解说员：2016 年朝鲜黑客如何从孟加拉国银行窃取 8100 万美元

本周，BBC 发布了一份调查报告，详细介绍了 2016 年朝鲜黑客如何计划对孟加拉国国家银行进行价值 10 亿美元的攻击，并且几乎完全成功。 被称为孟加拉国银行抢劫案的互联网抢劫案展示了黑客如何成功地在全球银行系统中导航，利用管理漏洞进行精心策划的攻击以转移数百万美元。 它是世界上最大的互联网污染者之一。

孟加拉国银行抢劫案：抢劫是如何发生的 حدثت

BBC 调查称，袭击发生在 2016 年 2 月 4 日至 7 日之间。时间经过精心策划，以利用达卡和纽约市之间的时差、两个城市的开放时间以及不同日期的周末。 在盗窃之日。

美国调查机构认为与朝鲜有关联的黑客利用 SWIFT 支付系统上的欺诈订单从孟加拉国中央银行的账户中窃取了 9.51 亿美元，几乎是该账户中的全部资金。 黑客使用了纽约联邦储备银行的一个账户，成功窃取了 8100 万美元，这些资金被转移到了位于马尼拉的黎刹商业银行的账户中。

那么黑客是如何渗透到孟加拉国银行系统的呢？

英国广播公司报道说，在达卡银行总部 10 楼的一个非常安全的房间里，有一台普通的办公室打印机，据说它坏了。 这台打印机专门用于打印价值数百万美元的银行交易记录。 2016 年 2 月 5 日，银行员工发现打印机不工作，但认为这是技术故障，这种情况经常发生。

英国广播公司的报道称，后来的调查显示，这台出现故障的打印机是黑客入侵孟加拉国银行计算机系统以窃取 10 亿美元的第一个迹象。 当银行员工重新启动打印机时，他们收到了一些非常令人不安的消息。 来自纽约联邦储备银行——“美联储”——的紧急消息——孟加拉国在那里开设了一个美元账户，从他那里泄露出来。 BBC 报道称，显然是孟加拉银行已指示美联储抽空整个账户——近 10 亿美元。

银行员工立即试图联系纽约联邦储备银行以获取更多信息，但无法联系上。 那是因为当黑客于 2 月 4 日英国夏令时 20:00 左右开始工作时，纽约市已是上午。 第二天，也就是 2 月 5 日，周五是孟加拉国周末的开始，孟加拉国银行在达卡的总部正式关闭。 当黑客在达卡被发现时，已经是纽约市周末办公室关闭的开始。

当调查显示黑客故意选择 2016 年 2 月的特定一周进行黑客攻击时，黑客的详细计划就显而易见了。 那个周末也恰好是东亚和东南亚农历新年的开始。 因此，在 2 月 8 日星期一，当这笔钱被转移到马尼拉的银行时，恰逢那里开始了一个重要的国定假日。

“通过利用孟加拉国、纽约和菲律宾之间的时差，黑客设计了一个明显为期五天的回合来获取资金，”英国广播公司的报告解释说。

该报告还研究了黑客如何获得孟加拉国银行安全室打印机的访问权限。 报告称，这发生在实际黑客攻击前一年左右。 “他们有足够的时间来计划这一切，因为事实证明，拉撒路集团已经在孟加拉国银行的计算机系统中休眠了一年。”

“2015 年 1 月，一封看似无害的电子邮件被发送给几名孟加拉国银行的员工。它来自一名自称 Russell Ahlam 的求职者。他礼貌的询问包括邀请从网站下载他的简历和求职信。事实上，Russell那里——据联邦调查局调查人员称，这只是拉撒路集团使用的掩护名称，”报告称。

“至少有一个人进入银行进行诈骗，下载文件，并感染了隐藏在里面的病毒。一旦他们进入银行的系统，拉撒路集团就开始秘密地从一台电脑导航到另一台电脑，进入数字金库以及它们所包含的数十亿美元。”

报告称，账户的实际干涸仅发生在一年之后，因为黑客正在下一阶段排队，计划如何以无法收回的方式移除资金。

BBC 的调查试图在这笔钱被转移到马尼拉银行之后和被提取之前拼凑出一系列事件。 黑客试图将 9.51 亿美元转移到 RCBC 的马尼拉分行位于朱庇特街。 BBC 调查称：“马尼拉有数百家银行可供黑客利用，但他们选择了这一点——这一决定使他们损失了数亿美元。”

“交易……在美联储被搁置，因为其中一份申请中使用的地址包含‘木星’一词，这也是一艘受制裁伊朗货船的名称。”

这导致对因实施制裁而停止的支付转移进行自动审查。 但 BBC 的调查显示，并非所有转账都自动停止：“价值 1.01 亿美元的五笔交易跨越了这一障碍。” 黑客获得了 1.01 亿美元的全部资金，这也是一笔不小的数目，即使这不是他们最初计划的数额。

正如调查所解释的那样，在这 1.01 亿美元中，“有 2000 万美元被转移到了一个名为 Chalika 基金会的斯里兰卡慈善机构，黑客合作伙伴将其指定为被盗资金的一个渠道。” 但是，由于黑客在填写斯里兰卡慈善机构的名称时无意中拼错了 Foundation（他们将 Foundation 写为 Fundation），该转移也被停止了。 这意味着黑客仅成功转移了 8100 万美元。

新闻 | 单击以在收件箱中获取当天的最佳解释

孟加拉国银行退款尝试

甚至在 BBC 调查之前，到 2019 年，调查机构已经确认这笔钱已从马尼拉的银行中转移，之后又消失在菲律宾的赌场业中。 该报告深入研究了黑客用来打破追踪链的复杂洗钱过程，追踪链是马尼拉赌场的目的地。

“使用赌场的想法是打破追踪链。一旦被盗的钱变成了赌场筹码，在赌桌上赌博，然后又变回现金，报告说，调查人员几乎不可能去追查。”

孟加拉银行在资金被盗数小时后意识到发生了大规模盗窃，并开始采取措施追回资金，这个过程本来就非常困难。

BBC 的报道称，他们能够追踪马尼拉赌场的资金，并从一名男子那里追回了 1600 万美元。 但剩下的 3400 万美元仍在迅速消失。 调查人员发现，剩余的大部分资金被送往另一个赌博热点澳门，在那里被转移到朝鲜。 调查人员发现，大多数参与互联网盗窃和其他美国认为是网络犯罪的类似行动的黑客都位于中国和朝鲜边境附近的中国边境城镇。

退款

2018 年，美国联邦调查局 (FBI) 提起刑事诉讼，指控朝鲜公民朴振赫“参与策划在全球范围内实施多起毁灭性网络攻击，导致大量计算机遭到破坏”。以及数据、金钱和其他资源的重大损失，”根据美国司法部公布的公开文件。

诉状指控朴槿惠与朝鲜政府合作并从事“恶意活动”，包括创建用于 2017 年全球 WannaCry 2.0 勒索软件攻击的恶意软件；2016 年从孟加拉国银行盗窃 8100 万美元；2014 年对索尼影视娱乐公司的攻击(SPE)；以及对娱乐、金融服务、国防、技术、虚拟货币行业、学术界和电力公司的许多其他攻击或干预。”

当时，美国助理检察官特蕾西威尔逊说：“该投诉指控这个以朝鲜为基地的网络攻击阴谋的成员对在美国和世界各地造成前所未有的经济损失和业务中断的网络攻击负责。”

2019 年，孟加拉国就菲律宾银行涉嫌参与最大的网络盗窃案向美国法院提起诉讼，控告 Rizal Commercial Banking Corp (RCBC)。 RCBC 已对孟加拉国银行提起诉讼，声称其声誉受到该银行的“恶意和公开攻击”，并要求赔偿至少 190 万美元。 纽约联邦储备银行已承诺帮助孟加拉国收回资金，但这一进程进展甚微。

抢劫发生数天后，当时的孟加拉国财政部长阿玛·莫希思 (Ama Mohith) 要求发生抢劫的孟加拉国银行行长阿蒂尔·拉赫曼 (Atyur Ra​​hman) 辞职。 互联网盗窃使孟加拉国政府非常尴尬。

孟加拉国和朝鲜有双边关系，朝鲜在达卡设有大使馆。 孟加拉国驻华大使馆在北京和平壤代表该国。