Ограбление банка Бангладеш , также известное в разговорной речи как киберограбление банка Бангладеш , [1] было кражей, которая произошла в феврале 2016 года. Тридцать пять мошеннических инструкций были выданы хакерами безопасности через сеть SWIFT для незаконного перевода около 1 миллиарда долларов США со счета Федерального резервного банка Нью-Йорка, принадлежащего Бангладешскому банку , центральному банку Бангладеш. Пять из тридцати пяти мошеннических инструкций были успешными в переводе 101 миллиона долларов США, при этом 81 миллион долларов США были отслежены на Филиппинах , а 20 миллионов долларов США — на Шри-Ланке . Федеральный резервный банк Нью-Йорка заблокировал оставшиеся тридцать транзакций на сумму 850 миллионов долларов США из-за подозрений, вызванных неправильно написанной инструкцией. [2] По состоянию на 2018 год было возвращено только около 18 миллионов долларов США из 81 миллиона долларов США, переведенных на Филиппины, [3] и с тех пор все деньги, переведенные на Шри-Ланку, были возвращены. Большая часть денег, переведенных на Филиппины, поступила на четыре личных счета, принадлежащих отдельным лицам, а не компаниям или корпорациям.
Как и многие другие национальные банки, Bangladesh Bank, центральный банк Бангладеш, имеет счет в Федеральном резервном банке Нью-Йорка для размещения, поддержания и перевода валютного резерва Бангладеш. Валютный резерв Бангладеш , растущей экономики, часто достигает нескольких миллиардов долларов США. По состоянию на сентябрь 2020 года валютный резерв Бангладеш составлял 39 миллиардов долларов США. [4] Сеть Общества всемирных межбанковских финансовых телекоммуникаций (SWIFT) используется для связи с банком, держащим валютный счет, с целью снятия, перевода или внесения валюты.
Кибератака 2016 года на Bangladesh Bank была не первой атакой такого рода. В 2013 году Sonali Bank в Бангладеш также был успешно атакован хакерами, которые смогли вывести 250 000 долларов США.
В обоих случаях, как предполагалось, преступникам помогали инсайдеры в целевых банках, которые помогали воспользоваться слабыми местами в доступе банков к глобальной платежной сети SWIFT. [5] [6]
Используя слабые места в системе безопасности центрального банка Бангладеш, включая возможную причастность некоторых его сотрудников, [7] преступники попытались украсть 951 миллион долларов США со счета Bangladesh Bank в Федеральном резервном банке Нью-Йорка . Кража произошла где-то между 4 и 5 февраля 2016 года, когда офисы Bangladesh Bank были закрыты на выходные.
Преступникам удалось взломать компьютерную сеть Bangladesh Bank, проследить за тем, как осуществляются переводы, и получить доступ к учетным данным банка для осуществления платежных переводов. Они использовали эти учетные данные для авторизации около трех десятков запросов в Федеральный резервный банк Нью-Йорка. Эти запросы были сделаны для перевода средств на счета на Филиппинах и Шри-Ланке.
Тридцать транзакций на сумму 851 млн долларов США были помечены банковской системой для проверки сотрудниками, но пять запросов были удовлетворены: 20 млн долларов США были переведены в Шри-Ланку (позже возвращены) [8] [9] и 81 млн долларов США были потеряны на Филиппинах, попав в банковскую систему этой страны Юго-Восточной Азии 5 февраля 2016 года. Эти деньги были отмыты через казино, а некоторые позже переведены в Гонконг .
Согласно отчету, опубликованному в The Straits Times , следователи подозревают, что преступники использовали вредоносное ПО Dridex для атаки. [10]
Деньги, переведенные на Филиппины, были размещены на пяти отдельных счетах в Rizal Commercial Banking Corporation (RCBC); позже выяснилось, что счета были открыты на фиктивные имена. Затем средства были переведены валютному брокеру для конвертации в филиппинские песо, возвращены в RCBC и консолидированы на счете китайско-филиппинского бизнесмена; [11] [9] конвертация была произведена с 5 по 13 февраля 2016 года. [12] Также было обнаружено, что четыре задействованных счета в долларах США были открыты в RCBC еще 15 мая 2015 года и оставались нетронутыми до 4 февраля 2016 года, даты, когда был сделан перевод из Федерального резервного банка Нью-Йорка. [12]
8 февраля 2016 года, во время китайского Нового года , Bangladesh Bank сообщил RCBC через SWIFT о необходимости остановить платеж, вернуть средства и «заморозить и приостановить» средства, если средства уже были переведены. Китайский Новый год является нерабочим праздником на Филиппинах, и сообщение SWIFT от Bangladesh Bank, содержащее аналогичную информацию, было получено RCBC всего на день позже. К этому времени снятие на сумму около 58,15 млн долларов США уже было обработано отделением RCBC на улице Юпитер (в городе Макати ). [12]
16 февраля управляющий Банка Бангладеш обратился к Bangko Sentral ng Pilipinas с просьбой оказать содействие в возвращении средств в размере 81 миллиона долларов США, заявив, что платежные инструкции SWIFT, выданные в пользу RCBC 4 февраля 2016 года, были мошенническими. [12]
Перевод в размере 20 миллионов долларов США в Шри-Ланку хакеры намеревались отправить в Shalika Foundation, частную компанию с ограниченной ответственностью, базирующуюся в Шри-Ланке . Хакеры неправильно написали слово «Foundation» в своем запросе на перевод средств, написав слово как «Fundation». Эта ошибка в написании вызвала подозрения у Deutsche Bank , маршрутного банка, который остановил рассматриваемую транзакцию после запроса разъяснений от Bangladesh Bank. [8] [13] [14]
Pan Asia Bank, базирующийся в Шри-Ланке, изначально обратил внимание на транзакцию, и один из чиновников отметил, что транзакция слишком крупная для такой страны, как Шри-Ланка. Pan Asia Bank был тем, кто передал аномальную транзакцию в Deutsche Bank. Средства Шри-Ланки были возвращены Bangladesh Bank. [8]
Первоначально Bangladesh Bank не был уверен, была ли взломана его система. Управляющий центрального банка нанял World Informatix Cyber Security , американскую фирму, для руководства реагированием на инциденты безопасности, оценкой уязвимости и устранением последствий. World Informatix Cyber Security привлекла для расследования компанию криминалистических расследований Mandiant . Эти следователи обнаружили «следы» и вредоносное ПО хакеров, что свидетельствовало о взломе системы. Следователи также заявили, что хакеры находились за пределами Бангладеш. Bangladesh Bank начал внутреннее расследование по этому делу. [8]
В ходе судебно-медицинской экспертизы Банка Бангладеш было установлено, что вредоносное ПО было установлено в системе банка где-то в январе 2016 года, а также собрана информация о операционных процедурах банка для международных платежей и переводов средств. [12]
Расследование также рассмотрело нераскрытый инцидент взлома банка Sonali Bank в 2013 году, в ходе которого неизвестные хакеры украли 250 000 долларов США. Согласно сообщениям, как и при взломе центрального банка в 2016 году, кража также использовала мошеннические переводы средств с использованием глобальной платежной сети SWIFT. Бангладешская полиция рассматривала этот инцидент как нераскрытое дело до подозрительно похожего ограбления центрального банка Бангладеш в 2016 году. [15]
Национальное бюро расследований Филиппин (NBI) начало расследование и занялось китайско-филиппинским гражданином, который предположительно сыграл ключевую роль в отмывании денег, полученных незаконным путем. NBI координирует свою деятельность с соответствующими правительственными агентствами, включая Совет по борьбе с отмыванием денег (AMLC). AMLC начало расследование 19 февраля 2016 года в отношении банковских счетов, связанных с оператором джанкет-туров . [12] AMLC подало жалобу на отмывание денег в Министерство юстиции против менеджера отделения RCBC и пяти неизвестных лиц с вымышленными именами в связи с этим делом. [16]
Слушания в Сенате Филиппин состоялись 15 марта 2016 года под руководством сенатора Теофисто Гингоны III , главы Комитета Blue Ribbon и Комитета Конгресса по надзору за Законом о борьбе с отмыванием денег. [17] Позднее, 17 марта, состоялись закрытые слушания. [18] Корпорация развлечений и азартных игр Филиппин (PAGCOR) также начала собственное расследование. [8] 12 августа 2016 года сообщалось, что RCBC выплатил половину штрафа в размере 1 млрд филиппинских рупий, наложенного Центральным банком Филиппин (BSP). [19] До этого банк реорганизовал свой совет директоров, увеличив число независимых директоров с четырех до семи. [20]
10 января 2019 года Майя Сантос Дегуито, бывший менеджер RCBC, была признана виновной по 8 пунктам обвинения в отмывании денег и приговорена к лишению свободы на срок от 4 до 7 лет по каждому пункту обвинения в региональном суде первой инстанции города Макати . [21] 12 марта 2019 года RCBC подал в суд на Bangladesh Bank за то, что он приступил к «масштабной уловке и схеме по вымогательству денег у истца RCBC путем публичной клеветы, преследования и угроз, направленных на уничтожение доброго имени, репутации и имиджа RCBC». [22]
6 февраля 2023 года Первое отделение Апелляционного суда отклонило апелляцию Дегито и оставило в силе обвинительный приговор Регионального суда первой инстанции города Макати, вынесенный в 2019 году. [23]
В решении от 29 февраля 2024 года по делу об ограблении банка Bangladesh Верховный суд Нью-Йорка отклонил 3 основания иска — конвертация, содействие и подстрекательство к конвертации и сговор с целью совершения конвертации — против Rizal Commercial Banking Corporation и ответчиков Исмаэля Рейеса, Бригитты Капинья, Ромуальдо Агаррадо и Нестора Пинеды из-за отсутствия личной юрисдикции. Однако он разрешил продолжить дело Bangladesh Bank относительно киберограбления на сумму 81 миллион долларов по другим основаниям, включая возврат полученных денег. [24]
Подразделение криминалистики FireEye Mandiant и World Informatix Cyber Security , обе компании, базирующиеся в США, расследовали дело о взломе. По словам следователей, преступники, вероятно, узнали о внутренних процедурах Bangladesh Bank, шпионя за его работниками. Федеральное бюро расследований США (ФБР) сообщило, что агенты обнаружили доказательства, указывающие на то, что по крайней мере один сотрудник банка действовал в качестве сообщника. ФБР также заявило, что есть доказательства, указывающие на то, что еще несколько человек, возможно, помогали хакерам взломать компьютерную систему Bangladesh Bank. [25] Правительство Бангладеш рассматривало возможность подачи иска на Федеральный резервный банк Нью-Йорка с целью вернуть украденные средства. [8]
Федеральные прокуроры в Соединенных Штатах выявили возможные связи между правительством Северной Кореи и кражей. [26] Согласно этому отчету, прокуроры США подозревают, что кража была совершена преступниками, поддерживаемыми правительством Северной Кореи. В отчете также говорится, что в обвинения будут включены «предполагаемые китайские посредники», которые способствовали переводу средств после того, как они были перенаправлены на Филиппины. [27]
Некоторые компании по безопасности, включая Symantec Corp и BAE Systems , заявили, что за атакой, вероятно, стоит базирующаяся в Северной Корее Lazarus Group , одна из самых активных в мире спонсируемых государством хакерских групп. Они ссылаются на сходство между методами, использованными при ограблении в Бангладеш, и методами, использованными в других случаях, например, при взломе Sony Pictures Entertainment в 2014 году, который американские чиновники также приписали Северной Корее. Эксперты по кибербезопасности говорят, что Lazarus Group также стояла за атакой с использованием вируса-вымогателя WannaCry в мае 2017 года, которая заразила сотни тысяч компьютеров по всему миру. [28]
Агентство кибербезопасности и безопасности инфраструктуры опубликовало предупреждение «FASTCash 2.0: северокорейские BeagleBoyz грабят банки», в котором BeagleBoyz приписал взлом Банка Бангладеш в 2016 году. Агентство заявило, что BeagleBoyz является группой акторов угроз, подчиняющейся Главному бюро разведки правительства Северной Кореи, и действует с 2014 года. [29]
Заместитель директора Агентства национальной безопасности США Ричард Леджетт также заявил, что «если эта связь между актерами Sony и актерами из бангладешского банка верна, это означает, что национальное государство грабит банки». [30]
США обвинили северокорейского программиста Пак Джин Хёка [31] во взломе Бангладешского банка, утверждая, что это было сделано от имени режима в Пхеньяне. Тот же программист также был обвинен в связи с вирусом WannaCry 2.0 и атакой на Sony Pictures в 2014 году . [32]
Исследователи компьютерной безопасности связали кражу с одиннадцатью другими атаками и предположили, что Северная Корея принимала участие в атаках. Если это правда, это будет первый известный случай использования государственным субъектом кибератак для кражи средств. [33] [34]
Rizal Commercial Banking Corporation (RCBC) заявила, что не потерпит незаконной деятельности в филиале RCBC, вовлеченном в дело. Лоренцо В. Тан , президент RCBC, сказал, что банк сотрудничал с Советом по борьбе с отмыванием денег и Центральным банком Филиппин по этому вопросу. [35] Юридический советник Тана попросил менеджера филиала RCBC на улице Юпитер объяснить предполагаемый поддельный банковский счет, который использовался в мошенничестве по отмыванию денег. [36]
Комитет совета директоров RCBC также начал отдельное расследование причастности банка к мошенничеству с отмыванием денег. Президент RCBC Лоренцо В. Тан подал заявление об увольнении на неопределенный срок, чтобы дать возможность властям провести расследование по этому делу. [37] [38] 6 мая 2016 года, несмотря на то, что внутреннее расследование банка подтвердило его невиновность, Тан ушел с поста президента RCBC, чтобы «взять на себя полную моральную ответственность» за инцидент. [39] [40] Хелен Юченгко-Ди, дочь основателя RCBC Альфонсо Юченгко, возьмет на себя управление операциями банка. Банк также извинился перед общественностью за свою причастность к ограблению.
Глава Bangladesh Bank, губернатор Атиур Рахман , ушел в отставку со своего поста на фоне расследования ограбления центрального банка и последующего отмывания денег сотрудниками RCBC на Филиппинах. Он подал свое заявление об отставке премьер-министру Шейх Хасине 15 марта 2016 года. До того, как отставка была обнародована, Рахман заявил, что уйдет в отставку ради своей страны. [41] После своей отставки Рахман защищался, утверждая, что он предвидел уязвимости кибербезопасности год назад и нанял американскую фирму по кибербезопасности для укрепления брандмауэра, сети и общей кибербезопасности банка. Однако он обвинил бюрократические препоны в том, что фирма по безопасности не смогла начать свою деятельность в Бангладеш до киберограбления. [42]
5 августа 2016 года Центральный банк Филиппин утвердил штраф в размере ₱1 млрд (US$52,92 млн) против RCBC за несоблюдение банковских законов и правил в связи с ограблением банка. Это самый большой денежный штраф, когда-либо одобренный BSP против любого учреждения. RCBC заявил, что банк выполнит решение BSP и выплатит наложенный штраф. [43]
Bangladesh Bank продолжил попытки вернуть украденные деньги и вернул только около 15 миллионов долларов США, в основном от оператора игрового джанкета, базирующегося в Метро Манила. В феврале 2019 года Федеральный резерв пообещал, что поможет Bangladesh Bank вернуть деньги, а SWIFT также решила помочь центральному банку восстановить свою инфраструктуру. Центральный банк Бангладеш также считал, что RCBC был соучастником ограбления, подав иск в Окружной суд США по Южному округу Нью-Йорка по этому делу в начале 2019 года, обвинив филиппинский банк в «масштабном сговоре». В ответ RCBC подал иск, обвинив Bangladesh Bank в клевете, полагая, что претензии Bangladesh Bank безосновательны. [44]
В 2020 году Bangladesh Bank подал иск в Верховный суд Нью-Йорка против RCBC по нескольким основаниям иска. Три из этих оснований иска были отклонены 29 февраля 2024 года. В июне того же года Апелляционный суд Нью-Йорка отклонил ходатайство RCBC о рассмотрении дела в другом суде. [45]
Это дело грозило восстановить Филиппины в черном списке Группы разработки финансовых мер борьбы с отмыванием денег, куда входят страны, приложившие недостаточные усилия по борьбе с отмыванием денег. [46] Было уделено внимание потенциальной слабости усилий филиппинских властей по борьбе с отмыванием денег после того, как в 2012 году законодатели умудрились исключить казино из списка организаций, обязанных отчитываться перед Советом по борьбе с отмыванием денег о подозрительных транзакциях.
В этом деле также подчеркивается угроза кибератак как для государственных, так и для частных учреждений со стороны киберпреступников, использующих настоящие банковские коды авторизации, чтобы заказы выглядели подлинными. В качестве ответа Swift создала Swift CSP (программу безопасности клиентов). SWIFT посоветовала банкам, использующим систему SWIFT, усилить свою позицию кибербезопасности и убедиться, что они следуют рекомендациям по безопасности SWIFT, известным как CSCF (система соответствия безопасности клиентов). [47]