Wyobraź sobie, że jesteś nisko opłacanym pracownikiem w Indiach, któremu zaoferowano pracę jako statysta w bollywoodzkim filmie. Twoja rola? Iść do bankomatu i wypłacić trochę pieniędzy.

W 2018 roku kilku mężczyzn w stanie Maharasztra myślało, że przyjmą niewielką rolę w filmie – ale w rzeczywistości zostali oszukani, by być mułami pieniężnymi, zbierającymi pieniądze w ambitnym napadzie na bank.

Nalot miał miejsce w weekend w sierpniu 2018 r. i koncentrował się na banku Cosmos Co-operative, który ma swoją siedzibę w Pune.

W spokojne sobotnie popołudnie pracownicy centrali banku otrzymali nagle serię niepokojących wiadomości.

Pochodziły one z firmy płatniczej Visa w Stanach Zjednoczonych, ostrzegając, że mogą napływać tysiące żądań dużych wypłat gotówki z bankomatów – przez osoby najwyraźniej używające kart Cosmos Bank.

Ale kiedy zespół Cosmos sprawdził swoje własne systemy, nie zauważył żadnych nieprawidłowych transakcji.

Około pół godziny później, dla bezpieczeństwa, upoważnili Visę do wstrzymania wszystkich transakcji z kart bankowych Cosmos. Ta zwłoka okazałaby się niezwykle kosztowna.

Następnego dnia Visa udostępniła centrali Cosmos pełną listę podejrzanych transakcji: około 12 000 oddzielnych wypłat z różnych bankomatów na całym świecie.

Bank stracił prawie 14 milionów dolarów (11,5 miliona funtów).

Ostrzeżenie: ten artykuł zawiera spoilery dotyczące podcastu Lazarus Heist

Była to zuchwała zbrodnia, charakteryzująca się rozmachem i drobiazgową synchronizacją. Przestępcy plądrowali bankomaty w 28 różnych krajach, w tym w Stanach Zjednoczonych, Wielkiej Brytanii, Zjednoczonych Emiratach Arabskich i Rosji. To wszystko wydarzyło się w ciągu zaledwie dwóch godzin i 13 minut – niezwykły globalny flash mob przestępczy.

W końcu śledczy prześledzili jego pochodzenie z powrotem do tajemniczej grupy hakerów, którzy wykonali serię poprzednich ataków pozornie na żądanie państwa północnokoreańskiego.

Ale zanim poznali szerszy obraz, śledczy z jednostki ds. cyberprzestępczości stanu Maharashtra byli zdumieni, widząc nagrania z kamer CCTV przedstawiające dziesiątki mężczyzn idących do szeregu bankomatów, wkładających karty bankowe i wpychających banknoty do toreb.

„Nie wiedzieliśmy o takiej sieci mułów pieniężnych”, mówi generał insp Brijesh Singh, który prowadził dochodzenie.

Singh mówi, że jeden gang miał opiekuna, który monitorował transakcje bankomatowe w czasie rzeczywistym na laptopie. Nagranie z monitoringu pokazało, że ilekroć muł finansowy próbował zatrzymać część gotówki dla siebie, przewodnik zauważał to i dawał mu mocne klapsy.

Korzystając z nagrań z kamer przemysłowych oraz danych z telefonów komórkowych z obszarów w pobliżu bankomatów, indyjscy śledczy byli w stanie aresztować 18 podejrzanych w kilka tygodni po nalocie. Większość z nich przebywa obecnie w więzieniach i oczekuje na proces.

Singh mówi, że ci ludzie nie byli zatwardziałymi oszustami. Wśród aresztowanych byli kelner, kierowca i szewc. Inny miał stopień farmaceutyczny.

„To byli delikatni ludzie” – mówi.

Mimo to uważa, że ​​do czasu nalotu nawet mężczyźni zwerbowani jako „statyści” wiedzieli, co naprawdę robią.

Ale czy wiedzieli dla kogo pracują?

Śledczy uważają, że za napadem stoi tajne i odizolowane państwo Korei Północnej.

Hakerzy, Korea Północna i miliardy dolarów.

Korea Północna jest jednym z najbiedniejszych krajów świata, jednak znaczna część jej ograniczonych zasobów przeznaczana jest na budowę broni nuklearnej i pocisków balistycznych, co jest działalnością zakazaną przez Radę Bezpieczeństwa ONZ. W rezultacie ONZ nałożyła na kraj uciążliwe sankcje, przez co handel stał się bardzo restrykcyjny.

Od dojścia do władzy 11 lat temu przywódca Korei Północnej Kim Dzong Un nadzorował bezprecedensową kampanię testowania broni, w tym cztery próby nuklearne i kilka prowokacyjnych prób wystrzelenia rakiet międzykontynentalnych.

Władze USA uważają, że rząd Korei Północnej wykorzystuje grupę elitarnych hakerów do włamań do banków i instytucji finansowych na całym świecie w celu kradzieży pieniędzy potrzebnych do utrzymania gospodarki i finansowania programu zbrojeniowego.

Uważa się, że hakerzy, nazywani Grupą Łazarza, należą do jednostki kierowanej przez potężną agencję wywiadu wojskowego Korei Północnej, Reconnaissance General Bureau.

Eksperci od cyberbezpieczeństwa nazwali hakerów na cześć biblijnej postaci Łazarza, który powraca z martwych – ponieważ kiedy ich wirusy dostaną się do sieci komputerowych, są prawie niemożliwe do zabicia.

Grupa Lazarus została od tego czasu oskarżona o próbę kradzieży 1 miliarda dolarów (815 milionów funtów) z banku centralnego Bangladeszu w 2016 roku oraz o przeprowadzenie cyberataku WannaCry, który miał na celu wydobycie okupu od ofiar na całym świecie, w tym NHS w Wielkiej Brytanii.

Korea Północna zdecydowanie zaprzecza istnieniu Grupy Lazarus i wszelkim zarzutom o hakowanie sponsorowane przez państwo.

Ale czołowe organy ścigania twierdzą, że ataki hakerskie Korei Północnej są bardziej zaawansowane, bardziej bezczelne i bardziej ambitne niż kiedykolwiek.

W napadzie Cosmos hakerzy wykorzystali technikę znaną jako „jackpot” – tak zwaną, ponieważ zmuszenie bankomatu do wylania gotówki jest jak trafienie jackpota na automacie.

Systemy banku zostały początkowo zaatakowane w klasyczny sposób: poprzez wiadomość phishingową otwartą przez pracownika, która zainfekowała sieć komputerową złośliwym oprogramowaniem. Po wejściu do środka hakerzy zmanipulowali trochę oprogramowania – zwanego przełącznikiem bankomatu – które wysyła wiadomości do banku w celu zatwierdzenia wypłaty z bankomatu.

To z kolei dało hakerom moc zezwalania na wypłaty z bankomatów od ich wspólników w dowolnym miejscu na świecie. Jedyną rzeczą, której nie mogli zmienić, była maksymalna kwota każdej wypłaty, więc potrzebowali wielu kart i wielu ludzi na ziemi.

Przygotowując się do nalotu, współpracowali ze wspólnikami w celu stworzenia „sklonowanych” kart bankomatowych – używając prawdziwych danych konta bankowego do stworzenia duplikatów kart, których można używać w bankomatach.

Brytyjska firma ochroniarska BAE Systems od razu podejrzewała, że ​​jest to dzieło grupy Lazarus. Monitorował ich od miesięcy i wiedział, że planują atak na indyjski bank. Nie wiedział tylko, który.

„To byłby zbyt wielki zbieg okoliczności, gdyby była to kolejna operacja przestępcza” — mówi Adrian Nish, badacz bezpieczeństwa BAE. Mówi, że Grupa Lazarus jest wszechstronna i bardzo ambitna. „Większość grup przestępczych prawdopodobnie byłaby wystarczająco szczęśliwa, gdyby uszło im na sucho kilka milionów i poprzestałoby na tym”.

Logistyka związana z napadem na Cosmos Bank jest oszałamiająca. W jaki sposób hakerzy znaleźli wspólników w 28 krajach, w tym w wielu, których obywatele Korei Północnej nie mogą legalnie odwiedzić?

Amerykańscy śledczy ds. bezpieczeństwa technicznego uważają, że Grupa Lazarus spotkała jednego kluczowego pośrednika w ciemnej sieci, gdzie istnieją całe fora poświęcone wymianie umiejętności hakerskich i gdzie przestępcy często sprzedają usługi wsparcia. W lutym 2018 r. użytkownik nazywający się Big Boss zamieścił wskazówki, jak przeprowadzić oszustwo związane z kartami kredytowymi. Powiedział również, że ma sprzęt do sklonowania kart bankomatowych i że ma dostęp do grupy mułów pieniężnych w Stanach Zjednoczonych i Kanadzie.

To była dokładnie usługa, której Grupa Lazarus potrzebowała do uderzenia w Cosmos Bank i zaczęła współpracować z Big Boss.

Poprosiliśmy Mike’a DeBolt, głównego oficera wywiadu w Intel 471 – amerykańskiej firmie zajmującej się bezpieczeństwem technologicznym – aby dowiedział się więcej o tym wspólniku.

Zespół DeBolt odkrył, że Big Boss był aktywny przez co najmniej 14 lat i miał ciąg aliasów: G, Habibi i Backwood. Detektywi ds. bezpieczeństwa zdołali powiązać go ze wszystkimi tymi nazwami użytkowników, ponieważ używał tego samego adresu e-mail na różnych forach.

„Zasadniczo jest leniwy” — mówi DeBolt. „Widzimy to dość często: aktorzy zmieniają swoje pseudonimy na forum, ale zachowują ten sam adres e-mail”.

W 2019 roku Big Boss został aresztowany w Stanach Zjednoczonych i zdemaskowany jako Ghaleb Alaumary, 36-letni Kanadyjczyk. Przyznał się do przestępstw, w tym prania funduszy z rzekomych napadów na banki w Korei Północnej, i został skazany na 11 lat i osiem miesięcy.

Korea Północna nigdy nie przyznała się do udziału w pracy Cosmos Bank ani w żadnym innym programie hakerskim. BBC przedstawiła zarzuty udziału w ataku Kosmosu ambasadzie Korei Północnej w Londynie, ale nie otrzymała odpowiedzi.

Jednak kiedy skontaktowaliśmy się z nim wcześniej, ambasador Choe Il odpowiedział, że zarzuty dotyczące hakowania i prania brudnych pieniędzy przez państwo północnokoreańskie są „farsą” i próbą „zszargania wizerunku naszego państwa”.

W lutym 2021 roku FBI, tajne służby USA i Departament Sprawiedliwości ogłosiły zarzuty wobec trzech podejrzanych hakerów z Grupy Lazarus: Jona Chang Hyoka, Kim Ila i Park Jin Hyoka, o których mówili, że pracują dla agencji wywiadu wojskowego Korei Północnej. Uważa się, że są teraz z powrotem w Pjongjangu.

Władze USA i Korei Południowej szacują, że Korea Północna ma do 7000 wyszkolonych hakerów. Jest mało prawdopodobne, aby wszyscy pracowali z kraju, w którym niewiele osób ma pozwolenie na korzystanie z internetu, przez co działania użytkowników są trudne do ukrycia. Zamiast tego często są wysyłane za granicę.

Ryu Hyeon Woo, były północnokoreański dyplomata i jedna z najwyższych rangą osób, które opuściły reżim, przedstawił wgląd w to, jak hakerzy działają za granicą.

W 2017 roku pracował w ambasadzie Korei Północnej w Kuwejcie, pomagając nadzorować zatrudnienie około 10 000 Koreańczyków z Północy w regionie. W tym czasie wielu pracowało na budowach w całej Zatoce Perskiej i podobnie jak wszyscy pracownicy z Korei Północnej musieli przekazywać reżimowi większość swoich zarobków.

Powiedział, że do jego biura codziennie dzwonił północnokoreański opiekun, który nadzorował 19 hakerów mieszkających i pracujących w ciasnych kwaterach w Dubaju. „To naprawdę wszystko, czego potrzebują: komputer podłączony do Internetu” – powiedział.

Korea Północna zaprzecza, by hakerzy byli wysyłani za granicę, tylko pracownicy IT z ważnymi wizami. Ale opis pana Ryu pasuje do zarzutów FBI dotyczących tego, jak te cyberjednostki działają z akademików na całym świecie.

We wrześniu 2017 r. Rada Bezpieczeństwa ONZ nałożyła na Koreę Północną najsurowsze jak dotąd sankcje, ograniczając import paliw, dalsze ograniczenia eksportu i żądając, aby państwa członkowskie ONZ odesłały północnokoreańskich pracowników do domu do grudnia 2019 r.

Jednak hakerzy nadal wydają się być aktywni. Teraz atakują firmy kryptowalutowe i szacuje się, że ukradli blisko 3,2 miliarda dolarów.

Władze USA nazwały ich „czołowymi rabusiami banków na świecie”, używając „klawiatur zamiast broni”.