黑客打劫央行:精心策劃而功虧一簣 孟加拉銀行大劫案始末

·20 分鐘 (閱讀時間)
Lazarus Heist artwork
Lazarus Heist artwork

2016年,一起網絡黑客(駭客)打劫央行大案幾近得手卻因拼寫錯誤功虧一簣,盜賊與10億美元失之交臂。這起網絡金融罪案發生5年後餘波未平,而陸續浮出水面的案情令人驚愕、唏噓。

這宗搶劫央行大案現在被認定是朝鮮黑客所為。2016年2月,黑客向SWIFT(環球銀行金融電信協會網絡)發出35條欺詐指令,要求將10億美元從美國紐約聯邦儲備局轉入孟加拉央行賬戶,5條被確認,成功轉走1.01億美元,但另30條涉及8.5億美元的轉款指令被紐約聯儲局拒絶,因為指令中發現拼寫錯誤。

流向菲律賓的8100萬美元贓款尚未全數追回,但流向斯里蘭卡的2000萬美元已追回。

BBC國際頻道的10集播客《拉撒路大劫案》(The Lazarus Heist)嘗試還原這起世紀大案的來龍去脈,梳理作案經過,由傑夫·懷特(Geoff White)和吉恩·H·李(Jean H Lee)主持。

Short presentational grey line
Short presentational grey line

2016年2月5日星期五,孟加拉首都達卡,孟加拉銀行(央行)保安嚴密的總部大樓10層,一台打印機出了故障。它負責打印的是央行賬戶款項進出的記錄。這種尋常的小故障以前也曾發生過,當天的值班經理祖拜爾·本·胡達(Zubair Bin Huda)後來對警察解釋說,當時沒有引起多少注意。

後來大家都意識到,這台打印機出故障其實是個徵兆,暗示了巨大的麻煩。就在那個時刻,已侵入央行網絡系統的黑客正在作案:盜取10億美元。

為了偷偷把錢從央行賬戶轉走,劫犯們動用了假帳戶、慈善組織、賭場和其他協同犯罪者的網絡來遮人耳目。但經過偵查發現,罪犯留下的數字手印明確無誤地指向朝鮮政府。

Short presentational grey line
Short presentational grey line

在大部分世人心目中,落後、閉塞、貧窮的朝鮮跟高科技和網絡黑客離得很遠。但是,美國聯邦調查局(FBI)說,孟加拉央行遭黑客打劫案背後是一個由黑客和中間人組成的團隊,成員散佈在亞洲各地,其黑客行動得到朝鮮政府的支持。

這個團隊叫拉撒路集團(Lazarus Group)。拉撒路是《聖經》裏的一個死而復生的人物;了解這個黑客團隊製造的電腦病毒的專家認為,單就生存能力而言這個面目不清的團隊跟拉撒路不相上下。

Pyongyang cityscape
平壤市區高樓林立

這個團隊至今依舊很神秘,但FBI掌握了一名成員的身份背景:樸鎮赫(Park Jin Hyok),還用過樸光振(Park Kwang-jin)等名字。他是電腦編程員,畢業於朝鮮頂級高等學府,曾受僱於朝鮮出口公司(Chosun Expo)在中國大連的分部,具體工作包括為世界各地的客戶編寫網絡遊戲和博彩軟件。

根據FBI的書面證詞,他在大連工作期間註冊了電子郵箱、創建了一份個人簡歷,還通過社交網站建立了社交圈。網絡足印顯示,他初到大連是在2002年,一直到2013年或2014年,網絡活動足跡顯示這個期間他不時會在朝鮮首都平壤的互聯網上出現。

FBI公布了一張樸鎮赫的標凖像,來自2011年朝鮮出口公司向客戶介紹項目經理的郵件。照片上是一名三十歲上下的朝鮮男子,身著黑色條紋襯衫和深棕色西裝,除了面容疲憊之外沒有任何不尋常。

FBI wanted picture - Park Jin-hyok
美國聯邦調查局通緝令上的樸鎮赫頭像

FBI說,樸鎮赫白天是程序員,晚上是電腦黑客。

2018年6月,美國當局起訴樸鎮赫,對他的控罪包括2014年9月到2017年8月期間圖謀實施電腦詐騙和電信詐騙,一旦就擒、獲罪,他將面臨多達20年監禁。他在美國當局提起訴訟前從中國回到朝鮮。

但是,朝鮮有無數跟他一樣的年輕人,從小被作為網絡戰士來培養。這些孩子年齡最小的只有12歲,都是數學天才,從各地學校中挑選出來送到首都接受封閉式集訓。

Short presentational grey line
Short presentational grey line

孟加拉央行的美元儲備存在紐約美聯儲銀行賬戶上。央行總部10層樓那台打印機出故障後被重啟,結果吐出一份令人震驚的通知,來自紐約美聯儲。

通知說,美聯儲收到顯然來自孟加拉央行(客戶)的取款指令,提取10億美元,幾乎就是賬戶裏的全部款額。

黑客作案從2月4日周四孟加拉時間晚上20:00時開始,紐約時間是周四上午,正常工作時間。孟加拉銀行周五、周六休息,等到發現黑客襲擊時,已經是紐約的周末。

所以,選擇達卡的周四晚上作案顯然是有精心考慮的,美國網絡安全專家拉克什·阿斯塔納(Rakesh Asthana)說,等雙方都發現疑竇時,已經過去三天了。

從紐約聯儲局把錢成功轉移出來後,這筆錢需要流向某個目的地,這個目的地是黑客們事先在菲律賓首都馬尼拉的銀行開設的賬戶。關鍵在於,2016年2月8日周一是農曆新年,亞洲各地的銀行都關門。黑客們又多了二天先機。

The Bangladeshi capital, Dhaka
孟加拉央行的美元外匯儲備存在紐約美聯儲

這樣,搶劫後黑客們有五天的逃遁時間。

如此縝密的計劃當然是經過仔細籌劃設計的。罪案調查人員後來發現,拉撒路集團的病毒早在一年前就侵入孟加拉央行電腦系統裏潛伏。

2015年1月,孟加拉央行數名員工收到一份貌似人畜無害的求職郵件,發件人自稱拉塞爾·阿拉姆(Rasel Ahlam)。他的郵件措辭彬彬有禮,還附了一條下載求職信和個人履歷的鏈接。

FBI後來發現其實沒有這麼個人,這只是個拉撒路集團作案用的化名。

收到這份電郵的員工當中至少一人毫無防備地點擊那個鏈接下載了所謂的簡歷和求職聲明,把藏在文件裏的病毒帶入央行電腦系統。這個病毒很快就感染了一台又一台電腦,輕而易舉進入了數字金庫。

然後,它們停下腳步,潛伏下來。

病毒成功潛入央行系統後,拉撒路集團用了一年時間安排撤退計劃和路線。

朱庇特街(Jupiter Street)是馬尼拉城裏一條繁忙的商業街。菲律賓最大的銀行之一RCBC在這條街上有一個分行,隔壁是一間平價旅館,還有一間牙醫診所。

2015年5月,拉撒路病毒侵入孟加拉央行系統幾個月之後,有人在這家RCBC開了四個賬戶,開戶人是黑客的同犯。事後回想,其實是有疑點的:用來開戶的駕照是假的,開戶人分別就職於不同的公司,但職務和工資完全一樣。不過,當時沒有人注意到這些。幾個月過去了,這幾個賬戶裏除了開戶時存入的500美元,就再沒有錢款進出。

到了2016年2月,拉撒路集團認為一切凖備就緒。

除了一個小小的環節:孟加拉央行總部10樓的一台打印機,負責打印央行所有賬戶的所有錢款流動記錄,留作紙質備份。

白紙黑字,看到的人立刻就會發現黑客在作案。

所以必須侵入控制這台打印機的系統,讓它出故障。

2016年2月4日晚上20:36時,黑客開始行動。他們發出35條轉款指令,金額總計9.51億美元,幾乎清空孟加拉央行在紐約聯儲局的美元賬戶。

不出意外的話,這起劫案最早要到五天後才會被人發現,而屆時作案者早已逃之夭夭,無影無蹤。

可是,就像好萊塢大片裏的銀行打劫案一樣,百密一疏,最後眼睜睜看著唾手可得的贓款與自己失之交臂。

這可能是個令拉撒路集團吐血的疏忽,只有一個,非常小,但最後一切都毀在這一小點上:拼寫錯誤。

A view of Shapla Square in Dhaka's financial district, from an upper floor of Bangladesh Bank
孟加拉銀行總部大樓位於首都達卡的金融區

孟加拉銀行在那個周末發現賬上出現異常動向後困惑不解,找到網絡安全專家阿斯塔納,請他的公司World Informatix協助調查。當時央行高層認為還有可能把這筆去向不明的錢追回來,因此對失竊案保密,不但公眾不知,甚至沒有向政府通報。

阿斯塔納很快順藤摸瓜找到了病毒潛伏的地方 — 位於銀行系統的核心部位的Swift,即環球銀行金融電信協會網絡,世界各地的銀行通過這個系統完成金融交易清算。他還發現,在SWIFT看來,拉撒路黑客的轉款指令就是來自銀行員工,沒有疑問。

同時,孟加拉央行高層發現蓋子很難再捂下去,被偷走的錢也很難馬上追回。一部分失竊錢款已經進入菲律賓的銀行,而菲律賓法律規定只有通過法庭下令才能開始追款程序。申請法庭令,就意味著銀行劫案無法繼續對公眾保密。

2月下旬,孟加拉央行遭黑客打劫的消息震驚世界。

央行行長立刻辭職,劫案也驚動了美國眾議院。

美國眾議員卡羅琳·馬洛尼(Carolyn Maloney)聽到這個消息時正在去機場的路上。她記得當時的震驚。她當時覺得那就是金融市場發生的最可怕的事情之一。

她是眾議院金融服務委員會成員。因為劫案涉及SWIFT系統,就有可能危及全球對這個至關重要的交付清算系統的信心。

令人擔憂的是,事情還牽涉到紐約聯儲局。

Carolyn Maloney
卡羅琳·馬洛尼眾議員在去機場的路上獲悉紐約美聯儲也牽扯到這宗令人擔憂的銀行搶劫案

很快,馬洛尼和許多其他人懸在半空的心放下了些許 - 聯儲局證實,大部分涉案錢款沒有流出,因為指令被拒。

指令被拒的原因,是一個拼寫錯誤。

馬尼拉有很多銀行,RCBC在馬尼拉有很多分行。但是,拉撒路集團選擇在朱庇特街分行開戶,當時絶對不會想到這是個致命的錯誤。

馬洛尼告訴BBC,大部分轉款指令被聯儲局系統拒絶執行,因為其中有一個敏感詞,朱庇特;之所以敏感,是因為有一艘伊朗貨輪也叫這個名字。

朱庇特這個詞觸發了警鐘,聯儲局系統叫停執行指令,對交易進行審核評估,30條指令被拒,5條獲得執行,1億美元被盜。

其中2000萬美元進入斯里蘭卡一個慈善組織莎麗卡基金會(Shalika Foundation)的賬戶。慈善組織的主人,莎麗卡·佩雷拉(Shalika Perera),後來表示她以為那是一筆清白合法的捐款。但是,因為指令中基金會拼錯了,Foundation 拼寫成 Fundation,交易被審核,沒來及完成就被追回。

另外8100萬美元到現在還沒有追回。

孟加拉首都達卡郊區的清晨
遭黑客打劫後,孟加拉央行起先以為可以追回失竊款,故沒有通報政府

當孟加拉央行開始追款行動時,拉撒路黑客們已經先行了幾步。

2月5日,周五,馬尼拉朱庇特街RCBC分行的四個賬戶突然活躍異常,現金進帳,流出,轉入一個外匯公司,換成菲律賓貨幣,重新存入這家銀行,有一部分現款被提取。

反洗錢專家看來,這些操作完全不出意料。

即便洗過,這筆贓款還是有跡可循。為了保險起見,它必須完全脫離銀行系統。

The Solaire casino
Solaire 賭場2013年開業

馬尼拉海濱賭場 Solaire 閃亮登場。這裏有高檔酒店、劇場、精品店,以及著名的賭場,那裏有大約400個賭桌,2000個老虎機。

被成功盜取的贓款中,5000萬美元經由RCBC流入了流光溢彩的Solaire和另一家賭場,Midas。另外3100萬美元下落不明。

通過賭場洗錢是為了掩蓋、消除贓款流動痕跡,但有沒有風險?

沒有。

首先,網絡大盜預訂了私人包間,裏面的玩家都是同伙;其次,贓款用來玩的是Baccarat,一種很簡單的博彩遊戲,有點經驗的玩家可以輕易收回90%的賭注,只是需要花點時間。

他們在馬尼拉賭場的私人包間裏玩了幾個星期。

當然,孟加拉央行在這段時間裏追了上來,趕到馬尼拉,識別出贓款流動足跡。但是,線索到賭場之後就斷了。

當時,菲律賓的反洗錢法律法規還不適用於賭場。從賭場的角度看,沒有任何違法之處。

孟加拉央行設法從Midas設局的一個名叫 Kim Wong (疑似化名)的人手中追回1600萬美元。他先被起訴,後來控方撤訴。另外3400萬美元似乎徹底消失了。

調查者的下一站,離朝鮮更近了一步。

澳門雲集了不少世界頂級賭場。21世紀初,曾經在這個賭城發現所謂「超級美鈔」 — 面值100美元的假鈔,洗假鈔的是朝鮮官員,美國當局堅稱這些質地極優的假鈔是在朝鮮印製的。

為這些假鈔提供洗錢服務的那家澳門本地銀行最終因為與平壤當局有關聯而被列入美國制裁清單。 

澳門跟朝鮮其實有著密切關聯。1987年,一名朝鮮女特工在這個城市完成了特殊訓練後完成了一項任務 — 炸毀了一架大韓航空公司客機,115人喪生。朝鮮最高領導人金正恩的同父異母兄弟金正南在馬來西亞遭下毒喪生之前,曾在澳門客居多年。許多人相信他的死是朝鮮最高領袖的命令。

拉撒路黑客在菲律賓洗錢時,許多線索逐漸顯示,都指向澳門。數名在馬尼拉賭場私人包間設局的人被追蹤到澳門,用來預定Solaire 私人包間的兩家公司設在澳門。

調查組認為,大部分贓款經過澳門流向朝鮮。

Short presentational grey line
Short presentational grey line

從高空俯瞰的衛星圖片上,夜裏的韓國燈火通明而北方的朝鮮一片漆黑,因為電力短缺。美國中央情報局(CIA)數據顯示,朝鮮人均GDP是1700美元,低於塞拉利昂和阿富汗,屬於最貧窮的12個國家之一。

然而,這個國家似乎也培養出一些當今世界最張狂無忌、最詭異高超的網絡黑客。

要理解這個反差,明白朝鮮為什麼要打造網絡戰爭精英團隊,以及它是如何做到這一點的,我們需要先了解統治了朝鮮70多年的金氏家族,也有人稱之為金氏王朝。

1948年,朝鮮國父金日成宣佈朝鮮人民民主共和國成立,建立社會主義政治制度,但實際上更類似於獨裁政權。

金日成去世後兒子金正日繼位,依仗軍方支持,延續金氏家族在朝鮮的政權。

Portraits of Kim Il-sung and Kom Jong-il
平壤街頭的金日成、金正日巨幅畫像

金正日當政期間,朝鮮開始測試彈道導彈、嘗試開發核彈頭,激怒了美國。華盛頓聲稱,朝鮮軍備所需的大量資金來自非法渠道,包括印製百元面值的假美鈔。

金正日很早就確立了將網絡戰爭納入國防戰略的目標,1990年設立朝鮮電腦中心(Korea Computer Centre);這個中心一直以來都是朝鮮的IT核心。

2010年,金正日第三個兒子金正恩被定為接班人,輿論造勢,將這名20多歲的未來領袖塑造成科技發展領軍人物,一方面借此贏得青年一代的忠誠,另一方面也是激勵年輕人成為新時代的戰士,用新的武器為領袖而戰。

A mural depicts Kim Il-sung and Kim Jong-il in a school IT class
宣傳壁畫上是金日成和金正日視察學校電腦教室

2011年晚些時候,金正恩就職。他把核武器稱為"寶劍",也面臨跟父輩同樣的問題:錢。

不同於前輩的是,2006年朝鮮試射遠程彈道導彈和首次核試驗之後,聯合國安理會通過制裁決議,發展高科技、軍事現代化的任務更複雜、更艱巨。

不過,擁抱高新科技並不等於敞開擁抱互聯網;一旦國內民眾可以自由上網,就會發現一個自己全然不知的外部世界,看到和聽到與本國政府和領袖的教誨完全不同的言論。

因此,平壤把最優秀的電腦編程人才送到國外,接受網絡戰士所需具備的技能訓練。

Students use the North Korean intranet in the Grand People's Study House in Pyongyang
平壤人民大學習堂圖書館的電腦可以上朝鮮國內的內聯網

大部分人被送到中國,學習如何像世界上其他人一樣使用電腦和網絡:購物、賭博、社交和娛樂。有人認為,正是在這個過程中,朝鮮數學天才演變成了電腦黑客。

他們大部分在中國的朝鮮公司、機構和辦事處工作、生活。

前FBI朝鮮事務主管金京鎮(Kyung-jin Kim,音譯)說,這些朝鮮編程員/黑客技術嫻熟,很善於隱蔽,但總有百密一疏的時候,偶爾會露出蛛絲馬跡,而美國和韓國情報機構可以順藤摸瓜,根據IP地址找到他們身處何方。

根據這類蛛絲馬跡,拉撒路劫案調查團隊追蹤到中國東北城市瀋陽一家酒店,七寶山飯店,門口有一對石獅子。

根據旅遊和酒店門戶網站上的照片可以看到這家酒店的朝鮮特色:牀單、菜式、服務員的服裝和餐廳的歌舞表演,等等。

The Chilbosan hotel in Shenyang
瀋陽七寶山飯店

現在在韓國首爾當私家偵探的金京振說,朝鮮黑客2014年的首次國際行動,基地就在這家酒店,而這已經是互聯網社區眾所周知的事。

據朝鮮叛逃者李鉉升(Hyun-seung Lee,音譯)透露,在另一個中國北方城市,樸鎮赫生活了10年的大連,也有一批朝鮮電腦編程員在類似的地方居住、工作。

李本人在平壤出生、長大,曾隨父親在大連居住多年。他的父親是朝鮮官營企業商人,2014年率全家叛逃。

他說,自己住在大連的時候,那裏有大約500名朝鮮人,其中包括60多名程序員,都是年輕人。他是在一些朝鮮節慶活動場合跟那些人結識的。

其中一人邀請李到自己的居住的生活區去玩,他看到那裏住著大約20個人,一間屋子住4-6人,所有的電腦都在集中在作為辦公室的客廳。

Fog in Dalian
大連有不少朝鮮政府、公司的外派人員

他的主人向他展示了自己的工作成果:手機遊戲,通過中介在韓國、日本銷售,每年營收100萬美元。

這個團隊當然是在朝鮮安全部門的監視下運作,但這些年輕人的生活相對朝鮮國內來說還是比較自由。

李解釋說,他們可以上網,可以在網上看電影。

The Dior shop in Dalian
大連的精品店

樸鎮赫在大連住了8年後,似乎顯得急於回平壤。2011年,FBE截獲了他發出的一份電郵,裏面提到想跟自己的未婚妻完婚。

幾年之後他才如願以償。

FBI說,上級派他去執行新的任務:向全球最大的娛樂公司之一,位於加利福尼亞州好萊塢的索尼影業公司,發起網絡攻擊。

2013年,索尼影業發佈新片預告,凖備拍攝一部朝鮮題材的電影,一名脫口秀主持人和他的製片到朝鮮採訪金正恩,行前美國中情局說服他們借機刺殺金。

朝鮮發出警告:索尼要是敢發佈這部影片,朝鮮必將對美國採取報復行動。

2014年11月,索尼高層收到一封電郵,發件人自稱「和平衛士」(Guardians of Peace),宣稱將「給予重創」。

A worker takes down a poster for The Interview, after cinema chains refused to show it
索尼新片《採訪》院線發行取消,只有少數獨立影院和數字版公映

三天後,索尼員工的電腦屏幕上出現了一張恐怖片圖像,一個有獠牙的血紅色骷髏直愣愣與人對視。黑客將他們的威脅付諸了行動。

公司高管的薪酬、保密郵件內容和尚未發行的新片的詳情被洩露,在網上曝光,而公司的電腦系統被黑客病毒入侵陷入癱瘓,員工的門禁卡失效,打印機無法啟動。

整整六個星期,索尼影業公司總部所在地的一個咖啡店無法接受信用卡付款。

最開始,索尼決定對平壤的威脅不予理會,按計劃發行這部名叫《採訪》(The Interview)的新片,但黑客發出人身攻擊的暴力威脅之後,計劃被叫停。主流院線表示不准備放映這部影片,最後只能在一些獨立影院上映,並在網上發行數字版。

事後回想,索尼遭黑客襲擊事件很可能是一次演習,為2016年打劫孟加拉央行行動做凖備。

Short presentational grey line
Short presentational grey line

到今天為止,孟加拉央行還在努力追款,大約6500萬美元,對數十個機構和個人提起訴訟,包括菲律賓RCBC銀行;RCBC堅稱自己沒有違反任何法規。

2017年5月,WannaCry 勒索病毒像野火一樣全球蔓延,無數受害者的電腦、數據、文檔被鎖,必須支付價值數百美元的比特幣之後才能取回。

英國全民醫療服務系統(NHS)受到重創,醫院急診室系統遭病毒入侵,癌症患者的放療、化療、掃描不得不重新預約。

英國安全部門NCA和美國FBI聯手,經過調查發現病毒編碼與襲擊孟加拉央行和索尼影業公司的病毒高度相似。

FBI後來把WannaCry黑客襲擊作為對樸鎮赫的一項控罪。

Kim Jong-un inspecting strategic forces in 2017
2017年,金正恩檢閲精銳部隊

如果FBI的指控是正確的,那麼可以推測朝鮮網絡部隊接納了加密數字貨幣。這對朝鮮而言是一大跳躍,因為基於去中心化技術(如區塊鏈)的虛擬貨幣基本上不需要經過正統的銀行系統,從而可以節省大量黑客行動的成本,比如不存在給中間人的報酬,或這筆開支會變得微不足道。

WannaCry 只是一個開端。之後的幾年中,網絡技術安全公司發現更多勒索加密數字貨幣的黑客襲擊可以歸咎到朝鮮。

這些網絡安全專家聲稱朝鮮黑客把目標對凖虛擬幣交易所,比特幣之列加密數字貨幣會在那些交易所兌換成現鈔。

到目前為止,虛擬貨幣交易所被打劫的金額估計超過20億美元。

2021年2月,美國司法部起訴另外兩名朝鮮男子,稱他們也是拉撒路集團成員,與一個全球洗錢網絡有關聯;這個網絡從加拿大到尼日利亞,覆蓋大片地區。

The Lazarus Heist artwork
The Lazarus Heist artwork

電腦黑客攻擊、全球洗錢網絡、處於技術前沿的加密數字貨幣盜竊......如果美國對朝鮮的這些指控都得到證實,那麼必須承認,大部分人嚴重低估了朝鮮的科技力量及其威懾力。

同時,這也展示了當今日益互聯的世界的實力動態、面對安全專家所說的「不對稱威脅」時我們的脆弱;所謂不對稱威脅是指實力不相當的敵對雙方,力量弱小的一方對較強大的一方構成嚴重程度與自身實力不相符的威脅。

這是當今全球戰場上的一條新戰線:模糊不清的紐帶、間諜活動,以及國家政權的權利交易。這條戰線在迅速拓展。

Short presentational grey line
Short presentational grey line

傑夫·懷特(Geoff White)是網絡安全專家,出版了 Crime Dot Com: From Viruses to Vote Rigging 和 How Hacking Went Global 等專著;吉恩·H·李(Jean H Lee)2012年在平壤設立美聯社駐平壤記者站,現在華盛頓的威爾遜中心(Wilson Center)任資深研究員。

更多財經相關新聞
長賜輪可望放行 長榮鬆口氣
台產防疫神單 逼近400萬件
宅經濟熱 信用卡三強創佳績
保護主義興起 鋼價更難跌
電腦、珠寶都丟 亞馬遜被爆每年銷毀數百萬件商品

今日推薦影音