سرقة لازاروس: كيف تمكنت كوريا الشمالية من تنفيذ عملية اختراق بلغت قيمتها مليار دولار
خاص بان أراب ميديا - جهاد السقا
في عام 2016، خطط قراصنة من كوريا الشمالية لسرقة مليار دولار من بنك بنغلاديش الوطني وكانوا على وشك النجاح حيث توقفت جميع التحويلات باستثناء 81 مليون دولار، وفقًا لجيف وايت وجين إتش لي، ولكن كيف قامت واحدة من أفقر دول العالم وأكثرها عزلة بتدريب فريق من النخبة من مجرمي الإنترنت؟.
ربما يعجبك
بدأ كل شيء بطابعة معطلة.. إنه مجرد جزء من الحياة العصرية، لذا عندما حدث ذلك للموظفين في بنك بنغلاديش، اعتقدوا أنها ليست مشكلة كبيرة.
لكن هذه لم تكن مجرد طابعة، ولم يكن مجرد بنك.
بنك بنغلاديش هو البنك المركزي للبلاد، وهو المسؤول عن الإشراف على احتياطيات العملات الثمينة لبلد يعيش فيه الملايين في فقر.
ولعبت الطابعة دورًا محوريًا. كانت تقع داخل غرفة آمنة للغاية في الطابق العاشر من المكتب الرئيسي للبنك في العاصمة دكا. كانت وظيفتها طباعة سجلات التحويلات التي تقدر بملايين الدولارات التي تتدفق داخل وخارج البنك.
عندما وجد الموظفون أنها لا تعمل، في الساعة 08:45 يوم الجمعة 5 فبراير 2016، "افترضنا أنها مشكلة شائعة مثل أي يوم آخر" قال زبير بن هدى المدير المناوب للشرطة في وقت لاحق: "لقد حدثت مثل هذه المشاكل من قبل".
في الواقع، كان هذا هو أول مؤشر على أن بنك بنغلاديش كان في كثير من المتاعب. اخترق المتسللون شبكات الكمبيوتر الخاصة بهم، وفي تلك اللحظة بالذات كانوا ينفذون أكثر الهجمات الإلكترونية جرأة على الإطلاق.. هدفهم سرقة مليار دولار.
للحصول على الأموال كانت العصابة التي تقف وراء السرقة تستخدم حسابات مصرفية وهمية وجمعيات خيرية وكازينوهات وشبكة واسعة من المتواطئين.
ولكن من هم هؤلاء المخترقين ومن أين أتوا؟
وفقًا للمحققين، تشير البصمات الرقمية في اتجاه واحد فقط: إلى حكومة كوريا الشمالية.
قد يكون كون كوريا الشمالية المشتبه به الرئيسي في قضية جرائم الإنترنت مفاجأة للبعض. إنها واحدة من أفقر دول العالم، ومنفصلة إلى حد كبير عن المجتمع العالمي تقنيًا واقتصاديًا وفي كل الطرق الأخرى تقريبًا.
ومع ذلك، وفقًا لمكتب التحقيقات الفيدرالي، كان الاختراق الجريء لبنك بنغلاديش تتويجًا لسنوات من الإعداد المنهجي من قبل فريق غامض من المتسللين والوسطاء في جميع أنحاء آسيا، الذين يعملون بدعم من النظام الكوري الشمالي.
في صناعة الأمن السيبراني، يُعرف المتسللون الكوريون الشماليون باسم مجموعة لازاروس، في إشارة إلى شخصية توراتية عادت من بين الأموات؛ وجد الخبراء الذين تعاملوا مع فيروسات الكمبيوتر الخاصة بالمجموعة أنهم يتمتعون بنفس القدر من المرونة.
لا يُعرف الكثير عن المجموعة، على الرغم من أن مكتب التحقيقات الفيدرالي قد رسم صورة مفصلة لمشتبه به واحد: بارك جين هيوك المعروف أيضًا باسم باك جين هيك وبارك كوانغ جين.
يصفه بأنه مبرمج كمبيوتر تخرج من إحدى أفضل الجامعات في البلاد وذهب للعمل في شركة كورية شمالية، Chosun Expo، في مدينة داليان الساحلية الصينية، حيث أنشأ برامج ألعاب ومقامرة عبر الإنترنت للعملاء في جميع أنحاء العالم.
في يونيو 2018، اتهمت السلطات الأمريكية بارك بتهمة التآمر لارتكاب الاحتيال وإساءة استخدام الكمبيوتر، وتهمة واحدة بالتآمر لارتكاب احتيال عبر الإنترنت (الاحتيال الذي يشمل البريد، أو الاتصالات الإلكترونية) بين سبتمبر 2014 وأغسطس 2017. يواجه ما يصل إلى 20 سنة في السجن إذا تم تعقبه. (عاد من الصين إلى كوريا الشمالية قبل أربع سنوات من توجيه الاتهامات).
لكن بارك، إذا كان هذا هو اسمه الحقيقي، لم يصبح مخترقًا للدولة بين عشية وضحاها. إنه واحد من آلاف الشباب الكوري الشمالي الذين نشأوا منذ الطفولة ليصبحوا محاربين عبر الإنترنت، علماء رياضيات موهوبون لا تتجاوز أعمارهم 12 عامًا تم أخذهم من مدارسهم وإرسالهم إلى العاصمة حيث يتلقون دروسًا مكثفة طوال الوقت.
عندما أعاد موظفو البنك تشغيل الطابعة، تلقوا بعض الأخبار المقلقة للغاية. تلقى بنك الاحتياطي الفيدرالي تعليمات، على ما يبدو من بنك بنغلاديش، لاستنزاف الحساب بالكامل ما يقرب من مليار دولار.
حاول البنغلاديشيون الاتصال ببنك الاحتياطي الفيدرالي للحصول على توضيح، ولكن بفضل توقيت المتسللين الدقيق للغاية، لم يتمكنوا من الوصول.
بدأ الاختراق في حوالي الساعة 20:00 بتوقيت بنغلادش يوم الخميس 4 فبراير، ولكن في نيويورك كان ذلك صباح يوم الخميس، مما أعطى بنك الاحتياطي الفيدرالي متسعًا من الوقت لتنفيذ رغبات المتسللين بينما كانت بنغلاديش نائمة.
كان اليوم التالي، الجمعة، بداية عطلة نهاية الأسبوع في بنجلاديش والتي تمتد من الجمعة إلى السبت. لذلك كان المقر الرئيسي للبنك في دكا يبدأ يومين إجازة. وعندما بدأ البنغلاديشيون في الكشف عن السرقة يوم السبت، كانت بالفعل عطلة نهاية الأسبوع في نيويورك.
يقول راكيش أستانا -خبير الأمن السيبراني المقيم في الولايات المتحدة: "تاريخ ليلة الخميس له غرض محدد للغاية. يوم الجمعة تعمل نيويورك، وبنك بنغلاديش متوقف، وبحلول الوقت الذي يعود فيه بنك بنغلاديش إلى العمل يكون بنك الاحتياطي الفيدرالي متوقفًا؛ لذا فقد أخر الاكتشاف بالكامل تقريبًا ثلاثة ايام".
وكان لدى المتسللين حيلة أخرى في جعبتهم لكسب المزيد من الوقت. بمجرد تحويل الأموال من الاحتياطي الفيدرالي، كانوا بحاجة إلى إرسالها إلى مكان ما؛ لذا قاموا بربطها بحسابات أنشؤوها في مانيلا، عاصمة الفلبين. وفي عام 2016، كان يوم الاثنين 8 فبراير هو أول أيام السنة القمرية الجديدة، وهو عطلة وطنية في جميع أنحاء آسيا.
من خلال استغلال الفوارق الزمنية بين بنجلاديش ونيويورك والفلبين، صمم المتسللون خطوات واضحة مدتها خمسة أيام للحصول على الأموال.
كان لديهم متسع من الوقت للتخطيط لكل هذا، لأنه اتضح أن مجموعة Lazarus كانت كامنة داخل أنظمة الكمبيوتر في بنك بنغلاديش لمدة عام.
في يناير 2015، تم إرسال بريد إلكتروني غير ضار إلى العديد من موظفي بنك بنغلاديش. جاء من باحث عن عمل يطلق على نفسه اسم راسل أحلام. تضمن استفساره المهذب دعوة لتنزيل سيرته الذاتية ورسالة تغطية من موقع إلكتروني.
في الواقع، لقد كان مجرد اسم غلاف تستخدمه مجموعة لازاروس، وفقًا لمحققين من مكتب التحقيقات الفيدرالي. وقع شخص واحد على الأقل داخل البنك بسبب الخدعة، وقام بتنزيل المستندات، وأصيب بالفيروسات المخبأة بداخله.
بمجرد دخول أنظمة البنك، بدأت عصابةLazarus في التنقل خلسة من كمبيوتر إلى كمبيوتر، وشق طريقهم نحو الخزائن الرقمية ومليارات الدولارات التي تحتوي عليها.. ثم توقفوا.
لماذا قام المتسللون بسرقة الأموال بعد عام كامل من وصول رسالة البريد الإلكتروني المخادعة الأولية إلى البنك؟ لماذا لم يتم اكتشاف المخاطر أثناء الاختباء داخل أنظمة البنك طوال ذلك الوقت؟ لأنهم -على ما يبدو- كانوا بحاجة إلى الوقت لترتيب طرق الهروب من بالمال.
شارع جوبيتر هو طريق مزدحم في مانيلا، بجانب فندق صديق للبيئة وعيادة أسنان، يوجد فرع لـ RCBC أحد أكبر البنوك في البلاد. في مايو 2015، بعد بضعة أشهر من وصول المتسللين إلى أنظمة بنك بنغلاديش، تم إنشاء أربعة حسابات هنا من قبل المتواطئين مع المتسللين. بعد فوات الأوان، كانت هناك بعض العلامات المشبوهة: كانت رخص القيادة المستخدمة لإنشاء الحسابات مزيفة، وادعى جميع المتقدمين أن لديهم نفس المسمى الوظيفي والراتب، على الرغم من العمل في شركات مختلفة. لكن يبدو أن أحداً لم يلاحظ ذلك لعدة أشهر، وظلت الحسابات خاملة مع إيداعها الأولي البالغ 500 دولار دون أن يمسها القراصنة بينما عمل المتسللون على جوانب أخرى من الخطة.
بحلول فبراير 2016، بعد اختراق بنك بنغلاديش بنجاح وإنشاء قنوات للأموال، كانت مجموعة Lazarus جاهزة.
لكن لا يزال لديهم عقبة أخيرة يجب إزالتها.. الطابعة في الطابق العاشر. أنشأ بنك بنغلاديش نظامًا احتياطيًا ورقيًا لتسجيل جميع التحويلات التي تتم من حساباته. كان سجل المعاملات هذا يهدد بفضح عمل المتسللين على الفور؛ لذا اخترقوا البرنامج الذي يتحكم فيه وأبعدوه عن العمل.
في الساعة 20:36 يوم الخميس 4 فبراير 2016، بدأ المتسللون في إجراء تحويلاتهم بإجمالي 951 مليون دولار، وهو ما يقرب من كامل محتويات حساب بنك بنجلاديش الفيدرالي في نيويورك. كان اللصوص في طريقهم إلى يوم دفع ضخم، ولكن تمامًا كما هو الحال في فيلم سرقة في هوليوود، إحدى التفاصيل الدقيقة أدت إلى اكتشاف الجريمة.
عندما اكتشف بنك بنغلاديش الأموال المفقودة خلال عطلة نهاية الأسبوع تلك، حاولوا معرفة ما حدث. كان محافظ البنك يعرف راكيش أستانا وشركته، World Informatix ، وطلب منه المساعدة.. يقول أستانا: "في هذه المرحلة، كان المحافظ لا يزال يعتقد أنه يستطيع استرداد الأموال المسروقة.. نتيجة لذلك أبقى سر الاختراق".
في هذه الأثناء، كان أستانا يكتشف مدى عمق الاختراق. اكتشف أن اللصوص قد تمكنوا من الوصول إلى جزء رئيسي من أنظمة بنك بنغلاديش، يسمى Swift. إنه النظام الذي تستخدمه آلاف البنوك حول العالم لتنسيق عمليات تحويل المبالغ الكبيرة فيما بينها. لم يستغل المتسللون ثغرة أمنية في Swift -لم يكونوا بحاجة إلى ذلك- بقدر ما كانت برامج Swift تشعر بالقلق، بدا المتسللون وكأنهم موظفون أصليون في البنك.
سرعان ما أصبح واضحًا لمسؤولي بنك بنغلاديش أنه لا يمكن التراجع عن المعاملات فقط. وقد وصلت بالفعل بعض الأموال إلى الفلبين، حيث أخبرتهم السلطات أنهم سيحتاجون إلى أمر من المحكمة لبدء عملية استعادتها. أوامر المحكمة هي وثائق عامة، وهكذا عندما رفع بنك بنغلاديش قضيته أخيرًا في أواخر فبراير، أصبحت القصة علنية للعالم أجمع.
كانت العواقب على محافظ البنك شبه فورية. يقول أستانا: "طُلب منه الاستقالة". "لم أره مرة أخرى".
بصفتها عضوًا في لجنة الكونجرس للخدمات المالية، كانت مالوني قلقة بشكل خاص على بنك الاحتياطي الفيدرالي. "لقد كان بنك الاحتياطي الفيدرالي في نيويورك، والذي عادة ما يكون شديد الحذر. كيف حدثت هذه التحويلات؟".
اتصلت مالوني ببنك الاحتياطي الفيدرالي، وأوضح لها الموظفون أن معظم عمليات النقل قد تم منعها في الواقع، بفضل التفاصيل الصغيرة المصادفة.
كان فرع بنك RCBC في مانيلا الذي حاول المتسللون تحويل 951 مليون دولار إليه في شارع جوبيتر. هناك مئات البنوك في مانيلا التي كان بإمكان المتسللين استخدامها، لكنهم اختاروا هذا وكلفهم القرار مئات الملايين من الدولارات.
تقول كارولين مالوني: "تم تعليق المعاملات.. في الاحتياطي الفيدرالي لأن العنوان المستخدم في أحد الطلبات تضمن كلمة "جوبيتر"، وهو أيضًا اسم سفينة شحن إيرانية خاضعة للعقوبات". كان مجرد ذكر كلمة " جوبيتر" كافياً لقرع أجراس الإنذار في أنظمة الكمبيوتر الآلية التابعة لمجلس الاحتياطي الفيدرالي. تمت مراجعة المدفوعات، وتوقف معظمها لكن ليس كلها. تجاوزت خمس صفقات بقيمة 101 مليون دولار هذه العقبة.
من هذا المبلغ، تم تحويل 20 مليون دولار إلى مؤسسة خيرية سريلانكية تدعى مؤسسة شاليكا، والتي صنفها شركاء المتسللين كقناة واحدة للأموال المسروقة. (تقول مؤسستها، شاليكا بيريرا، إنها تعتقد أن المال كان تبرعًا مشروعًا). ولكن هنا مرة أخرى أخرجت تفاصيل صغيرة خطط القراصنة عن مسارها، اكتشف موظف في البنك الخطأ الإملائي وتم عكس المعاملة.
وهكذا تمت سرقة 81 مليون دولار بنجاح، ليس بالظبط ما كان القراصنة يهدفون إليه، لكن الأموال المفقودة كانت لا تزال ضربة كبيرة لبنغلاديش، البلد الذي يعيش فيه واحد من كل خمسة أشخاص تحت خط الفقر.
بحلول الوقت الذي بدأ فيه بنك بنغلاديش جهوده لاسترداد الأموال، كان المتسللون قد اتخذوا بالفعل خطوات للتأكد من بقائه بعيدًا عن متناول اليد.
في يوم الجمعة 5 فبراير، ظهرت الحسابات الأربعة التي تم إنشاؤها في العام السابق في فرع RCBC في شارع جوبيتر فجأة للحياة.
تم تحويل الأموال بين الحسابات، وإرسالها إلى شركة صرف العملات ، وتبديلها بالعملة المحلية وإعادة إيداعها في البنك. تم سحب بعضها نقدًا. بالنسبة للخبراء في غسيل الأموال، فإن هذا السلوك منطقي تمامًا.
