แฮกเกอร์เกาหลีเหนือขโมยเงินไปกว่าพันล้านดอลลาร์ ตอนที่1

ในปี 2016 กลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐเกือบขโมยเงินหนึ่งพันล้านดอลลาร์จากธนาคารแห่งชาติของบังกลาเทศ โชคดีที่เงินส่วนใหญ่ไม่สามารถกลับไปเกาหลีเหนือได้ จากการตั้งค่าความปลอดภัยสองสามชั้น และความบังเอิญที่ขัดขวางสิ่งที่จะเป็นหนึ่งในการโจรกรรมทางอิเล็กทรอนิกส์ที่ยิ่งใหญ่ที่สุดในประวัติศาสตร์

The Lazarus heist : มันพังลงมาได้อย่างไร

การปล้นขนาดนี้ต้องใช้เวลาหนึ่งปีในการวางแผนและเตรียมการอย่างรอบคอบ แฮ็กเกอร์ชาวเกาหลีเหนือต้องแทรกซึมเข้าไปในระบบธนาคารโดยไม่ถูกตรวจจับ ทำงานผ่านคอมพิวเตอร์ของธนาคารทีละเครื่องจนกว่าจะถึงห้องนิรภัยดิจิทัล หาทางหลบหนีของเงิน และสุดท้ายทำความสะอาดเพื่อให้เจ้าหน้าที่ที่เกี่ยวข้องไม่สามารถติดตามได้

แฮกเกอร์เรียกตัวเองว่า Lazarus Group และเตรียมสร้างประวัติศาสตร์ เหตุการณ์ที่ซับซ้อนนี้เริ่มต้นด้วยอีเมลง่ายๆ ที่ส่งโดย Rasel Ahlam ชายชาวบังคลาเทศที่กำลังมองหางานที่ธนาคาร อย่างไรก็ตาม Rasel Ahlam ไม่มีอยู่จริง เขาเป็นเพียงนามแฝงที่สร้างขึ้นโดย Lazarus Group เพื่อตั้งหลักในระบบของธนาคาร

ลำดับเหตุการณ์

มกราคม 2015 : พนักงานหลายคนได้รับอีเมลที่ขอให้พวกเขาคลิ๊กลิงก์ของเว็บไซต์เพื่อดาวน์โหลด CV และจดหมายสมัครงาน พนักงานอย่างน้อยหนึ่งคนพลาดดาวน์โหลดไฟล์ ซึ่งทำให้คอมพิวเตอร์ของธนาคารบังคลาเทศติดมัลแวร์ นั่นเป็นตัวอย่างที่ชัดเจนของการโจมตีทางวิศวกรรมสังคมและการเตือนให้ทุกคนไม่คลิ๊กลิงก์ใดๆ ที่ส่งจากที่อยู่อีเมลที่คุณไม่รู้จัก

มกราคม 2015 ถึงกุมภาพันธ์ 2016 : แฮกเกอร์ข้ามไปมาระหว่างคอมพิวเตอร์จนกว่าจะพบเส้นทางที่ปลอดภัยไปยังเครือข่าย SWIFT ของธนาคารบังกลาเทศ SWIFT เป็นระบบที่ธนาคารหลายร้อยแห่งใช้ในการโอนเงินจำนวนมาก

พฤษภาคม 2015 : มีการเปิดบัญชีธนาคารสี่บัญชีใน RCBC ธนาคารในฟิลิปปินส์ พวกเขาเปิดด้วยใบขับขี่ปลอม เจ้าของบัญชีแต่ละคนมีงานและค่าจ้างเหมือนกัน แม้จะถูกระบุว่าทำงานให้กับบริษัทต่างๆ สาขาที่กำหนดเป้าหมายอยู่ในมะนิลา $500 ถูกฝากเข้าในแต่ละบัญชี

กุมภาพันธ์ 2016 : วันก่อนการปล้น เครื่องพิมพ์บนชั้น 10 ที่สำรองข้อมูลทุกการโอนจากบัญชีธนาคารบังคลาเทศทั้งหมดถูกแฮ็กและปิดตัวลงโดยไม่รู้ตัว เพื่อไม่ให้มีการแจ้งเตือนการโอนเงิน

4 กุมภาพันธ์ 2016 วันพฤหัสบดี 20:36 น. : มีการโอนเงิน 35 ครั้ง รวมเป็นเงิน 951 ล้านดอลลาร์ มีการขอเงินผ่านเครือข่าย SWIFT ของธนาคารบังคลาเทศ ทำให้คำขอดูเหมือนถูกกฎหมาย เงินสดมาจากบัญชี Federal Reserve Bank of New York ซึ่งธนาคารบังคลาเทศจัดเก็บเงินเอาไว้

5 กุมภาพันธ์ 2016 วันศุกร์ : เริ่มต้นวันหยุดสุดสัปดาห์ของบังคลาเทศ ไม่มีคนงานในธนาคารหมายความว่าการโจรกรรมยังไม่ได้รับการสังเกต บัญชี RSBC สี่บัญชีมีการใช้งานอย่างกะทันหันและเต็มไปด้วยเงินนับล้าน มีเพียง 101 ล้านดอลลาร์เท่านั้นที่ผ่านได้หลังจากธนาคารกลางสหรัฐระบุว่าธุรกรรมส่วนใหญ่น่าสงสัย

5-13 กุมภาพันธ์ 2016 : เงินถูกโอนอย่างต่อเนื่องระหว่างบัญชี แลกเปลี่ยนเป็นสกุลเงินท้องถิ่น และบางส่วนถูกถอนออก เทคนิคทั้งหมดนี้เพื่อการฟอกเงินสกปรก

6 กุมภาพันธ์ 2559 วันเสาร์ : ในที่สุดก็สังเกตเห็นการโจรกรรม เครื่องพิมพ์บนชั้น 10 ได้รับการรีบูตและช่วยให้สถานการณ์ดีขึ้น ธนาคารบังคลาเทศพยายามติดต่อธนาคารกลางสหรัฐ น่าเสียดายที่เป็นวันเสาร์และไม่มีใครทำงาน มีการโอนเงินเพียงเศษเสี้ยวของเงินที่ร้องขอ โดยมีธุรกรรมห้ารายการที่ได้รับอนุมัติจากธนาคารกลางสหรัฐในเช้าวันศุกร์ที่ 5 กุมภาพันธ์ แต่ทำไมอีก 30 รายการจึงถูกปฏิเสธ โชคดีที่เป็นเพราะมาตรการรักษาความปลอดภัยที่แพร่หลายและกว้างขวางของอเมริกา

ธนาคาร RSBC ตั้งอยู่ที่ Jupiter Street ในกรุงมะนิลา Jupiter ยังเป็นชื่อของเรือเดินสมุทรของอิหร่านด้วยเหตุนี้จึงตั้งค่าสถานะชื่อ “Jupiter” ว่าน่าสงสัยในทันที เมื่อทำการเชื่อมต่อแล้ว Federal Reserve ก็หยุดการทำธุรกรรมส่วนใหญ่ในทันที เงินสดที่ถูกขโมยไป 20 ล้านดอลลาร์ถูกส่งไปยังองค์กรการกุศลในศรีลังกาเพื่อส่งต่อไปยังบัญชีอื่น อย่างไรก็ตาม การสะกดชื่อผิดทำให้เกิดความสงสัย และธุรกรรมถูกเปลี่ยนกลับอย่างรวดเร็ว

ส่วนที่เหลือของ 81 ล้านดอลลาร์ถูกฟอกผ่านคาสิโนชั้นนำของฟิลิปปินส์สองแห่งคือ “The Solaire” และ “The Midas” ตลอดหลายสัปดาห์ ในขณะนั้นไม่มีข้อบังคับการฟอกเงินสำหรับคาสิโนชาวฟิลิปปินส์ ดังนั้นเงินทั้งหมดที่ผ่านจากคาสิโนก็อาจมาจากแหล่งที่ถูกต้องเช่นกัน

ติดตามต่อในตอนหน้า

ที่มา : How the biggest cyber heist in history was foiled | NordVPN