|
Как Федеральный резервный банк Нью-Йорка совершил ошибку в отношении кражи денег у Банка Бангладеш
Кришна Н. Дас и Джонатан Спайсер
Когда хакеры попытались украсть почти 1 миллиард долларов из
центрального банка Бангладеш, Федеральный резервный банк Нью-Йорка не
заметил настораживающих признаков и почти позволил уйти всем деньгам. В статье представлена информация из первых рук о том, что произошло.
Дакка/Нью-Йорк - Юпитер. Это единственное слово по счастливой
случайности помогло Федеральному резервному банку Нью-Йорка не выплатить
почти 1 миллиард долларов кибер-преступникам, стоящим за печально
известным ограблением банка ранее в этом году, согласно источникам,
осведомленным о происшествии.
Когда хакеры взломали компьютеры центрального банка Бангладеш в
феврале и отправили фальшивые платежные поручения об оплате, то
Федеральный резервный банк обманом заставили выплатить 101 миллион
долларов. Однако ущерб мог бы быть намного больше, если бы имя Юпитер не
входило в адрес банка на Филиппинах, куда хакеры попытались перевести
еще сотни миллионов долларов. Имя Юпитер также случайно было названием
нефтяного танкера и судоходной компании, которая находится под санкциями
Соединенных Штатов против Ирана. Это нахождение в санкционном списке и
вызвало тревогу в Федеральном резервном банке Нью-Йорка и побудило его
более пристально изучить фальшивые платежные поручения об оплате, как
показало исследование этого происшествия агентством "Рейтер".
Это была "полностью счастливая случайность", что Федеральный резервный
банк Нью-Йорка не перевел 951 миллион долларов, запрошенных хакерами,
сказал человек, осведомленный о ситуации с этим вопросом в банке. Нет
никаких предположений, что в краже были замешаны нефтяной танкер или
судоходная компания.
Исследование "Рейтер" также показало, что заявления на перевод,
посланные хакерами, были исключительными в нескольких отношениях.
Сначала они были неверно отформатированы; они предназначались в основном
для физических лиц; и они очень отличались от обычных запросов о
переводе от Банка Бангладеш. И все же именно слово "Юпитер" вызвало
наибольшую тревогу в Федеральном резервном банке Нью-Йорка. Но даже при
этом было впечатление, что банк отреагировал медленно.
К моменту, когда мошенничество было обнаружено, нью-йоркское отделение
центрального банка США одобрило пять платежей. Оно взяло 101 миллион
долларов из Банка Бангладеш и перевело их на счета в Шри-Ланке и на
Филиппинах - включая 81 миллион долларов на четыре счета физических лиц.
Большая часть из этих 81 миллиона долларов остаются потерянными.
Это была самая дерзкая когда-либо совершенная кибер-кража, проливающая
свет на тревожные уязвимости глобальной финансовой системы и на
малоизвестный уголок Федеральной резервной системы США: ее Центральный
банк и подразделение Обслуживания международных счетов (CBIAS), которое
один бывший сотрудник назвал "банком внутри банка".
Беседы со следователями, адвокатами и сегодняшними и бывшими
чиновниками центрального банка в нескольких странах, а также
ознакомление агентства "Рейтер" с платежными поручениями, электронной
перепиской и другими документами показывают замешательство и
безграмотность во всех вовлеченных в это финансовых организациях.
Но самым поразительным является бездействие и неповоротливость
Федерального резервного банка Нью-Йорка, самого влиятельного из 12
региональных подразделений центрального банка США и основополагающего
элемента глобальной финансовой системы.
Эта кража выявила, что в Федеральном резервном банке Нью-Йорка
отсутствует система обнаружения потенциального мошенничества в реальном
времени - хотя такие системы используются в других местах - вместо этого
полагаясь временами на проверку платежей после того, как они были
сделаны, обычно в связи с такими проблемами как нарушение санкций США.
Несколько месяцев гневных взаимных обвинений в отношении того, кто
виноват в этом фиаско, нанесли ущерб тонкой дипломатии банковских
корреспондентских отношений, в которой крупным западным организациям
вверено обеспечение сохранности богатств более мелких экономик. Банк
Бангладеш готовит сейчас судебное дело, чтобы получить компенсацию за
то, что он называет недостатками Федерального резервного банка
Нью-Йорка, согласно источнику, близкому к этому азиатскому банку. Он
также утверждает, что ошибки СВИФТ, системы обмена сообщениями,
используемой для совершения международных банковских переводов, сделали
банк уязвимым для хакеров.
Взломан: Здание центрального банка Бангладеш в Дакке.
Киберпреступники взломали его компьютерные системы и послали фальшивые
платежные поручения почти на 1 миллиард долларов. Рейтер/Ашикур Рахман
Представитель Банка Бангладеш Субанкар Саха сказал, что учреждения
работают вместе, чтобы попытаться вернуть пропавшие деньги. Он отказался
дать дальнейшие комментарии.
Федеральный резервный банк Нью-Йорка отрицает, что он совершил
промахи, и неоднократно заявлял, что его системы не подвергаются риску. В
ответ на ряд вопросов от "Рейтер" о его действиях во время ограбления и
в последующие дни банк отказался дать комментарии, сославшись на
уголовное расследование, проводимое Министерством юстиции США и
Федеральным бюро расследований.
Система СВИФТ - Организация всемирной межбанковской финансовой связи,
кооператив, используемый более чем 11000 финансовых организаций по всему
миру - отрицает ответственность за любые недостатки в работе и
установке Банком Бангладеш системы СВИФТ. Представитель системы сказал:
"Мы продолжаем поддерживать банк и сотрудничать с расследованиями. Мы с
нетерпением ждем полного отчета об этом случае нарушения безопасности".
Официальные лица все еще расследуют это ограбление. Но исследование
"Рейтер" обнаружило новые детали о том, как Федеральный резервный банк
Нью-Йорка медленно реагировал на признаки опасности, и о том, как между
ним и Банком Бангладеш прервалась связь. Федеральный резервный банк
Нью-Йорка почти полностью полагался на систему передачи сообщений СВИФТ,
со слабым запасным вариантом, в данном случае для внештатных ситуаций.
Несогласованность и громоздкие процессы проведения платежей означали,
что большая часть украденных денег исчезли без следа до того, как их
можно было бы вернуть.
"Я не могла поверить, что можно потерять столько денег в системе СВИФТ
и во всей федеральной системе для центральных банков", - сказала
агентству "Рейтер" Кэролин Малоуни, член Конгресса от Демократической
партии от Нью-Йорка. Малоуни, ставшая первым американским закнодателем,
публично поднявшим вопрос об этом происшествии, добавила: "Это тревожный
звонок, и это должно быть исправлено. С моей точки зрения, я считаю это
угрозой доверию, которое люди могут иметь к системе центральных
банков".
Взлом
В отличие от Федеральной резервной системы, самого влиятельного в мире
центрального банка, под штаб-квартирой которого, под землей, в
Нью-Йорке хранятся 508000 золотых слитков, Банк Бангладеш не является
крупным и влиятельным банком с глобальным присутствием.
Он не обеспечил свою компьютерную систему системой межсетевой защиты и
использовал вторичные электронные переключатели за 10 долларов для
сетевых компьютеров, соединенных с глобальной системой платежей СВИФТ,
согласно Мохаммеду Шах Аламу, главе Института криминалистической
подготовки при департаменте уголовного розыска полиции Бангладеш. Хакеры
могли воспользоваться такими недостатками после того, как Банк
Бангладеш подключил новую систему электронных платежей, известную как
валовые расчеты в режиме реального времени (RTGS) в ноябре прошлого
года. Однако остается неизвестным, кто именно проник в его системы или
как они это сделали.
Что очевидно, согласно сообщениям о расследовании компании по
кибербезопасности FireEye, которые видело агентство "Рейтер", это то,
что кто-то получил компьютерные идентификационные данные оператора СВИФТ
в Банке Бангладеш, установил шесть типов вредоносного кода в системы
банка и начал их опробовать в январе. Хакеры сделали ряд тестовых
прогонов, ненадолго входя в систему несколько раз в период междуу 24
января и 2 февраля. Однажды они оставили работающей программу наблюдения
в системе СВИФТ банка; в другой раз они удалили файлы из базы данных.
В четверг, 4 февраля, хакеры начали посылать обманные заявки на
платежи через СВИФТ. В Бангладеш был поздний вечер и большая часть
персонала банка ушла домой. Хакеры, судя по всему, выбрали время для
ограбления, чтобы оно совпало с выходными, которые начинались в
Бангладеш на следующий день.
Первое сообщение СВИФТ поступило в Федеральный резервный банк
Нью-Йорка сразу после 9:55 утра и поручило перевести 20 миллионов
долларов из центрального банка Бангладеш на счет в Шри-Ланке. В
следующие четыре часа поступило еще 34 заявки с просьбой к центральному
банку США перевести в целом почти 1 миллиард долларов со счета, которым
он управляет для Банка Бангладеш.
По сравнению с большим водоворотом мировой финансовой системы эти
суммы не были примечательными: Федеральный резервный банк Нью-Йорка
имеет дело с платежами в размере около 800 миллиардов долларов в день.
Тем не менее заявки из Бангладеш были странными, удивительно странными.
Во-первых, во всех 35 сообщениях не было указано название
"банков-корреспондентов" - это необходимый следующий шаг в платежной
цепочке - согласно высокопоставленному чиновнику Банка Бангладеш и
человеку, осведомленному об обработке платежей Федеральным резервным
банком Нью-Йорка. Эта ошибка означала, что заявки нельзя было сразу
выполнить. Во-вторых, большинство платежей предназначались для
физических лиц, а не для учреждений, согласно полицейским следователям в
Дакке и источнику, близкому к Банку Бангладеш.
И в-третьих, большое количество платежей в то утро не совпадало с обычной картиной заявок на платеж от Банка Бангладеш.
За восемь месяцев до января 2016 года Банк Бангладеш выдал 285
платежных поручений Федеральному резевному банку, в среднем их было
меньше двух в рабочий день, согласно источнику, близкому к Банку
Бангладеш. Ни один из этих платежей не предназначался для физических
лиц, сказал источник. Центральный банк США разрешает платежи физическим
лицам, но это не является обычным и в большинстве случаев не
приветствуется, согласно одному из бывших сотрудников Федерального
резервного банка Нью-Йорка.
Федеральный резервный банк Нью-Йорка отказался дать комментарии о
количестве платежей, которые он обычно получает от Банка Бангладеш или о
том, посчитал ли персонал многочисленные сообщения 4 февраля
удивительными или подозрительными.
Незамеченные предупреждающие знаки
В Федеральном резервном банке Нью-Йорка такие заявки на платежи
обрабатываются небольшой группой сотрудников CBIAS, которые склонны
держаться особняком, согласно пяти бывшим сотрудникам и
высокопоставленным чиновникам, работавшим внутри или тесно
сотрудничавшим с этой группой. Группа следит за иностранными счетами в
основном центральных банков и ее работа иногда похожа на "экономическую
дипломатию", сказал один из источников, когда персоналу приходится
принимать решения о конфиденциальных платежах, запрошенных широким
кругом клиентов.
Основополагающий элемент банковской системы: логотип СВИФТ,
кооператива, управляющего системой передачи сообщений, используемой
тысячами финансовых учреждений для проведения платежей по всему миру.
REUTERS/Carlo Allegri/Illustration
Подгруппа из примерно 10 человек обрабатывает заявки на платежи,
согласно источникам. Эти сотрудники, некоторые из них достаточно
молодые, могут обнаружить до 100 ожидающих их заявок, когда они приходят
утром, и могут рассматривать сотни платежей в течение дня. Большинство
операций исполняются автоматически. Но когда появляется проблема,
персонал в основном проверяет формат и подлинность СВИФТ, а также
нарушения экономических санкций США или правила в отношении отмывания
денег. Они могут запросить у клиентов дополнительную информацию.
Когда первые 35 сообщений от Банка Бангладеш были отвергнуты из-за
неправильного форматирования, хакеры просто исправили форматирование и
послали еще 35 заявок на платежи тем же самым получателям денег, что и
раньше. На этот раз Федеральный резервный банк Нью-Йорка одобрил пять из
них, несмотря на странности. Они были правильно отформатированы,
опознаны системой СВИФТ и прошли автоматически.
Федеральный резервный банк Нью-Йорка отслеживает необычные операции,
но у его системы был дефект: в то время как компании, работающие с
кредитными картами, могут обнаружить необычные характеристики в режиме
реального времени, Федеральный резервный банк Нью-Йорка обычно изучает
прошедшие платежи, обычно на следующий день после заявки, согласно двум
бывшим его сотрудникам.
После того, как были совершены пять платежей, персонал все же отметил
"несколько" других заявок для рассмотрения, чтобы проверить,
соответствуют ли они или нет американским санкциям, согласно письму,
которое было послано позднее Томасом Бакстером, главным консультантом
Федерального резервного банка Нью-Йорка, члену конгресса Малоуни. Эта
ручная проверка выявила, что платежи были "потенциально
подозрительными", написал Бакстер.
Исследование "Рейтер" обнаружило, что в тот четверг у Федерального
резервного банка Нью-Йорка было достаточно беспокойства по поводу 12
заявок на платеж, чтобы послать сообщение в Банк Бангладеш в конце дня
по нью-йоркскому времени. "Платежи содержали имена физических лиц как
получателей и имели различные детали", говорилось в сообщении.
Но в это время в Бангладеш было 4 часа утра в выходные, и ответить
было некому. Кроме того, хакеры вывели из строя системы Банка Бангладеш,
чтобы сообщения не проходили.
И только на следующий день, в пятницу 5 февраля, Федеральный резервный
банк Нью-Йорка начал полную ручную проверку заявок от Банка Бангладеш,
согласно письму Бакстера и источникам в Бангладеш. Бакстер, ведущий
адвокат Федерального резервного банка Нью-Йорка, сказал в своем письме,
что такие проверки могут происходить после того, как платежи были
осуществлены.
Источники в Соединенных Штатах и в Бангладеш сказали, что именно на
этом этапе наличие имени Юпитер в заявках на платеж вызвало тревогу.
Одной из обязанностей ФРС является недопущение нарушения законов США и
предотвращение платежей компаниям или лицам, находящимся под санкциями. И
это было просто счастливой случайностью, что имя Юпитер фигурировало в
санкционном списке, став тем самым тревожным сигналом.
Задержка в Дакке
Джубейр Бин-Худа, содиректор Банка Бангладеш, был на работе в те
выходные и прибыл в офис банка в Дакке около 10:30 утра в пятницу, 5
февраля, согласно отчету полиции. Он и его коллега отправились за
получением последних сообщений-подтверждений СВИФТ, которые должны были
быть распечатаны автоматически. Они не нашли ни одного такого сообщения.
Они попытались распечатать сообщения вручную, но у них это не
получилось.
Хакеры заразили систему вредоносной программой, которая вывела принтер
из строя, и чиновники банка Бангладеш не увидели запрос Федерального
резервного банка и ничего не знали о мошеннических операциях. Худа,
согласно отчету полиции, предположил, что это была просто проблема с
принтером - что случалось и в прошлом - и попросил других сотрудников
починить принтер. Он ушел с работы примерно в 11:15 утра.
Ушел в отставку: Атиур Рахман, бывший управляющий Банка Бангладеш, в
своем офисе в 2013 году. Он покинул банк после кибер-ограбления в этом
году. Рейтер/Эндрю Бирадж
Так как это была пятница, исламский выходной день, то все другие
сотрудники покинули работу около 12:30 дня, оставив ремонт принтера на
потом, говорится в полицейском отчете. Позднее в тот день чиновники
Федерального резервного банка отправили два других сообщения СВИФТ в
Дакку. В первом задавался тот же самый вопрос о четырех из пяти
переводов, с которых уже были сняты подозрения - и эти четыре перевода
включали имя Юпитер. Во втором сообщении задавался вопрос о тридцати
других запросах на платеж, включая те, о которых запрашивали днем
раньше, согласно источникам, близким к Банку Бангладеш, и внутреннему
документу, который видело агентство "Рейтер".
Сообщения не прошли. И Федеральный резервный банк не связывался с
Даккой каким-либо иным образом. Часто это занимало до трех дней для
таких клиентов как Бангладеш, чтобы ответить на сообщения СВИФТ, сказал
один бывший сотрудник ФРБ Нью-Йорка. Но этот человек добавил, что к тому
моменту Федеральный резервный банк Нью-Йорка должен был понять, что
кто-то пытается перевести миллиард долларов со счета "и что это
совершенно ненормально".
Худа вернулся на работу в субботу 6 февраля около 9 часов утра и
попытался снова использовать принтер, обнаружив, что программное
обеспечение СВИФТ не запускается. Как он ни пытался запустить программу,
на мониторе появлялось особщение "файл отсутствует или изменен".
Только около 12:30 дня персоналу банка удалось, наконец, распечатать
сообщения СВИФТ. Именно тогда они впервые увидели мошеннические операции
и запросы Федерального резервного банка Нью-Йорка и поняли, что
произошло что-то ужасное. Они бросились выяснять больше, но не
рассказали Атиуру Рахману, тогдашнему управляющему банка, о том, что
произошло, до следующего дня.
Рахман сказал "Рейтер", что он поначалу не осознавал серьезность
ситуации. "Я никогда не думал, что это станет таким большим событием", -
сказал он. "Данный заместитель управляющего не объяснил мне, что
реально произошло. Он просто сказал мне, что был такой инцидент и что
они уже запросили остановку платежа. Они надеялись, что деньги будут
возвращены".
Рахман сказал, что заместитель управляющего банка Абдул Касим сказал
ему, что деньги "все еще в системе" и вскоре будут возвращены. "Я сказал
- "делайте, как нужно, это ваш отдел, так что займитесь этим"", -
рассказал Рахман агентству "Рейтер".
Позднее стало ясно, что большая часть денег не будет возвращена, и
Рахман покинул свой пост в Банке Бангладеш в марте. Касим, который также
покинул банк в марте, отказался дать комментарии, сославшись на идущее
расследование этого дела.
Медлительный ФРБ
С осознанием кражи в те выходные стали очевидными и зависимость ФРБ от
передачи сообщений СВИФТ, отсутствие у него альтернативных линий связи и
его инертность.
Так как система СВИФТ Банка Бангладеш все еще работала не полностью,
чиновники стали искать другие способы связаться с ФРБ в Нью-Йорке. Не
имея явного контактного лица, они поискали на веб-сайте ФРБ и нашли
электронный адрес - но он работал только в рабочие часы по будним дням. В
субботу они послали три сообщения на этот электронный адрес в течение
нескольких часов. В первом была фраза: "Нашу систему взломали.
Пожалуйста, срочно остановите все распоряжения о платеже (списании со
счета)".
Были выходные и сотрудники ФРБ не отвечали. Маловероятно, чтобы этот
электронный адрес был синхронизирован с их мобильными телефонами,
согласно бывшему сотруднику Федерального резервного банка Нью-Йорка.
Худа предпринял дальнейшие шаги, сделав несколько звонков и отправив
факс на номера, полученные с веб-сайта ФРБ, согласно источнику, близкому
к Банку Бангладеш. Эти номера также были помечены как контакты,
функционирующие только в рабочие дни, и ФРБ снова не ответил.
В понедельник персоналу Банка Бангладеш удалось, наконец, запустить
свою систему СВИФТ и отправить сообщение под заголовком "Крайне срочно" в
Федеральный резервный банк Нью-Йорка с уведомлением, что 35 платежных
поручений являются фальшивыми. "Пожалуйста, верните назад средства,
которые система перевела с ваших счетов", говорилось в нем.
Это сообщение, отправленное примерно в 1 час ночи в Нью-Йорке, было,
вероятно, получено, когда сотрудники отдела CBIAS появились в 7:30 утра.
Согласно бывшим сотрудникам CBIAS и чиновникам высокого ранга в
Федеральном резервном банке Нью-Йорка, сообщение должно было произвести
эффект разорвавшейся бомбы.
Федеральный резервный банк Нью-Йорка, сославшись на уголовное
расследование, отказался комментировать свой обмен сообщениями с Банком
Бангладеш и то, какие шаги он предпринял в понедельник, чтобы попытаться
вернуть деньги Банка Бангладеш.
ПЕРЕГОВОРЫ: Уильям Дадли, президент Федерального резервного банка
Нью-Йорка, здесь на снимке в 2014 году, ведет дискуссии с Банком
Бангладеш о причине ущерба от кибер-ограбления. Рейтер/Кит Бедфорд
Только в понедельник вечером в Нью-Йорке и во вторник утром в Дакке -
через четыре дня после начала ограбления - Федеральный резервный банк
Нью-Йорка сообщил Банку Бангладеш, что он предупредил
банки-корреспонденты о мошенничестве. Платеж на 20 миллионов долларов на
счет в Шри-Ланке был возвращен из-за орфографической ошибки в запросе.
Но в отношении четырех других платежей, произведенных физическим лицам,
было слишком поздно: 81 миллион долларов ушли в филиппинский банк и
оттуда исчезли в огромной денежной карусели, которой является индустрия
казино этой страны.
Поиски виноватых начались вскоре после этого. СВИФТ возмутился
намеками на дефекты в своей системе и отверг всякую ответственность за
то, как Банк Бангладеш установил свою систему RTGS валовых расчетов в
режиме реального времени.
11 и 14 февраля Эдди Хаддад, управляющий директор СВИФТ по
Азиатско-Тихоокеанскому региону, отправил электронные письма - которые
видело агентство "Рейтер" - Рахману, тогда еще управляющему Банка
Бангладеш. В этих электронных письмах намекалось, что кто-то внутри
банка, возможно, замешан в ограблении. В одном письме было сказано: "Я
просмотрел записи и детали не отвечающих правилам сообщений, внутри ББ
был скомпрометирован счет пользователя. Это никак не связано с каналом
RTGS СВИФТ".
19 февраля Ален Раес, глава СВИФТ по Европе, Ближнему Востоку и
Африке, снова упомянул эту возможность, написав в электронном письме
Рахману: "В то время как любой вывод был бы преждевременным, но с учетом
ограниченных свидетельств и нашего ограниченного взгляда на события и
их контекст это может указывать на опытного постороннего человека,
действующего с помощью злонамеренного штатного сотрудника Банка
Бангладеш".
СВИФТ, Хаддад и Раес отказались дать комментарии по этому вопросу для этой статьи.
Банк Бангладеш отказался комментировать. Комиссия, назначенная
правительством Бангладеш для расследования ограбления, заявила в отчете в
конце мая, что она подозревает участие кого-то из штатных сотрудников.
Подробности не приводились. Старший полицейский следователь Мирза
Абуллахель Баки сказал, что чиновников допрашивали, но только в
отношении халатности.
Отношения между Банком Бангладеш и Федеральным резервным банком
Нью-Йорка также ухудшились. 24 февраля банк написал ФРБ запрос о том,
какие действия тот предпринимал по поводу платежей и почему ФРБ не смог
их остановить. В начале мая Фэзли Кэбир, ставший управляющим Банка
Бангладеш, написал Уильяму Дадли, президенту Федерального резервного
банка Нью-Йорка, задав аналогичные вопросы. Дадли позвонил Кэбиру, чтобы
договориться о встрече в Базеле, Швейцария, 10 мая.
На этой встрече председательствовал Готтфрид Лайббрандт, президент
СВИФТ, которого сопровождал его главный юрисконсульт. Федеральный
резервный банк Нью-Йорка представляли Дадли, Бакстер и другие чиновники.
Банк Бангладеш представлял Кэбир, другие чиновники и Аджмалул Хоссейн,
известный в Дакке адвокат.
Все три стороны договорились о сотрудничестве. Но согласно людям,
осведомленным о дискуссии, два банка покинули эту встречу
неудовлетворенными. Федеральный резервный банк Нью-Йорка раздражен
отказом Банка Бангладеш предоставить результаты проверки его
информационной безопасности.
Банк Бангладеш считает, что ФРБ должен был заметить необычный характер
операций, согласно источнику, близкому к азиатскому банку. Планируются
дальнейшие переговоры, на этот раз в штаб-квартире Федерального
резервного банка Нью-Йорка на Уолл-стрит.
Это ограбление уже привело к нескольким формальным запросам информации
от членов американского Конгресса, а председателю ФРС Джанет Йеллен
задавали вопросы об этом происшествии во время слушаний в прошлом
месяце. Малоуни, которая входит в комитет палаты представителей по
финансовым услугам, напрямую контролирующий центральный банк, сказала,
что она собирается попросить председателя от республиканцев
запланировать слушания в комитете по этому происшествию.
Она также сказала "Рейтер", что планирует попросить Федеральный
резервный банк Нью-Йорка дать более четкое объяснение, почему в феврале
были произведены пять обманных платежей, а другие не были произведены.
"Почему? В чем заключалась разница?" - спросила она
Источник: perevodika.ru.
Рейтинг публикации:
|
