[88] (для сравнения в Великобритании живет шестьдесят шесть миллионов человек, а ее ВВП составляет два триллиона долларов) – чрезвычайно важно, чтобы банк работал стабильно. Сотрудников, получивших письмо от Ахлама, выбрали не случайно. Кто-то тщательно изучил получателей, а также Банк Бангладеш в целом. Агенты ФБР, которые вели следствие по делу хакеров, взломавших Sony, обнаружили, что один из аккаунтов Google, связанный с этим взломом, также использовался для поиска информации о банке.
Атака на сотрудников через электронную почту была незамысловата, но трюк сработал: анализ ФБР показал, что резюме открыли на трех компьютерах банка, после чего по крайней мере один из них оказался заражен вирусом, что позволило хакерам использовать его, чтобы постепенно расширять свой доступ к банковским системам[89]. В своем ремесле хакеры применяют инструменты с непонятными названиями, и это вторжение не стало исключением: среди прочих хакеры использовали такие вирусы, как Nestegg, Macktruck и Sierra Charlie, и благодаря им к марту 2015 года обеспечили себе постоянную цифровую лазейку в банк. Работая осторожно и неприметно, они постепенно осваивались в его системах, и через некоторое время уже сумели перенаправить денежный поток из хранилища. Им светила нажива в несколько миллиардов долларов.
Но сначала хакерам предстояло продумать, как похитить деньги, после того как они будут выведены из сейфа.
Отделение филиппинского банка RCBC на Джупитер-стрит находится в небольшом и непримечательном здании в состоятельном манильском районе Макати. Этажом выше располагаются стоматологический кабинет и мастерская по ремонту сумок. Несмотря на скромный вид этого здания, вход в банк охраняется скучающим охранником, вооруженным пугающе огромным помповым ружьем – стандартным оружием для защиты манильских финансовых организаций и элитных офисов.
В 2015 году во главе этого отделения стояла Майя Сантос Дегуито. В мае, через несколько месяцев после того, как хакеры получили доступ в систему Банка Бангладеш, ее попросили открыть пять новых счетов. Точные обстоятельства этого по-прежнему оспариваются: Дегуито утверждает, что встретилась с каждым из пяти будущих владельцев лично. Другие свидетели заявляют, что этих встреч не было, а все пять счетов она открыла через единственного посредника, с которым познакомилась в казино. Так или иначе, очевидно, что предъявленные водительские права оказались поддельными. Подозрительно было и другое: все пятеро держателей счетов указали, что получают одинаковую зарплату, работая на одинаковых позициях у разных работодателей. Приветственные письма, отправленные новым клиентам, вернулись нераспечатанными[90].
Что-то здесь было нечисто, но, возможно, в тот момент это не имело особого значения: несколько месяцев счета не использовались, а изначально положенные на каждый из них пятьсот долларов оставались нетронутыми. Но через некоторое время эти пять счетов стали частью международной операции по отмыванию денег, из-за которой Дегуито оказалась на грани пожизненного тюремного заключения. Ее отделение было подготовлено для вывода средств, добытых незаконным путем в ходе взлома Банка Бангладеш, и она стала не единственной жертвой хакеров. Преступники прочесывали весь мир, чтобы обеспечить себе десятки различных путей для вывода денег.
В пяти тысячах километров от Филиппин, на Шри-Ланке, Шалика Перера размышляла о коровах. В частности, о молочном производстве, которое она хотела открыть в горном регионе Матале, находящемся в глубине острова в нескольких сотнях километров от шри-ланкийской столицы Коломбо.
Перера управляла благотворительным фондом Shalika Foundation, надеясь таким образом заслужить репутацию, чтобы сделать первые шаги в политике[91]. Как президент фонда, она сотрудничала с другим шриланкийцем и взаимодействовала с японским посредником для получения крупных пожертвований. Судя по всему, предприятие приносило немалую прибыль: на сайте Shalika Foundation перечислены пожертвования на десятки миллионов долларов, многие из них – из Японии.
Сайт показывает, что дела шли хорошо. Финансирование получали различные проекты, от программ застройки до установки электрических генераторов. Но оказалось, что хакеры увидели в шри-ланкийском благотворительном фонде Переры еще один потенциальный канал для вывода украденных миллионов. Она тоже вскоре оказалась в центре внимания. И она была не единственной, кому предстояло получить украденные деньги: всего по миру для этого подготовили тридцать шесть счетов. Хакеры (или, что более вероятно, их сообщники) не один месяц работали над международной сетью получателей для сотен миллионов, которые они планировали украсть из Банка Бангладеш, по-прежнему не подозревающего о том, что преступники скрываются внутри его систем.
К началу 2016 года пути отхода были продуманы, а почва для ограбления подготовлена. Как и все опытные грабители банков, хакеры хотели обеспечить себе максимум времени на взлом.
Рабочие неделя в Бангладеш длится с воскресенья по четверг, а это значит, что в пятницу и субботу в Банке Бангладеш на рабочем месте будет минимум сотрудников.
На Филиппинах, где Майя Сантос Дегуито открыла пять счетов в банке RCBC, в понедельник, 8 февраля 2016 года, отмечался китайский Новый год, а потому был объявлен выходной. Удачно распределив время с учетом рабочих часов в этих странах, хакеры получали четыре полных дня, чтобы вывести большую часть средств.
Дополнительное преимущество им давало использование еще одного часового пояса. Он появлялся в связи с особенностями распределения резервов в Банке Бангладеш. Штаб-квартира банка находилась в Дакке, но там хранились не все его средства. Около одного миллиарда долларов, то есть большая часть его иностранных резервов, лежало на счету в престижном Федеральном резервном банке (ФРБ) Нью-Йорка[92]. Хакеры намеревались опустошить этот счет, не оставив на нем практически ни цента.
Когда Банк Бангладеш хотел произвести операцию со своего нью-йоркского счета, он отправлял в ФРБ Нью-Йорка инструкции для совершения перевода с помощью системы SWIFT (Society for Worldwide Interbank Financial Telecommunications, «Общество всемирных межбанковских финансовых каналов связи»). Эта система установлена более чем в одиннадцати тысячах банков по всему миру и представляет собой один из основных инструментов для отправки инструкций совершения международных межбанковских переводов[93]. Наиболее эффективным способом лишить Банк Бангладеш его долларовых резервов была отправка в ФРБ Нью-Йорка сообщений SWIFT с инструкциями для проведения транзакций с его счета. Поскольку запросы на перевод приходили с внутренних компьютеров банка, они ничем не отличались от настоящих.
29 января 2016 года, ровно через год после первого проникновения в банк, воры приступили к работе. До тех пор они взламывали банковские компьютеры, тщательно маскируя свой интернет-трафик, чтобы не вызвать подозрений. Но взломанные компьютеры не управляли деньгами. Хакерам необходимо было добраться до терминалов системы SWIFT. Следующие несколько дней они переходили от машины к машине, пользуясь украденными логинами и другими хитрыми способами переключения между устройствами. К четвергу, 4 февраля, они проторили себе путь к цели – к компьютеру, который использовался для обработки сообщений SWIFT. Большинство людей, не связанных с банковской сферой, никогда не слышали о такой программе и понятия не имеют, как с ней работать. У хакеров, однако, таких проблем не возникло.
«Когда они проникли внутрь, они уже все знали, – говорит Эрик Чен, изучавший улики после атаки на банк старший научный сотрудник компании Symantec, работающей в сфере технологической безопасности. – Они понимали, как работает SWIFT, и держали нужные программы наготове. Такое впечатление, что после входа на устройство они открыли программу и осуществили перевод, как кассир-операционист».
На самом деле, по данным ФБР, у хакеров была возможность попрактиковаться как минимум на двух других банках, использующих систему SWIFT. В декабре 2015 года вьетнамский банк Thien Phong заявил, что заблокировал попытку отправить 1,1 миллион долларов в словенский банк, когда его системы SWIFT подверглись атаке. Впоследствии сотрудники ФБР обнаружили в системах вьетнамского банка вирусы, которые также использовались для взлома Банка Бангладеш. Кроме того, агенты ФБР нашли другие случаи применения подобного вредоносного программного обеспечения в одном филиппинском банке, чьи системы SWIFT подвергались атакам с конца 2015 до начала 2016 года, хотя в итоге денег из него так и не перевели[94].
И хакеры, взломавшие Банк Бангладеш, естественно, были не первыми, кто решил пойти в наступление на систему SWIFT. Документы, предположительно украденные из Агентства национальной безопасности США (АНБ) и обнародованные в апреле 2017 года, показывают, что американские агенты взламывали ближневосточные и латиноамериканские банки, атакуя их системы SWIFT, еще с 2013 года. На слайдах презентации с эмблемой АНБ гордо сообщается о наличии у агентства доступа в пять ближневосточных банков[95]. Ничто не говорит о том, что АНБ воровало деньги через SWIFT, и есть подозрения, что агентство использовало доступ к банкам, чтобы следить за финансированием терроризма. АНБ отказалось комментировать украденные документы.
Даже до 2013 года система SWIFT обсуждалась на форумах киберпреступников. В ходе исследования, проведенного для этой книги компанией