Digital Shadows, работающей в сфере компьютерной безопасности, были обнаружены упоминания SWIFT, относящиеся еще к 2010 году. Среди них есть и предложение продать свой доступ в систему.
Не стоит удивляться, что воры и жулики проявляли к SWIFT огромный интерес: с помощью этой системы по миру перемещаются миллиарды долларов. Но нельзя считать это указанием на несовершенство системы. В компании, которая производит и обслуживает ее программное обеспечение (кооператив, принадлежащий его владельцам), утверждают, что многие взломы оказались возможны лишь в силу низкого уровня безопасности в банках, использующих SWIFT, а не из-за изъянов в самой программе. Так, если нечистый на руку сотрудник решил продать свой доступ к системе, это скорее человеческий фактор, чем технический. Кроме того, в компании подчеркивают, что после новостей о взломах программное обеспечение было усовершенствовано, чтобы способствовать предотвращению атак в будущем.
Ничто из этого, однако, не помогло Банку Бангладеш, который вскоре настигли катастрофические последствия.
В кино хакерский компьютерный код льется на экран, как цунами непонятных слов (обычно он выходит из-под пальцев какого-нибудь героя в толстовке с капюшоном и показывается в виде зеленого текста на черном фоне).
Реальность выглядит немного не так.
Проникнув в систему SWIFT Банка Бангладеш, хакеры сначала изменили лишь восемь символов кода. Обычному человеку замена 0X75 и 0X04 на 0X90 и 0X90 кажется не имеющей значения. Но хакеры таким образом заставили программу SWIFT пропускать ключевую проверку подлинности. Два этих простых изменения превратили компьютеризированное «нет» в «да» и помогли преступникам открыть дверь в банковское хранилище с миллиардом долларов[96]. Так хакеры получили доступ к той части программного обеспечения SWIFT, которая управляла сообщениями с адресованными другим банкам инструкциями по совершению денежных переводов.
Далее злоумышленники принялись работать с этими сообщениями, подготавливая серию переводов со счета Банка Бангладеш в ФРБ Нью-Йорка. Эта операция должна была принести им почти миллиард долларов. Но сначала было необходимо решить проблему, которая могла поставить крест на всем ограблении. В офисе Банка Бангладеш стоял принтер HP Laser Jet 400. Он распечатывал отчеты о SWIFT-переводах. Если бы этот принтер начал выдавать отчеты о преступных транзакциях, любому сотруднику банка достаточно было бросить взгляд на документы, чтобы понять, что совершается ограбление. Хакеры создали код, который изменял выводимые на печать документы, заставляя принтер выдавать лишь пустые страницы[97]. Это примерно как если бы они закольцевали видео на камерах наблюдения, чтобы скрыть свои перемещения. Теперь преступники могли работать спокойно.
В итоге они подготовили тридцать шесть транзакций на общую сумму девятьсот пятьдесят один миллион долларов – это были почти все средства, которые Банк Бангладеш хранил в Нью-Йорке. Разница во времени играла хакерам на руку: они зашли в систему SWIFT Банка Бангладеш в 20:36 по бангладешскому времени в четверг, 4 февраля, после того как банк закрылся на традиционные для этой страны выходные. Но в Нью-Йорке было только 9:36 утра, а значит, у ФРБ был целый день на проведение операций[98].
Как и во всех лучших фильмах об ограблениях, возник и момент, когда планы преступников чуть не расстроились: в подготовленных хакерами распоряжениях о совершении операций не были указаны реквизиты банков-посредников, куда необходимо было отправить деньги из Нью-Йорка. Сначала ФРБ отказался проводить транзакции, но преступники быстро исправили ошибку – и средства отправили адресатам.
Цифровой сейф постепенно пустел, но в рукаве у хакеров остался еще один козырь. В 3:59 утра по бангладешскому времени они вышли из системы SWIFT, после чего их вирусы принялись уничтожать важнейшие файлы, с помощью которых следователи могли установить, куда пропали деньги[99].
Хакеры замели следы – теперь им оставалось только отмыть добычу.
Пока киберпреступники подбирались к Банку Бангладеш, Шалика Перера получила отличную новость о своем молочном производстве. 2 февраля 2016 года (за два дня до того, как хакеры начали выводить деньги из банка) ей пришло письмо, которое передал ее японский партнер через шри-ланкийского коллегу. Это письмо, судя по всему, было отправлено из JICA, Японского агентства по международному сотрудничеству – прекрасно зарекомендовавшей себя организации, которая вкладывает японские государственные средства в проекты за пределами страны[100]. «С радостью сообщаем, что мы готовы пожертвовать средства на финансирование вышеупомянутого проекта, представленного нам на рассмотрение», – говорилось в письме. Казалось, что японский посредник Переры успешно справился с поставленной перед ним задачей.
«Ничто не сравнится с доходами от продажи молока и молочных продуктов», – писали далее, очевидно, ссылаясь на маркетинговые материалы благотворительного фонда Переры. Отмечалось, что ей следует ожидать поступления двадцати миллионов долларов. Шри-ланкийский коллега Переры, который помог ей оформить эту сделку, сообщил, что возьмет одиннадцать миллионов долларов на собственный проект, а остальное оставит в благотворительном фонде. Позже она сказала мне в онлайн-интервью, что ей обещали через некоторое время перевести еще двадцать пять миллионов долларов. На самом деле письмо из JICA оказалось подделкой. В организации утверждают, что не знали о его отправке от имени агентства и не имели отношения к этому денежному переводу.
Оглядываясь назад, можно увидеть в письме очевидные тревожные симптомы: в слове «электрификация» допущена орфографическая ошибка, а сопровождала письмо размытая фотография пачки скрепленных лентой банкнот, которая никак не вязалась с пожертвованием в двадцать миллионов долларов от японского фонда национального благосостояния. Перера, однако, просто обрадовалась деньгам. Она настаивает, что ни она, ни ее коллеги не сделали ничего плохого. Кроме того, идея о том, что JICA может отправить миллионы долларов на благотворительность через Бангладеш, на поверку не так уж и абсурдна: документы на сайте Банка Бангладеш показывают, что японское агентство сотрудничает с ним с 2012 года.
Все это было известно хакерам. Они знали, что JICA работает с Банком Бангладеш; знали, что благотворительный фонд Переры регулярно получает деньги из Японии; и позаботились о том, чтобы кто-то отправил в Shalika Foundation письмо и подготовил почву для осуществления их замысла. Кто-то сливал им информацию, чтобы подставить фонд Переры, которому предстояло получить часть украденных денег. В результате, когда хакеры оформили транзакцию из Банка Бангладеш, пометив ее как перевод от JICA в пользу благотворительного проекта, подозрений это не вызвало – по крайней мере, в Нью-Йорке. Однако по пути на Шри-Ланку, прежде чем попасть на счет фонда, деньги прошли через банк Pan Asia, где внимательный сотрудник удивился размеру транзакции. Его подозрения усугубились, когда оказалось, что получатель средств пропустил букву в названии фонда Переры и написал Fundation вместо Foundation.
Сотрудники банка срочно связались с ФРБ Нью-Йорка, который в результате не только отозвал шри-ланкийскую транзакцию, но и отменил все остальные переводы со счета Банка Бангладеш. Ограбление застопорилось. Новости для Банка Бангладеш были плохие: прежде чем распоряжения об отмене переводов вступили в силу, было произведено четыре транзакции – эти средства ушли в банк RCBC на Филиппинах. Всего со счета Банка Бангладеш и ФРБ Нью-Йорка было украдено 81 001 662,16 доллара, которые с минуты на минуту должны были поступить в систему, созданную специально для того, чтобы эти деньги исчезли без следа.
В тринадцати тысячах километров от Нью-Йорка, в Маниле, вдруг вышли из спячки счета, открытые почти год назад в отделении банка RCBC на Джупитер-стрит, и открывшая их женщина оказалась в центре международного расследования.
В пятницу, 5 февраля, четверо владельцев счетов внезапно стали мультимиллионерами. «Майкл Крус» обогатился на $ 6 000 029,12. На счет «Джесси Лагросаса» пришли $ 30 000 028,79. «Альфред Вегара» получил $ 19 999 990,00. Наконец, «Энрико Васкесу» поступили $ 25 001 573,88[101]. От читателей, которые любят точность, не ускользнет, что мы уже потеряли $ 40,37 из общей суммы, украденной из Банка Бангладеш. Привыкайте: весь процесс дыряв, как сито.
В качестве прикрытия для многомиллионных переводов хакеры снова использовали сотрудничество Банка Бангладеш и JICA. Во всех четырех транзакциях на Филиппины были указаны названия реальных проектов, которые JICA финансировала в прошлом.
Тем временем украденные деньги попали в финансовую «стиральную машину». Часть из них была переведена на счет, открытый в тот же день на имя одного из настоящих клиентов банка RCBC. Всего через тринадцать минут после открытия этого счета на него внезапно поступило двадцать два миллиона долларов[102].
Около сорока пяти было снято со счетов четырех подставных миллионеров и положено на другие счета в том же банке. На это ушло восемнадцать минут. Похоже, преступники также попытались получить часть денег наличными, но столкнулись с проблемой: в хранилище этого отделения нужной суммы не оказалось. Впоследствии один из сотрудников банка сообщил следователям, что триста восемьдесят тысяч долларов наличными было заказано из другого отделения. Когда эти деньги поступили на Джупитер-стрит, их положили в картонную коробку, и чуть позже, по словам сотрудника, к банку подъехал темно-серый седан марки