Открыть сервис

Кража 81 млн долларов из центрального банка Бангладеш

Кража 81 млн долларов из центрального банка Бангладеш — это крупнейшая в истории киберпреступность, направленная против центрального банка, в ходе которой в феврале 2016 года злоумышленники попытались похитить около 951 миллиона долларов США со счета Бангладешского банка (Bangladesh Bank) в Федеральном резервном банке Нью-Йорка. В результате успешной операции было выведено 81 миллион долларов, из которых большая часть была впоследствии возвращена. Инцидент выявил уязвимости в системе международных межбанковских переводов SWIFT и привел к масштабным реформам в сфере кибербезопасности финансовых институтов.

История

Предпосылки

Бангладешский банк, как и многие центральные банки развивающихся стран, держал часть своих валютных резервов на корреспондентском счете в Федеральном резервном банке Нью-Йорка (ФРБ Нью-Йорка). Это стандартная практика для обеспечения международных расчетов и хранения ликвидности в долларах США. К началу 2016 года на счете банка находилось около 1,1 миллиарда долларов.

Хронология атаки

Атака была тщательно спланирована и осуществлена в несколько этапов. Злоумышленники, предположительно связанные с группировкой Lazarus (по данным ряда расследований, связанной с Северной Кореей), проникли в сеть Бангладешского банка. Точный метод проникновения оставался предметом споров, но предполагалось использование фишинговых писем или вредоносного ПО.

  1. Компрометация сети (до февраля 2016 года): Хакеры установили вредоносное программное обеспечение, которое позволяло им шпионить за сотрудниками банка, изучать процедуры проведения платежей и получать доступ к системе SWIFT (Society for Worldwide Interbank Financial Telecommunication) — глобальной сети для обмена финансовыми сообщениями.
  2. Подготовка транзакций (4–5 февраля 2016 года): Злоумышленники подали в ФРБ Нью-Йорка 35 поддельных платежных поручений на общую сумму около 951 миллиона долларов. Эти поручения были оформлены как легитимные переводы от имени Бангладешского банка. Средства должны были быть направлены на счета в банках на Филиппинах и в Шри-Ланке.
  3. Частичный успех (5 февраля 2016 года): Из 35 запросов ФРБ Нью-Йорка обработал 5, на общую сумму 101 миллион долларов. Четыре перевода на сумму 81 миллион долларов были успешно проведены и поступили на счета в банке Rizal Commercial Banking Corporation (RCBC) на Филиппинах. Пятый перевод на 20 миллионов долларов был направлен в банк Pan Asia Banking Corporation в Шри-Ланке, но был заблокирован из-за опечатки в названии получателя (вместо «Fondation» было написано «Fandation»).
  4. Обнаружение и блокировка (5–6 февраля 2016 года): Оставшиеся 30 запросов на сумму 850 миллионов долларов не были выполнены, так как ФРБ Нью-Йорка заподозрил неладное и связался с Бангладешским банком для подтверждения. В Бангладешском банке в это время был выходной день (пятница), и сотрудники не смогли оперативно ответить. Однако к моменту, когда банк открылся в понедельник, попытка кражи была пресечена.

Последствия и расследование

После обнаружения кражи Бангладешский банк и правительство страны начали масштабное расследование. ФБР и другие международные агентства подключились к поиску похищенных средств и виновных.

  • Возврат средств: Из 81 миллиона долларов, похищенных на Филиппины, большая часть была впоследствии возвращена. Часть средств была отмыта через филиппинские казино и игорные заведения, что затруднило их отслеживание. По состоянию на 2024 год, Бангладешскому банку удалось вернуть около 15–20 миллионов долларов, а остальные средства остаются предметом судебных разбирательств.
  • Отставки: Глава Бангладешского банка Атиур Рахман подал в отставку в марте 2016 года, взяв на себя ответственность за инцидент.
  • Судебные процессы: На Филиппинах были возбуждены уголовные дела против сотрудников банка RCBC, которые, по версии следствия, способствовали отмыванию денег. В 2019 году филиппинский суд признал банк RCBC и его бывших сотрудников виновными в отмывании денег, но сами обвиняемые остались на свободе.

Технические аспекты атаки

Использование системы SWIFT

Ключевым элементом атаки стало использование протокола SWIFT. Хакеры не взламывали саму сеть SWIFT, а скомпрометировали локальную систему Бангладешского банка, которая подключалась к SWIFT. Они установили вредоносное ПО, которое:

  • Перехватывало и модифицировало запросы на переводы.
  • Удаляло записи о транзакциях из внутренних систем банка, чтобы сотрудники не видели их в отчетах.
  • Подделывало подтверждения об успешной отправке платежей, чтобы скрыть следы.

Слабости безопасности

Расследование выявило несколько критических недостатков в системе безопасности Бангладешского банка:

  • Отсутствие межсетевого экрана: Банк не использовал межсетевой экран (firewall) для защиты своей сети SWIFT, что делало ее уязвимой для внешних атак.
  • Дешевое сетевое оборудование: Для подключения к SWIFT использовались дешевые коммутаторы, которые не имели достаточных средств защиты.
  • Слабая аутентификация: Пароли сотрудников были простыми, а система двухфакторной аутентификации не была реализована должным образом.
  • Отсутствие мониторинга: Система мониторинга транзакций была неэффективной, и подозрительные операции не были вовремя замечены.

Реакция и реформы

Действия SWIFT

Инцидент с Бангладешским банком стал серьезным ударом по репутации SWIFT. Организация была вынуждена принять меры для повышения безопасности своей сети:

  • Усиление требований к безопасности: SWIFT ввел новые обязательные требования к кибербезопасности для всех участников сети, включая обязательное использование многофакторной аутентификации, шифрования и мониторинга.
  • Создание программы Customer Security Programme (CSP): Эта программа направлена на помощь банкам в выявлении и устранении уязвимостей в их системах.
  • Улучшение обнаружения аномалий: SWIFT внедрил более совершенные системы мониторинга для выявления подозрительных транзакций в реальном времени.

Реакция центральных банков

Центральные банки по всему миру, включая Банк России, пересмотрели свои подходы к кибербезопасности. Были усилены требования к защите систем денежных переводов, введены обязательные аудиты и учения по отражению кибератак. В России, в частности, были разработаны методические рекомендации по защите от киберугроз для финансового сектора.

Критика и уроки

Критика действий Бангладешского банка

Эксперты подвергли резкой критике уровень кибербезопасности Бангладешского банка. Отмечалось, что банк, управляющий миллиардными резервами, не имел элементарных средств защиты, таких как межсетевые экраны и системы обнаружения вторжений. Также критиковалась медлительность реакции банка после обнаружения атаки.

Критика действий ФРБ Нью-Йорка

Хотя ФРБ Нью-Йорка действовал в рамках стандартных процедур, его действия также подверглись критике. Некоторые эксперты указывали, что банк должен был более тщательно проверять подозрительные транзакции, особенно учитывая, что они были направлены на счета в банках, не имеющих прямого отношения к Бангладеш. Однако ФРБ Нью-Йорка заявил, что он не обязан проверять легитимность каждой транзакции, а лишь выполнять инструкции владельца счета.

Уроки для финансового сектора

Кража из Бангладешского банка стала важным уроком для всей мировой финансовой системы. Она показала, что:

  • Кибербезопасность — это не только техническая, но и организационная проблема.
  • Даже крупные и уважаемые финансовые институты могут быть уязвимы.
  • Необходимо постоянное совершенствование систем защиты и мониторинга.
  • Важна координация между центральными банками, правоохранительными органами и международными организациями.

Источники

  • Отчеты ФБР по расследованию кибератак на финансовые институты.
  • Публикации SWIFT о программе Customer Security Programme (CSP).
  • Материалы расследования, проведенного Бангладешским банком и правительством Бангладеш.
  • Статьи в журналах The New York Times, Reuters, Bloomberg, посвященные данному инциденту.
  • Аналитические отчеты компаний по кибербезопасности (например, Kaspersky Lab, Group-IB) о группировке Lazarus.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →