Подробности о взломе ЦБ Бангладеш: опечатка и сломавшийся принтер

    image

    Глава центробанка Бангладеш Атиур Рахман [Atiur Rahman] подал в отставку после того, как в начале февраля 2016 года хакерам удалось увести $81 миллион с банковского счёта ЦБ, находившегося в распоряжении Федерального резервного банка США. При этом правительство Бангладеш узнало о происшествии не от главы ЦБ, а из газет.

    Дерзкое ограбление


    По заявлению менеджеров высшего звена, работавших в банке, для совершения операции хакеры вначале нашли уязвимость в защите внутренней сети ЦБ Бангладеш, разыскали и украли оттуда ключи и другие данные, необходимые для совершения сделок, а также изучили процедуры работы банка. Судя по комментариям нанятой банком для расследования инцидента компании FireEye Inc, на компьютерах работников банка было установлено шпионящее за сотрудниками ПО.

    После этого хакеры отправили несколько десятков запросов в ФРБ с поручениями о переводе миллионов долларов со счёта ЦБ Бангладеш на несколько счетов, находящихся в банках Филиппин и Шри-Ланки. В сумме по всем запросам хакеры пытались перевести на подставные счета почти миллиард долларов.

    Роковая ошибка


    Успешно обработано было четыре запроса на сумму $81 миллион, отправлявшие деньги на Филиппины. Ещё один запрос в $20 миллионов был сделан для отправки денег на счёт в Шри-Ланке. Но в последнем запросе хакер допустил опечатку, и вместо перевода на счёт фонда Shalika Foundation попытался отправить их на счёт Shalika Fandation. Из-за ошибки банк-посредник Deutsche Bank отправил запрос в ЦБ Бангладеш с просьбой подтвердить транзакцию.

    В ФРБ утверждают, что примерно в тот же момент большое количество необычно крупных переводов подало сигнал системе безопасности банка, после чего они также связались с ЦБ Бангладеш для подтверждения.

    В результате $20 миллионов, направлявшиеся в Шри-Ланку, были возвращены, а $81 миллион в Филиппинских банках хакеры успели перевести дальше.

    Проблема с принтером


    Для работников центрального банка Бангладеш эта история началась с проблем с принтером, который по ночам в автоматическом режиме должен распечатывать операции, проведённые по международной системе SWIFT. В пятницу 5 февраля директор банка обнаружил, что транзакции не распечатались, а принтер не отвечает. Он поручил сотрудникам разобраться с оргтехникой, а сам отправился домой, ибо пятница в Бангладеш считается выходным днём.

    В субботу, когда директор пришёл на работу, проблема не решилась — оказалось, что не работает уже сам терминал SWIFT. На терминал выводилась ошибка «A file is missing or changed». После того, как работникам удалось перезагрузить терминал и заставить его работать, они и обнаружили запросы от ФРБ по поводу 46 подозрительных платёжных поручений.

    Но поскольку суббота и воскресенье были выходными днями для ФРБ, связаться с официальными лицами банка удалось лишь в понедельник.

    Итоги операции


    Правительство Бангладеш обвиняет ФРБ в том, что они не остановили вовремя подозрительные операции. ФРБ отвечают на обвинения в том ключе, что хакеры взломали не их банк, транзакции были подтверждены реальными ключами, и что ФРБ активно работает с ЦБ Бангладеш с момента происшествия.

    К расследованию подключилось и управление развлечений и азартных игр Филиппин, поскольку $81 миллион, судя по всему, был переведён на счета тамошних казино.

    Средняя зарплата в IT

    113 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 5 123 анкет, за 2-ое пол. 2020 года Узнать свою зарплату
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 46

      +4
      Директор ЦБ наблюдающий за принтером и его распечатками… это сильно… Где не сталкивался — делают рядовые сотрудники и на тарелочке главбуху…

      В оригиналах пишут Zubair Bin Huda, a joint director of Bangladesh Bank, а Первое лицо банка Atiur Rahman

      Лента более корректно https://lenta.ru/news/2016/03/16/cbprinter/ это был управляющий — но кажется все перепутала «Ошибка в работе принтера не позволила сотрудникам Центрального банка Бангладеш заметить атаку хакеров.» — правильнее видется что хакеры сломали механизм распечатки оборотных ведомостей движений по счетам.

      А в заголовке старой новости все так же «Центральный банк Бангладеш: наши деньги украдены взломщиками системы ФРС США»
        –5
        Случись такое у нас, думаю, нам не рассказали бы)))
          0
          … технических деталей, просто указали бы пальцем…
            0
            https://lenta.ru/news/2015/07/27/sberbank/

            Со счетов 100 тысяч клиентов Сбербанка похищено в общей сложности более 2 миллиардов рублей, сообщил агентству FlashNord источник в полиции. Все средства были украдены у владельцев устройств под управлением Android, использовавших приложение «Сбербанк Онлайн» для смартфонов и планшетов.
            В управлениях МВД по регионам Северо-Западного федерального округа факты многочисленных хищений подтвердили, утверждает издание. Представители «Сбербанка» также сообщили, что знают о произошедшем, но отрицают настолько массовый характер.
              0
              так это обычные жители России, а не косяк ЦБ
                0
                Есть статья про хищение миллиарда из самого ЦБ, но не нашел, она старее и затерлась новыми событиями. Суть в том что в пятницу вечером зашли мошенники с поддельными документами и перевели миллиард на офшорные счета. В выходные сотрудники банка не работали, деньги уходили без присмотра.
                  0
                  Было такое. Официальная версия была — что пришли в расчетный центр Центрабанка (или другой орган ЦБ) мошенники и предоставили операционисту поддельные документы.
                  НО это были не деньги ЦБ, а деньги организации находящиеся на счете в расчетном центре ЦБ.

                  Деньги не могли уходить без присмотра в выходные — ЦБ и его структуры не работают в выходные. (Точнее так было в то время)

                  А если брать мошенничество через ЦБ — была раньше распространены схемы через авизо и раньше некоторые военнослужащие могли единовременно получать деньги в отделениях ЦБ.
            –4
            image
            Скорпомощь
              +3
              Шутка, а то кто их знает… съэкономили копейки на SMS информировании. По тексту небыло другого канала информирования на случай взлома рабочего места.

              К операции готовились — провели перед выходными (пятница — выходной) Но почему вышедшая в пятницу дежурная смена в том числе управляющий (директор) (иначе что за люди работающие в выходной) не решила проблему в тот день…
                +2
                Радует другое: деньги ЦБ суверенной и независимой страны Бангладеш, находящиеся в распоряжении Федерального резервного банка США.
                  +2
                  Возможно, это вклад под проценты, а возможно, не такая уж она суверенная и независимая.
                    +4
                    Извините, но все страны хранят свои резервы в банках и ценных бумагах других стран, тут других вариантов быть не может. И конечно не в одном, а во множестве одновременно. Суверенная и независимая Россия тоже хранит большую часть своих резервов в США.
                      +1
                      большУю, или же бОльшую?
                      просто интересно
                        +4
                        В американских трежерис мы держим около 100 млрд. При общем количестве резервов ок 350. Часть не бОльшая, но почти треть.
                        0
                        А можно поподробнее — почему других вариантов быть не может?
                        США, самая суверенная страна на планете — тоже хранит свои запасы в чужих банках?

                        Ценные бумаги — это другое. Это — диверсификация резервов. Это понятно.
                        А вот обычные деньги — зачем свои деньги хранить в другой стране?
                          +2
                          Не просто в другой стране, а в разных странах. Поговорка «не клади все яйца в одну корзину» — всегда актуальна у финансистов. В любое время любая страна может вдруг начать с кем-то воевать, или просто перестать существовать. Нет ни одной страны, которая не подвержена этому риску.

                          Даже на США чисто теоретически может в любой момент упасть огромный метеорит, и все сбережения вашей страны просто исчезнут. Поэтому, чтобы была некая страховка на этот случай — деньги и хранят в разных местах, просто чтобы их сберечь.
                            0
                            Вот именно потому, что "любая страна может вдруг..." — странно хранить свои деньги в другой стране, кроме как в самой лояльной — своей стране.

                            Я говорю о суверенных деньгах государства, деньгах "центрального банка".
                            Коммерческие банки — понятно: хранят свои деньги там где удобно, выгодно, безопасно.
                            Но государство почему должно хранить свои деньги за рубежом?
                              0
                              Вы путаете ЦБ и государство (правительство). Правительство обычно хранит деньги в ЦБ или в каком-нибудь специальном подконтрольном ЦБ банке.

                              ЗВР — это резервы ЦБ, а не правительства. Единственное их предназначение — это стабилизация национальной валюты. Внутри страны их использовать невозможно, так как внутри используется национальная валюта, эмитируемая ЦБ.
                                0
                                Я под государством привык считать все государственные институты, а не только правительство.
                                Но в данном случае речь не о правительстве, а о ЦБ: он хранит "все деньги страны". По-крайней мере безналичные.
                                И вот странна ситуация, когда оказывается, что ЦБ на самом деле хранит деньги не суверенно, а под контролем каких-то структур, да ещё и иностранных.

                                А почему ЦБ не может использовать внутри страны валютные резервы? Очень даже использует. Как-раз для выполнения своей функции: обеспечения стабильности национальной валюты.
                                  +1
                                  Национальную валюту ЦБ хранит у себя, иностранную валюту — у ЦБ эмитента этой валюты. В чём проблема-то?

                                  Я имею в виду, что за иностранную валюту нельзя построить станок внутри страны, можно только купить его в другой стране. Это уже внешняя экономическая деятельность.
                                +1
                                Потому что доверять хранителю счёта должны не только вы, но и ваш контрагент. Весь вмысл "счёта" в том что он держится у доверенной третьей стороны. Для граждан это банк, для банков — это центробанк (и другие банки), для центробанков и правительств — это центробанки других стран. И так уж сложилось, что Соединённым Штатам доверяет наибольшее количество других стран, поэтому там удобно держать государственные счета.
                              +1
                              США не хранит свои запасы в чужих банках, потому что у США нет запасов.

                              "Обычные деньги" составляют лишь малую часть ЗВР и используются не для хранения, а для покупки/продажи нац. валюты, золота или ценных бумаг. То есть это такой кэш и финансовом, и в компьютерном смысле слова.

                              У всех банков, желающих хранить иностранную валюту, открыт корр. счёт в иностранном ЦБ (или в иностранном банке, у которого открыт корр. счёт в ЦБ). Безналичные деньги всех банков в конечном итоге всё равно хранятся на счетах ЦБ — эмитента валюты. Хранить иностранную валюту в национальном банке нет смысла, так как он будет просто лишним посредником между ЦБ двух стран. Который к тому же может обанкротиться, и плакали резервы, как это случилось с Lehman Brothers.

                              ФРБ — это ЦБ США (ну, или один из 12 ЦБ).
                                0
                                Т.е.: на США падает огромный метеорит, информационная система его "ЦБ" рушится и весь мир лишается безналичных долларов?

                                А у самих штатов — серьезно, нет ЗВР?
                                  0
                                  Да, лишается. Как минимум на время, пока не восстановится инфраструктура ФРС.

                                  Вообще есть, но по сравнению с размером экономики числа смешные, 118 млрд, из них 50 — СДР, 11 — золото, 22 — ценные бумаги в иностранной валюте, 18 — кэш, 17 — вклад в МВФ.
                                  http://www.imf.org/external/np/sta/ir/IRProcessWeb/data/usa/eng/curusa.htm
                                  Эмитенту мировой валюты резервы не нужны.
                            0
                            ЦБ Бангладеш хранил в ФРС часть золотовалютных резервов, составляющих 30 млрд. долларов. Чему тут радоваться-то? Так полмира делало. Обычная финансовая мировая практика ещё каких-нибудь 3-4 года назад.
                              0
                              По моему, все фиатные деньги существуют либо в бумажном виде, либо на коррсчетах соответствующих центробанков.
                            • НЛО прилетело и опубликовало эту надпись здесь
                                +1
                                Читайте дальше — они их успели отправить в казино, казино данные о клиентах по любому чиху другой страны не выдает (поэтому подключили уже соотв. департамент), и самое главное, что казино — как миксинг для биткоинов. Вводим грязные деньги, выводим чистые за небольшой процент. Упрощенный пример, за стол сажусь я и другой человек. Проигрываю все (украденные) деньги в виде фишек. Другой человек, с честно выигранными фишками уходит. Обменивает их на деньги. Как знать, подельник ли то был или нет? Казино держит информацию кто с кем играл или нет? Да и вообще данные о клиентах.
                                  0
                                  Я думаю казино все держит и следит успешными игроками. Может это казино было совсем формальным.
                                    0
                                    Работал по-юности в службе безопасности одного казино. Да, казино хранят данные о клиентах. Если человек приходил первый раз его на ресепшене фотографировали через вебку. Были игроки, которые находились в "черном списке". Мало того, в системе хранилась вся информация об оборотах конкретного игрока, т.е. путем нехитрых арифметических действий можно было подсчитать сколько человек принес денег и сколько унес.
                                      0
                                      в прошлом году катали по казино вегаса, никто и нигде нас не регистрировал, не фоткал, не отслеживал наши кредиты\дебиты. там даже нет респешн как такового.
                                      покер, рулетка, блэкджэк, автоматы
                                  0
                                  Если кому-то посчастливится поживится такой суммой, то деньги надо выводить только через карточные счета, используя банкоматы.
                                  Все прочее — высокий шанс заморозки на 3-6 дней.
                                    0
                                    Это как можно снять через банкоматы 81 млн. долларов — 5,5 млрд рублей? Есть же лимиты на снятие с карты в день, 30 или 50 тысяч, сейчас не помню?
                                    0
                                    К операции готовились — провели перед выходными (пятница — выходной)
                                    Все, переселяюсь в Бангладеш)

                                      0
                                      Украли ключи? Странно. Я думал такие важные вещи принято хранить в железных хранилищах ключей. Да и вообще странно, что у них в ЦБ нет человека который бы ночью следил за автоматическими транзакциями. Приходить сутра и смотреть на распечатку принтера (не удивлюсь, что он матричный и печатает на рулоне) это что-то с чем-то.
                                        0
                                        Чтобы разорить ЦБ только на стоимости бумаги, достаточно провести бесконечно большое количество операций с бесконечно малыми суммами
                                        0
                                        Интересная информация появилась, один из секюрити ресерчеров был похищен неизвестными людьми на джипах поздно вечером 16 марта вместе с другом, друга отпустили через несколько часов за городом, а его самого нет. Был похищен после того, как публично раскритиковал ЦБ Бангладеша (точнее критика была в адрес администратора базы данных банка). Более подробно http://news.softpedia.com/news/security-researcher-goes-missing-after-investigating-bangladesh-bank-cyber-heist-501905.shtml

                                          0
                                          Позволю себе добавить немного деталей из других публичных источников, немного дополнив их собственными измышлениями…

                                          Во-первых, там всё было хорошо социально наинженерено. В мусульманских странах выходные — пятница и суббота, на западе — суббота и воскресенье. Плюс к этому, 8-го февраля был «китайский новый год» — официальный выходной на Филлипинах. Серьёзный задел времени.

                                          Во-вторых, сыграла свою роль своеобразность ПО SWIFT. С одной стороны оно весьма весьма скурпулёзное в плане мер безопасности (криптография, периодические проверки собственной целостности, мощная система разграничения прав доступа...), а с другой стороны — довольно кондовое, чтобы в этих мерах безопасности реально мог разобраться средней руки сотрудник.

                                          В-третьих, скорее всего, нужно упомянуть недостаточную квалификацию сотрудников банка, отвечающих за IT безопасность в целом.

                                          В-четвёртых, общее разгильдяйство участников.

                                          И в-пятых — оригинальное антиотмывочное законодательтво на Филлипинах.

                                          Скорее всего, в банк подсадили программный троян и/или живого агента, который некоторое время собирал информацию о работе IT систем, связанных с валютными переводами через FRB NY, где у банка был долларовый счёт. Достаточно было узнать формат платежных поручений, процедуру их обработки и логины операторов, вводящих и авторизирующих платежи через свифтовый терминал.
                                          В ночь с четверга на пятницу (с 4-го на 5-е февраля), злоумышленники послали через свифтовый терминал банка 35 платёжек на общую сумму $951M, и немного «подпортили» ПО SWIFT (в одном из источников написано, что удалили nroff.exe), так, что перестала работать печать уведомлений о проведённых платежах (и, скорее всего, через некоторое время, после проверки целостности, вообще весь терминал). При этом только 5 платежей на $101M нормально обработались в FRB, а остальные, судя по всему, оказались составлены некорректно. 4 платежа на $81M ушли в филлипинский банк, а один на $20M — в шриланкийский. Прошедшие платежи использовали названия реально финансируемых государством проектов (стороительство мостов, метро и т.п.) и не вызвали подозрений у AML системы FRB.

                                          Работники банка фактически забили на восстановление работоспособности терминала на выходных, и не смогли (а может, не имели полномочий) обнаружить подозрительные платежи вплоть до понедельника, когда они восстановили софт из бэкапа, получили подтверждения о проведённых и не проведённых платежах, которые «никто не заказывал», и стали пытать разрулить ситуацию, не привлекая лишнего внимания (а сама история, напомню, всплыла в прессе (причём, филлипинской!) только в конце февраля). Вдобавок, сейчас обе стороны (ЦБ Бангладеш и FRB NY) кидают друг-другу «обидки», что не могли достучаться до противоположной стороны из-за выходных (в пятницу и субботу — у ЦБ, а в субботу и воскресенье — у FRB).

                                          У платежа на Шри-Ланку, как и описано в статье, обнаружилась ошибка в названии получателя, он остановился в транзитном банке, и его, в итоге, удалось отозвать, а вот платежи на Филлипины успешно дошли до получателей. Ими оказались некие загадочные лица, открывшие свои счета чуть менее года назад, положишине на них по $500, и не использовавшие их вплоть до рассматриваемых событий. Далее деньги собрали на вновь открытом счёте, через компанию почтовых переводов конвертировали в местную валюту, и выдали кэшем компании — оператору казино.

                                          При этом оказалось, что менеджер филлипинского банка, в ведении которого были проведённые операции, сама открыла транзитный счёт на имя одного из клиентов своего отделения без его ведома, и санкционировала переводы, уже получив распоряжение из Бангладеш на приостановку платежей. Также есть свидетели, утверждающие, что часть окэшенных денег она лично увезла на своей машине, а её адвокат заявляет, что она боялась за свою жизнь и вообще выполняла распоряжения высшего руководства своего банка… Стоит упомянуть и то, что по филлипинскому антиотмывочному закону 2001 года, его действие не распространяется на казино, а вот правила соблюдения банковской тайны весьма строгие, и именно на них, и на право не свидетельствовать против самих себя, сейчас ссылаются подозреваемые…
                                            0
                                            Вот непонятна ситуация на котором в новостях заостряли внимание

                                            http://www.reuters.com/article/us-usa-fed-bangladesh-typo-insight-idUSKCN0WC0TC

                                            https://lenta.ru/news/2016/03/15/bangladesh/
                                            в одном из запросов обнаружилась ошибка: там было неверно указано имя одного из получателей платежа. Deutsche Bank, через который проводились транзакции, попросил разъяснений от бангладешского регулятора
                                            из-за орфографической ошибки. При указании получателя платежа преступники написали fandation вместо foundation.

                                            Непонятно почему банк посредник проверяет текстовое поле получателя на орфорграфические ошибки и поэтому стопорит платеж.
                                              0
                                              Тут сложно сказать наверняка. Озвучиваются две версии: одна, что платёжка-таки дошла до конечного банка в цепочке (Pan Asia Banking Corp), тот то ли не нашёл у себя такого клиента, то ли удивился размеру перевода, сигнализировал «наверх» (в Deutsche Bank), там обнаружили опечатку, и, в свою очередь, связались с ЦБ Бангладеш; вторая — что в самом Deutsche Bank обнаружили опечатку, и забили тревогу. С моей точки зрения, обе версии имеют право на жизнь.
                                              Банковская тайна в последнее время стала весьма эфемерным понятием в виду деятельности FATF, и прочих подобных организаций. Все банки, работающие с основными мировыми валютами, обязаны реализовывать антиотмывочные (AML — Anti-Money Laundering) меры, или, говоря проще, именно с пристрастием разглядывать «текстовое поле получателя» (и, естественно, отправителя) всех проходящих через них платежей. А будет это просто сличение со списком бинладенов, или что-то более сложное — зависит от банка. Хотя, КМК, ловить орфографические ошибки в международных платежах — дело довольно стрёмное. Какое-нибудь Jabatan Bomba dan Penyelamat, вызывающее тревожные ассоциации даже у живого человека, оказывается вполне мирной частью пожарной охраны и т.п…
                                                0
                                                >> именно с пристрастием разглядывать «текстовое поле получателя» (и, естественно, отправителя) всех проходящих через них платежей

                                                В Российских условиях ранее проверяли на наличии в определенном списке реквизитов получателя чтобы забить тревогу. Притом все делается автоматически, а не в ручную.

                                                Просто по озвученным в СМИ и этому:
                                                «дошла до конечного банка в цепочке (Pan Asia Banking Corp)… сигнализировал «наверх» (в Deutsche Bank), там обнаружили опечатку, и, в свою очередь, связались с ЦБ Бангладеш»

                                                получается ЦБ Бангладеша переводит деньги со счета в Федеральном резервном банке Нью-Йорка (они должны проверять получателя) в Pan Asia Banking Corp (они тоже должны проверять как получателя так и плательщика) — и каким боком тут Deutsche Bank проверяет реквизиты и стопорит проведение платежей непонятно.
                                                  0
                                                  или почему делают упор на Deutsche Bank, а не на Федеральный резервный банк Нью-Йорка который должен связыватся со своими клиентами.
                                                    0
                                                    КО: мошенники использовали цепочку переводов, для запутывания следов.
                                                      0
                                                      КО: Не в этом случае. В платежном документе фигурируют плательщик и получатель, в нем не фигурирует куда деньги будут переводить дальше.
                                                        0
                                                        В платёжном документе могут фигурировать не только плательщик и получатель, но и вся цепочка прохождения платежа. Просто в качестве примера: шриланкийская строительная фирма, строящая мост в Дакке, имеет долларовый счёт в местном шриланкийском банке, который не имеет отношений ни с ЦБ Бангладеш, ни, тем более, с ФРС США. Зато, этот банк имеет корреспондентский счёт в местном отделении Deutsche Bank, который, в свою очередь, имеет счёт в FRB NY, где, по счастью, имеет счёт и ЦБ Бангладеш. Соответственно, чтобы заплатить этой фирме, ЦБ (например, по поручению местного казначейства, в рамках контракта), делает перевод строительной фирме, описывая всю цепочку: FRB -> DB -> PABC -> фирма.
                                                    0
                                                    Есть разные типы переводов. Например, в MT103 Single Customer Credit Transfer полей, описывающих цепочку передачи платежа, аж 9 штук. Т.е. от отправителя к получателю платёж может (грубо говоря) идти последовательно через 7 организаций. С технической точки зрения, два соседних агента в цепочке должны проверять только валидность платёжного сообщения, наличие юридических взаимоотношений (например, корреспондентских счетов) на шаг вперед и назад по цепочке, и (как правило) соответствие платежного сообщения правилам AML. Deutsche Bank тут, практически наверняка, был в цепочке, и должен быь делать проверки.

                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                            Самое читаемое