- 前天
类别
😹
娱乐文字稿
00:00这是一个IP地址显示为朝鲜的黑客组织
00:04从2009年开始
00:05他们发动了一系列网络抢劫案
00:08涉案金额高达30亿美元
00:10这个组织被称为拉萨路集团
00:12他们的首要目标就是政府机构和银行
00:16国际社会普遍认为拉萨路集团就是朝鲜政府
00:20因为根据大量互联网攻击留下的中继显示
00:24他们的IP地址和初始目标都指向着同一个起源地
00:28有史以来金额最大的网络抢劫案
00:33正是拉萨路集团所为
00:35事情发生在孟加拉首都打卡
00:372016年2月5日星期五的上午
00:40孟加拉中央银行的值班经理乘坐着电梯
00:43来到银行大楼的10层
00:45这一层是银行安保最严密的区域
00:48只有少数的员工可以进入
00:50这两天银行的自动打印机出现了故障
00:53这台打印机连接着整个银行系统
00:55专门负责打印所有账户的款项进出记录
00:59银行经理的任务就是通过打印出来的报告
01:02对各项转账记录进行核查
01:04基本上每天都会有几十份报告进来
01:07所以打印机必须像路由器一样全年无休的工作
01:10但现在由于机器故障
01:12导致打印机的托盘里一直都是空的
01:15以前也发生过类似的小故障
01:17所以银行经理并没有当一回事
01:19孟加拉是一个穆斯林占多数的国家
01:22所以星期五和星期六是孟加拉的休假日
01:26值班经理决定明天再过来处理
01:28第二天星期六上午的九点
01:32他回到了办公室
01:33发现Swift软件的启动程序没有运行
01:37当他尝试打开的时候
01:39弹出了一个窗口
01:40提示到文件丢失或者被更改
01:43然后他就和同事挤在专用的电脑前
01:47按照流程一步一步的操作
01:49中午过后打印机终于开始重新启动
01:53然后羁押的转账报告一个接一个的被打印了出来
01:57不过很快他就发现不对劲的地方
02:00转账报告不仅比平时多很多
02:03而且金额都大的离谱
02:05仔细比对后发现多出了35份来历不明的转账记录
02:09而且都是从自己国家的银行转到其他国家的各个账户
02:14另外还多出三张来自纽约联储的传真
02:17内容是纽约联储要求孟加拉央行澄清
02:21他们在星期四晚上发出的35条转账指令
02:24总金额接近10亿美元
02:26而10亿美元几乎是孟加拉央行账户里的所有钱
02:31但是孟加拉央行从来不会在下班时间
02:35或者是节假日发出转账指令
02:37即便是工作日一天之内也很少超过三笔转账
02:41所以经理坚定的认为这一定是swift系统出现的故障
02:46于是他向布鲁塞尔的swift总部发送了一条重大事故报告
02:51然后通过电话联系了纽约联储
02:53想问问他们究竟发生了什么
02:55但是今天是星期六
02:57纽约联储没有上班
02:58最后他只能通过电子邮件和传真之类的方式
03:02询问纽约联储到底发生了什么
03:05随后他就关掉电脑回家继续过周末去了
03:08所以现在银行经理还没有意识到问题的严重性
03:12他更不可能知道自己正在经历的是历史上最大金额的黑客抢劫案
03:21这是一起非常缜密的网络抢劫案
03:23每个环节都经过了精心的策划和设计
03:26而且黑客的病毒代码早在一年前就已经潜伏在孟加拉央行的电脑系统中了
03:332015年1月孟加拉央行的职员收到了一份求职邮件
03:40发建人自称名叫拉塞尔阿拉木
03:42还附带了一条可下载的求职信和个人履历的文件
03:46这名求职者在邮件中的措辞非常有礼貌
03:49所以银行职员没有多想就点击了下载按钮
03:53那天晚上这名职员和往常一样下班回家
03:56所以他并不知道自己的举动已经酿成大祸
04:00很快他的举动就会震惊全国甚至全世界的银行体系
04:06因为他下载的并不是什么求职简历
04:08而是一个嵌入了韩语代码的病毒程序
04:12这个程序将寻找一个容易被攻破的终端进入银行网络
04:16然后很快感染银行的所有系统
04:19让黑客能够完全控制银行的计算机
04:22甚至可以看到银行职员正在操作的电脑屏幕
04:26所以黑客能够随心所欲的研究整个银行的内部运作
04:31他们收集了员工的密码设法进入了网络中保护最严密的角落
04:36swift服务器
04:37然后躲在众目睽睽之下潜伏了一整年
04:40彻底摸清了银行的业务运作情况
04:43并且安排了详细的撤退路线计划
04:46最后只需要等待一个完美的时机
04:482015年5月距离孟加拉国2850公里外的菲律宾首都马尼拉
04:56这里最大的一家银行就是离萨商业银行
05:00朱毕特大街分行
05:01两名男子来到这里使用驾照
05:04办理了四张银行账户
05:05然后分别在里面存放了500美元
05:08根据资料显示
05:09开户的两个人就职于不同的公司
05:12但他们的职务和工资是完全一样的
05:15当时没有人注意到这些
05:17在接下来的几个月
05:18这四个账户除了开户的时候存入的500美元
05:21就再也没有任何钱款进出
05:24就好像账户被遗弃了一样
05:292016年2月4日星期四晚上
05:32也就是银行经理发现自动打印机崩溃的前一天晚上
05:36这就是黑客认为的最佳时机
05:39一切准备就绪除了那台打印机
05:41因为他打印出来的白纸黑字很容易被人发现黑客
05:46正在作案
05:47所以必须迁入这台打印机的系统
05:50让他出点故障
05:51晚上8点36分
05:53银行职员终于全部下班
05:55现在银行里面空无一人
05:57黑客开始了他们的行动
05:59再说一遍
06:00孟加拉国是穆斯林占多数的国家
06:03所以星期五和星期六是休假日
06:05明后天银行不上班
06:07所以黑客决定在这时候全面进入银行系统
06:10然后通过swift发出了35条转账指令
06:14把资金转移到了斯里兰卡
06:16和提前在菲律宾开设的4个银行账户
06:19金额总计9.51亿美元
06:21基本清空了孟加拉央行的美元账户
06:24不出意外的话
06:25这起网络结案最早也要5天之后才能被处理
06:29到那个时候犯罪分子早就逃之夭夭了
06:32银行经理一度认为是swift系统出现了重大问题
06:38所以他的第一反应是向swift总部进行了投诉
06:42其实swift作为一款全球性的支付平台
06:45使用的是军用级的安全系统
06:48机构需要通过多因素的身份验证才能进行登录
06:52而且swift本身并不能促成资金的转移
06:55而是在账户之间发送一种叫做支付指令的东西
06:59你也可以把它理解成一种验证吧
07:02然后银行根据这种验证码进行下一步操作
07:05这也是所有银行的基本标准
07:08所以作为一名普通的黑客想要转走你卡里的钞票
07:11通常他们更乐意盗取你银行账户的登录信息
07:15而不是跑去入侵银行系统
07:19但是孟加拉央行遇到的情况恰恰相反
07:22黑客直接把银行系统作为攻击目标
07:25利用恶意程序收集银行合法的swift的凭证
07:29然后他们就可以像银行正规的职员一样
07:32随心所欲的控制swift的服务器
07:35所以swift本身是没有太大问题的
07:38但是跟他合作的银行就必须做好
07:41自身的网络安全工作
07:43这就是黑客喜欢攻击一些落后国家银行的原因
07:48现在黑客已经通过swift向纽约联储发出了35条转账指令
07:53总金额接近10亿美元
07:55而纽约联储是世界上大部分银行的首门人
07:59孟加拉央行就是纽约联储的客户
08:01他们在账户里存放了10亿美元
08:04专门用来进行国际结算
08:06换句话说
08:07孟加拉央行的国际转账需要通过纽约联储
08:10才能到达世界各地的银行账户
08:13黑客的计划就是在两个银行之间不方便联系的时候发起进攻
08:18所以黑客在打卡时间星期四晚上行动
08:21也就是纽约的星期四上午
08:23纽约联储收到了这35笔的转账请求
08:26但是孟加拉央行已经关门下班
08:29第二天是星期五孟加拉银行的休假日
08:33按照工作流程
08:34纽约联储没理由拒绝这些转账
08:37因为黑客使用的是完全合法的swift的服务器
08:41他们更不可能发现这是一期抢劫案
08:44通常我们使用支付宝或者网上银行提现或者转账的话
08:48两小时之内就能到账
08:50而孟加拉央行通过纽约联储的国际转账通常也只需要几个小时
08:562月7日星期天孟加拉央行开始上班
09:00银行的职员们终于回到了工作岗位
09:02由于前两天打印机的故障导致今天的工作堆积如山
09:07他们没有意识到打印机的故障非同寻常
09:10黑客发出转账指令之后
09:13利用连接swift网络的自动打印机
09:16从数据库中删除了转账记录
09:18从而尽可能的抹除证据
09:21然后他们更新了孟加拉央行在纽约联储账户中的余额
09:25看起来就像从来没有扣过款一样
09:28这就是黑客抹除作案痕迹的方法
09:31所以让打印机崩溃是非常关键的一环
09:34不仅可以删除大量的作案证据
09:36同时能给他们的作案提供足够多的时间
09:40回到打印机崩溃的前一天
09:4235笔订单中的其中5笔
09:44在没有发出任何警报的情况下被成功转移
09:48其中一笔金额为2000万美元转到了沙利卡基金会
09:51这个基金会是斯里兰卡的一家农业非政府组织
09:55另外4笔转给了菲律宾黎沙银行的4个个人账户
09:59还剩下30笔
10:01我们等会再讲
10:02所以直到2月7日星期天下午
10:04孟加拉央行的职员才意识到问题的严重性
10:08然后开始向纽约联储和黎沙银行发送了停止付款令
10:12可惜星期天是纽约联储的休假日
10:15加上这几天正好是农历新年
10:17整个菲律宾都需要休假三天
10:20所以两边都联系不上
10:22打卡时间星期一下午
10:24纽约联储开门营业的时候
10:26才看到孟加拉央行要求停止付款的请求
10:30但被告知为时已晚
10:32星期二上午抢劫案发生的第五天
10:35孟加拉央行经理终于通过办公室的电话
10:38联系到了菲律宾黎沙银行的同行
10:41然后请求他们进行干预
10:44但是菲律宾银行行长却反过来要求孟加拉通过书面形式提供一份外交文件
10:50而且根据他们的法律只能通过法庭下令的形式
10:54才能在菲律宾的银行开启罪款程序
10:57不过孟加拉央行是幸运的
10:59由于黑客很小的一个失误
11:01让其中30笔总额为8.5亿的转账订单
11:05被纽约联储的自动化程序给拦截了
11:08系统标记了朱毕特这个单词
11:11他正好跟制裁名单上一家伊朗的货船公司朱毕特船运的名称相匹配
11:16这是一家总部在雅典因为逃避对伊朗的制裁而被拉黑的公司
11:22虽然只是一个巧合
11:23但直接让黑客扫赚了8.5亿美元
11:26即便如此
11:28前面提到的无比转账
11:29总金额也有1.01亿美元
11:32仍然是个庞大的数字
11:34其中只有一笔被成功坠毁
11:36这是斯里兰卡范亚银行一名小职员的功劳
11:39他注意到了一些不合理的地方
11:41首先斯里兰卡本身穷的都快破产了
11:45加上沙利卡基金会是一个很小的非政府非盈利组织
11:492000万美元对双方来说都是一个庞大的数字
11:53斯里兰卡银行的转账是通过德意志银行处理的
11:57所以这名职员要求德意志银行对这笔转账进行审查
12:01德意志银行也发现了黑客的致命失误
12:04经过仔细核查后发现
12:07曲线请求中的基金这个单词
12:10foundation被拼写成了foundation
12:13这么小的失误又让黑客少赚了2000万
12:17然后德意志银行主动联系了孟加拉央行
12:20他们立刻发出了紧急停止付款令
12:23所以这笔转账被成功的追回了
12:25剩下的四笔转账总计8100万美元
12:29就是黑客成功打结的金额
12:31直到今天也没有被追回
12:33这就是历史上最大的一起黑客抢劫案
12:36相比2018年印度城市联合银行被拉萨路集团抢劫的时候
12:41他们只损失了150万美元
12:44这四笔资金都是从菲律宾黎薩商业银行转出
12:49犯罪分子不仅成功的利用虚假驾照在这里办理了4张虚假银行账户
12:55而且在他们的虚假账户休眠了9个月之后
12:58突然转入8100万美元巨款的情况下
13:01黎薩银行非但没有任何警报还要求孟加拉央行提供书面外交邮件
13:08所以这些都发生在了同一个国家的同一个银行的同一家分行
13:13或许是抢劫案正好发生在农历新年
13:16菲律宾银行停业才导致他们无心处理
13:19这也反映了黑客集团巧妙的时机选择
13:23黑客在星期四晚上孟加拉央行下班之后动手
13:27星期五纽约联储发出警告
13:30但是星期五是孟加拉的周末
13:32银行不上班
13:33星期天孟加拉央行开始上班
13:36但是星期天是美国的周末
13:38联系不到纽约联储
13:39星期一纽约联储终于开始上班了
13:43但是农历新年菲律宾放假三天
13:46也就是说这次抢劫
13:47黑客集团对孟加拉美国菲律宾的时差都进行了计算
13:52加上孟加拉银行的内控失效
13:55给黑客腾出了整整五天的操作时间
13:58当人们终于开始处理问题的时候
14:00已经来不及了
14:02现在黑客集团成功的转移了8100万美元
14:06但这只不过是他们计划的第一部分
14:09把数字现金变成真钱
14:11再让真钱无法被追踪
14:13是他们接下来要做的
14:15菲律宾不仅银行系统不咋地
14:18它更是一个理想的洗钱场所
14:21很多犯罪集团会利用菲律宾的银行系统
14:24商业企业
14:25尤其是赌场进行洗钱
14:27比如1990年代卡加盐经济区启动了
14:30赌场运营保密和客户匿名的政策
14:33这种保密政策可以让犯罪集团轻松的把非法收益转移到离岸银行
14:38为了保险起见
14:40抢劫得来的账款必须完全脱离银行系统
14:43于是黑客同伙来到了马尼拉海滨赌场
14:46这里有星级酒店剧场和有名的赌场
14:49以及400个赌桌和2000个老虎机
14:52其中5000万美元通过离萨商业银行流入海滨赌场和万达斯赌场
14:58另外3100万美元下落不明
15:01通过赌场洗钱是为了掩盖消除账款的流动痕迹
15:05那有没有风险呢
15:06没有
15:07犯罪分子在赌场里订了VIP包间
15:10里面都是黑客的团伙
15:12他们玩一种叫做百家乐的博彩游戏
15:15能够收回大约90%的赌注
15:17只是需要花点时间
15:19犯罪分子将筹码变成了无法被追踪的现金
15:23而且菲律宾赌场的匿名是完全合法的
15:26他们不需要登记自己的身份
15:28这就是黑客洗钱的方式
15:31问起来了
15:33谁能够拥有如此专业的知识和胆量
15:36进行如此缜密的网络抢劫行动呢
15:39案发起之后
15:42孟加拉央行聘请了美国网络安全公司进行调查
15:46当调查人员赶到马尼拉
15:48并且开始识别账款流动痕迹的时候
15:50线索在赌场里中断了
15:53过程中调查人员发现很多线索都指向了澳门
15:57比如预定VIP包间的两家公司都设在澳门
16:01澳门云集了不少世界顶级赌场
16:072000年左右在澳门赌城发现了传说中的超级美元
16:11面值都是100美元的假钞
16:14洗这些假钞的则是朝鲜官员
16:16这就是美国坚称超级美元是由朝鲜印制的原因
16:21另一个关键线索也指向了澳门
16:23调查员发现在菲律宾银行办理虚假账户的两名男子只不过是中间人
16:29但调查员仍然希望找到这两名男子
16:32然后通过刑讯逼供的一条龙服务从他们口中撬出真正的幕后黑手
16:38结果这两名男子早就离开了菲律宾登上了飞往澳门的航班
16:43线索再一次指向了澳门
16:45所以调查组认为大部分账款可能都是经过澳门流向朝鲜
16:50尽管黑客在作案过程中尽其所能的从孟加拉央行的系统中删除了大量的犯罪证据
17:00但网络分析师把黑客使用的一些恶意软件和其他网络攻击案进行了比较
17:06结果发现大量网络犯罪所使用的软件代码基本相同
17:11比如2014年11月索尼影业耗资4400万拍摄的采访
17:17讲述了两个明星记者利用采访机会刺杀朝鲜领导人金正恩的虚构故事
17:24于是索尼影业遭到了黑客攻击
17:26一个自称和平守护者的组织发布了一份电子邮件
17:30对索尼进行了威胁
17:32导致索尼大量的服务器陷入瘫痪
17:35一个自称黑色首尔的组织在2013年3月进行了一次黑客攻击
17:40导致三家韩国银行的网络服务器陷入瘫痪
17:44还冻结了两家韩国广播公司的计算机
17:48更有名的就是2017年5月
17:51Wonercry勒索软件使用的代码也基本相同
17:54黑客在Windows系统植入代码
17:57导致全球至少有20万台电脑陷入瘫痪
18:00不过黑客也非常仁慈
18:02只需要支付比特币就可以解冻
18:05这些网络攻击都使用着类似或者基本相同的代码
18:09是否意味着拉萨路集团需要对一系列的网络犯罪进行负责
18:14随着继续深挖多起网络攻击的服务器日志
18:19分析师有了更加令人毛骨悚然的发现
18:23将拉萨路连接到朝鲜的国家IP
18:26他们没能及时隐藏自己的踪迹
18:29日志还显示他们使用的服务器曾经被朝鲜IP访问
18:33并且在电脑中嵌入了韩语代码
18:36计算机安全研究专家通过对十几起主要的网络攻击和抢劫案进行了分析之后认定
18:43朝鲜就是这一系列网络攻击的幕后黑手
18:47如果这些所谓专家说的一切属实的话
18:50那么孟加拉央行网络抢劫案将是世界上第一起民族国家行为者实施网络抢劫的案件
推荐视频
10:40
|
接下来播放
1:11:05
16:40
39:52
5:53
15:58
1:32:49
23:48
1:23:58
1:35:33
1:50:23