2016年,一起網路駭客打劫央行大案幾近得手卻因拼寫錯誤功虧一簣,盜賊與10億美元失之交臂。這起網路金融罪案發生5年後餘波未平,而陸續浮出水面的案情令人驚愕、唏噓。
這宗搶劫央行大案現在被認定是北韓駭客所為。2016年2月,駭客向SWIFT(環球銀行金融電信協會網路)發出35條欺詐指令,要求將10億美元從美國紐約聯邦儲備局轉入孟加拉央行賬戶,5條被確認,成功轉走1.01億美元,但另30條涉及8.5億美元的轉款指令被紐約聯儲局拒絶,因為指令中發現拼寫錯誤。
流向菲律賓的8100萬美元贓款尚未全數追回,但流向斯里蘭卡的2000萬美元已追回。
BBC國際頻道的10集播客《拉撒路大劫案》(The Lazarus Heist)嘗試還原這起世紀大案的來龍去脈,梳理作案經過,由傑夫·懷特(Geoff White)和吉恩·H·李(Jean H Lee)主持。
2016年2月5日星期五,孟加拉首都達卡,孟加拉銀行(央行)保安嚴密的總部大樓10層,一台打印機出了故障。它負責打印的是央行賬戶款項進出的記錄。這種尋常的小故障以前也曾發生過,當天的值班經理祖拜爾·本·胡達(Zubair Bin Huda)後來對警察解釋說,當時沒有引起多少注意。
後來大家都意識到,這台打印機出故障其實是個徵兆,暗示了巨大的麻煩。就在那個時刻,已侵入央行網路系統的駭客正在作案:盜取10億美元。
為了偷偷把錢從央行賬戶轉走,劫犯們動用了假帳戶、慈善組織、賭場和其他協同犯罪者的網路來遮人耳目。但經過偵查發現,罪犯留下的數字手印明確無誤地指向北韓政府。
在大部分世人心目中,落後、閉塞、貧窮的北韓跟高科技和網路駭客離得很遠。但是,美國聯邦調查局(FBI)說,孟加拉央行遭駭客打劫案背後是一個由駭客和中間人組成的團隊,成員散佈在亞洲各地,其駭客行動得到北韓政府的支持。
這個團隊叫拉撒路集團(Lazarus Group)。拉撒路是《聖經》裏的一個死而復生的人物;了解這個駭客團隊製造的電腦病毒的專家認為,單就生存能力而言這個面目不清的團隊跟拉撒路不相上下。
這個團隊至今依舊很神秘,但FBI掌握了一名成員的身份背景:朴鎮赫(Park Jin Hyok),還用過朴光振(Park Kwang-jin)等名字。他是電腦編程員,畢業於北韓頂級高等學府,曾受僱於北韓出口公司(Chosun Expo)在中國大連的分部,具體工作包括為世界各地的客戶編寫網路遊戲和博彩軟件。
FBI公布了一張朴鎮赫的標準像,來自2011年北韓出口公司向客戶介紹項目經理的郵件。照片上是一名三十歲上下的北韓男子,身著黑色條紋襯衫和深棕色西裝,除了面容疲憊之外沒有任何不尋常。
Getty Images 美國聯邦調查局通緝令上的朴鎮赫頭像 2018年6月,美國當局起訴朴鎮赫,對他的控罪包括2014年9月到2017年8月期間圖謀實施電腦詐騙和電信詐騙,一旦就擒、獲罪,他將面臨多達20年監禁。他在美國當局提起訴訟前從中國回到北韓。
但是,北韓有無數跟他一樣的年輕人,從小被作為網路戰士來培養。這些孩子年齡最小的只有12歲,都是數學天才,從各地學校中挑選出來送到首都接受封閉式集訓。
孟加拉央行的美元儲備存在紐約美國聯準會銀行賬戶上。央行總部10層樓那台打印機出故障後被重啟,結果吐出一份令人震驚的通知,來自紐約美國聯準會。
通知說,美國聯準會收到顯然來自孟加拉央行(客戶)的取款指令,提取10億美元,幾乎就是賬戶裏的全部款額。
駭客作案從2月4日周四孟加拉時間晚上20:00時開始,紐約時間是周四上午,正常工作時間。孟加拉銀行周五、周六休息,等到發現駭客襲擊時,已經是紐約的周末。
所以,選擇達卡的周四晚上作案顯然是有精心考慮的,美國網路安全專家拉克什·阿斯塔納(Rakesh Asthana)說,等雙方都發現疑竇時,已經過去三天了。
從紐約聯儲局把錢成功轉移出來後,這筆錢需要流向某個目的地,這個目的地是駭客們事先在菲律賓首都馬尼拉的銀行開設的賬戶。關鍵在於,2016年2月8日周一是農曆新年,亞洲各地的銀行都關門。駭客們又多了二天先機。
Getty Images 孟加拉央行的美元外匯儲備存在紐約 美國聯準會 如此縝密的計劃當然是經過仔細籌劃設計的。罪案調查人員後來發現,拉撒路集團的病毒早在一年前就侵入孟加拉央行電腦系統裏潛伏。
2015年1月,孟加拉央行數名員工收到一份貌似人畜無害的求職郵件,發件人自稱拉塞爾·阿拉姆(Rasel Ahlam)。他的郵件措辭彬彬有禮,還附了一條下載求職信和個人履歷的鏈接。
FBI後來發現其實沒有這麼個人,這只是個拉撒路集團作案用的化名。
收到這份電郵的員工當中至少一人毫無防備地點擊那個鏈接下載了所謂的簡歷和求職聲明,把藏在文件裏的病毒帶入央行電腦系統。這個病毒很快就感染了一台又一台電腦,輕而易舉進入了數字金庫。
病毒成功潛入央行系統後,拉撒路集團用了一年時間安排撤退計劃和路線。
朱庇特街(Jupiter Street)是馬尼拉城裏一條繁忙的商業街。菲律賓最大的銀行之一RCBC在這條街上有一個分行,隔壁是一間平價旅館,還有一間牙醫診所。
2015年5月,拉撒路病毒侵入孟加拉央行系統幾個月之後,有人在這家RCBC開了四個賬戶,開戶人是駭客的同犯。事後回想,其實是有疑點的:用來開戶的駕照是假的,開戶人分別就職於不同的公司,但職務和工資完全一樣。不過,當時沒有人注意到這些。幾個月過去了,這幾個賬戶裏除了開戶時存入的500美元,就再沒有錢款進出。
除了一個小小的環節:孟加拉央行總部10樓的一台打印機,負責打印央行所有賬戶的所有錢款流動記錄,留作紙質備份。
2016年2月4日晚上20:36時,駭客開始行動。他們發出35條轉款指令,金額總計9.51億美元,幾乎清空孟加拉央行在紐約聯儲局的美元賬戶。
不出意外的話,這起劫案最早要到五天後才會被人發現,而屆時作案者早已逃之夭夭,無影無蹤。
可是,就像好萊塢大片裏的銀行打劫案一樣,百密一疏,最後眼睜睜看著唾手可得的贓款與自己失之交臂。
這可能是個令拉撒路集團吐血的疏忽,只有一個,非常小,但最後一切都毀在這一小點上:拼寫錯誤。
Getty Images 孟加拉銀行總部大樓位於首都達卡的金融區 孟加拉銀行在那個周末發現賬上出現異常動向後困惑不解,找到網路安全專家阿斯塔納,請他的公司World Informatix協助調查。當時央行高層認為還有可能把這筆去向不明的錢追回來,因此對失竊案保密,不但公眾不知,甚至沒有向政府通報。
阿斯塔納很快順藤摸瓜找到了病毒潛伏的地方 — 位於銀行系統的核心部位的Swift,即環球銀行金融電信協會網路,世界各地的銀行通過這個系統完成金融交易清算。他還發現,在SWIFT看來,拉撒路駭客的轉款指令就是來自銀行員工,沒有疑問。
同時,孟加拉央行高層發現蓋子很難再捂下去,被偷走的錢也很難馬上追回。一部分失竊錢款已經進入菲律賓的銀行,而菲律賓法律規定只有通過法庭下令才能開始追款程序。申請法庭令,就意味著銀行劫案無法繼續對公眾保密。
美國眾議員卡羅琳·馬洛尼(Carolyn Maloney)聽到這個消息時正在去機場的路上。她記得當時的震驚。她當時覺得那就是金融市場發生的最可怕的事情之一。
她是眾議院金融服務委員會成員。因為劫案涉及SWIFT系統,就有可能危及全球對這個至關重要的交付清算系統的信心。
Getty Images 卡羅琳·馬洛尼眾議員在去機場的路上獲悉紐約 美國聯準會 也牽扯到這宗令人擔憂的銀行搶劫案 很快,馬洛尼和許多其他人懸在半空的心放下了些許 - 聯儲局證實,大部分涉案錢款沒有流出,因為指令被拒。
馬尼拉有很多銀行,RCBC在馬尼拉有很多分行。但是,拉撒路集團選擇在朱庇特街分行開戶,當時絶對不會想到這是個致命的錯誤。
馬洛尼告訴BBC,大部分轉款指令被聯儲局系統拒絶執行,因為其中有一個敏感詞,朱庇特;之所以敏感,是因為有一艘伊朗貨輪也叫這個名字。
朱庇特這個詞觸發了警鐘,聯儲局系統叫停執行指令,對交易進行審核評估,30條指令被拒,5條獲得執行,1億美元被盜。
Getty Images 遭駭客打劫後,孟加拉央行起先以為可以追回失竊款,故沒有通報政府 當孟加拉央行開始追款行動時,拉撒路駭客們已經先行了幾步。
2月5日,周五,馬尼拉朱庇特街RCBC分行的四個賬戶突然活躍異常,現金進帳,流出,轉入一個外匯公司,換成菲律賓貨幣,重新存入這家銀行,有一部分現款被提取。
即便洗過,這筆贓款還是有跡可循。為了保險起見,它必須完全脫離銀行系統。
Getty Images Solaire 賭場2013年開業 馬尼拉海濱賭場 Solaire 閃亮登場。這裏有高檔酒店、劇場、精品店,以及著名的賭場,那裏有大約400個賭桌,2000個老虎機。
被成功盜取的贓款中,5000萬美元經由RCBC流入了流光溢彩的Solaire和另一家賭場,Midas。另外3100萬美元下落不明。
通過賭場洗錢是為了掩蓋、消除贓款流動痕跡,但有沒有風險?
首先,網路大盜預訂了私人包間,裏面的玩家都是同伙;其次,贓款用來玩的是Baccarat,一種很簡單的博彩遊戲,有點經驗的玩家可以輕易收回90%的賭注,只是需要花點時間。
當然,孟加拉央行在這段時間裏追了上來,趕到馬尼拉,識別出贓款流動足跡。但是,線索到賭場之後就斷了。
當時,菲律賓的反洗錢法律法規還不適用於賭場。從賭場的角度看,沒有任何違法之處。
孟加拉央行設法從Midas設局的一個名叫 Kim Wong (疑似化名)的人手中追回1600萬美元。他先被起訴,後來控方撤訴。另外3400萬美元似乎徹底消失了。
澳門雲集了不少世界頂級賭場。21世紀初,曾經在這個賭城發現所謂「超級美鈔」 — 面值100美元的假鈔,洗假鈔的是北韓官員,美國當局堅稱這些質地極優的假鈔是在北韓印製的。
為這些假鈔提供洗錢服務的那家澳門本地銀行最終因為與平壤當局有關聯而被列入美國制裁清單。
澳門跟北韓其實有著密切關聯。1987年,一名北韓女特工在這個城市完成了特殊訓練後完成了一項任務 — 炸毀了一架大韓航空公司客機,115人喪生。北韓最高領導人金正恩的同父異母兄弟金正南在馬來西亞遭下毒喪生之前,曾在澳門客居多年。許多人相信他的死是北韓最高領袖的命令。
拉撒路駭客在菲律賓洗錢時,許多線索逐漸顯示,都指向澳門。數名在馬尼拉賭場私人包間設局的人被追蹤到澳門,用來預定Solaire 私人包間的兩家公司設在澳門。
從高空俯瞰的衛星圖片上,夜裏的韓國燈火通明而北方的北韓一片漆黑,因為電力短缺。美國中央情報局(CIA)數據顯示,北韓人均GDP是1700美元,低於塞拉利昂和阿富汗,屬於最貧窮的12個國家之一。
然而,這個國家似乎也培養出一些當今世界最張狂無忌、最詭異高超的網路駭客。
1948年,北韓國父金日成宣佈北韓人民民主共和國成立,建立社會主義政治制度,但實際上更類似於獨裁政權。
金日成去世後兒子金正日繼位,依仗軍方支持,延續金氏家族在北韓的政權。
Getty Images 平壤街頭的金日成、金正日巨幅畫像 金正日當政期間,北韓開始測試彈道導彈、嘗試開發核彈頭,激怒了美國。華盛頓聲稱,北韓軍備所需的大量資金來自非法渠道,包括印製百元面值的假美鈔。
金正日很早就確立了將網路戰爭納入國防戰略的目標,1990年設立北韓電腦中心(Korea Computer Centre);這個中心一直以來都是北韓的IT核心。
2010年,金正日第三個兒子金正恩被定為接班人,輿論造勢,將這名20多歲的未來領袖塑造成科技發展領軍人物,一方面借此贏得青年一代的忠誠,另一方面也是激勵年輕人成為新時代的戰士,用新的武器為領袖而戰。
Getty Images 宣傳壁畫上是金日成和金正日視察學校電腦教室 2011年晚些時候,金正恩就職。他把核武器稱為"寶劍",也面臨跟父輩同樣的問題:錢。
不同於前輩的是,2006年北韓試射遠程彈道導彈和首次核試驗之後,聯合國安理會通過制裁決議,發展高科技、軍事現代化的任務更複雜、更艱巨。
不過,擁抱高新科技並不等於敞開擁抱互聯網;一旦國內民眾可以自由上網,就會發現一個自己全然不知的外部世界,看到和聽到與本國政府和領袖的教誨完全不同的言論。
因此,平壤把最優秀的電腦編程人才送到國外,接受網路戰士所需具備的技能訓練。
Getty Images 平壤人民大學習堂圖書館的電腦可以上北韓國內的內聯網 大部分人被送到中國,學習如何像世界上其他人一樣使用電腦和網路:購物、賭博、社交和娛樂。有人認為,正是在這個過程中,北韓數學天才演變成了電腦駭客。
他們大部分在中國的北韓公司、機構和辦事處工作、生活。
前FBI北韓事務主管金京鎮(Kyung-jin Kim,音譯)說,這些北韓編程員/駭客技術嫻熟,很善於隱蔽,但總有百密一疏的時候,偶爾會露出蛛絲馬跡,而美國和韓國情報機構可以順藤摸瓜,根據IP地址找到他們身處何方。
根據這類蛛絲馬跡,拉撒路劫案調查團隊追蹤到中國東北城市瀋陽一家酒店,七寶山飯店,門口有一對石獅子。
根據旅遊和酒店門戶網站上的照片可以看到這家酒店的北韓特色:牀單、菜式、服務員的服裝和餐廳的歌舞表演,等等。
現在在韓國首爾當私家偵探的金京振說,北韓駭客2014年的首次國際行動,基地就在這家酒店,而這已經是互聯網社區眾所周知的事。
據北韓叛逃者李鉉升(Hyun-seung Lee,音譯)透露,在另一個中國北方城市,朴鎮赫生活了10年的大連,也有一批北韓電腦編程員在類似的地方居住、工作。
李本人在平壤出生、長大,曾隨父親在大連居住多年。他的父親是北韓官營企業商人,2014年率全家叛逃。
他說,自己住在大連的時候,那裏有大約500名北韓人,其中包括60多名程序員,都是年輕人。他是在一些北韓節慶活動場合跟那些人結識的。
其中一人邀請李到自己的居住的生活區去玩,他看到那裏住著大約20個人,一間屋子住4-6人,所有的電腦都在集中在作為辦公室的客廳。
Getty Images 大連有不少北韓政府、公司的外派人員 這個團隊當然是在北韓安全部門的監視下運作,但這些年輕人的生活相對北韓國內來說還是比較自由。
朴鎮赫在大連住了8年後,似乎顯得急於回平壤。2011年,FBE截獲了他發出的一份電郵,裏面提到想跟自己的未婚妻完婚。
FBI說,上級派他去執行新的任務:向全球最大的娛樂公司之一,位於加利福尼亞州好萊塢的索尼影業公司,發起網路攻擊。
2013年,索尼影業發佈新片預告,準備拍攝一部北韓題材的電影,一名脫口秀主持人和他的製片到北韓採訪金正恩,行前美國中情局說服他們借機刺殺金。
北韓發出警告:索尼要是敢發佈這部影片,北韓必將對美國採取報復行動。
2014年11月,索尼高層收到一封電郵,發件人自稱「和平衛士」(Guardians of Peace),宣稱將「給予重創」。
Getty Images 索尼新片《採訪》院線發行取消,只有少數獨立影院和數字版公映 三天後,索尼員工的電腦屏幕上出現了一張恐怖片圖像,一個有獠牙的血紅色骷髏直愣愣與人對視。駭客將他們的威脅付諸了行動。
公司高管的薪酬、保密郵件內容和尚未發行的新片的詳情被洩露,在網上曝光,而公司的電腦系統被駭客病毒入侵陷入癱瘓,員工的門禁卡失效,打印機無法啟動。
整整六個星期,索尼影業公司總部所在地的一個咖啡店無法接受信用卡付款。
最開始,索尼決定對平壤的威脅不予理會,按計劃發行這部名叫《採訪》(The Interview)的新片,但駭客發出人身攻擊的暴力威脅之後,計劃被叫停。主流院線表示不准備放映這部影片,最後只能在一些獨立影院上映,並在網上發行數字版。
事後回想,索尼遭駭客襲擊事件很可能是一次演習,為2016年打劫孟加拉央行行動做準備。
到今天為止,孟加拉央行還在努力追款,大約6500萬美元,對數十個機構和個人提起訴訟,包括菲律賓RCBC銀行;RCBC堅稱自己沒有違反任何法規。
2017年5月,WannaCry 勒索病毒像野火一樣全球蔓延,無數受害者的電腦、數據、文檔被鎖,必須支付價值數百美元的比特幣之後才能取回。
英國全民醫療服務系統(NHS)受到重創,醫院急診室系統遭病毒入侵,癌症患者的放療、化療、掃描不得不重新預約。
英國安全部門NCA和美國FBI聯手,經過調查發現病毒編碼與襲擊孟加拉央行和索尼影業公司的病毒高度相似。
FBI後來把WannaCry駭客襲擊作為對朴鎮赫的一項控罪。
Getty Images 2017年,金正恩檢閲精銳部隊 如果FBI的指控是正確的,那麼可以推測北韓網路部隊接納了加密數字貨幣。這對北韓而言是一大跳躍,因為基於去中心化技術(如區塊鏈)的虛擬貨幣基本上不需要經過正統的銀行系統,從而可以節省大量駭客行動的成本,比如不存在給中間人的報酬,或這筆開支會變得微不足道。
WannaCry 只是一個開端。之後的幾年中,網路技術安全公司發現更多勒索加密數字貨幣的駭客襲擊可以歸咎到北韓。
這些網路安全專家聲稱北韓駭客把目標對準虛擬幣交易所,比特幣之列加密數字貨幣會在那些交易所兌換成現鈔。
到目前為止,虛擬貨幣交易所被打劫的金額估計超過20億美元。
2021年2月,美國司法部起訴另外兩名北韓男子,稱他們也是拉撒路集團成員,與一個全球洗錢網路有關聯;這個網路從加拿大到尼日利亞,覆蓋大片地區。
電腦駭客攻擊、全球洗錢網路、處於技術前沿的加密數字貨幣盜竊......如果美國對北韓的這些指控都得到證實,那麼必須承認,大部分人嚴重低估了北韓的科技力量及其威懾力。
同時,這也展示了當今日益互聯的世界的實力動態、面對安全專家所說的「不對稱威脅」時我們的脆弱;所謂不對稱威脅是指實力不相當的敵對雙方,力量弱小的一方對較強大的一方構成嚴重程度與自身實力不相符的威脅。
傑夫·懷特( Geoff White )是網路安全專家,出版了 Crime Dot Com: From Viruses to Vote Rigging 和 How Hacking Went Global 等專著;吉恩· H ·李(Jean H Lee )2012年在平壤設立美聯社駐平壤記者站,現在華盛頓的威爾遜中心(Wilson Center)任資深研究員。
