孟加拉银行大劫案始末

2016年,一起网络黑客(骇客)打劫央行大案几近得手却因拼写错误功亏一篑,盗贼与10亿美元失之交臂。这起网络金融罪案发生5年后余波未平,而陆续浮出水面的案情令人惊愕、唏嘘。这宗抢劫央行大案现在被认定是朝鲜黑客所为。2016年2月,黑客向SWIFT(环球银行金融电信协会网络)发出35条欺诈指令,要求将10亿美元从美国纽约联邦储备局转入孟加拉央行账户,5条被确认,成功转走1.01亿美元,但另30条涉及8.5亿美元的转款指令被纽约联储局拒绝,因为指令中发现拼写错误。

流向菲律宾的8,100万美元赃款尚未全数追回,但流向斯里兰卡的2,000万美元已追回。BBC国际频道的10集播客《拉撒路大劫案》(The Lazarus Heist)尝试还原这起世纪大案的来龙去脉,梳理作案经过,由杰夫·怀特(Geoff White)和吉恩·H·李(Jean H Lee)主持。

2016年2月5日星期五,孟加拉首都达卡,孟加拉银行(央行)保安严密的总部大楼10层,一台打印机出了故障。它负责打印的是央行账户款项进出的记录。这种寻常的小故障以前也曾发生过,当天的值班经理祖拜尔·本·胡达(Zubair Bin Huda)后来对警察解释说,当时没有引起多少注意。后来大家都意识到,这台打印机出故障其实是个征兆,暗示了巨大的麻烦。就在那个时刻,已侵入央行网络系统的黑客正在作案:盗取10亿美元。为了偷偷把钱从央行账户转走,劫犯们动用了假帐户、慈善组织、赌场和其他协同犯罪者的网络来遮人耳目。但经过侦查发现,罪犯留下的数字手印明确无误地指向朝鲜政府。

在大部分世人心目中,落后、闭塞、贫穷的朝鲜跟高科技和网络黑客离得很远。但是,美国联邦调查局(FBI)说,孟加拉央行遭黑客打劫案背后是一个由黑客和中间人组成的团队,成员散布在亚洲各地,其黑客行动得到朝鲜政府的支持。这个团队叫拉撒路集团(Lazarus Group)。拉撒路是《圣经》里的一个死而复生的人物;了解这个黑客团队制造的电脑病毒的专家认为,单就生存能力而言这个面目不清的团队跟拉撒路不相上下。这个团队至今依旧很神秘,但FBI掌握了一名成员的身份背景:朴镇赫(Park Jin Hyok),还用过朴光振(Park Kwang-jin)等名字。他是电脑编程员,毕业于朝鲜顶级高等学府,曾受雇于朝鲜出口公司(Chosun Expo)在中国大连的分部,具体工作包括为世界各地的客户编写网络游戏和博彩软件。

根据FBI的书面证词,他在大连工作期间注册了电子邮箱、创建了一份个人简历,还通过社交网站建立了社交圈。网络足印显示,他初到大连是在2002年,一直到2013年或2014年,网络活动足迹显示这个期间他不时会在朝鲜首都平壤的互联网上出现。FBI公布了一张朴镇赫的标准像,来自2011年朝鲜出口公司向客户介绍项目经理的邮件。照片上是一名三十岁上下的朝鲜男子,身着黑色条纹衬衫和深棕色西装,除了面容疲惫之外没有任何不寻常。

FBI说,朴镇赫白天是程序员,晚上是电脑黑客。2018年6月,美国当局起诉朴镇赫,对他的控罪包括2014年9月到2017年8月期间图谋实施电脑诈骗和电信诈骗,一旦就擒、获罪,他将面临多达20年监禁。他在美国当局提起诉讼前从中国回到朝鲜。但是,朝鲜有无数跟他一样的年轻人,从小被作为网络战士来培养。这些孩子年龄最小的只有12岁,都是数学天才,从各地学校中挑选出来送到首都接受封闭式集训。

孟加拉央行的美元储备存在纽约美联储银行账户上。央行总部10层楼那台打印机出故障后被重启,结果吐出一份令人震惊的通知,来自纽约美联储。通知说,美联储收到显然来自孟加拉央行(客户)的取款指令,提取10亿美元,几乎就是账户里的全部款额。黑客作案从2月4日周四孟加拉时间晚上20:00时开始,纽约时间是周四上午,正常工作时间。孟加拉银行周五、周六休息,等到发现黑客袭击时,已经是纽约的周末。所以,选择达卡的周四晚上作案显然是有精心考虑的,美国网络安全专家拉克什·阿斯塔纳(Rakesh Asthana)说,等双方都发现疑窦时,已经过去三天了。

从纽约联储局把钱成功转移出来后,这笔钱需要流向某个目的地,这个目的地是黑客们事先在菲律宾首都马尼拉的银行开设的账户。关键在于,2016年2月8日周一是农历新年,亚洲各地的银行都关门。黑客们又多了二天先机。这样,抢劫后黑客们有五天的逃遁时间。如此缜密的计划当然是经过仔细筹划设计的。罪案调查人员后来发现,拉撒路集团的病毒早在一年前就侵入孟加拉央行电脑系统里潜伏。

2015年1月,孟加拉央行数名员工收到一份貌似人畜无害的求职邮件,发件人自称拉塞尔·阿拉姆(Rasel Ahlam)。他的邮件措辞彬彬有礼,还附了一条下载求职信和个人履历的链接。FBI后来发现其实没有这么个人,这只是个拉撒路集团作案用的化名。收到这份电邮的员工当中至少一人毫无防备地点击那个链接下载了所谓的简历和求职声明,把藏在文件里的病毒带入央行电脑系统。这个病毒很快就感染了一台又一台电脑,轻而易举进入了数字金库。然后,它们停下脚步,潜伏下来。

病毒成功潜入央行系统后,拉撒路集团用了一年时间安排撤退计划和路线。朱庇特街(Jupiter Street)是马尼拉城里一条繁忙的商业街。菲律宾最大的银行之一RCBC在这条街上有一个分行,隔壁是一间平价旅馆,还有一间牙医诊所。2015年5月,拉撒路病毒侵入孟加拉央行系统几个月之后,有人在这家RCBC开了四个账户,开户人是黑客的同犯。事后回想,其实是有疑点的:用来开户的驾照是假的,开户人分别就职于不同的公司,但职务和工资完全一样。不过,当时没有人注意到这些。几个月过去了,这几个账户里除了开户时存入的500美元,就再没有钱款进出。到了2016年2月,拉撒路集团认为一切准备就绪。

除了一个小小的环节:孟加拉央行总部10楼的一台打印机,负责打印央行所有账户的所有钱款流动记录,留作纸质备份。白纸黑字,看到的人立刻就会发现黑客在作案。所以必须侵入控制这台打印机的系统,让它出故障。2016年2月4日晚上20:36时,黑客开始行动。他们发出35条转款指令,金额总计9.51亿美元,几乎清空孟加拉央行在纽约联储局的美元账户。不出意外的话,这起劫案最早要到五天后才会被人发现,而届时作案者早已逃之夭夭,无影无踪。

可是,就像好莱坞大片里的银行打劫案一样,百密一疏,最后眼睁睁看着唾手可得的赃款与自己失之交臂。这可能是个令拉撒路集团吐血的疏忽,只有一个,非常小,但最后一切都毁在这一小点上:拼写错误。孟加拉银行在那个周末发现账上出现异常动向后困惑不解,找到网络安全专家阿斯塔纳,请他的公司World Informatix协助调查。当时央行高层认为还有可能把这笔去向不明的钱追回来,因此对失窃案保密,不但公众不知,甚至没有向政府通报。

阿斯塔纳很快顺藤摸瓜找到了病毒潜伏的地方–位于银行系统的核心部位的Swift,即环球银行金融电信协会网络,世界各地的银行通过这个系统完成金融交易清算。他还发现,在SWIFT看来,拉撒路黑客的转款指令就是来自银行员工,没有疑问。同时,孟加拉央行高层发现盖子很难再捂下去,被偷走的钱也很难马上追回。一部分失窃钱款已经进入菲律宾的银行,而菲律宾法律规定只有通过法庭下令才能开始追款程序。申请法庭令,就意味着银行劫案无法继续对公众保密。

2月下旬,孟加拉央行遭黑客打劫的消息震惊世界。央行行长立刻辞职,劫案也惊动了美国众议院。美国众议员卡罗琳·马洛尼(Carolyn Maloney)听到这个消息时正在去机场的路上。她记得当时的震惊。她当时觉得那就是金融市场发生的最可怕的事情之一。她是众议院金融服务委员会成员。因为劫案涉及SWIFT系统,就有可能危及全球对这个至关重要的交付清算系统的信心。

令人担忧的是,事情还牵涉到纽约联储局。很快,马洛尼和许多其他人悬在半空的心放下了些许–联储局证实,大部分涉案钱款没有流出,因为指令被拒。指令被拒的原因,是一个拼写错误。马尼拉有很多银行,RCBC在马尼拉有很多分行。但是,拉撒路集团选择在朱庇特街分行开户,当时绝对不会想到这是个致命的错误。马洛尼告诉BBC,大部分转款指令被联储局系统拒绝执行,因为其中有一个敏感词,朱庇特;之所以敏感,是因为有一艘伊朗货轮也叫这个名字。朱庇特这个词触发了警钟,联储局系统叫停执行指令,对交易进行审核评估,30条指令被拒,5条获得执行,1亿美元被盗。

其中2,000万美元进入斯里兰卡一个慈善组织莎丽卡基金会(Shalika Foundation)的账户。慈善组织的主人,莎丽卡·佩雷拉(Shalika Perera),后来表示她以为那是一笔清白合法的捐款。但是,因为指令中基金会拼错了,Foundation拼写成Fundation,交易被审核,没来及完成就被追回。另外8,100万美元到现在还没有追回。

当孟加拉央行开始追款行动时,拉撒路黑客们已经先行了几步。2月5日,周五,马尼拉朱庇特街RCBC分行的四个账户突然活跃异常,现金进帐,流出,转入一个外汇公司,换成菲律宾货币,重新存入这家银行,有一部分现款被提取。反洗钱专家看来,这些操作完全不出意料。即便洗过,这笔赃款还是有迹可循。为了保险起见,它必须完全脱离银行系统。

马尼拉海滨赌场Solaire闪亮登场。这里有高档酒店、剧场、精品店,以及著名的赌场,那里有大约400个赌桌,2,000个老虎机。被成功盗取的赃款中,5,000万美元经由RCBC流入了流光溢彩的Solaire和另一家赌场,Midas。另外3,100万美元下落不明。通过赌场洗钱是为了掩盖、消除赃款流动痕迹,但有没有风险?没有。

首先,网络大盗预订了私人包间,里面的玩家都是同伙;其次,赃款用来玩的是Baccarat,一种很简单的博彩游戏,有点经验的玩家可以轻易收回90%的赌注,只是需要花点时间。他们在马尼拉赌场的私人包间里玩了几个星期。当然,孟加拉央行在这段时间里追了上来,赶到马尼拉,识别出赃款流动足迹。但是,线索到赌场之后就断了。

当时,菲律宾的反洗钱法律法规还不适用于赌场。从赌场的角度看,没有任何违法之处。孟加拉央行设法从Midas设局的一个名叫Kim Wong(疑似化名)的人手中追回1,600万美元。他先被起诉,后来控方撤诉。另外3,400万美元似乎彻底消失了。调查者的下一站,离朝鲜更近了一步。澳门云集了不少世界顶级赌场。21世纪初,曾经在这个赌城发现所谓“超级美钞”–面值100美元的假钞,洗假钞的是朝鲜官员,美国当局坚称这些质地极优的假钞是在朝鲜印制的。为这些假钞提供洗钱服务的那家澳门本地银行最终因为与平壤当局有关联而被列入美国制裁清单。

澳门跟朝鲜其实有着密切关联。1987年,一名朝鲜女特工在这个城市完成了特殊训练后完成了一项任务–炸毁了一架大韩航空公司客机,115人丧生。朝鲜最高领导人金正恩的同父异母兄弟金正南在马来西亚遭下毒丧生之前,曾在澳门客居多年。许多人相信他的死是朝鲜最高领袖的命令。拉撒路黑客在菲律宾洗钱时,许多线索逐渐显示,都指向澳门。数名在马尼拉赌场私人包间设局的人被追踪到澳门,用来预定Solaire 私人包间的两家公司设在澳门。调查组认为,大部分赃款经过澳门流向朝鲜。

从高空俯瞰的卫星图片上,夜里的韩国灯火通明而北方的朝鲜一片漆黑,因为电力短缺。美国中央情报局(CIA)数据显示,朝鲜人均GDP是1,700美元,低于塞拉利昂和阿富汗,属于最贫穷的12个国家之一。然而,这个国家似乎也培养出一些当今世界最张狂无忌、最诡异高超的网络黑客。要理解这个反差,明白朝鲜为什么要打造网络战争精英团队,以及它是如何做到这一点的,我们需要先了解统治了朝鲜70多年的金氏家族,也有人称之为金氏王朝。

1948年,朝鲜国父金日成宣布朝鲜人民民主共和国成立,建立社会主义政治制度,但实际上更类似于独裁政权。金日成去世后儿子金正日继位,依仗军方支持,延续金氏家族在朝鲜的政权。金正日当政期间,朝鲜开始测试弹道导弹、尝试开发核弹头,激怒了美国。华盛顿声称,朝鲜军备所需的大量资金来自非法渠道,包括印制百元面值的假美钞。金正日很早就确立了将网络战争纳入国防战略的目标,1990年设立朝鲜电脑中心(Korea Computer Centre);这个中心一直以来都是朝鲜的IT核心。

2010年,金正日第三个儿子金正恩被定为接班人,舆论造势,将这名20多岁的未来领袖塑造成科技发展领军人物,一方面借此赢得青年一代的忠诚,另一方面也是激励年轻人成为新时代的战士,用新的武器为领袖而战。2011年晚些时候,金正恩就职。他把核武器称为”宝剑”,也面临跟父辈同样的问题:钱。

不同于前辈的是,2006年朝鲜试射远程弹道导弹和首次核试验之后,联合国安理会通过制裁决议,发展高科技、军事现代化的任务更复杂、更艰巨。不过,拥抱高新科技并不等于敞开拥抱互联网;一旦国内民众可以自由上网,就会发现一个自己全然不知的外部世界,看到和听到与本国政府和领袖的教诲完全不同的言论。因此,平壤把最优秀的电脑编程人才送到国外,接受网络战士所需具备的技能训练。

大部分人被送到中国,学习如何像世界上其他人一样使用电脑和网络:购物、赌博、社交和娱乐。有人认为,正是在这个过程中,朝鲜数学天才演变成了电脑黑客。他们大部分在中国的朝鲜公司、机构和办事处工作、生活。前FBI朝鲜事务主管金京镇(Kyung-jin Kim,音译)说,这些朝鲜编程员/黑客技术娴熟,很善于隐蔽,但总有百密一疏的时候,偶尔会露出蛛丝马迹,而美国和韩国情报机构可以顺藤摸瓜,根据IP地址找到他们身处何方。

根据这类蛛丝马迹,拉撒路劫案调查团队追踪到中国东北城市沈阳一家酒店,七宝山饭店,门口有一对石狮子。根据旅游和酒店门户网站上的照片可以看到这家酒店的朝鲜特色:床单、菜式、服务员的服装和餐厅的歌舞表演,等等。现在在韩国首尔当私家侦探的金京振说,朝鲜黑客2014年的首次国际行动,基地就在这家酒店,而这已经是互联网社区众所周知的事。

据朝鲜叛逃者李铉升(Hyun-seung Lee,音译)透露,在另一个中国北方城市,朴镇赫生活了10年的大连,也有一批朝鲜电脑编程员在类似的地方居住、工作。李本人在平壤出生、长大,曾随父亲在大连居住多年。他的父亲是朝鲜官营企业商人,2014年率全家叛逃。他说,自己住在大连的时候,那里有大约500名朝鲜人,其中包括60多名程序员,都是年轻人。他是在一些朝鲜节庆活动场合跟那些人结识的。其中一人邀请李到自己的居住的生活区去玩,他看到那里住着大约20个人,一间屋子住4-6人,所有的电脑都在集中在作为办公室的客厅。他的主人向他展示了自己的工作成果:手机游戏,通过中介在韩国、日本销售,每年营收100万美元。

这个团队当然是在朝鲜安全部门的监视下运作,但这些年轻人的生活相对朝鲜国内来说还是比较自由。李解释说,他们可以上网,可以在网上看电影。朴镇赫在大连住了8年后,似乎显得急于回平壤。2011年,FBE截获了他发出的一份电邮,里面提到想跟自己的未婚妻完婚。几年之后他才如愿以偿。FBI说,上级派他去执行新的任务:向全球最大的娱乐公司之一,位于加利福尼亚州好莱坞的索尼影业公司,发起网络攻击。2013年,索尼影业发布新片预告,准备拍摄一部朝鲜题材的电影,一名脱口秀主持人和他的制片到朝鲜采访金正恩,行前美国中情局说服他们借机刺杀金。朝鲜发出警告:索尼要是敢发布这部影片,朝鲜必将对美国采取报复行动。

2014年11月,索尼高层收到一封电邮,发件人自称“和平卫士”(Guardians of Peace),宣称将“给予重创”。三天后,索尼员工的电脑屏幕上出现了一张恐怖片图像,一个有獠牙的血红色骷髅直愣愣与人对视。黑客将他们的威胁付诸了行动。公司高管的薪酬、保密邮件内容和尚未发行的新片的详情被泄露,在网上曝光,而公司的电脑系统被黑客病毒入侵陷入瘫痪,员工的门禁卡失效,打印机无法启动。整整六个星期,索尼影业公司总部所在地的一个咖啡店无法接受信用卡付款。最开始,索尼决定对平壤的威胁不予理会,按计划发行这部名叫《采访》(The Interview)的新片,但黑客发出人身攻击的暴力威胁之后,计划被叫停。主流院线表示不准备放映这部影片,最后只能在一些独立影院上映,并在网上发行数字版。事后回想,索尼遭黑客袭击事件很可能是一次演习,为2016年打劫孟加拉央行行动做准备。

到今天为止,孟加拉央行还在努力追款,大约6,500万美元,对数十个机构和个人提起诉讼,包括菲律宾RCBC银行;RCBC坚称自己没有违反任何法规。2017年5月,WannaCry勒索病毒像野火一样全球蔓延,无数受害者的电脑、数据、文档被锁,必须支付价值数百美元的比特币之后才能取回。英国全民医疗服务系统(NHS)受到重创,医院急诊室系统遭病毒入侵,癌症患者的放疗、化疗、扫描不得不重新预约。英国安全部门NCA和美国FBI联手,经过调查发现病毒编码与袭击孟加拉央行和索尼影业公司的病毒高度相似。FBI后来把WannaCry黑客袭击作为对朴镇赫的一项控罪。

如果FBI的指控是正确的,那么可以推测朝鲜网络部队接纳了加密数字货币。这对朝鲜而言是一大跳跃,因为基于去中心化技术(如区块链)的虚拟货币基本上不需要经过正统的银行系统,从而可以节省大量黑客行动的成本,比如不存在给中间人的报酬,或这笔开支会变得微不足道。WannaCry只是一个开端。之后的几年中,网络技术安全公司发现更多勒索加密数字货币的黑客袭击可以归咎到朝鲜。这些网络安全专家声称朝鲜黑客把目标对准虚拟币交易所,比特币之列加密数字货币会在那些交易所兑换成现钞。

到目前为止,虚拟货币交易所被打劫的金额估计超过20亿美元。2021年2月,美国司法部起诉另外两名朝鲜男子,称他们也是拉撒路集团成员,与一个全球洗钱网络有关联;这个网络从加拿大到尼日利亚,覆盖大片地区。电脑黑客攻击、全球洗钱网络、处于技术前沿的加密数字货币盗窃……如果美国对朝鲜的这些指控都得到证实,那么必须承认,大部分人严重低估了朝鲜的科技力量及其威慑力。同时,这也展示了当今日益互联的世界的实力动态、面对安全专家所说的“不对称威胁”时我们的脆弱;所谓不对称威胁是指实力不相当的敌对双方,力量弱小的一方对较强大的一方构成严重程度与自身实力不相符的威胁。这是当今全球战场上的一条新战线:模糊不清的纽带、间谍活动,以及国家政权的权利交易。这条战线在迅速拓展。(转载自BBC中文网)

发表回复