مهارت کره شمالی در هک بانک‌های سرتاسر جهان

کره شمالی از خبرسازترین کشورهای جهان محسوب می‌شود که اخبار مرتبط با دولت آن و گروه‌های مخفیانه‌ی متعددش، همیشه سرتیتر اخبار را به خود اختصاص می‌دهد. گروه‌های هکری این کشور، سهم عمده‌ای از اخبار پیرامون حکومت را در رسانه‌های بین‌المللی شکل می‌دهند.

مهارت کره شمالی در هک بانک‌های سرتاسر جهان

کره شمالی از خبرسازترین کشورهای جهان محسوب می‌شود که اخبار مرتبط با دولت آن و گروه‌های مخفیانه‌ی متعددش، همیشه سرتیتر اخبار را به خود اختصاص می‌دهد. گروه‌های هکری این کشور، سهم عمده‌ای از اخبار پیرامون حکومت را در رسانه‌های بین‌المللی شکل می‌دهند. گزارش‌های متعدد نشان می‌دهد که این گروه‌ها مسئول سرقت هکری از بانک‌های متعدد در جهان هستند. یک گزارش ادعا می‌کند که ۸۰ میلیون دلار سرمایه با بهره‌گیری از یک شبکه‌ی پیچیده ابتدا از بانک‌های قربانی به سری‌لانکا و فیلیپین رفته و درنهایت از کره‌ی شمال سر در آورده است. در ادامه‌ی این مطلب زومیت، برگردان مقاله‌ای را از وایرد می‌خوانید که چگونگی نفوذ و سرقت گروه‌های هکری کره‌ی شمالی را شرح می‌دهد.

سوپرنوت یا سوپردلار، اصطلاحی است که دولت آمریکا برای نام‌گذاری یکی از حرفه‌ای‌ترین انواع پول تقلبی در کشورش استفاده می‌کند. سوپرنوت‌ها عموما ۱۰۰ دلاری‌های نقد هستند. کاغذ آن‌ها از سه‌چهارم کتان و یک چهارم پوشش زبرکننده‌ی شبیه به پارچه تشکیل می‌شود که ترکیب کردن آن مراحل دشواری به‌همراه دارد. فیبرهای قرمز و آبی موردنیاز برای قانونی نشان دادن پول، درون این اسکناس‌ها نیز دیده می‌شود. نوار مشهور ۱۰۰ دلاری که قانونی بودن آن را مشخص می‌کند هم در سوپرنوت دیده می‌شود. تمامی بخش‌های دیگر همچون نشان سیستم بانک‌داری آمریکا و تصویر بنجامین فرانکلین نیز با هنر تمام روی اسکناس نقش بسته است. درنهایت حتی با بازرسی دقیق هم نمی‌توان متوجه تقلبی بودن اسکناس ۱۰۰ دلاری شد.

اکثر سیستم‌‌هایی که برای شناسایی اسکناس‌‌های تقلبی طراحی شدند، توانایی تشخیص آن‌ها را نداشتند. ظاهرا برنامه‌‌ای که با هدف تولید سوپردلار و پول‌های مشابه انجام می‌شود، عمری به‌اندازه‌ی چند دهه دارد. بسیاری از کارشناسان و ناظران سیستم بانک‌داری، اسکناس‌ها را به دولت کره‌ی شمالی ارجاع می‌دهند و حتی برخی از آن‌ها، شخص کیم جونگ دوم، رهبر سابق این کشور را مسئول طراحی و توزیع اسکناس‌های تقلبی می‌دانند. احتمالا فرمانی که او در دهه‌ی ۱۹۷۰ و اولین سال‌های فرمان‌روایی‌اش، صادر کرد، باعث حدس و گمان کارشناسان شده است.

کیم جونگ دوم اعتقاد داشت اسکناس‌های تقلبی صد دلاری، قدرت مورد نیاز را در اختیار رژیم کره‌ی شمالی قرار می‌دهد تا دربرابر اقتصاد آمریکا قد علم کنند. همچنین کلاهبرداری مورد نظر او، در مسیر بی‌ثبات‌سازی اقتصاد آمریکا نیز حرکت می‌کرد.

در گزارشی از سرویس تحقیقاتی کنگره‌ی آمریکا ادعا می‌شود که اسکناس‌های تقلبی احتمالا سالانه ۱۵ میلیون دلار درآمد برای کره‌ی شمالی به‌همراه داشته‌اند. در این گزارش آمده است که پول‌ها احتمالا توسط یک تبهکار ایرلندی توزیع شده‌اند و فرایند پول‌شویی آن‌ها نیز در بانکی در ماکائو صورت گرفته است. مقام‌های کره‌ای ظاهرا برنامه‌ی توزیع پول تقلبی را با دیگر اقدام‌های مجرمانه ترکیب کرده‌اند. قاچاق مواد مخدر و متاآمفتامین و فروش داروهای تقلبی و قاچاق اعضای بدن حیوانات در معرض انقراض، از اقدام‌های مجرمانه‌ی احتمالی کره‌ی شمالی در ترکیب با چاپ اسکناس تقلبی محسوب می‌شود. گزارش کنگره‌ی آمریکا درنهایت تخمین می‌زند که مقام‌های کره‌ای در طول یک سال، ۵۰۰ میلیون دلار از اقدام‌های مجرمانه درآمد کسب کرده‌اند.

ایالات متحده در دهه‌ی ابتدایی قرن ۲۱ اقدام‌های پیش‌رونده‌ای در مقابله با برنامه‌های مجرمانه‌ی کره‌ی شمالی انجام داد و خصوصا در مقابله با فعالیت‌های جعل اسکناس، موفق بود. یکی از کارزارهای مبارزه‌ی قانونی آمریکایی‌ها علیه کره‌ی شمالی، ۱۳۰ کشور را در چرخه‌ی اسکناس‌های تقلبی کره‌ی شمالی شناسایی کرد که میلیون‌ها دلار سرمایه را به‌صورت پول تقلبی جابه‌جا می‌کردند.

در یکی از اقدام‌های امنیتی و دراماتیک نیروهای آمریکایی، یک مراسم ازدواج صحنه‌سازی شد تا خلافکاران دخیل در گردش اسکناس‌های تقلبی، شناسایی و بازداشت شوند. حتی وزارت خزانه‌داری آمریکا نیز در مقابله با اقدام‌های غیرقانونی وارد عمل شد و علاوه بر اعمال تحریم‌های مالی علیه بانک ماکائویی، ۲۵ میلیون دلار از دارایی‌های آن را بلوکه کرد.

برنامه‌ی گسترده‌ی آمریکایی‌ها در مقابله با اقدام‌‌های جعل کره‌ی شمالی، ظاهرا در سال ۲۰۰۸ به موفقیت رسید. توزیع و گسترش اسکناس‌های تقلبی از آن سال با کاهش قابل‌توجهی روبه‌رو شد. یکی از مأموران FBI که در اقدام‌های مقابله‌ای علیه‌ کره‌ی شمالی مشغول بود، توضیح جالبی برای کاهش چرخش اسکناس‌های تقلبی ارائه داد:

اگر توزیع اسکناس‌های تقلبی با کاهش روبه‌رو شده باشد، احتمالا می‌توان نتیجه گرفت که کره‌ی شمالی تولید و توزیع آن‌ها را متوقف کرده است. شاید آن‌ها راهی جدید برای جعل و سوءاستفاده‌ی مالی پیدا کرده‌اند.

در سال ۲۰۱۳، فشارهای متعدد ازسوی بازرسان آمریکایی باعث شد که دولت و وزارت خزانه‌داری، مجبور به پیاده‌سازی طراحی جدید در اسکناس‌های ۱۰۰ دلاری شوند. درنتیجه مقام‌های کره‌ی شمالی به‌ سمت اقدام‌های جدیدی برای تأمین سرمایه‌های غیرقانونی خود متمایل شدند.

ورود به دنیای هک

هک کردن یکی از اقدام‌های مرسومی محسوب می‌شود که برای جذب غیرقانونی سرمایه، مفید به‌نظر می‌رسد. نیویورک تایمز قبلا در گزارشی ادعا کرده بود که رهبران کره‌ی شمالی، برنامه‌هایی جدی برای جذب استعدادهای جوان و آموزش علوم کامپیوتر به آن‌ها دارند. آموزش‌ها عموما در چین صورت می‌گرفت و حتی نیروهای جوان تحت پوشش دیپلمات‌های سازمان ملل، در آمریکا آموزش می‌دیدند. نیروهای ماهر اکثرا پس از کسب آموزش در خارج از کره‌ی شمالی (اغلب چین) ساکن می‌شدند و اقدام‌های سایبری خود را از آنجا مدیریت می‌کردند. چنین اقدامی باعث می‌شد تا آن‌ها به اتصال اینترنت بهتر و سریع‌تر دسترسی داشته باشند و به‌راحتی هرگونه ارتباط با دولت کره‌ی شمالی را نیز نقض کنند. به‌علاوه، فعالیت در چین آن‌ها را از مقام‌های قانونی آمریکایی هم دور می‌کرد.

هکرهای کره‌ی شمالی، اقدام‌های سازمان‌یافته را برای نفوذ به بانک‌ها در سرتاسر جهان انجام داده‌اند. آن‌ها فعالیت‌هایی پیچیده و قوی دارند، هرچند لزوما در همه‌ی آن‌ها موفق نیستند. هکرها در یکی از موفق‌ترین و بزرگ‌ترین اقدام‌های خود، شیوه‌ی اتصال مؤسسه‌های مالی را به سیستم بانک‌داری بین‌المللی دست‌کاری کردند. آن‌ها اجزاء گوناگون سیستم را دچار اختلال کردند و درنتیجه، هکرها به‌عنوان کاربران عادی شناسایی شدند. درنتیجه‌ی همین دست‌کاری، ده‌ها میلیون دلار سرمایه به حساب‌های تحت کنترل هکرها منتقل شد.

کره شمالی جوانان بااستعداد خود را برای یادگیری علوم کامپیوتر به چین و آمریکا می‌فرستد

هکرها فایل‌های گزارش عملکرد (Log) و گزارش تراکنش‌های بانکی را دست‌کاری کرده‌اند که موجب اعلان‌های متعدد امنیتی در سیستم بانک‌داری بین‌المللی شد و به‌روزرسانی‌های متعدد را در مؤسسه‌های مالی بین‌المللی به‌همراه داشت. از مهم‌ترین اقدام‌های عمومی هکرها می‌توان به ایجاد اختلال در صدها هزار کامپیوتر در سرتاسر جهان اشاره کرد که احتمالا به‌صورت تصادفی رخ داد. آن‌ها تصمیم داشتند تا داده‌های باارزش کامپیوترها را با هدف دریافت باج، نزد خود نگه دارند. در مجموع، اقدام‌های متعدد با سعی و خطاهای بسیار همراه بود و منجر به بهینه‌سازی روش‌های نفوذ و سرقت هکرهای کره‌ی شمالی شد. پس از مدتی اقدام‌های امنیتی آن‌ها تأثیرگذارتر از همیشه انجام می‌شد.

باوجود اینکه هیچ گزارش دقیق و مطمئنی از میزان سوءاستفاده‌ی هکرها با اقدام‌های نفوذ و سرقت در دست نیست، آن‌ها به‌معنای واقعی کلمه موفق بوده‌اند. سرقت‌هایی که درنتیجه‌ی اقدام‌های نفوذ کره‌ی شمالی انجام می‌شود، جابه‌جایی مبالغ بالایی را به‌همراه دارد. سازمان ملل متحد، در یک گزارش ارزش سرقت کره‌ای‌ها را حدود دو میلیارد دلار تخمین زد. چنین رقمی برای کشوری که مجموع تولید ناخالص ملی‌اش به ۲۸ میلیارد دلار می‌رسد، رقم بالایی محسوب می‌شود.

کره‌ی شمالی اقدام‌های متعددی در جهت توسعه‌ی سلاح‌های هسته‌ای و موشک‌های بالستیک قاره‌پیما انجام می‌دهد. پول‌هایی که ازطریق سرقت بانک‌های جهانی به کشور واریز می‌شود، سرمایه‌ی موردنیاز را در اختیار رهبران کره قرار می‌دهد. حجم و ابعاد اقدام‌های نفوذ و سرقت هکری کره‌ی شمالی در مقایسه با اقدام‌های مجرمانه‌ی قبلی آن‌ها، بسیار بزرگ تخمین زده می‌شود. هکرها امروز سرمایه‌ای بسیار بیشتر از اسکناس‌های تقلبی برای کره‌ی شمالی تأمین می‌کنند.

ارزش و کاربرد اصلی اقدام‌های هک و سرقت کره‌ی شمالی، مانند اسکناس‌های تقلبی فراتر از کسب درآمد و سرمایه به‌نظر می‌رسد. وقتی آن‌ها موفق شوند، به‌نوعی یکپارچگی و انسجام بازارهای جهانی نیز دچار آسیب می‌شود. پاک کردن گزارش‌های تراکنشی و ازبین‌بردن اعتماد به سیستم مالی، نتایج نفوذ هکرها هستند. چنین برنامه‌هایی شاید در ظاهر برای آژانس‌های دولتی وسوسه‌انگیز باشند؛ اما تهدیدهای بزرگی به‌همراه دارند.

نیویورک تایمز پس از جنگ آمریکا و عراق در گزارشی ادعا کرد که ایالات متحده به‌دنبال خالی کردن حساب‌های بانکی صدام حسین بوده؛ اما از این اقدام چشم‌پوشی کرده است. درواقع آمریکایی‌ها نگران عبور از مرزهای احتمالی سازمان‌های کلاهبرداری سایبری دولتی بوده‌اند که درنهایت به اقتصاد آمریکا و پایداری اقتصاد جهان ضربه می‌زد. کمیسیون نظارت بر عملکرد NSA که در سال ۲۰۱۴ و دوران ریاست جمهوری باراک اوباما در آمریکا مشغول به کار بود، در مصوبه‌ای هرگونه اقدام هک و دستکاری گزارش‌های مالی را ازسوی ایالات متحده ممنوع اعلام کرد. درواقع آن‌ها اعتقاد داشتند چنین اقدامی آثار منفی روی اعتماد مردم و سیستم اقتصاد جهانی دارد.

ایده سرقت از بانک

سرقت از بانک همیشه بدترین ایده‌ی مجرمانه به حساب می‌آید. نه‌تنها با اقدامی غیرقانونی روبه‌رو هستیم، بلکه بازگشت سرمایه و سودی که به مجرمان می‌رسد هم در چنین اقدامی آن‌چنان زیاد نیست. در ایالات متحده، سرقت از بانک‌ها به‌طور میانگین تنها چهار هزار دلار پول نقد برای دزدها به‌ ارمغان می‌آورد. البته، اکثر آن‌ها نیز پس از سرقت سوم، دستگیر می‌شوند. در برخی نقاط دیگر جهان، سارقان بانک سرمایه‌ی بیشتری به جیب می‌زنند که باز هم آن‌چنان زیاد نیست. سرقت‌های بزرگ مانند سرقتی که در سال ۲۰۰۵، بانک مرکزی برزیل را هدف قرار داد، نیازمند ماه‌ها کندن تونل زیرزمینی بود تا سارقان، میلیون‌ها دلار سرمایه را به سرقت ببرند. درنهایت، اکثر سرقت‌های بانک پایان خوشی برای مجرمان ندارد.

مأموران و کارگزاران کره‌ی شمالی، راه بهتری برای سرقت از بانک‌ها یافته‌اند. آن‌ها برای به‌دست آوردن سرمایه‌ی مورد نیاز خود، نیازی به کندل تونل و عبور از لایه‌های امنیتی متعدد و فشار و تهدید به نگهبان‌های بانک نداشتند. درواقع مجرمان تنها با نفوذ به کامپیوترهای بانک مورد نظر، آن را مجبور به ارسال پول می‌کردند.

هکرهای کره‌ی شمالی برای نفوذ به سیستم‌های بانکی، ابتدا یک سازمان بین‌المللی به‌نام Society for Worldwide Interbank Financial Telecommunication یا SWIFT را زیر نظر گرفتند. سیستم سوئیفت از سال ۱۹۷۰ در بانک‌های بین‌المللی استفاده می‌شود. ۱۱ هزار مؤسسه‌ی مالی این سیستم در بیش از ۲۰۰ کشور جهان، روزانه ده‌ها میلیون تراکنش را مدیریت می‌کنند. مقدار سرمایه‌ی در گردش در سیستم سوئیفت روزانه به چندین تریلیون دلار می‌رسد که از تولید ناخالص ملی اکثر کشورهای جهان، بیشتر است.

سیستم SWIFT هدف اصلی نفوذ هکرهای کره شمالی بود

بسیاری از مؤسسه‌های مالی عضو سوئیفت، حساب های کاربری ویژه برای نرم‌فزار اختصاصی سوئیفت دارند که با هدف ارتباط بین بانک‌های سرتاسر جهان، به کار گرفته می‌شود. گزارش‌های متعدد از شرکت‌های امنیت سایبری همچون BAE Systems و Kaspersky، روش نفوذ هکرهای کره‌ی شمالی به این حساب‌های کاربری را شرح می‌دهد.

بانک مرکزی بنگلادش، بخشی از سرمایه‌ی خود را در بانک ذخیره‌ی فدرال نیویورک نگه‌داری می‌کند. سرمایه‌های مذکور، برای انجام تراکنش‌های بین‌المللی بانک مرکزی بنگلادش استفاده می‌شوند. بانک بنگلادشی، در چهارم فوریه‌ی سال ۲۰۱۶، حدود ۳۶ تراکنش انجام داد. در هر تراکنش، مقداری از پول‌های ذخیره‌شده در حساب ذخیره‌ی ارزی نیویورکی درخواست شد که در مجموع به یک میلیارد دلار رسید. پول‌های درخواست‌شده، به حساب‌های بانکی در سری‌لانکا و فیلیپین جابه‌جا شد.

در زمانی‌که پول‌های بانک بنگلادشی درحال جریان در کشورهای گوناگون جهان بودند، یک پرینتر در بانک مرکزی از کار افتاد. پرینتر مذکور، یک مدل معمولی HP LaserJet 400 بود که در اتاقی بدون پنجره نگه‌داری می‌شد. این دستگاه ساده، یک مأموریت مهم عملیاتی داشت. تمامی تراکنش‌های بانک در سیستم سوئیفت به‌صورت شبانه‌روزی به‌کمک آن چاپ شده و درنتیجه سندی فیزیکی از تراکنش‌ها ذخیره می‌شد.

وقتی کارمندان بانک مرکزی بنگلادش در صبح روز پنجم فوریه‌ی سال ۲۰۱۶ به محل کار خود رفتند، هیچ‌گونه برگه‌ی چاپی را در پرینتر مشاهده نکردند. آن‌ها تلاش کردند تا به‌صورت دستی تراکنش‌ها را چاپ کنند که باز هم موفق نبودند. ترمینال کامپیوتر که به شبکه‌ی سوئیفت متصل می‌شد، یک پیام خطا اعلام می‌کرد و از عدم وجود یک فایل الزامی در سیستم خبر می‌داد. درنتیجه کارمندان در آن لحظه هیچ اطلاع و خبری از تراکنش‌های انجام‌شده در بانک خودشان نداشتند. پرینتر به سگ نگهبانی تبدیل شده بود که پارس نمی‌کرد (اصطلاحی از داستان‌های شرلوک هلمز). همه‌ی شواهد نشان از خراب‌کاری در سیستم داشت، اما دلیل و چگونگی آن به‌سرعت کشف نشد.

از کار افتادن پرینتر بانک مرکزی بنگلادش، یک رخداد عادی اختلال سخت‌افزاری تلقی نمی‌شد. درواقع این حادثه نتیجه‌ی برنامه‌ریزی دقیق و حمله‌ی حساب‌شده‌ی هکرهای کره‌ی شمالی بود. هکرها به‌جای نفوذ به خود سیستم سوئیفت، ماشینی را هدف قرار دادند که بانک بنگلادشی را به سیستم متصل می‌کرد.

حساب‌های بانکی مخصوصی که توسط بانک مرکزی بنگلادش برای ارتباط با سیستم بین‌المللی استفاده می‌شدند، قدرت و دسترسی بالایی داشتند. آن حساب‌ها می‌توانستند تراکنش‌های جدید را تولید و تأیید و ثبت کنند. هکرها با تمرکز برنامه‌ی نفوذ روی شبکه‌ی بانک و کاربران، درنهایت امکان کنترل حساب‌های مخصوص را پیدا کرده بودند.

هکرها به کمی زمان نیاز داشتند تا چگونگی اتصال بنگلادشی‌ها به سیستم سوئیفت را درک کنند و به جزئیات حساب‌ها دسترسی پیدا کنند. البته حتی تا زمانی‌که هکرها مشغول فعالیت در شبکه و آماده‌سازی عملیات بودند (فرایندی چندماهه)، بانک مرکزی بنگلادش توانایی شناسایی آن‌ها را نداشت. یکی از دلایل عدم شناسایی، ضعف عملیاتی بانک مرکزی بود. رویترز پس از عملیات هک گزارش داد که اقدام‌های امنیتی ضعیفی ازسوی بانک مرکزی بنگلادش در شبکه‌ی داخلی و خارجی پیاده‌سازی شده بود. تجهیزات ارزان و ضعیف و عدم استفاده از نرم‌افزارهای امنیتی، از دلایل ضعف سیستم بانکی بنگلادش بود. همین ضعف‌ها باعث شد تا هکرها راحت‌‌تر به کامپیوترهای حساس دسترسی پیدا کنند.

هکرها به‌محض دسترسی به حساب‌های کاربری مخصوص در بانک مرکزی بنگلادش، امکان پیاده‌سازی انواع تراکنش را مانند کاربران رسمی داشتند. آن‌ها برای ازبین‌بردن هرگونه امکان شناسایی، کدهای مخربی را اجرا کردند تا به‌راحتی از دروازه‌های امنیتی و ضد کلاهبرداری نرم‌افزار سوئیفت عبور کنند.

یکی از اقدام‌های مهم و خطرناک هکرهای کره‌ی شمالی، دست‌کاری گزارش‌های تراکنش در بانک مرکزی بنگلادش بود. درنتیجه این اقدام، شناسایی مقصد تراکنش پول‌های بانک دشوار شد. به‌علاوه شک زیادی پیرامون صحت گزارش‌ها شکل گرفت. فراموش نکنید که تمامی مؤسسه‌های مالی بزرگ ازجمله بانک مرکزی بنگلادش، برای کنترل حساب‌ها و عملیات خود، وابسته به همین گزارش‌های تراکنشی هستند. حمله‌ی کره‌ی شمالی و هکرهای وابسته به فایل‌های گزارش، مانند خنجری بود که به قلب سیستم وارد شد. آن‌ها در زمان انجام کارهای خود، پرینتر اصلی را با کدهای مخرب عادی از مدار خارج کردند تا زمان کافی برای اقدام‌های مجرمانه داشته باشند.

سازوکار امنیتی ضعیف در بانک مرکزی بنگلادش، فرایند نفوذ و سرقت را برای هکرها آسان کرده بود

هکرها پس از نفوذ به سیستم بانک مرکزی بنگلادش، درخواست‌های خود را بدون اطلاع هیچ‌یک از مقام‌ها و کارمندان بنگلادشی به بانک نیویورکی ارسال کردند. البته مقام‌های بانک فدرال نیویورکی بالاخره متوجه اقدام غیرعادی در شبکه شدند. وقتی آن‌ها با مجموعه‌ای از تراکنش‌های درخواستی از سمت بانک بنگلادشی روبه‌رو شدند، غیرعادی بودن درخواست‌ها را به‌سرعت درک کردند. تراکنش‌های ارسال ازسوی بانک مرکزی بنگلادش، حساب‌های بانکی شخصی را به‌عنوان مقصد پرداخت اعلام کرده بود که رویکردی غیرعادی به‌نظر می‌رسید. درواقع اکثر درخواست‌های عادی از سوی بانک‌های مرکزی، مقصد پرداخت را حساب‌های متعلق به شخصیت حقوقی بانک‌های دیگر عنوان می‌کنند. درنهایت، مقام‌های آمریکایی بسیاری از درخواست‌ها را برای شفاف‌سازی به بانک مبدأ ارجاع دادند.

مقام‌های بنگلادشی تنها پس از بازگرداندن سیستم‌‌های کامپیوتری به وضعیت عادی، متوجه وخامت اوضاع شدند. پرینتر پس از تعمیر، گزارش تراکنش‌های قبل از خرابی را چاپ کرد. مقام‌های به‌سرعت متوجه غیرعادی بودن بسیاری از تراکنش‌های درخواستی شدند. وقتی آن‌ها برای بررسی اوضاع با همکاران آمریکایی خود تماس گرفتند، دیگر کار از کار گذشته بود. زمان تعطیلات آخر هفته فرا رسیده بود و کارمندان آمریکایی در محل کار خود نبودند. هکرهای کره‌ای یا در زمان‌بندی خوش‌شانس بوده یا به‌صورت برنامه‌ریزی شده،‌ آخر هفته را به‌عنوان زمان حمله انتخاب کرده بودند. درنهایت، مقام‌های بنگلادشی باید چند روز را با حداکثر نگرانی و استرس می‌گذراندند تا آمریکایی‌ها به سر کار خود بازگردند.

دوشنبه‌ی پس از خراب‌کاری در سیستم بنگلادش، با اخبار گوناگونی همراه بود. خبر خوب اینکه تحلیل‌گران بانک فدرال آمریکایی، اکثر تراکنش‌ها را به مجموع ۸۵۰ میلیون دلار متوقف کرده بودند. یکی از تراکنش‌های عجیب، درخواست انتقال ۲۰ میلیون دلار به گیرنده‌ای به‌نام Shalika Fandation در سری‌لانکا بود. در نگاه اول، املای کلمه اشتباه نوشته شده بود و احتمالا هکرهای به‌دنبال نوشتن Shalika Foundation بوده‌اند. البته حتی با املای صحیح نیز چنین مؤسسه‌ی غیرانتقاعی در سری‌لانکا وجود ندارد. باتوجه به اینکه همین اشتباه املایی،‌ اولین زنگ خطرها را پیرامون کلاهبرداری به صدا درآورد، احتمالا با گران‌قیمت‌ترین اشتباه املایی تاریخ روبه‌رو هستیم.

اخبار بد دوشنبه، انجام شدن چهار تراکنش تقلبی در سیستم بانک آمریکایی بود. تراکنش‌ها مجموع ۸۱ میلیون دلار سرمایه را به بانک Rizal در فیلیپین منتقل کرده بود. در تماس با بانک فیلیپینی نیز موفقیتی حاصل نشد، چون آن‌ها وجه دریافتی را به‌سرعت بین حساب‌های متعدد متعلق به کازینوها تقسیم کرده بودند. در ادامه، بخشی از وجه دریافتی، در تاریخ‌های پنجم و نهم فوریه توسط فردی به‌صورت نقدی از بانک دریافت شده بود. فراموش نکنید که نهم فوریه، پس از تاریخی است که بانک بنگلادشی هشدارهای لازم را نسبت به کلاهبرداری و خراب‌کاری به بانک فیلیپینی اعلام کرده بود. بانک فیلیپینی هیچ اظهارنظری برای گزارش حاضر نداشت. درنهایت از مجموع ۸۱ میلیون دلاری که به بانک Rizal واریز شده بود، تنها ۶۸،۳۵۶ دلار در حساب باقی ماند و بقیه، خارج شد.

پس از اعلام خبر دست‌کاری در سیستم بانک مرکزی بنگلادش، شرکت بریتانیایی تحقیقات امنیتی BAE Systems وارد عمل شد و اقدام هکرها را بررسی کرد. آن‌ها به‌سرعت شواهد متعددی را کشف کردند که دست داشتن هکرهای کره‌ی شمالی را در پرونده‌ی نفوذ تأیید می‌کرد. بخشی از کدهای مخرب که در سیستم بانک مرکزی اجرا شد، قبلا در پرونده‌های دیگر هکرهای کره‌ای دیده شده بود. از مهم‌ترین پرونده‌های مشابه نیز می‌توان نفوذ به سونی را در سال ۲۰۱۴ مثال زد.

بازرسان امنیتی پس از تحلیل‌های متعدد، نتیجه‌گیری شفافی ارائه کردند. هکرهای کره‌ی شمالی از هزاران کیلومتر دورتر و با خیال راحت در خانه‌ها و دفاتر خود، گزارش‌های تراکنشی را دست‌کاری و از اعتماد بین بانکی سوءاستفاده کردند. آن‌ها یکی از بزرگ‌ترین کلاهبرداری‌های بانکی تاریخ را انجام داده بودند.

نفوذ در سطح جهانی

سوءاستفاده از سیستم بانکی بنگلادش، ابعاد گسترده‌ای داشت. منتهی بعدا مشخص شد که پرونده‌ی بنگلادش، بخشی از یک اقدام بزرگ‌تر با هدف‌گیری جهانی بوده است. بانکی در منطقه‌ی آسیای جنوب شرقی، هدف هم‌زمان هکرهای کره‌ی شمالی بود (نام بانک مذکور در گزارش‌های عمومی منتشر نشده است). هکرها در حمله‌ی دوم، اقدام‌های هماهنگ و منظم‌تری انجام داده بودند. آن‌ها با نفوذ به سروری که وب‌سایت عمومی بانک را میزبانی می‌کرد، اقدام‌های مخرب را پیش بردند.

هکرهای کره‌ی شمالی در دسامبر سال ۲۰۱۵ از سرور عمومی بانک قربانی به سرور دیگری نفوذ کردند که برنامه‌ی قدرتمند و اصلی سوئیفت را برای اتصال بانک به شبکه‌ی جهانی، میزبانی می‌کرد. آن‌ها در ماه بعد، ابزارهای بیشتری را به‌کار گرفتند تا به‌مرور در شبکه حرکت کرده و امکان تعامل با سیستم سوئیفت را کسب کنند. در تاریخ ۲۹ ژانویه‌ی ۲۰۱۶، هکرها برخی از ابزارها را آزمایش کردند. آزمایش‌ها تقریبا به‌صورت هم‌زمان با اجرای پروژه‌ی نفوذ در بانک مرکزی بنگلادش انجام می‌شد.

در روز چهارم فوریه‌ی سال ۲۰۱۶ و هم‌زمان با ارسال تراکنش‌های تقلبی ازسوی بانک بنگلادشی، اقدام‌های مخرب در شبکه‌ی بانک دیگر نیز انجام شد. البته هکرها در بانک دوم هنوز درخواست تراکنش‌ رسمی را ارسال نکرده بودند. حدود سه هفته بعد، اقدام‌های مخرب مجرمان سایبری در بانک دوم متوقف شد. هیچ اطلاعات جزئی از دلیل متوقف شدن اقدام آن‌ها در دست نیست.

هکرهای کره‌ی شمالی حتی پس از دریافت پول‌های هدف از بانک مرکزی بنگلادش، تمرکز خود را از هدف دوم بر نداشتند. آن‌ها در ماه آوریل، نرم‌افزار کی‌لاگر را در سرور سوئیفت بانک قربانی نصب کردند. آن‌ها احتمالا به‌دنبال اطلاعات ورود حساب‌های کاربری مخصوص بوده‌اند. این حساب‌ها که به‌عنوان کلید ورود به قلمرو بانک در سیستم سوئیفت شناخته می‌شوند، ابزارهایی حیاتی و الزامی برای سرقت پول بودند.

حمله و عملیات ثانویه‌ی هکرهای بانکی در زمانی انجام می‌شد که سیستم بانک‌داری بین‌المللی، به‌خاطر بازرسی‌های BAE خطر را احساس کرده بود. سوئیفت در واکنش به رخداد پیش‌آمده، به‌روزرسانی‌های امنیتی را در ماه مه منتشر کرد تا اعلانیه‌ای را پیرامون رخداد صورت‌گرفته در بنگلادش و یکپارچگی سیستم مالی اعلام کند. هکرها برای انجام عملیات جدید، باید از به‌روزرسانی‌های امنیتی تازه عبور می‌کردند. آن‌ها تا ماه ژوئیه کدهای مخرب جدید را آزمایش کردند و در ماه اوت، مجددا کدهای مخرب روی سرور سوئیفت بانک دوم اجرا شدند. هکرها در حمله‌ی مذکور به‌دنبال جابه‌‌جایی سریع پول بودند.

بانک دیگری در آسیای جنوب شرقی و یک بانک در هند، اهداف بعدی سرقت بودند

حمله‌ی دوم به بانک آسیای جنوب شرقی، با شکست هکرها همراه بود. بانک مذکور، سیستم امنیتی قوی‌تری نسبت به بانک مرکزی بنگلادش داشت. بانک در ماه اوت ۲۰۱۶ و حدود هفت ماه پس از نفوذ هکرها، متوجه حضور آن‌ها در سیستم خود شد. آن‌ها شرکت امنیتی حرفه‌ای روسی کسپرسکی را برای بازرسی نفوذ استخدام کردند. هکرها با آگاهی از شروع عملیات شرکت امنیتی، بسیاری از فایل‌های خود را با هدف پاک کردن ردپا، پاک کردند. البته برخی از آثار فعالیت آن‌ها، در سرورهای بانک باقی ماند. همین فایل‌ها کافی بود تا کسپرسکی متوجه شباهت نفوذ به بانک دوم با نفوذ به بانک بنگلادشی بشود.

بازرسی و اقدام‌های امنیتی کسپرسکی و BAE، نقشه‌ی کمپین کره‌ی شمالی را فاش کرد. هکرها برنامه‌هایی بزرگ‌تر از تنها دو بانک آسیایی داشتند. آن‌ها در ژانویه‌ی ۲۰۱۷ یک سیستم تنظیم‌گری قانونی مالی را در لهستان هدف قرار دادند که هر بازدیدکننده از وب‌سایت را به کدهای مخرب آلوده می‌کرد. بسیاری از بازدیدکننده‌های وب‌سایت مؤسسه‌ی مذکور، مؤسسه‌های مالی بودند. کره‌‌ای‌ها کدهای مخرب را در ۱۰۰ مؤسسه‌ی دیگر در سرتاسر جهان اجرا کرده بودند. اکثر اهداف، بانک‌ها و شرکت‌های مخابراتی بودند. در فهرست اهداف، نام سازمان‌های بزرگی همچون بانک جهانی و بانک‌های مرکزی کشورهای برزیل و شیلی و مکزیک به چشم می‌خورد.

هکرهای کره‌ی شمالی نه‌تنها ارزهای سنتی و بانک‌های معمولی را هدف قرار داده بودند، بلکه از بازار رمزارزها نیز غافل نشدند. کاربران متعددی در سرتاسر جهان هدف نفوذ و سرقت رمزارز به‌خصوص بیت‌کوین بودند. صرافی‌های متعدد رمزارز در سرتاسر جهان نیز هدف نفوذ کره‌ای‌ها بودند. از مهم‌ترین آن‌ها می‌توان صرافی مستقر در کره‌ی جنوبی به‌نام Youbit را نام برد. صرافی مذکور، ۱۷ درصد از دارایی خود را در جریان نفوذ هکرها از دست داد.

یک شرکت امنیت سایبری به‌نام Group-IB تخمین می‌زند که برخی فعالیت‌های کمترشناخته شده‌ی هکرهای کره‌ی شمالی علیه صرافی‌های رمزارز، سودآوری تا ۵۰۰ میلیون دلار برای آن‌ها به‌همراه داشته است. البته نمی‌توان تخمین مذکور و حجم و ابعاد نفوذ به صرافی‌های رمزارز را تأیید کرد. ازطرفی ابعاد گزارش نشان می‌دهد که هکرها با هدف‌گیری مؤسسه‌های مالی خصوصی و صرافی‌های رمزارز، فعالیت‌های مخفیانه‌تر انجام دادند، اما اهدافی بسیار بزرگ در سر داشتند.

مؤسسه‌های تحقیقات سایبری و امنیتی پس از بررسی اقدام‌های نفوذ هکرهای کره‌ی شمالی، به نتیجه‌گیری مهمی رسیدند. مأمورهای کره‌ی شمالی برخی از ابزارها و زیرساخت‌های هک خود را از کارایی‌های مخرب و اخلال‌گر، به اهداف سودآور و علیه ثبات جهانی تغییر داده‌اند. همان کشوری که در سال ۲۰۰۹ هرگونه حمله به ایالات متحده را تکذیب کرده بود، در سال ۲۰۱۳ به شرکت‌های متعددی در کره‌ی جنوبی حمله کرد و در سال ۲۰۱۴، سونی را هدف قرار داد. آن‌ها پس از گذشت چند سال، مؤسسه‌های مالی را هدف قرار داده بودند.

کره‌ی شمالی به‌عنوان بزرگ‌ترین کشور تحت تأثیر تحریم شناخته می‌شود و از منزوی‌ترین کشورهای جهان است. آن‌ها با حمله‌های متعدد سایبری اثبات کردند که هم‌زمان با تلاش برای خرید و توسعه‌ی سلاح‌های هسته‌ای، سرمایه‌ی موردنیاز خود را از اقدام‌های مخرب سایبری تأمین می‌کنند. حمله‌های سایبری و نفوذهای کره‌ی شمالی، مثالی دیگر از همکاری حکومت دیکتاتور با عملیات سایبری محسوب می‌شود که نمونه‌های بیشتری از آن قطعا در آینده فاش می‌شود.

مهارت در نفوذ

هکرهای کره‌ی شمالی مهارت و تجربه‌ی کافی را در فعالیت‌های نفوذ مهمی کسب کرده بودند. آن‌ها اکنون با پیاده‌سازی کدهای مخرب توانایی نفوذ به عمیق‌ترین لایه‌های شبکه‌ی بانکی در مؤسسه‌های مالی سرتاسر جهان را داشتند. عملیات گسترده‌ی شناسایی و فعالیت به‌صورت مخفیانه، دیگر بخشی از مهارت اصلی آن‌ها محسوب می‌شود. به‌علاوه، هکرها امروز درکی کامل از سیستم سوئیفت دارند و اتصال بانک‌های جهانی به آن را به‌خوبی تحلیل می‌کنند. درنتیجه آن‌ها می‌توانند روش‌های خود را با سرعتی بالا با به‌روزرسانی‌های امنیتی سوئیفت و بانک‌های متصل، هماهنگ کنند.

باوجود پیشرفت‌های متعدد عملیاتی در گروه‌های هکری کره‌ی شمالی، آن‌ها با مشکل بزرگی روبه‌رو بوده و هستند. در بسیاری از موارد، مجرمان نتوانستند پول مورد نیاز خود را به‌دست بیاورند. درواقع بانک‌ها اکثرا در مراحل پایانی واریز وجه، عملیات را شناسایی و متوقف می‌کنند. شاید هکرها باید روشی دیگر برای خروج پول‌ها از بانک پیدا کنند.

هکرها مدام روش‌های برداشت پول دزدی را تغییر می‌دهند

هکرها در تابستان ۲۰۱۸ روش جدیدی را برای نفوذ و استخراج پول آزمایش کردند. عملیات جدید در ماه ژوئن با حمله به Cosmos Cooperative Bank در هند شروع شد. هکرها به‌محض ورود به بانک هدف، به خوبی مدیریت و دسترسی امنیتی آن را به زیرساخت‌های کامپیوتری درک کردند. آن‌ها ظاهرا در تابستان ۲۰۱۸ به‌دنبال پیاده‌سازی عملیاتی جدید بودند. هکرها از کارت‌های ATM و تراکنش‌های الکترونیکی برای خارج کردن پول مورد نظر خود استفاده می‌کردند.

دریافت پول از ATM روشی مرسوم و قدیمی در کلاهبرداری‌ها و نفوذهای بانکی محسوب می‌شود. هکرها به اطلاعات یک نفر در بانک دسترسی پیدا کرده و سپس با مراجعه به ATM، پول موجود در حساب او را دریافت می‌کنند. در چنین عملیاتی هیچ نیازی به ورود به شعبه‌ی بانک و صحبت با بانک‌دارها نیست. درنتیجه احتمال شناسایی و دستگیر شدن نیز کاهش می‌یابد. حمله‌های مشابه گذشته، در ابعاد کوچک به بانک‌های متعددی خسارت وارد کرده‌اند. به‌عنوان مثال می‌توان حمله به بانک ملی بلکسبرگ در ویرجینیا را مثال زد. تنها چالش مجرمان در پرونده‌های مذکور، دریافت کارت و رمز عبور آن بود.

باوجود برنامه‌ریزی دقیق هکرهای کره‌ی شمالی در هدف قرار دادن بانک هندی، آژانس‌های اطلاعاتی آمریکا متوجه برنامه‌ی آن‌ها و خراب‌کاری در سیستم شدند. البته ظاهرا دولت آمریکا نمی‌دانست که کدام مؤسسه‌های مالی هدف قرار گرفته‌اند؛ اما به‌هرحال FBI پیام‌هایی خصوصی را در دهم اوت به بانک‌ها ارسال کرد و نسبت به نفوذ از نوع برداشت ATM در مقیاس کوچک تا متوسط، هشدار داد. درنهایت FBI هشدار داده بود که بانک‌ها باید روش‌های امنیتی خود را ارتقاء دهند.

کشف آمریکایی‌ها و اعلام هشدار آن‌ها، خللی در پروژه‌ی نفوذ کره‌ی شمالی ایجاد نکرد. آن‌ها در ۱۱ اوت برنامه‌ی خود را اجرا کردند. در عملیاتی که حداکثر دو ساعت به طول انجامید، مجرمان در ۲۸ کشور جهان، عملیات دریافت وجه را از ATMهای متعدد اجرا کردند. حجم دریافتی‌ها از ۱۰۰ تا ۲،۵۰۰ دلار متفاوت بود. برخلاف حمله‌های قبلی که حجم بالایی از تراکنش را انجام می‌دادند و شناسایی آن‌ها آسان‌تر بود، عملیات جدید رویکردی گسترده‌تر و انعطاف‌پذیرتر و سریع‌تر داشت. درنهایت مجرمان موفق به سرقتی به ابعاد ۱۱ میلیون دلار شدند.

حمله‌ی گسترده‌ی مجرمان سایبری، سؤال آشنای همیشگی را مطرح کرد. مأموران کره‌ی شمالی چگونه چنین حمله‌ای را مدیریت کرده بودند؟ آن‌ها برای هر نوبت دریافت پول، باید سیستم تأیید هویت بانک Cosmos را در ATM دور می‌زدند. حتی اگر آن‌ها اطلاعاتی کلی از برخی مشتریان بانک داشتند، دسترسی به تعداد زیادی رمز عبور از کاربران متعدد، آسان به‌نظر نمی‌رسید. بدون داشتن رمز عبور نیز دریافت وجه ممکن نبود.

ساحر نائومان و دیگر محققان BAE نظریه‌ی قابل‌توجهی را پیرامون حمله‌ی اخیر هکرهای کره‌ی شمالی مطرح می‌کنند. آن‌ها احتمال می‌دهند که نفوذ مجرمان به شبکه‌ی بانک هندی به‌قدری عمیق بوده که حتی سیستم تأیید هویت و دریافت رمز در ATM را هم تخریب کرده است. درنتیجه احتمالا هر درخواست دریافت وجه از سیستم ATM بانک هندی در سرتاسر جهان، به سیستم هویت‌سنجی معیوبی در بانک، ارجاع می‌شود که هکرها توسعه داده‌اند. سیستم مخرب، درخواست‌ها را تأیید می‌کند و به‌نوعی مکانیزم شناسایی سرقت بانک را دور می‌زند. یکی از افسران پلیس هند، چندی بعد در مصاحبه‌‌ای با رسانه‌های محلی، این نظریه را تأیید کرد.

هکرهای کره‌ی شمالی پس از موفقیت در دریافت وجه نقد از ATM، مجددا به نقشه‌ی اول خود بازگشتند. آن‌ها دو روز بعد، سه فرایند انتقال پول را در سیستم سوئیفت بانک هندی اجرا کرده و مجموع دو میلیون دلار را به هنگ‌کنگ واریز کردند. پول‌ها به شرکتی به‌نام ALM Trading Limited واریز شد که تنها چند ماه قبل به‌صورت رسمی ثبت شده بود. نام مرموز شرکت و عدم حضور و فعالیت آن در فضای وب هرگونه بررسی و تخمین مقصد پول‌ها را دشوار می‌کند. البته می‌توان با احتمال بالایی پیش‌بینی کرد که پول‌ها به مقام‌های کره‌ی شمالی رسیده‌اند.

نقوذهای کره شمالی بیش از همه اعتماد به سیستم بانک‌داری بین‌المللی را از بین می‌برد

حمله به بانک هندی Cosmos سؤال‌ها و نگرانی‌های متعددی را پیرامون امنیت و اعتماد به تراکنش‌های مالی ایجاد کرد. درنتیجه می‌توان ادعا کرد که فعالیت‌های نفوذ کره‌ی شمالی، تأثیری بیشتر از تأمین سرمایه برای اقدام‌های مخرب رژیم داشته‌اند. شاید عملیات آینده‌ی آن‌ها تلاش بیشتری برای ازبین‌بردن ثبات در سیستم بانکی بین‌المللی داشته باشد. شاید تراکنش‌های تقلبی بسیار بیشتری به سیستم سوئیفت تزریق شوند و درمجموع، اعتماد را به این سیستم از بین ببرند.

هیچ‌گاه نمی‌توان ادعا کرد که فعالیت‌های مخرب کره‌ی شمالی یا هر حکومت دیگر در سیستم بانک‌داری بین‌المللی متوقف شود. آن‌ها از سال‌ها پیش فعالیت‌های خود را گسترده‌تر و پیشرفته‌تر کرده‌اند و همیشه درحال تکامل و پیشرفت هستند. شاید مهارت مأموران کره‌ای در برخی موارد در مقابل آژانس‌های اطلاعاتی کمتر باشد؛ اما گستردگی فعالیت و تلاش خستگی‌ناپذیر آن‌ها، کمبود مهارت را جبران می‌کند. آن‌ها نگران عواقب کار خود نیستند و با خیال راحت، هزاران سیستم و مؤسسه را در سرتاسر جهان هدف قرار می‌دهند. گروه هکرهای کره‌ی شمالی تاکنون سرمایه‌های عظیمی را برای حکومت خود تأمین کرده‌اند. شاید روزهای استفاده از اسکناس تقلبی به پایان رسیده باشد؛ اما کره‌ی شمالی مجددا قدرت ایجاد بی‌ثباتی را در سیستم‌های مالی جهانی پیدا کرده است.

  • برچسب‌ها
  • هک