هکرهای کره شمالی چگونه از بانکهای سرتاسر جهان سرقت میکنند؟
کره شمالی از خبرسازترین کشورهای جهان محسوب میشود که اخبار مرتبط با دولت آن و گروههای مخفیانهی متعددش، همیشه سرتیتر اخبار را به خود اختصاص میدهد. گروههای هکری این کشور، سهم عمدهای از اخبار پیرامون حکومت را در رسانههای بینالمللی شکل میدهند. گزارشهای متعدد نشان میدهد که این گروهها مسئول سرقت هکری از بانکهای متعدد در جهان هستند. یک گزارش ادعا میکند که ۸۰ میلیون دلار سرمایه با بهرهگیری از یک شبکهی پیچیده ابتدا از بانکهای قربانی به سریلانکا و فیلیپین رفته و درنهایت از کرهی شمال سر در آورده است. در ادامهی این مطلب زومیت، برگردان مقالهای را از وایرد میخوانید که چگونگی نفوذ و سرقت گروههای هکری کرهی شمالی را شرح میدهد.
سوپرنوت یا سوپردلار، اصطلاحی است که دولت آمریکا برای نامگذاری یکی از حرفهایترین انواع پول تقلبی در کشورش استفاده میکند. سوپرنوتها عموما ۱۰۰ دلاریهای نقد هستند. کاغذ آنها از سهچهارم کتان و یک چهارم پوشش زبرکنندهی شبیه به پارچه تشکیل میشود که ترکیب کردن آن مراحل دشواری بههمراه دارد. فیبرهای قرمز و آبی موردنیاز برای قانونی نشان دادن پول، درون این اسکناسها نیز دیده میشود. نوار مشهور ۱۰۰ دلاری که قانونی بودن آن را مشخص میکند هم در سوپرنوت دیده میشود. تمامی بخشهای دیگر همچون نشان سیستم بانکداری آمریکا و تصویر بنجامین فرانکلین نیز با هنر تمام روی اسکناس نقش بسته است. درنهایت حتی با بازرسی دقیق هم نمیتوان متوجه تقلبی بودن اسکناس ۱۰۰ دلاری شد.
اکثر سیستمهایی که برای شناسایی اسکناسهای تقلبی طراحی شدند، توانایی تشخیص آنها را نداشتند. ظاهرا برنامهای که با هدف تولید سوپردلار و پولهای مشابه انجام میشود، عمری بهاندازهی چند دهه دارد. بسیاری از کارشناسان و ناظران سیستم بانکداری، اسکناسها را به دولت کرهی شمالی ارجاع میدهند و حتی برخی از آنها، شخص کیم جونگ دوم، رهبر سابق این کشور را مسئول طراحی و توزیع اسکناسهای تقلبی میدانند. احتمالا فرمانی که او در دههی ۱۹۷۰ و اولین سالهای فرمانرواییاش، صادر کرد، باعث حدس و گمان کارشناسان شده است.
کیم جونگ دوم اعتقاد داشت اسکناسهای تقلبی صد دلاری، قدرت مورد نیاز را در اختیار رژیم کرهی شمالی قرار میدهد تا دربرابر اقتصاد آمریکا قد علم کنند. همچنین کلاهبرداری مورد نظر او، در مسیر بیثباتسازی اقتصاد آمریکا نیز حرکت میکرد.
در گزارشی از سرویس تحقیقاتی کنگرهی آمریکا ادعا میشود که اسکناسهای تقلبی احتمالا سالانه ۱۵ میلیون دلار درآمد برای کرهی شمالی بههمراه داشتهاند. در این گزارش آمده است که پولها احتمالا توسط یک تبهکار ایرلندی توزیع شدهاند و فرایند پولشویی آنها نیز در بانکی در ماکائو صورت گرفته است. مقامهای کرهای ظاهرا برنامهی توزیع پول تقلبی را با دیگر اقدامهای مجرمانه ترکیب کردهاند. قاچاق مواد مخدر و متاآمفتامین و فروش داروهای تقلبی و قاچاق اعضای بدن حیوانات در معرض انقراض، از اقدامهای مجرمانهی احتمالی کرهی شمالی در ترکیب با چاپ اسکناس تقلبی محسوب میشود. گزارش کنگرهی آمریکا درنهایت تخمین میزند که مقامهای کرهای در طول یک سال، ۵۰۰ میلیون دلار از اقدامهای مجرمانه درآمد کسب کردهاند.
ایالات متحده در دههی ابتدایی قرن ۲۱ اقدامهای پیشروندهای در مقابله با برنامههای مجرمانهی کرهی شمالی انجام داد و خصوصا در مقابله با فعالیتهای جعل اسکناس، موفق بود. یکی از کارزارهای مبارزهی قانونی آمریکاییها علیه کرهی شمالی، ۱۳۰ کشور را در چرخهی اسکناسهای تقلبی کرهی شمالی شناسایی کرد که میلیونها دلار سرمایه را بهصورت پول تقلبی جابهجا میکردند.
در یکی از اقدامهای امنیتی و دراماتیک نیروهای آمریکایی، یک مراسم ازدواج صحنهسازی شد تا خلافکاران دخیل در گردش اسکناسهای تقلبی، شناسایی و بازداشت شوند. حتی وزارت خزانهداری آمریکا نیز در مقابله با اقدامهای غیرقانونی وارد عمل شد و علاوه بر اعمال تحریمهای مالی علیه بانک ماکائویی، ۲۵ میلیون دلار از داراییهای آن را بلوکه کرد.
برنامهی گستردهی آمریکاییها در مقابله با اقدامهای جعل کرهی شمالی، ظاهرا در سال ۲۰۰۸ به موفقیت رسید. توزیع و گسترش اسکناسهای تقلبی از آن سال با کاهش قابلتوجهی روبهرو شد. یکی از مأموران FBI که در اقدامهای مقابلهای علیه کرهی شمالی مشغول بود، توضیح جالبی برای کاهش چرخش اسکناسهای تقلبی ارائه داد:
اگر توزیع اسکناسهای تقلبی با کاهش روبهرو شده باشد، احتمالا میتوان نتیجه گرفت که کرهی شمالی تولید و توزیع آنها را متوقف کرده است. شاید آنها راهی جدید برای جعل و سوءاستفادهی مالی پیدا کردهاند.
در سال ۲۰۱۳، فشارهای متعدد ازسوی بازرسان آمریکایی باعث شد که دولت و وزارت خزانهداری، مجبور به پیادهسازی طراحی جدید در اسکناسهای ۱۰۰ دلاری شوند. درنتیجه مقامهای کرهی شمالی به سمت اقدامهای جدیدی برای تأمین سرمایههای غیرقانونی خود متمایل شدند.
ورود به دنیای هک
هک کردن یکی از اقدامهای مرسومی محسوب میشود که برای جذب غیرقانونی سرمایه، مفید بهنظر میرسد. نیویورک تایمز قبلا در گزارشی ادعا کرده بود که رهبران کرهی شمالی، برنامههایی جدی برای جذب استعدادهای جوان و آموزش علوم کامپیوتر به آنها دارند. آموزشها عموما در چین صورت میگرفت و حتی نیروهای جوان تحت پوشش دیپلماتهای سازمان ملل، در آمریکا آموزش میدیدند. نیروهای ماهر اکثرا پس از کسب آموزش در خارج از کرهی شمالی (اغلب چین) ساکن میشدند و اقدامهای سایبری خود را از آنجا مدیریت میکردند. چنین اقدامی باعث میشد تا آنها به اتصال اینترنت بهتر و سریعتر دسترسی داشته باشند و بهراحتی هرگونه ارتباط با دولت کرهی شمالی را نیز نقض کنند. بهعلاوه، فعالیت در چین آنها را از مقامهای قانونی آمریکایی هم دور میکرد.
هکرهای کرهی شمالی، اقدامهای سازمانیافته را برای نفوذ به بانکها در سرتاسر جهان انجام دادهاند. آنها فعالیتهایی پیچیده و قوی دارند، هرچند لزوما در همهی آنها موفق نیستند. هکرها در یکی از موفقترین و بزرگترین اقدامهای خود، شیوهی اتصال مؤسسههای مالی را به سیستم بانکداری بینالمللی دستکاری کردند. آنها اجزاء گوناگون سیستم را دچار اختلال کردند و درنتیجه، هکرها بهعنوان کاربران عادی شناسایی شدند. درنتیجهی همین دستکاری، دهها میلیون دلار سرمایه به حسابهای تحت کنترل هکرها منتقل شد.
کره شمالی جوانان بااستعداد خود را برای یادگیری علوم کامپیوتر به چین و آمریکا میفرستد
هکرها فایلهای گزارش عملکرد (Log) و گزارش تراکنشهای بانکی را دستکاری کردهاند که موجب اعلانهای متعدد امنیتی در سیستم بانکداری بینالمللی شد و بهروزرسانیهای متعدد را در مؤسسههای مالی بینالمللی بههمراه داشت. از مهمترین اقدامهای عمومی هکرها میتوان به ایجاد اختلال در صدها هزار کامپیوتر در سرتاسر جهان اشاره کرد که احتمالا بهصورت تصادفی رخ داد. آنها تصمیم داشتند تا دادههای باارزش کامپیوترها را با هدف دریافت باج، نزد خود نگه دارند. در مجموع، اقدامهای متعدد با سعی و خطاهای بسیار همراه بود و منجر به بهینهسازی روشهای نفوذ و سرقت هکرهای کرهی شمالی شد. پس از مدتی اقدامهای امنیتی آنها تأثیرگذارتر از همیشه انجام میشد.
باوجود اینکه هیچ گزارش دقیق و مطمئنی از میزان سوءاستفادهی هکرها با اقدامهای نفوذ و سرقت در دست نیست، آنها بهمعنای واقعی کلمه موفق بودهاند. سرقتهایی که درنتیجهی اقدامهای نفوذ کرهی شمالی انجام میشود، جابهجایی مبالغ بالایی را بههمراه دارد. سازمان ملل متحد، در یک گزارش ارزش سرقت کرهایها را حدود دو میلیارد دلار تخمین زد. چنین رقمی برای کشوری که مجموع تولید ناخالص ملیاش به ۲۸ میلیارد دلار میرسد، رقم بالایی محسوب میشود.
کرهی شمالی اقدامهای متعددی در جهت توسعهی سلاحهای هستهای و موشکهای بالستیک قارهپیما انجام میدهد. پولهایی که ازطریق سرقت بانکهای جهانی به کشور واریز میشود، سرمایهی موردنیاز را در اختیار رهبران کره قرار میدهد. حجم و ابعاد اقدامهای نفوذ و سرقت هکری کرهی شمالی در مقایسه با اقدامهای مجرمانهی قبلی آنها، بسیار بزرگ تخمین زده میشود. هکرها امروز سرمایهای بسیار بیشتر از اسکناسهای تقلبی برای کرهی شمالی تأمین میکنند.
ارزش و کاربرد اصلی اقدامهای هک و سرقت کرهی شمالی، مانند اسکناسهای تقلبی فراتر از کسب درآمد و سرمایه بهنظر میرسد. وقتی آنها موفق شوند، بهنوعی یکپارچگی و انسجام بازارهای جهانی نیز دچار آسیب میشود. پاک کردن گزارشهای تراکنشی و ازبینبردن اعتماد به سیستم مالی، نتایج نفوذ هکرها هستند. چنین برنامههایی شاید در ظاهر برای آژانسهای دولتی وسوسهانگیز باشند؛ اما تهدیدهای بزرگی بههمراه دارند.
نیویورک تایمز پس از جنگ آمریکا و عراق در گزارشی ادعا کرد که ایالات متحده بهدنبال خالی کردن حسابهای بانکی صدام حسین بوده؛ اما از این اقدام چشمپوشی کرده است. درواقع آمریکاییها نگران عبور از مرزهای احتمالی سازمانهای کلاهبرداری سایبری دولتی بودهاند که درنهایت به اقتصاد آمریکا و پایداری اقتصاد جهان ضربه میزد. کمیسیون نظارت بر عملکرد NSA که در سال ۲۰۱۴ و دوران ریاست جمهوری باراک اوباما در آمریکا مشغول به کار بود، در مصوبهای هرگونه اقدام هک و دستکاری گزارشهای مالی را ازسوی ایالات متحده ممنوع اعلام کرد. درواقع آنها اعتقاد داشتند چنین اقدامی آثار منفی روی اعتماد مردم و سیستم اقتصاد جهانی دارد.
ایده سرقت از بانک
سرقت از بانک همیشه بدترین ایدهی مجرمانه به حساب میآید. نهتنها با اقدامی غیرقانونی روبهرو هستیم، بلکه بازگشت سرمایه و سودی که به مجرمان میرسد هم در چنین اقدامی آنچنان زیاد نیست. در ایالات متحده، سرقت از بانکها بهطور میانگین تنها چهار هزار دلار پول نقد برای دزدها به ارمغان میآورد. البته، اکثر آنها نیز پس از سرقت سوم، دستگیر میشوند. در برخی نقاط دیگر جهان، سارقان بانک سرمایهی بیشتری به جیب میزنند که باز هم آنچنان زیاد نیست. سرقتهای بزرگ مانند سرقتی که در سال ۲۰۰۵، بانک مرکزی برزیل را هدف قرار داد، نیازمند ماهها کندن تونل زیرزمینی بود تا سارقان، میلیونها دلار سرمایه را به سرقت ببرند. درنهایت، اکثر سرقتهای بانک پایان خوشی برای مجرمان ندارد.
مأموران و کارگزاران کرهی شمالی، راه بهتری برای سرقت از بانکها یافتهاند. آنها برای بهدست آوردن سرمایهی مورد نیاز خود، نیازی به کندل تونل و عبور از لایههای امنیتی متعدد و فشار و تهدید به نگهبانهای بانک نداشتند. درواقع مجرمان تنها با نفوذ به کامپیوترهای بانک مورد نظر، آن را مجبور به ارسال پول میکردند.
هکرهای کرهی شمالی برای نفوذ به سیستمهای بانکی، ابتدا یک سازمان بینالمللی بهنام Society for Worldwide Interbank Financial Telecommunication یا SWIFT را زیر نظر گرفتند. سیستم سوئیفت از سال ۱۹۷۰ در بانکهای بینالمللی استفاده میشود. ۱۱ هزار مؤسسهی مالی این سیستم در بیش از ۲۰۰ کشور جهان، روزانه دهها میلیون تراکنش را مدیریت میکنند. مقدار سرمایهی در گردش در سیستم سوئیفت روزانه به چندین تریلیون دلار میرسد که از تولید ناخالص ملی اکثر کشورهای جهان، بیشتر است.
سیستم SWIFT هدف اصلی نفوذ هکرهای کره شمالی بود
بسیاری از مؤسسههای مالی عضو سوئیفت، حساب های کاربری ویژه برای نرمفزار اختصاصی سوئیفت دارند که با هدف ارتباط بین بانکهای سرتاسر جهان، به کار گرفته میشود. گزارشهای متعدد از شرکتهای امنیت سایبری همچون BAE Systems و Kaspersky، روش نفوذ هکرهای کرهی شمالی به این حسابهای کاربری را شرح میدهد.
بانک مرکزی بنگلادش، بخشی از سرمایهی خود را در بانک ذخیرهی فدرال نیویورک نگهداری میکند. سرمایههای مذکور، برای انجام تراکنشهای بینالمللی بانک مرکزی بنگلادش استفاده میشوند. بانک بنگلادشی، در چهارم فوریهی سال ۲۰۱۶، حدود ۳۶ تراکنش انجام داد. در هر تراکنش، مقداری از پولهای ذخیرهشده در حساب ذخیرهی ارزی نیویورکی درخواست شد که در مجموع به یک میلیارد دلار رسید. پولهای درخواستشده، به حسابهای بانکی در سریلانکا و فیلیپین جابهجا شد.
در زمانیکه پولهای بانک بنگلادشی درحال جریان در کشورهای گوناگون جهان بودند، یک پرینتر در بانک مرکزی از کار افتاد. پرینتر مذکور، یک مدل معمولی HP LaserJet 400 بود که در اتاقی بدون پنجره نگهداری میشد. این دستگاه ساده، یک مأموریت مهم عملیاتی داشت. تمامی تراکنشهای بانک در سیستم سوئیفت بهصورت شبانهروزی بهکمک آن چاپ شده و درنتیجه سندی فیزیکی از تراکنشها ذخیره میشد.
وقتی کارمندان بانک مرکزی بنگلادش در صبح روز پنجم فوریهی سال ۲۰۱۶ به محل کار خود رفتند، هیچگونه برگهی چاپی را در پرینتر مشاهده نکردند. آنها تلاش کردند تا بهصورت دستی تراکنشها را چاپ کنند که باز هم موفق نبودند. ترمینال کامپیوتر که به شبکهی سوئیفت متصل میشد، یک پیام خطا اعلام میکرد و از عدم وجود یک فایل الزامی در سیستم خبر میداد. درنتیجه کارمندان در آن لحظه هیچ اطلاع و خبری از تراکنشهای انجامشده در بانک خودشان نداشتند. پرینتر به سگ نگهبانی تبدیل شده بود که پارس نمیکرد (اصطلاحی از داستانهای شرلوک هلمز). همهی شواهد نشان از خرابکاری در سیستم داشت، اما دلیل و چگونگی آن بهسرعت کشف نشد.
از کار افتادن پرینتر بانک مرکزی بنگلادش، یک رخداد عادی اختلال سختافزاری تلقی نمیشد. درواقع این حادثه نتیجهی برنامهریزی دقیق و حملهی حسابشدهی هکرهای کرهی شمالی بود. هکرها بهجای نفوذ به خود سیستم سوئیفت، ماشینی را هدف قرار دادند که بانک بنگلادشی را به سیستم متصل میکرد.
حسابهای بانکی مخصوصی که توسط بانک مرکزی بنگلادش برای ارتباط با سیستم بینالمللی استفاده میشدند، قدرت و دسترسی بالایی داشتند. آن حسابها میتوانستند تراکنشهای جدید را تولید و تأیید و ثبت کنند. هکرها با تمرکز برنامهی نفوذ روی شبکهی بانک و کاربران، درنهایت امکان کنترل حسابهای مخصوص را پیدا کرده بودند.
هکرها به کمی زمان نیاز داشتند تا چگونگی اتصال بنگلادشیها به سیستم سوئیفت را درک کنند و به جزئیات حسابها دسترسی پیدا کنند. البته حتی تا زمانیکه هکرها مشغول فعالیت در شبکه و آمادهسازی عملیات بودند (فرایندی چندماهه)، بانک مرکزی بنگلادش توانایی شناسایی آنها را نداشت. یکی از دلایل عدم شناسایی، ضعف عملیاتی بانک مرکزی بود. رویترز پس از عملیات هک گزارش داد که اقدامهای امنیتی ضعیفی ازسوی بانک مرکزی بنگلادش در شبکهی داخلی و خارجی پیادهسازی شده بود. تجهیزات ارزان و ضعیف و عدم استفاده از نرمافزارهای امنیتی، از دلایل ضعف سیستم بانکی بنگلادش بود. همین ضعفها باعث شد تا هکرها راحتتر به کامپیوترهای حساس دسترسی پیدا کنند.
هکرها بهمحض دسترسی به حسابهای کاربری مخصوص در بانک مرکزی بنگلادش، امکان پیادهسازی انواع تراکنش را مانند کاربران رسمی داشتند. آنها برای ازبینبردن هرگونه امکان شناسایی، کدهای مخربی را اجرا کردند تا بهراحتی از دروازههای امنیتی و ضد کلاهبرداری نرمافزار سوئیفت عبور کنند.
یکی از اقدامهای مهم و خطرناک هکرهای کرهی شمالی، دستکاری گزارشهای تراکنش در بانک مرکزی بنگلادش بود. درنتیجه این اقدام، شناسایی مقصد تراکنش پولهای بانک دشوار شد. بهعلاوه شک زیادی پیرامون صحت گزارشها شکل گرفت. فراموش نکنید که تمامی مؤسسههای مالی بزرگ ازجمله بانک مرکزی بنگلادش، برای کنترل حسابها و عملیات خود، وابسته به همین گزارشهای تراکنشی هستند. حملهی کرهی شمالی و هکرهای وابسته به فایلهای گزارش، مانند خنجری بود که به قلب سیستم وارد شد. آنها در زمان انجام کارهای خود، پرینتر اصلی را با کدهای مخرب عادی از مدار خارج کردند تا زمان کافی برای اقدامهای مجرمانه داشته باشند.
سازوکار امنیتی ضعیف در بانک مرکزی بنگلادش، فرایند نفوذ و سرقت را برای هکرها آسان کرده بود
هکرها پس از نفوذ به سیستم بانک مرکزی بنگلادش، درخواستهای خود را بدون اطلاع هیچیک از مقامها و کارمندان بنگلادشی به بانک نیویورکی ارسال کردند. البته مقامهای بانک فدرال نیویورکی بالاخره متوجه اقدام غیرعادی در شبکه شدند. وقتی آنها با مجموعهای از تراکنشهای درخواستی از سمت بانک بنگلادشی روبهرو شدند، غیرعادی بودن درخواستها را بهسرعت درک کردند. تراکنشهای ارسال ازسوی بانک مرکزی بنگلادش، حسابهای بانکی شخصی را بهعنوان مقصد پرداخت اعلام کرده بود که رویکردی غیرعادی بهنظر میرسید. درواقع اکثر درخواستهای عادی از سوی بانکهای مرکزی، مقصد پرداخت را حسابهای متعلق به شخصیت حقوقی بانکهای دیگر عنوان میکنند. درنهایت، مقامهای آمریکایی بسیاری از درخواستها را برای شفافسازی به بانک مبدأ ارجاع دادند.
مقامهای بنگلادشی تنها پس از بازگرداندن سیستمهای کامپیوتری به وضعیت عادی، متوجه وخامت اوضاع شدند. پرینتر پس از تعمیر، گزارش تراکنشهای قبل از خرابی را چاپ کرد. مقامهای بهسرعت متوجه غیرعادی بودن بسیاری از تراکنشهای درخواستی شدند. وقتی آنها برای بررسی اوضاع با همکاران آمریکایی خود تماس گرفتند، دیگر کار از کار گذشته بود. زمان تعطیلات آخر هفته فرا رسیده بود و کارمندان آمریکایی در محل کار خود نبودند. هکرهای کرهای یا در زمانبندی خوششانس بوده یا بهصورت برنامهریزی شده، آخر هفته را بهعنوان زمان حمله انتخاب کرده بودند. درنهایت، مقامهای بنگلادشی باید چند روز را با حداکثر نگرانی و استرس میگذراندند تا آمریکاییها به سر کار خود بازگردند.
دوشنبهی پس از خرابکاری در سیستم بنگلادش، با اخبار گوناگونی همراه بود. خبر خوب اینکه تحلیلگران بانک فدرال آمریکایی، اکثر تراکنشها را به مجموع ۸۵۰ میلیون دلار متوقف کرده بودند. یکی از تراکنشهای عجیب، درخواست انتقال ۲۰ میلیون دلار به گیرندهای بهنام Shalika Fandation در سریلانکا بود. در نگاه اول، املای کلمه اشتباه نوشته شده بود و احتمالا هکرهای بهدنبال نوشتن Shalika Foundation بودهاند. البته حتی با املای صحیح نیز چنین مؤسسهی غیرانتقاعی در سریلانکا وجود ندارد. باتوجه به اینکه همین اشتباه املایی، اولین زنگ خطرها را پیرامون کلاهبرداری به صدا درآورد، احتمالا با گرانقیمتترین اشتباه املایی تاریخ روبهرو هستیم.
اخبار بد دوشنبه، انجام شدن چهار تراکنش تقلبی در سیستم بانک آمریکایی بود. تراکنشها مجموع ۸۱ میلیون دلار سرمایه را به بانک Rizal در فیلیپین منتقل کرده بود. در تماس با بانک فیلیپینی نیز موفقیتی حاصل نشد، چون آنها وجه دریافتی را بهسرعت بین حسابهای متعدد متعلق به کازینوها تقسیم کرده بودند. در ادامه، بخشی از وجه دریافتی، در تاریخهای پنجم و نهم فوریه توسط فردی بهصورت نقدی از بانک دریافت شده بود. فراموش نکنید که نهم فوریه، پس از تاریخی است که بانک بنگلادشی هشدارهای لازم را نسبت به کلاهبرداری و خرابکاری به بانک فیلیپینی اعلام کرده بود. بانک فیلیپینی هیچ اظهارنظری برای گزارش حاضر نداشت. درنهایت از مجموع ۸۱ میلیون دلاری که به بانک Rizal واریز شده بود، تنها ۶۸،۳۵۶ دلار در حساب باقی ماند و بقیه، خارج شد.
پس از اعلام خبر دستکاری در سیستم بانک مرکزی بنگلادش، شرکت بریتانیایی تحقیقات امنیتی BAE Systems وارد عمل شد و اقدام هکرها را بررسی کرد. آنها بهسرعت شواهد متعددی را کشف کردند که دست داشتن هکرهای کرهی شمالی را در پروندهی نفوذ تأیید میکرد. بخشی از کدهای مخرب که در سیستم بانک مرکزی اجرا شد، قبلا در پروندههای دیگر هکرهای کرهای دیده شده بود. از مهمترین پروندههای مشابه نیز میتوان نفوذ به سونی را در سال ۲۰۱۴ مثال زد.
بازرسان امنیتی پس از تحلیلهای متعدد، نتیجهگیری شفافی ارائه کردند. هکرهای کرهی شمالی از هزاران کیلومتر دورتر و با خیال راحت در خانهها و دفاتر خود، گزارشهای تراکنشی را دستکاری و از اعتماد بین بانکی سوءاستفاده کردند. آنها یکی از بزرگترین کلاهبرداریهای بانکی تاریخ را انجام داده بودند.
نفوذ در سطح جهانی
سوءاستفاده از سیستم بانکی بنگلادش، ابعاد گستردهای داشت. منتهی بعدا مشخص شد که پروندهی بنگلادش، بخشی از یک اقدام بزرگتر با هدفگیری جهانی بوده است. بانکی در منطقهی آسیای جنوب شرقی، هدف همزمان هکرهای کرهی شمالی بود (نام بانک مذکور در گزارشهای عمومی منتشر نشده است). هکرها در حملهی دوم، اقدامهای هماهنگ و منظمتری انجام داده بودند. آنها با نفوذ به سروری که وبسایت عمومی بانک را میزبانی میکرد، اقدامهای مخرب را پیش بردند.
هکرهای کرهی شمالی در دسامبر سال ۲۰۱۵ از سرور عمومی بانک قربانی به سرور دیگری نفوذ کردند که برنامهی قدرتمند و اصلی سوئیفت را برای اتصال بانک به شبکهی جهانی، میزبانی میکرد. آنها در ماه بعد، ابزارهای بیشتری را بهکار گرفتند تا بهمرور در شبکه حرکت کرده و امکان تعامل با سیستم سوئیفت را کسب کنند. در تاریخ ۲۹ ژانویهی ۲۰۱۶، هکرها برخی از ابزارها را آزمایش کردند. آزمایشها تقریبا بهصورت همزمان با اجرای پروژهی نفوذ در بانک مرکزی بنگلادش انجام میشد.
در روز چهارم فوریهی سال ۲۰۱۶ و همزمان با ارسال تراکنشهای تقلبی ازسوی بانک بنگلادشی، اقدامهای مخرب در شبکهی بانک دیگر نیز انجام شد. البته هکرها در بانک دوم هنوز درخواست تراکنش رسمی را ارسال نکرده بودند. حدود سه هفته بعد، اقدامهای مخرب مجرمان سایبری در بانک دوم متوقف شد. هیچ اطلاعات جزئی از دلیل متوقف شدن اقدام آنها در دست نیست.
هکرهای کرهی شمالی حتی پس از دریافت پولهای هدف از بانک مرکزی بنگلادش، تمرکز خود را از هدف دوم بر نداشتند. آنها در ماه آوریل، نرمافزار کیلاگر را در سرور سوئیفت بانک قربانی نصب کردند. آنها احتمالا بهدنبال اطلاعات ورود حسابهای کاربری مخصوص بودهاند. این حسابها که بهعنوان کلید ورود به قلمرو بانک در سیستم سوئیفت شناخته میشوند، ابزارهایی حیاتی و الزامی برای سرقت پول بودند.
حمله و عملیات ثانویهی هکرهای بانکی در زمانی انجام میشد که سیستم بانکداری بینالمللی، بهخاطر بازرسیهای BAE خطر را احساس کرده بود. سوئیفت در واکنش به رخداد پیشآمده، بهروزرسانیهای امنیتی را در ماه مه منتشر کرد تا اعلانیهای را پیرامون رخداد صورتگرفته در بنگلادش و یکپارچگی سیستم مالی اعلام کند. هکرها برای انجام عملیات جدید، باید از بهروزرسانیهای امنیتی تازه عبور میکردند. آنها تا ماه ژوئیه کدهای مخرب جدید را آزمایش کردند و در ماه اوت، مجددا کدهای مخرب روی سرور سوئیفت بانک دوم اجرا شدند. هکرها در حملهی مذکور بهدنبال جابهجایی سریع پول بودند.
بانک دیگری در آسیای جنوب شرقی و یک بانک در هند، اهداف بعدی سرقت بودند
حملهی دوم به بانک آسیای جنوب شرقی، با شکست هکرها همراه بود. بانک مذکور، سیستم امنیتی قویتری نسبت به بانک مرکزی بنگلادش داشت. بانک در ماه اوت ۲۰۱۶ و حدود هفت ماه پس از نفوذ هکرها، متوجه حضور آنها در سیستم خود شد. آنها شرکت امنیتی حرفهای روسی کسپرسکی را برای بازرسی نفوذ استخدام کردند. هکرها با آگاهی از شروع عملیات شرکت امنیتی، بسیاری از فایلهای خود را با هدف پاک کردن ردپا، پاک کردند. البته برخی از آثار فعالیت آنها، در سرورهای بانک باقی ماند. همین فایلها کافی بود تا کسپرسکی متوجه شباهت نفوذ به بانک دوم با نفوذ به بانک بنگلادشی بشود.
بازرسی و اقدامهای امنیتی کسپرسکی و BAE، نقشهی کمپین کرهی شمالی را فاش کرد. هکرها برنامههایی بزرگتر از تنها دو بانک آسیایی داشتند. آنها در ژانویهی ۲۰۱۷ یک سیستم تنظیمگری قانونی مالی را در لهستان هدف قرار دادند که هر بازدیدکننده از وبسایت را به کدهای مخرب آلوده میکرد. بسیاری از بازدیدکنندههای وبسایت مؤسسهی مذکور، مؤسسههای مالی بودند. کرهایها کدهای مخرب را در ۱۰۰ مؤسسهی دیگر در سرتاسر جهان اجرا کرده بودند. اکثر اهداف، بانکها و شرکتهای مخابراتی بودند. در فهرست اهداف، نام سازمانهای بزرگی همچون بانک جهانی و بانکهای مرکزی کشورهای برزیل و شیلی و مکزیک به چشم میخورد.
هکرهای کرهی شمالی نهتنها ارزهای سنتی و بانکهای معمولی را هدف قرار داده بودند، بلکه از بازار رمزارزها نیز غافل نشدند. کاربران متعددی در سرتاسر جهان هدف نفوذ و سرقت رمزارز بهخصوص بیتکوین بودند. صرافیهای متعدد رمزارز در سرتاسر جهان نیز هدف نفوذ کرهایها بودند. از مهمترین آنها میتوان صرافی مستقر در کرهی جنوبی بهنام Youbit را نام برد. صرافی مذکور، ۱۷ درصد از دارایی خود را در جریان نفوذ هکرها از دست داد.
یک شرکت امنیت سایبری بهنام Group-IB تخمین میزند که برخی فعالیتهای کمترشناخته شدهی هکرهای کرهی شمالی علیه صرافیهای رمزارز، سودآوری تا ۵۰۰ میلیون دلار برای آنها بههمراه داشته است. البته نمیتوان تخمین مذکور و حجم و ابعاد نفوذ به صرافیهای رمزارز را تأیید کرد. ازطرفی ابعاد گزارش نشان میدهد که هکرها با هدفگیری مؤسسههای مالی خصوصی و صرافیهای رمزارز، فعالیتهای مخفیانهتر انجام دادند، اما اهدافی بسیار بزرگ در سر داشتند.
مؤسسههای تحقیقات سایبری و امنیتی پس از بررسی اقدامهای نفوذ هکرهای کرهی شمالی، به نتیجهگیری مهمی رسیدند. مأمورهای کرهی شمالی برخی از ابزارها و زیرساختهای هک خود را از کاراییهای مخرب و اخلالگر، به اهداف سودآور و علیه ثبات جهانی تغییر دادهاند. همان کشوری که در سال ۲۰۰۹ هرگونه حمله به ایالات متحده را تکذیب کرده بود، در سال ۲۰۱۳ به شرکتهای متعددی در کرهی جنوبی حمله کرد و در سال ۲۰۱۴، سونی را هدف قرار داد. آنها پس از گذشت چند سال، مؤسسههای مالی را هدف قرار داده بودند.
کرهی شمالی بهعنوان بزرگترین کشور تحت تأثیر تحریم شناخته میشود و از منزویترین کشورهای جهان است. آنها با حملههای متعدد سایبری اثبات کردند که همزمان با تلاش برای خرید و توسعهی سلاحهای هستهای، سرمایهی موردنیاز خود را از اقدامهای مخرب سایبری تأمین میکنند. حملههای سایبری و نفوذهای کرهی شمالی، مثالی دیگر از همکاری حکومت دیکتاتور با عملیات سایبری محسوب میشود که نمونههای بیشتری از آن قطعا در آینده فاش میشود.
مهارت در نفوذ
هکرهای کرهی شمالی مهارت و تجربهی کافی را در فعالیتهای نفوذ مهمی کسب کرده بودند. آنها اکنون با پیادهسازی کدهای مخرب توانایی نفوذ به عمیقترین لایههای شبکهی بانکی در مؤسسههای مالی سرتاسر جهان را داشتند. عملیات گستردهی شناسایی و فعالیت بهصورت مخفیانه، دیگر بخشی از مهارت اصلی آنها محسوب میشود. بهعلاوه، هکرها امروز درکی کامل از سیستم سوئیفت دارند و اتصال بانکهای جهانی به آن را بهخوبی تحلیل میکنند. درنتیجه آنها میتوانند روشهای خود را با سرعتی بالا با بهروزرسانیهای امنیتی سوئیفت و بانکهای متصل، هماهنگ کنند.
باوجود پیشرفتهای متعدد عملیاتی در گروههای هکری کرهی شمالی، آنها با مشکل بزرگی روبهرو بوده و هستند. در بسیاری از موارد، مجرمان نتوانستند پول مورد نیاز خود را بهدست بیاورند. درواقع بانکها اکثرا در مراحل پایانی واریز وجه، عملیات را شناسایی و متوقف میکنند. شاید هکرها باید روشی دیگر برای خروج پولها از بانک پیدا کنند.
هکرها مدام روشهای برداشت پول دزدی را تغییر میدهند
هکرها در تابستان ۲۰۱۸ روش جدیدی را برای نفوذ و استخراج پول آزمایش کردند. عملیات جدید در ماه ژوئن با حمله به Cosmos Cooperative Bank در هند شروع شد. هکرها بهمحض ورود به بانک هدف، به خوبی مدیریت و دسترسی امنیتی آن را به زیرساختهای کامپیوتری درک کردند. آنها ظاهرا در تابستان ۲۰۱۸ بهدنبال پیادهسازی عملیاتی جدید بودند. هکرها از کارتهای ATM و تراکنشهای الکترونیکی برای خارج کردن پول مورد نظر خود استفاده میکردند.
دریافت پول از ATM روشی مرسوم و قدیمی در کلاهبرداریها و نفوذهای بانکی محسوب میشود. هکرها به اطلاعات یک نفر در بانک دسترسی پیدا کرده و سپس با مراجعه به ATM، پول موجود در حساب او را دریافت میکنند. در چنین عملیاتی هیچ نیازی به ورود به شعبهی بانک و صحبت با بانکدارها نیست. درنتیجه احتمال شناسایی و دستگیر شدن نیز کاهش مییابد. حملههای مشابه گذشته، در ابعاد کوچک به بانکهای متعددی خسارت وارد کردهاند. بهعنوان مثال میتوان حمله به بانک ملی بلکسبرگ در ویرجینیا را مثال زد. تنها چالش مجرمان در پروندههای مذکور، دریافت کارت و رمز عبور آن بود.
باوجود برنامهریزی دقیق هکرهای کرهی شمالی در هدف قرار دادن بانک هندی، آژانسهای اطلاعاتی آمریکا متوجه برنامهی آنها و خرابکاری در سیستم شدند. البته ظاهرا دولت آمریکا نمیدانست که کدام مؤسسههای مالی هدف قرار گرفتهاند؛ اما بههرحال FBI پیامهایی خصوصی را در دهم اوت به بانکها ارسال کرد و نسبت به نفوذ از نوع برداشت ATM در مقیاس کوچک تا متوسط، هشدار داد. درنهایت FBI هشدار داده بود که بانکها باید روشهای امنیتی خود را ارتقاء دهند.
کشف آمریکاییها و اعلام هشدار آنها، خللی در پروژهی نفوذ کرهی شمالی ایجاد نکرد. آنها در ۱۱ اوت برنامهی خود را اجرا کردند. در عملیاتی که حداکثر دو ساعت به طول انجامید، مجرمان در ۲۸ کشور جهان، عملیات دریافت وجه را از ATMهای متعدد اجرا کردند. حجم دریافتیها از ۱۰۰ تا ۲،۵۰۰ دلار متفاوت بود. برخلاف حملههای قبلی که حجم بالایی از تراکنش را انجام میدادند و شناسایی آنها آسانتر بود، عملیات جدید رویکردی گستردهتر و انعطافپذیرتر و سریعتر داشت. درنهایت مجرمان موفق به سرقتی به ابعاد ۱۱ میلیون دلار شدند.
حملهی گستردهی مجرمان سایبری، سؤال آشنای همیشگی را مطرح کرد. مأموران کرهی شمالی چگونه چنین حملهای را مدیریت کرده بودند؟ آنها برای هر نوبت دریافت پول، باید سیستم تأیید هویت بانک Cosmos را در ATM دور میزدند. حتی اگر آنها اطلاعاتی کلی از برخی مشتریان بانک داشتند، دسترسی به تعداد زیادی رمز عبور از کاربران متعدد، آسان بهنظر نمیرسید. بدون داشتن رمز عبور نیز دریافت وجه ممکن نبود.
ساحر نائومان و دیگر محققان BAE نظریهی قابلتوجهی را پیرامون حملهی اخیر هکرهای کرهی شمالی مطرح میکنند. آنها احتمال میدهند که نفوذ مجرمان به شبکهی بانک هندی بهقدری عمیق بوده که حتی سیستم تأیید هویت و دریافت رمز در ATM را هم تخریب کرده است. درنتیجه احتمالا هر درخواست دریافت وجه از سیستم ATM بانک هندی در سرتاسر جهان، به سیستم هویتسنجی معیوبی در بانک، ارجاع میشود که هکرها توسعه دادهاند. سیستم مخرب، درخواستها را تأیید میکند و بهنوعی مکانیزم شناسایی سرقت بانک را دور میزند. یکی از افسران پلیس هند، چندی بعد در مصاحبهای با رسانههای محلی، این نظریه را تأیید کرد.
هکرهای کرهی شمالی پس از موفقیت در دریافت وجه نقد از ATM، مجددا به نقشهی اول خود بازگشتند. آنها دو روز بعد، سه فرایند انتقال پول را در سیستم سوئیفت بانک هندی اجرا کرده و مجموع دو میلیون دلار را به هنگکنگ واریز کردند. پولها به شرکتی بهنام ALM Trading Limited واریز شد که تنها چند ماه قبل بهصورت رسمی ثبت شده بود. نام مرموز شرکت و عدم حضور و فعالیت آن در فضای وب هرگونه بررسی و تخمین مقصد پولها را دشوار میکند. البته میتوان با احتمال بالایی پیشبینی کرد که پولها به مقامهای کرهی شمالی رسیدهاند.
نقوذهای کره شمالی بیش از همه اعتماد به سیستم بانکداری بینالمللی را از بین میبرد
حمله به بانک هندی Cosmos سؤالها و نگرانیهای متعددی را پیرامون امنیت و اعتماد به تراکنشهای مالی ایجاد کرد. درنتیجه میتوان ادعا کرد که فعالیتهای نفوذ کرهی شمالی، تأثیری بیشتر از تأمین سرمایه برای اقدامهای مخرب رژیم داشتهاند. شاید عملیات آیندهی آنها تلاش بیشتری برای ازبینبردن ثبات در سیستم بانکی بینالمللی داشته باشد. شاید تراکنشهای تقلبی بسیار بیشتری به سیستم سوئیفت تزریق شوند و درمجموع، اعتماد را به این سیستم از بین ببرند.
هیچگاه نمیتوان ادعا کرد که فعالیتهای مخرب کرهی شمالی یا هر حکومت دیگر در سیستم بانکداری بینالمللی متوقف شود. آنها از سالها پیش فعالیتهای خود را گستردهتر و پیشرفتهتر کردهاند و همیشه درحال تکامل و پیشرفت هستند. شاید مهارت مأموران کرهای در برخی موارد در مقابل آژانسهای اطلاعاتی کمتر باشد؛ اما گستردگی فعالیت و تلاش خستگیناپذیر آنها، کمبود مهارت را جبران میکند. آنها نگران عواقب کار خود نیستند و با خیال راحت، هزاران سیستم و مؤسسه را در سرتاسر جهان هدف قرار میدهند. گروه هکرهای کرهی شمالی تاکنون سرمایههای عظیمی را برای حکومت خود تأمین کردهاند. شاید روزهای استفاده از اسکناس تقلبی به پایان رسیده باشد؛ اما کرهی شمالی مجددا قدرت ایجاد بیثباتی را در سیستمهای مالی جهانی پیدا کرده است.