В показаниях было столько нестыковок, что, сложив суммы, названные разными свидетелями, Сенатский комитет обнаружил расхождение в семнадцать миллионов долларов. Впоследствии Ким Вонг сумел разыскать пятнадцать из этой суммы, и их вернули в Банк Бангладеш. Вонг при этом заявил, что не знал об отмывании денег.
Это расследование закончилось полной несуразицей: отчет комитета о случившемся так и не был обнародован, поскольку его представили к ратификации через час после того, как уходящий в отставку Сенат сложил с себя полномочия.
Если хакеры искали место с идеальной комбинацией покладистых финансистов, нерегулируемых многомиллионных казино и слабого правительства, им стала Манила.
Грандиозное ограбление, в ходе которого страна, познавшая немало трагедий, лишилась столь нужных ей денег, отбросило на Бангладеш тень национального стыда. Через несколько дней после того, как Сенат Филиппин завершил свое расследование, на Бангладеш обрушился шторм, и полмиллиона людей осталось без крова. Как сообщается, в одной только области циклон Роану уничтожил дома и посевы на тридцать восемь миллионов долларов – в манильских казино такие суммы проигрываются за пару недель[113]. На момент написания этой книги Бангладеш по-прежнему пытается вернуть украденные деньги.
Что же случилось с деньгами, когда они покинули казино Манилы? Предполагается, что, совершив еще несколько прыжков, они оказались в руках хакеров, которые изначально взломали Банк Бангладеш. И американские следователи, со своей стороны, нисколько не сомневаются в том, кто стоял за этим преступлением.
ФБР утверждает, что, помимо связей с КНДР в электронных письмах, отправленных в Банк Бангладеш, были также обнаружены северокорейские IP-адреса, с которых осуществлялось управление фрагментами вируса, задействованного при атаке на банк. Адресная книга одной из учетных записей Gmail, использованных для взлома Sony, оказалась полна адресов электронной почты сотрудников Банка Бангладеш. По словам ФБР, след ведет прямиком в Пхеньян, и страна, пребывающая под финансовыми санкциями, теперь, возможно, стала на восемьдесят один миллион долларов богаче.
Очевидно, расследованию ФБР поспособствовало решение хакеров использовать в своих коммуникациях продукты американских технологических компаний. Несмотря на едкую антиамериканскую риторику руководителей страны, киберармия КНДР, похоже, полагалась на Gmail и Facebook не меньше, чем мы с вами. В силу этого северокорейские хакеры оказались как на ладони у властей США, которые применили американский правовой процесс для сбора необходимых улик. Как отмечается в обвинительном заключении ФБР в адрес одного гражданина КНДР, предположительно участвовавшего во взломе, американские следователи получили «примерно сто ордеров на изучение примерно тысячи учетных записей электронной почты и социальных сетей, к которым подследственные получали доступ из-за рубежа»[114].
И снова ограниченность доступа в интернет из КНДР и отсутствие местных IT-сервисов позволили следователям вычислить подозреваемых по этому делу.
О деле Банка Бангладеш говорил весь мир, и журналисты, особенно из агентств Reuters и Bloomberg, раскопали массу информации. Тактику киберпреступников разобрали в мельчайших деталях. Но хакеры не остановились, даже когда об их действиях стало известно. Напротив, они продолжили совершать преступления и даже стали еще более агрессивными.
На протяжении нескольких лет злоумышленники устраивали взломы на разных континентах, а это значит, что большинство людей не представляло, насколько на самом деле масштабна их активность. Но теперь благодаря документам ФБР, отчету Совета безопасности ООН и моим собственным исследованиям для этой книги у нас появилась возможность составить карту преступлений Lazarus Group.
В 2015 году хакеры из этой группы атаковали эквадорский банк Bancodel Austro и украли оттуда десять миллионов долларов[115], а также совершили две неудачные попытки ограблений банков во Вьетнаме и на Филиппинах.
В 2016 году, пока шел вывод средств из Банка Бангладеш, задействованные при атаке на него вирусы также использовались при попытке украсть сто миллионов долларов из одного африканского банка, но эта операция провалилась. Позже в тот же год на неизвестную сумму был ограблен индонезийский банк Bumi Arta. В октябре 2017 года тайваньский банк Far Eastern International Bank лишился шестидесяти миллионов долларов, но в конце концов ему удалось вернуть почти все деньги, за исключением нескольких сотен тысяч[116].
До той поры неудач у хакеров было больше, чем успехов, но в 2018 году ситуация изменилась. Злоумышленники украли десять миллионов долларов из Bancode Chile[117]. Самый дерзкий налет они, пожалуй, совершили в августе того же года, когда, по данным комитета Совета безопасности ООН, украли тринадцать с половиной миллионов долларов из индийского банка Cosmos[118]. На этот раз преступники не ограничились атакой на систему SWIFT для межбанковских переводов. Они пошли гораздо дальше и изменили программное обеспечение банкоматов таким образом, чтобы можно было снимать деньги с фальшивых карт. Это стало началом операции, ошеломительной даже по меркам киберпреступности. За два дня наличные сняли более десяти тысяч раз в двадцати восьми разных странах. Деньги отмывались в поистине международных масштабах. Индийская полиция арестовала часть снимавших средства людей, которые, по утверждению властей, также признались в участии в ограблении другого индийского банка на полтора миллиона долларов[119].
В общей сложности менее чем за три года Lazarus Group украла непосредственно из банков не менее ста двадцати двух миллионов долларов. И снова, по данным экспертов ООН и сотрудников ФБР, вину за это следует возлагать лишь на одну страну.
В марте 2019 года Комитет Совета безопасности ООН по санкциям в отношении КНДР опубликовал подробный отчет, в котором перечислил все предполагаемые случаи хакинга под эгидой КНДР. Авторы приводят слова представителя неназванного государства-члена ООН, который трезво оценивает северокорейские атаки и их мотивы: «Эти операции имеют своей целью получение средств различными способами в обход санкций»[120]. Выдвинутые обвинения ясны: когда международное сообщество финансово наказало КНДР за проведение ракетных испытаний, страна просто сделала ставку на хакинг и принялась красть деньги. По утверждению следователей, криминальные техники, отточенные организованными преступными группировками за прошлые два десятка лет, теперь стали использоваться на государственном уровне.
И… что же говорит сама КНДР?
Если бы граждане КНДР хотели нажиться на закрепившейся за ними репутации больших оригиналов, их посольство в Великобритании справилось бы с этим лучше всего.
В то время как дипломаты других стран сидят в роскошных представительствах в центре Лондона в окружении своих национальных флагов, посольство КНДР располагается в перестроенном семикомнатном коттедже, стоящем чуть в стороне от шумного пригородного шоссе в Илинге, в западной части Лондона.
Именно туда я отправился (не получив ответа на несколько электронных писем и телефонных звонков), чтобы все же узнать, как КНДР реагирует на растущее количество обвинений в хакинге под эгидой государства, которые выдвигали эксперты ООН, сотрудники ФБР и исследователи кибербезопасности по всему миру. Одни только американские обвинения в адрес КНДР уже растянулись на сто семьдесят четыре страницы, написанных сложным юридическим языком и полных адресов электронной почты, IP-адресов, учетных записей Twitter и названий веб-сайтов, а также времени и дат предполагаемых атак. Это дело изучено в мельчайших деталях, но вести производство по нему чрезвычайно сложно: значительная часть улик из социальных сетей уже исчезла, а часть других улик хранится в таких компаниях, как Sony, Google и Facebook.
Сайт Министерства иностранных дел КНДР обычно не упускает случая вступить в драку. В его заявлениях часто содержатся архаично сформулированные выпады в адрес других стран (включая США, хотя в некоторых заявлениях и приветствовались попытки дипломатического сближения, которые предпринимались президентом Дональдом Трампом и его администрацией). На сайте содержатся заявления обо всем, от кризиса в Венесуэле до столкновений на Голанских высотах[121]. И все же сайт министерства никак не отреагировал на обвинения во взломе банков, выдвинутые ФБР и ООН.
В сентябре 2018 года, когда было обнародовано обвинительное заключение США в адрес Lazarus Group, с комментарием выступил один северокорейский чиновник. Используя в качестве рупора государственное новостное агентство КНДР, он заявил о непричастности страны к инцидентам со взломом Sony и Банка Бангладеш и назвал американские обвинения «кампанией по очернению»[122]. Однако, поскольку американские следователи раскрыли немало своих карт, я счел, что такого ответа недостаточно. Впрочем, мои надежды получить ответы в посольстве не оправдались.
Когда я пришел туда, ворота были закрыты на замок, а на звонок никто не ответил. В тот день над посольством не реял даже национальный флаг. Возможно, это говорило о том, что посла не было на месте, но в таком случае он, очевидно, оставил на подъездной дорожке свои автомобили: два блестящий черных «мерседеса», на одном из которых красовался персонализированный номер.