلی اینه که کره شمالی پشتشونه. این همون گروهیه که چند سال پیش به شرکت Sony Pictures حمله کردن و مانع از اکران عمومی اون فیلم درباره کیم جونگ اون شدن. حمله به بانک‌ها و بیمارستان‌ها و کلی جاهای دیگه تو رزومه‌شون هست.

آدمایی که توی این گروه هستن همه از نخبگان ریاضی هستن. اینا از بچگی تحت تعلیم و آموزش شدید برای تبدیل شدن به تکنسین‌های حوزه سایبری مدیریت میشن. پایگاه فعالیتیشون منطقه‌ای از چین هست که از یه سنی به بعد کره شمالی اینا رو میفرسته اونجا.

ظاهرا سرکرده این گروه فردیه به اسم Park Jin-hyok که خیلی کشورها دنبالشن ولی هنوز نتونستن بگیرن. وقتی ردش رو دنبال می‌کنی می‌بینی خیلی جاها به عنوان برنامه نویس کار می‌کرده. برنامه‌نویس در روز و هکر در شب. این باج‌افزار WannaCry هم ظاهرا ساخته‌ی این گروه هست.

سازنده باج‌افزار WannaCry
سازنده باج‌افزار WannaCry

این رشته توییت خلاصه‌ای بود از گزارش مفصل بی‌بی‌سی که لینکش رو اینجا میزارم. بی‌بی‌سی یک پادکست ده قسمته هم ساخته که خیلی جذاب و حرفه‌ای به ماجرای این دو هک می‌پردازه: یکی هک بانک و یکی شرکت سونی پیکچرز. گوش دادنش خالی از لطف نیست.

رشته توئیت از Prof. Balthazar