孟加拉銀行遭駭客入侵事件

孟加拉银行在纽约联邦储备银行开设的帐号被黑客利用SWIFT网络盗取资金事件

孟加拉銀行遭駭客入侵事件是指2016年2月疑似來自北韓[1]駭客環球銀行金融電信協會網路(SWIFT)發出35條欺詐性指令,將孟加拉銀行開設於紐約聯邦儲備銀行帳戶中近10億美元的資金非法轉出。35條指令中的30條被紐約聯邦儲備銀行擱置,而其餘5條指令得以執行。得到執行的5條指令共涉及1.01億美元,其中2000萬流向斯里蘭卡,8100萬流向菲律賓。其中2000萬流向斯里蘭卡的資金,因拼寫錯誤[2]受到路由銀行德意志銀行懷疑,而未能轉帳成功,最後被追回。然而,截至2018年,轉往菲律賓的8100萬中,只有1800萬被追回[3]。資金流入菲律賓後,進入了四個均由同一個人使用者(非公司或企業)持有的帳號。後來據推測Dridex英語Dridex病毒在事件中被使用[4]

紐約聯邦儲備銀行大樓

事件中,菲律賓中華銀行英語Rizal Commercial Banking Corporation員工的可疑活動不容忽視。這批員工完全違反菲律賓反洗錢法,無視菲律賓中央銀行要求凍結涉案帳號的命令,用閃電般的速度將資金從銀行洗出[5]。早在案發一年前,孟加拉銀行行長便預見銀行網路安全系統的脆弱之處,聘請一家美國網路安全公司加固銀行的防火牆、網路和整個網路安全系統。然而,由於領導層設定層層障礙,安全公司無法執行專案,到了事發後才開始在孟加拉執行任務[6]

背景

此次襲擊並非該國首例。2013年,孟加拉索納利銀行英語Sonali Bank被入侵駭客成功轉走25萬美元。據推測,兩起案件的嫌犯均由銀行內部人員協助,利用了銀行訪問SWIFT網路時的漏洞[7][8]

在案件中,案件使用了利用Microsoft Word巨集竊取銀行憑證的病毒Dridex英語Dridex[9]。該病毒主要針對Windows使用者。使用者改開附有Word或Excel檔案的電子郵件,觸發巨集啟動Dridex的下載,感染電腦,為銀行系統打開漏洞。病毒的主要目標是從受感染機器的使用者處竊取銀行資訊[10],立刻啟動欺詐交易程式。該軟體取得資訊後,會安裝鍵盤偵聽軟體,執行注入式攻擊。2015年期間,該病毒在英國造成2000萬英鎊、在美國造成1000萬美元的損失。截至2015年,有20多個國家受該病毒襲擊。2016年9月上旬,研究人員首次發現該病毒正針對加密貨幣錢包[11]

事件

利用孟加拉中央銀行安全系統的弱點,加上可能有內部員工的協助[12],入侵者嘗試盜走該銀行在紐約聯邦儲備銀行帳戶的9.51億美元,時間定在2月4日到5日銀行辦公室關門休息的某個時候。嫌犯設法破壞銀行的電腦系統,觀察轉帳完成的過程,取得銀行的轉帳憑證。隨後,他們利用憑證向紐約聯邦儲備銀行請求36次,要求授權將孟加拉銀行在該行帳戶的資金,轉移到在斯里蘭卡和菲律賓開設的帳戶。

銀行系統將涉及8.51億美元的30筆交易標記為經工作人員審查,但只有5項請求獲得通過;其中2000萬資金流向斯里蘭卡(後來被追回)[13][14],8100萬轉往菲律賓,於2016年2月5日進入該國的銀行系統。這些錢後來經賭場清洗,之後部分款項被轉到香港。

試圖轉移資金到斯里蘭卡

駭客轉移到斯里蘭卡的2000萬美元流向了當地的一家名叫沙利卡基金會(Shalika Foundation)的私人有限公司英語private limited company。然而,駭客在轉帳請求中將「Foundation」誤寫成「Fundation」,遭到路由銀行德意志銀行懷疑,要求孟加拉銀行澄清,隨後中斷了轉帳[13][15][16]

斯里蘭卡的泛亞銀行英語Pan Asia Bank最初注意到交易,其中一名職員認為交易金額對於像斯里蘭卡這樣的國家而言太過龐大,於是將異常交易轉給了德意志銀行。斯里蘭卡的資金已由孟加拉銀行全數追回[13]

轉移資金到菲律賓

轉移至菲律賓的資金被存放在中華銀行英語Rizal Commercial Banking Corporation的五個獨立帳戶中,後來發現這些帳戶均用虛假身分開設。資金之後流向一家外匯經紀商,由經紀商轉換成菲律賓披索,返回給菲律賓中華商業銀行公司,匯入到一名華裔菲律賓商人的帳號[17][14],該轉換於2016年2月5日到13日進行[18]。另據發現,涉事的四個美元帳戶早在2015年5月15日便於菲律賓中華商業銀行公司開設,2016年2月4日事發前無任何活動[18]

2016年2月8日,適逢中國農曆新年,孟加拉銀行通過SWIFT通知中華銀行中斷交易,退回資金,若資金已經轉出,便「凍結資金」。由於新年是菲律賓的節假日,中華銀行一天後才從系統受到孟加拉銀行的指令。這時,中華銀行馬卡蒂朱庇特街分行已經處理了5815萬美元提款[18]

2月16日,孟加拉銀行行長請求菲律賓中央銀行協助追回8100萬美元資金,表示中華銀行通過的SWIFT支付系統指令是欺騙人的[18]

調查

孟加拉

最初,孟加拉並未發現系統被攻破。中央銀行行長與美國公司世界資訊網路安全英語World Informatix Cyber Security主導安全事件回應、漏洞評估與修補工作。安全公司讓調查公司麥迪安進行調查。調查人員在系統中發現了「痕跡」和駭客病毒,顯示系統已被破壞。調查人員表示駭客身處孟加拉以外地區。孟加拉銀行已對該案展開內部調查[13]

孟加拉銀行的內部調查發現銀行的系統於2016年1月被安裝病毒,有關國際支付和資金轉移操作程式的資訊被竊取[18]。調查發現於索納利銀行2013年一起未解決的駭客事件中,有25萬美元被仍不知身分的駭客盜取。報道表示,和2016年中央銀行的入侵一樣,那次入侵中駭客同樣利用SWIFT國際支付網路進行欺詐性資金轉移。孟加拉當局一直將列為懸案,直到2016年類似的犯案手法再度出現[19]

菲律賓

菲律賓國家調查局英語National Bureau of Investigation (Philippines)調查了一名據稱在非法資金洗錢過程中起到關鍵作用的華裔菲律賓人。調查局與菲律賓反洗錢理事會英語Anti-Money Laundering Council (Philippines)等有關政府部門進行合作。理事會的調查於2016年2月19日啟動,目標是一位中間商的帳戶[18]。理事會根據菲律賓司法部英語Department of Justice (Philippines)的調查,起訴涉案的一位中華銀行分行經理與五名未具名人士[20]

2016年3月15日,在藍絲帶委員會英語Philippine Senate Blue Ribbon Committee和國會反洗錢法案監督委員會主席、參議員特奧菲斯托·金戈納三世英語Teofisto Guingona III舉行聽證會[21]。隨後的閉門聽證會於月17日舉行[22]菲律賓娛樂及遊戲公司也進行內部調查[13]。2016年8月12日,中華銀行繳納菲律賓央行開出的10億披索罰單中的半數[23]。該銀行的董事會此前進行了重組,人數從7人減到4人[24]

2019年1月10日,中華銀行前經紀人瑪雅·桑托斯·德吉托(Mala Santos Deguito)被菲律賓法院裁定洗錢罪成立,被判4至7年監禁[25]。2019年3月12日,中華銀行起訴孟加拉銀行,罪狀是「用大規模的戰術策略進行公開誹謗、騷擾和威脅,目的是為了破壞中華銀行的良好聲譽和形象[26]。」

美國

總部均為美國的火眼麥迪安取證部門和世界情報網路安全組織調查了案件。調查人員表示,嫌犯之所以了解孟加拉銀行內部操作流程,可能是內部工作人員監視。一份單獨的報道中,美國聯邦調查局表示特工們發現了至少有一名銀行雇員協助犯案的證據,另有幾人可能協助駭客瀏覽孟加拉銀行電腦系統[27]。孟加拉政府正考慮起訴紐約聯邦儲備銀行,以追回被盜資金[13]

對北韓的懷疑

美國聯邦檢察官認為北韓政府可能牽涉該案[28]。他們正在準備起訴北韓指揮此次行動,而涉嫌在資金被轉移到菲律賓後為進一步轉移提供便利的「中國中間人」也將被起訴[29]

賽門鐵克英國宇航系統等安全公司表示,位於北韓的全球最活躍國家背景駭客群體拉撒路集團英語Lazarus Group可能策劃了襲擊。他們表示孟加拉銀行案和2014年索尼影業遭駭客攻擊事件的犯案手法相同。網路安全專家說,該組織也策劃了2017年5月感染全球數千台電腦的WannaCry勒索軟體襲擊[30]

被盜資金可能部分或全數流入北韓。據兩名直接了解調查情況的官員說,聯邦調查局正在研究北韓與駭客攻擊的可能聯絡[30]

美國國家安全局副局長理察·萊奇特英語Richard Ledgett認為,「如果索尼案的嫌犯和孟加拉案嫌犯之間的聯絡是確實存在的,就表示整個國家都在搶銀行[31]。」

美國起訴了一名聲稱代表平壤政權入侵孟加拉銀行的北韓電腦程式員。該名程式設計師也涉嫌參與WannaCry 2.0和索尼影業遭駭客攻擊事件兩起全球網路襲擊[32]

其他襲擊

電腦安全研究人員將盜竊和多達11起另外的襲擊英語2015-16 SWIFT banking hack聯絡起來,聲稱北韓參與了襲擊。如果屬實,這將是有史以來首起已知的由國家策劃的利用網路襲擊盜取資金的案件[33][34]

涉事組織回應

 
孟加拉銀行行長阿蒂爾·拉曼英語Atiur Rahman受案件影響引咎辭職。

中華商業銀行公司表示絕不容忍旗下銀行在案中的非法行為。該行主席洛倫佐·V·譚英語Lorenzo V. Tan表示將與反洗錢理事會和菲律賓中央銀行合作調查[35]。法律顧問已要求中華銀行朱庇特街分行經理解釋涉嫌用於洗錢詐騙的偽造銀行帳戶緣由[36]

中華董事會也發起了內部調查。譚主席申請無限期休假,方便當局調查案件[37][38]。5月6日,儘管銀行內部調查證明無任何不當行為,譚仍以「盡全部道德責任」為由辭職[39][40]。中華銀行創辦人楊應琳英語Alfonso Yuchengco的女兒海倫(Helen Yuchengco-Dee)將接管業務。銀行也為涉及案件公開道歉。

孟加拉銀行行長阿蒂爾·拉赫曼英語Atiur Rahman於2016年3月15日向總理謝赫·哈西娜遞交辭呈。此前,拉赫曼表示將為祖國辭職[41]。之後,他辯護稱自己一年前便預見到網路安全系統的漏洞,聘請了一家美國網路公司加固銀行的防火牆、網路和整個網路安全系統。然而,他指責官方設定層層障礙,妨礙安全機構開始在孟加拉的業務,促成案件發生[6]

2016年8月5日,菲律賓中央銀行批准就未遵守與銀行搶劫有關的銀行法律法規,向中華銀行開出的10億披索罰單。這是中央銀行有史以來向金融機構開出的最大罰單。中華銀行表示會遵守央行決定,支付罰款[42]

孟加拉銀行繼續追回被盜的款額,但最終只追回約1500萬美元,大多數資金出自馬尼拉都會區的一個博彩中介人處。2019年2月,聯邦儲備銀行承諾幫助孟加拉銀行收回款項,SWIFT也決定幫助該國央行重建基礎設施。孟加拉銀行也認為中華銀行是案件同謀,於2019年初到美國紐約南區聯邦地區法院指控菲律賓銀行「大規模密謀」犯案。對此,中華銀行提起訴訟,指控孟加拉銀行誹謗,認為孟加拉銀行的說法毫無根據[43]

後續

案件使得菲律賓可能被列入打擊清洗黑錢財務行動特別組織黑名單的風險[44]。外界認為,自從2012年菲律賓的立法機關計劃將賭場排除在需向反洗錢理事會報告可疑交易的名單外,該國打擊洗錢的努力便可能存在弱點。

案件也凸顯政府和私人機構面臨著網路罪犯利用真實的銀行授權碼,讓訂單變得真實的風險。SWIFT建議利用SWIFT聯盟訪問系統(SWIFT Alliance Access)的銀行加強網路安全姿態,確保遵守SWIFT安全準則。根據卡巴斯基實驗室即時繪製的網路威脅圖,孟加拉是被攻擊次數排名第二的國家[45]

參考資料

  1. ^ 黑客打劫央行世纪大案始末:拉撒路集团如何与10亿美元失之交臂. BBC News 中文. [2021-08-11]. (原始內容存檔於2021-09-02) (中文(簡體)). 
  2. ^ Schram, Jamie. Congresswoman wants probe of 'brazen' $81M theft from New York Fed. 2016-03-22 [2020-07-08]. (原始內容存檔於2020-07-03). 
  3. ^ Cabalza, Dexter. Ex-RCBC branch manager free on bail. Philippine Daily Inquirer. [2020-07-08]. (原始內容存檔於2019-12-23). 
  4. ^ Dridex malware linked to Bangladesh heist. Straits Times. Singapore Press Holdings Ltd. Co. [2017-02-01]. (原始內容存檔於2017-03-14). 
  5. ^ Paul, Ruma. Bangladesh to sue Manila bank over $81-million heist. Reuters. 2018-02-07 [2020-07-08]. (原始內容存檔於2018-10-16). 
  6. ^ 6.0 6.1 Bahree, Megha. Former Bangladesh Bank Chief Blames Global System for Theft. New York Times. 2016-06-22 [2018-10-27]. (原始內容存檔於2016-06-25) (英語). 
  7. ^ Das, Krishna; Paul, Ruma. Exclusive: Bangladesh probes 2013 hack for links to central bank heist. Reuters. 2016-05-25 [2016-08-26]. (原始內容存檔於2016-08-27). 
  8. ^ Bangladesh probes 2013 hack for links to Swift-linked central bank heist. Reuters. 2016-05-25 [2016-08-26]. (原始內容存檔於2016-08-21). 
  9. ^ Someone Hijacks Botnet Network & Replaces Malware with an Antivirus. The Hacker News. 2016-02-04 [2020-07-08]. (原始內容存檔於2019-09-02). 
  10. ^ Kirk, Jeremy. Dridex banking malware adds a new trick. PCWorld. 2016-01-19 [2020-07-08]. (原始內容存檔於2019-12-17). 
  11. ^ Cimpanu, Catalin. Dridex Banking Trojan Will Soon Target Crypto-Currency Wallets. softpedia. 2016-09-07 [2020-07-08]. (原始內容存檔於2019-12-17). 
  12. ^ Swift rejects Bangladesh Central Bank claims. [2020-07-08]. (原始內容存檔於2019-08-08). 
  13. ^ 13.0 13.1 13.2 13.3 13.4 13.5 Quadir, Serajul. Spelling mistake stops hackers stealing $1 billion in Bangladesh bank heist. The Independent. 2016-03-11 [2016-03-13]. (原始內容存檔於2016-03-12). 
  14. ^ 14.0 14.1 Byron, Rejaul Karim. Hackers' bid to steal $870m more from Bangladesh central bank foiled. Asia News Network (The Daily Star). 2016-03-10 [2016-03-11]. (原始內容存檔於2016-03-12). 
  15. ^ Sri Lankan in Bangladesh cyber heist says she was set up by friend. 2016-03-31 [2020-07-08]. (原始內容存檔於2020-04-15) –透過Reuters. 
  16. ^ Story behind Shalika Foundation - Ceylontoday.lk. [2020-07-08]. (原始內容存檔於2016-08-19). 
  17. ^ Ager, Maila. Senate to probe $100-M laundering via PH, says Osmeña. Philippine Daily Inquirer. 2016-03-03 [2016-03-11]. (原始內容存檔於2016-03-11). 
  18. ^ 18.0 18.1 18.2 18.3 18.4 18.5 Byron, Rejaul Karim; Rahman, Md Fazlur. Hackers bugged Bangladesh Bank system in Jan. Asia News Network (The Daily Star). 2016-03-11 [2016-03-13]. (原始內容存檔於2016-03-12). 
  19. ^ Bangladesh probes 2013 hacking incident for connections to 2016 heist. [2020-07-08]. (原始內容存檔於2016-08-21). 
  20. ^ RCBC manager, others face anti-money laundering complaint. Rappler. 2016-03-05 [2016-03-05]. (原始內容存檔於2016-03-18). 
  21. ^ Pasion, Patty. RCBC manager invokes right vs self-incrimination at Senate probe. Rappler. 2016-03-15 [2016-03-20]. (原始內容存檔於2016-03-18). 
  22. ^ Yap, Cecilia; Calonzo, Andreo. Printer error foiled billion-dollar bank heist. Sydney Morning Herald. 2016-03-17 [2016-03-20]. (原始內容存檔於2016-03-19). 
  23. ^ Rada, Julito. RCBC pays half of P1-b penalty. [2020-07-08]. (原始內容存檔於2018-01-22). 
  24. ^ RCBC reorganizes board after Bangladesh Bank heist scandal. Rappler. [2020-07-08]. (原始內容存檔於2020-03-11). 
  25. ^ Ex-RCBC manager Deguito found guilty of money laundering. ABS-CBN News. 2019-01-10 [2020-07-08]. (原始內容存檔於2020-05-26). 
  26. ^ Philippines' RCBC sues 'vicious' Bangladesh Bank over heist claim. Reuters. 2019-03-12 [2020-07-08]. (原始內容存檔於2020-02-26). 
  27. ^ FBI suspects inside job in Bangladesh bank heist. [2020-07-08]. (原始內容存檔於2018-06-21). 
  28. ^ North Korea Said to Be Target of Inquiry Over $81 Million Cyberheist. [2020-07-08]. (原始內容存檔於2019-01-10). 
  29. ^ U.S. may accuse North Korea in Bangladesh cyber heist: WSJ. [2020-07-08]. (原始內容存檔於2019-10-13). 
  30. ^ 30.0 30.1 A Baccarat Binge Helped Launder the World's Biggest Cyberheist. [2020-07-08]. (原始內容存檔於2020-01-02). 
  31. ^ NSA official suggests North Korea was culprit in Bangladesh bank heist. [2020-07-08]. (原始內容存檔於2020-05-21). 
  32. ^ US charges North Korean in Bangladesh Central Bank Hack. ABS-CBN News. [2020-07-08]. (原始內容存檔於2020-01-25). 
  33. ^ Shen, Lucinda. North Korea Has Been Linked to the SWIFT Bank Hacks. Fortune. 2016-05-27 [2016-05-28]. (原始內容存檔於2016-05-28). 
  34. ^ Agcaoili, Lawrence. RCBC denies alleged money laundering. The Philippine Star. 2016-03-10 [2016-03-11]. (原始內容存檔於2016-03-10). 
  35. ^ Explain 'fake account,' RCBC chief tells branch manager. ABS-CBN News. 2016-03-13 [2016-03-13]. (原始內容存檔於2016-03-13). 
  36. ^ Dumlao-Abadilla, Doris. RCBC chief goes on leave amid $81M dirty money probe. Philippine Daily Inquirer. 2016-03-23 [2016-03-24]. (原始內容存檔於2016-04-03). 
  37. ^ Agcaoili, Lawrence. RCBC president goes on leave. The Philippine Star. 2016-03-23 [2016-03-24]. (原始內容存檔於2016-04-08). 
  38. ^ RCBC Prexy resigns after board clears him of wrongdoing. Manila Bulletin. [2020-07-08]. (原始內容存檔於2016-05-20). 
  39. ^ Tan cleared of wrong doing, resigns to take full moral responsibility. [2020-07-08]. (原始內容存檔於2016-08-01). 
  40. ^ Bangladesh central bank governor quits over $81m heist. The Daily Star/Asia News Network. 2016-03-15 [2016-05-11]. (原始內容存檔於2016-05-29). 
  41. ^ Bangko Sentral slaps P1-B fine on RCBC for stolen Bangladesh Bank fund. GMA News. [2020-07-08]. (原始內容存檔於2016-09-20). 
  42. ^ Philippines' RCBC Sues Bangladesh Central Bank over 'Vicious' Cyber Heist Claims. Insurance Journal. Reuters. 2019-03-13 [2019-03-13]. (原始內容存檔於2022-04-17). 
  43. ^ Remitio, Rex. Sen. Osmeña: PH may suffer if money laundering is proven. CNN Philippines. 2016-03-03 [2016-03-11]. (原始內容存檔於2016-03-10). 
  44. ^ Tweed, David; Devnath, Arun. $1 Billion Plot to Rob Fed Accounts Leads to Manila Casinos. Bloomberg. 2016-03-10 [2016-03-11]. (原始內容存檔於2016-03-10). 

外部連結