سرقة لازاروس: سرقة أجهزة الصراف الآلي العابرة للقارات والتي حصدت 14 مليون دولار في ساعتين
تخيل أنك عامل ذو أجر منخفض في الهند وعرض عليه عمل ليوم واحد كإضافة في فيلم بوليوود. دورك؟ للذهاب إلى نقطة نقدية وسحب بعض المال.
في عام 2018، اعتقد العديد من الرجال في ولاية ماهاراشترا أنهم يقبلون جزءًا صغيرًا من فيلم – لكن في الواقع تم خداعهم ليصبحوا بغال المال، ويجمعون النقود في عملية سرقة بنك طموحة.
وقعت الغارة خلال عطلة نهاية الأسبوع في أغسطس 2018، وتركزت على بنك كوزموس التعاوني، الذي يقع مقره الرئيسي في بيون.
بعد ظهر يوم سبت هادئ، تلقى الموظفون في المكتب الرئيسي للبنك فجأة سلسلة من الرسائل المخيفة.
كانوا من شركة Visa للدفع بالبطاقات في الولايات المتحدة، محذرين من أنها قد تشهد تدفق الآلاف من الطلبات على عمليات السحب النقدي الكبيرة من أجهزة الصراف الآلي – من قبل أشخاص يستخدمون بطاقات Cosmos Bank على ما يبدو.
لكن عندما فحص فريق Cosmos أنظمتهم الخاصة، لم يروا أي معاملات غير طبيعية.
بعد حوالي نصف ساعة، فقط من أجل الأمان، سمحوا لشركة Visa بإيقاف جميع المعاملات من بطاقات Cosmos المصرفية. سيكون هذا التأخير مكلفًا للغاية.
في اليوم التالي، شاركت Visa القائمة الكاملة للمعاملات المشبوهة مع المكتب الرئيسي لشركة Cosmos: حوالي 12000 عملية سحب منفصلة من أجهزة صراف آلي مختلفة حول العالم.
وخسر البنك قرابة 14 مليون دولار (11.5 مليون جنيه إسترليني).
تحذير: تحتوي هذه المقالة على المفسدين لبودكاست Lazarus Heist
لقد كانت جريمة جريئة تتميز بنطاقها الكبير وتزامنها الدقيق. نهب مجرمون أجهزة الصراف الآلي في 28 دولة مختلفة، بما في ذلك الولايات المتحدة والمملكة المتحدة والإمارات العربية المتحدة وروسيا. حدث كل هذا في غضون ساعتين و13 دقيقة فقط – غوغاء عالمي غير عادي من الجريمة.
في نهاية المطاف، سيتتبع المحققون أصوله إلى مجموعة غامضة من المتسللين الذين نفذوا سلسلة متوالية من اللسعات السابقة على ما يبدو بناءً على طلب من دولة كوريا الشمالية.
مجاملة ب. سينغ
ولكن قبل أن يعرفوا الصورة الأوسع، اندهش المحققون في وحدة مكافحة الجرائم الإلكترونية في ولاية ماهاراشترا لرؤية لقطات كاميرات المراقبة لعشرات الرجال الذين يصعدون إلى سلسلة من نقاط النقد، ويدخلون البطاقات المصرفية ويضعون الأوراق النقدية في أكياس.
يقول المفتش الجنرال بريجيش سينغ، الذي قاد التحقيق: “لم نكن على علم بشبكة بغل المال مثل هذه”.
كان لدى إحدى العصابات معالج كان يراقب معاملات أجهزة الصراف الآلي في الوقت الفعلي على جهاز كمبيوتر محمول، كما يقول سينغ. أظهرت لقطات CCTV أنه كلما حاول بغل المال الاحتفاظ ببعض النقود لنفسه، كان المتعامل يكتشفها ويصفعه بشدة.
باستخدام لقطات الدوائر التلفزيونية المغلقة وكذلك بيانات الهاتف المحمول من المناطق القريبة من أجهزة الصراف الآلي، تمكن المحققون الهنود من القبض على 18 مشتبهاً بهم في الأسابيع التي أعقبت المداهمة. معظمهم الآن في السجن في انتظار المحاكمة.
يقول سينغ أن هؤلاء الرجال لم يكونوا محتالين صلبين. وكان من بين المعتقلين نادل وسائق وصانع أحذية. وحصل آخر على درجة في الصيدلة.
يقول: “لقد كانوا أناسًا مهذبين”.
على الرغم من ذلك، يعتقد أنه بحلول الوقت الذي حدثت فيه الغارة، حتى الرجال الذين تم تجنيدهم كـ “إضافات” كانوا يعرفون ما كانوا يفعلونه حقًا.
لكن هل عرفوا لمن كانوا يعملون؟
يعتقد المحققون أن دولة كوريا الشمالية السرية والمعزولة كانت وراء السرقة.
كوريا الشمالية هي واحدة من أفقر دول العالم، ومع ذلك يذهب جزء كبير من مواردها المحدودة نحو بناء أسلحة نووية وصواريخ باليستية، وهو نشاط محظور من قبل مجلس الأمن التابع للأمم المتحدة. ونتيجة لذلك، فرضت الأمم المتحدة عقوبات شديدة على البلاد، مما جعل التجارة مقيدة للغاية.
منذ وصوله إلى السلطة قبل 11 عامًا، أشرف الزعيم الكوري الشمالي كيم جونغ أون على حملة غير مسبوقة من تجارب الأسلحة، بما في ذلك أربع تجارب نووية والعديد من العروض الاستفزازية لاختبار إطلاق صواريخ عابرة للقارات.
تعتقد السلطات الأمريكية أن حكومة كوريا الشمالية تستخدم مجموعة من قراصنة النخبة لاقتحام البنوك والمؤسسات المالية في جميع أنحاء العالم لسرقة الأموال التي تحتاجها للحفاظ على الاقتصاد واقفًا وتمويل برنامج الأسلحة.
ويعتقد أن المتسللين، الملقبين بمجموعة لازاروس، ينتمون إلى وحدة تديرها وكالة الاستخبارات العسكرية القوية في كوريا الشمالية، المكتب العام للاستطلاع.
أطلق خبراء الأمن السيبراني على المتسللين اسم شخصية التوراة Lazarus، الذي عاد من الموت – لأنه بمجرد دخول فيروساتهم إلى شبكات الكمبيوتر، يكاد يكون من المستحيل قتلهم.ظهرت المجموعة لأول مرة على المستوى الدولي عندما اتهم الرئيس الأمريكي آنذاك باراك أوباما كوريا الشمالية باختراق شبكة كمبيوتر Sony Pictures Entertainment في عام 2014. واتهم مكتب التحقيقات الفيدرالي المتسللين بشن هجوم إلكتروني ضار انتقاما من فيلم ” The Interview “، وهو فيلم كوميدي يصور اغتيال كيم جونغ أون.
ومنذ ذلك الحين، اتُهمت مجموعة Lazarus Group بمحاولة سرقة مليار دولار (815 مليون جنيه إسترليني) من البنك المركزي البنغلاديشي في عام 2016، وشن هجوم WannaCry الإلكتروني الذي حاول انتزاع فدية من الضحايا في جميع أنحاء العالم، بما في ذلك NHS في بريطانيا.
وتنفي كوريا الشمالية بشدة وجود مجموعة لازاروس وجميع مزاعم القرصنة التي ترعاها الدولة.
لكن وكالات إنفاذ القانون الرائدة تقول إن الاختراق في كوريا الشمالية أكثر تقدمًا وأكثر جرأة وطموحًا من أي وقت مضى.
بالنسبة لسرقة كوزموس، استخدم المتسللون تقنية تُعرف باسم “الفوز بالجائزة الكبرى” – وهذا ما يسمى لأن جعل أجهزة الصراف الآلي تسكب أموالها مثل ضرب الفوز بالجائزة الكبرى على آلة القمار.
تم اختراق أنظمة البنك في البداية بالطريقة الكلاسيكية: من خلال رسالة بريد إلكتروني تصيدية فتحها موظف أصاب شبكة الكمبيوتر ببرامج ضارة. بمجرد الدخول، تلاعب المتسللون ببعض البرامج – تسمى مفتاح ATM – والتي ترسل رسائل إلى أحد البنوك للموافقة على سحب النقود.
ثم أعطى هذا للقراصنة القدرة على السماح بسحب أجهزة الصراف الآلي من شركائهم في أي مكان في العالم. الشيء الوحيد الذي لم يتمكنوا من تغييره هو الحد الأقصى للمبلغ لكل عملية سحب، لذلك كانوا بحاجة إلى الكثير من البطاقات والكثير من الأشخاص على الأرض.
استعدادًا للغارة، عملوا مع شركاء لإنشاء بطاقات صراف آلي “مستنسخة” – باستخدام بيانات حساب مصرفي أصلية لإنشاء بطاقات مكررة يمكن استخدامها في أجهزة الصراف الآلي.
اشتبهت شركة الأمن البريطانية BAE Systems على الفور في أنها من عمل مجموعة Lazarus Group. كانت تراقبهم منذ شهور وعرفت أنهم كانوا يخططون لمهاجمة بنك هندي. انها فقط لا تعرف أي واحد.
يقول الباحث الأمني في شركة BAE Adrian Nish: “كان من قبيل المصادفة أن تكون عملية إجرامية أخرى”. يقول إن مجموعة لازاروس متعددة الاستخدامات وطموحة للغاية. “من المحتمل أن تكون معظم الجماعات الإجرامية سعيدة بما يكفي للإفلات من مليونين والتوقف عند هذا الحد.”
إن الخدمات اللوجستية المتضمنة في سرقة Cosmos Bank مذهلة. كيف وجد المتسللون شركاء على الأرض في 28 دولة، بما في ذلك العديد من الدول التي لا يستطيع المواطنون الكوريون الشماليون زيارتها بشكل قانوني؟
يعتقد محققو الأمن التكنولوجي في الولايات المتحدة أن Lazarus Group قابلت أحد الميسرين الرئيسيين على الويب المظلم، حيث توجد منتديات كاملة مخصصة لتبادل مهارات القرصنة وحيث يبيع المجرمون غالبًا خدمات الدعم. في فبراير 2018، نشر مستخدم يطلق على نفسه Big Boss نصائح حول كيفية القيام بالاحتيال على بطاقة الائتمان. وقال أيضًا إن لديه المعدات اللازمة لصنع بطاقات صراف آلي مستنسخة، وأنه كان لديه إمكانية الوصول إلى مجموعة من بغال المال في الولايات المتحدة وكندا.
كانت هذه بالضبط الخدمة التي احتاجتها مجموعة Lazarus لتحقيق نجاحها في Cosmos Bank، وبدأوا العمل مع Big Boss.
طلبنا من مايك ديبولت، كبير مسؤولي الاستخبارات في Intel 471 – شركة أمن تقني في الولايات المتحدة – معرفة المزيد عن هذا الشريك.
اكتشف فريق DeBolt أن Big Boss كان نشطًا لمدة 14 عامًا على الأقل وكان لديه سلسلة من الأسماء المستعارة: G وHabibi وBackwood. تمكن المحققون الأمنيون من ربطه بجميع أسماء المستخدمين هذه، حيث استخدم نفس عنوان البريد الإلكتروني في منتديات مختلفة.
يقول ديبولت: “إنه كسول في الأساس”. “نرى هذا بشكل شائع جدًا: يقوم الممثلون بتغيير الاسم المستعار الخاص بهم في منتدى، ولكن مع الاحتفاظ بعنوان البريد الإلكتروني نفسه.”
في عام 2019، تم القبض على Big Boss في الولايات المتحدة وفضح القناع باسم غالب العمري، وهو كندي يبلغ من العمر 36 عامًا. وأقر بأنه مذنب بارتكاب جرائم بما في ذلك غسل الأموال من سرقة بنوك كورية شمالية مزعومة، وحُكم عليه بالسجن 11 عامًا وثمانية أشهر.
لم تعترف كوريا الشمالية أبدًا بأي تورط في وظيفة بنك كوزموس، أو أي مخطط قرصنة آخر. ووضعت بي بي سي مزاعم التورط في هجوم كوزموس على سفارة كوريا الشمالية في لندن لكنها لم تتلق أي رد.
ومع ذلك، عندما اتصلنا به سابقًا، رد السفير تشوي إيل على مزاعم القرصنة وغسيل الأموال التي ترعاها كوريا الشمالية بأنها “مهزلة”، ومحاولة من جانب الولايات المتحدة “لتشويه صورة دولتنا”.
في فبراير 2021، أعلن مكتب التحقيقات الفيدرالي، والخدمة السرية الأمريكية، ووزارة العدل عن اتهامات ضد ثلاثة متسللين مشتبه بهم من مجموعة Lazarus Group: جون تشانغ هيوك، كيم إيل وبارك جين هيوك، الذين قالوا إنهم يعملون لصالح وكالة الاستخبارات العسكرية في كوريا الشمالية. يُعتقد الآن أنهم عادوا إلى بيونغ يانغ.
تقدر سلطات الولايات المتحدة وكوريا الجنوبية أن كوريا الشمالية لديها ما يصل إلى 7000 قراصنة مدربين. من غير المحتمل أن يعملوا جميعًا من داخل الدولة، حيث لا يملك سوى عدد قليل من الأشخاص تصاريح لاستخدام الإنترنت، مما يجعل إخفاء أنشطة المستخدمين أمرًا صعبًا. بدلاً من ذلك، غالبًا ما يتم إرسالهم إلى الخارج.
قدم ريو هيون وو، الدبلوماسي الكوري الشمالي السابق وأحد كبار الأشخاص الذين تركوا النظام، نظرة ثاقبة حول كيفية عمل المتسللين في الخارج.
في عام 2017، كان يعمل في سفارة كوريا الشمالية في الكويت، حيث ساعد في الإشراف على توظيف حوالي 10000 كوري شمالي في المنطقة. في ذلك الوقت، كان الكثيرون يعملون في مواقع البناء في جميع أنحاء الخليج، ومثل جميع العمال الكوريين الشماليين، طُلب منهم تسليم معظم رواتبهم إلى النظام.
وقال إن مكتبه تلقى مكالمة يومية من معالج كوري شمالي كان يشرف على 19 متسللاً يعيشون ويعملون في أماكن ضيقة في دبي. قال: “هذا كل ما يحتاجون إليه حقًا: جهاز كمبيوتر متصل بالإنترنت”.
وتنفي كوريا الشمالية وجود أي قراصنة في الخارج، لكن فقط عمال تكنولوجيا المعلومات الذين يحملون تأشيرات سارية المفعول. لكن وصف ريو يتناسب مع مزاعم مكتب التحقيقات الفيدرالي حول كيفية عمل هذه الوحدات الإلكترونية من المهاجع حول العالم.
في سبتمبر 2017، فرض مجلس الأمن التابع للأمم المتحدة أشد العقوبات صرامة حتى الآن على كوريا الشمالية، حيث حد من واردات الوقود، وفرض مزيدًا من القيود على الصادرات، وطالب الدول الأعضاء في الأمم المتحدة بإرسال العمال الكوريين الشماليين إلى بلادهم بحلول ديسمبر 2019.
ومع ذلك، يبدو أن المتسللين ما زالوا نشطين. إنهم يستهدفون الآن شركات العملات المشفرة، ويقدر أنهم سرقوا ما يقرب من 3.2 مليار دولار.
ووصفتهم السلطات الأمريكية بأنهم “كبار لصوص البنوك في العالم” باستخدام “لوحات المفاتيح بدلاً من البنادق”.
المصدر: bbc
شاهد ايضا:
