"מערכת הבנקאות העולמית נפרצה"

איור: עובדיה בנישו

כשבחור אמריקני בשנות ה-40 לחייו גילה ש"החברים" שלו גונבים 81 מיליון דולר מהבנק המרכזי של בנגלדש ונעלמים מבלי שאף אחד מבחין בהם, הוא הרגיש שהוא צריך לעשות משהו. כשהוא ראה אותם מצליחים לפרוץ גם לבורסה של הודו ולאלפי בנקים נוספים מסביב לעולם, כבר ממש "נשבר" לו.

סיפורו מתחיל בתחילת פברואר 2016, כשמדפסת בחדר שרתים במקום המאובטח ביותר בבנגלדש – הבנק המרכזי – הפסיקה לפתע לעבוד, ולא מהסיבות הנכונות. אף דף לא נתקע בה, וגם הטונר לא נגמר. זה היה מוזר. ביום נורמלי היא מדפיסה כמות גדולה של הודעות על עסקאות המתבצעות בין הבנק של בנגלדש לבנקים אחרים בעולם. כל העסקאות דורשות אישור, ומבוצעות דרך Swift (סוויפט) – מערכת תקשורת להעברת הודעות על תשלומים שמחברת כ-11 אלף בנקים מסביב לעולם.

אבל בסוף השבוע הזה המדפסת הפסיקה להוציא דיווחים, וזה לא היה מקרי – קבוצת האקרים שתכננה שוד בסגנון "אושן 13" חיבלה במדפסת כדי להסתיר את עקבותיה. יום קודם לכן ההאקרים הורו להעביר סכום עתק – 951 מיליון דולר – מחשבונות הבנק המרכזי של בנגלדש (היושבים בפדרל ריזרב בניו יורק) למספר חשבונות שונים ברחבי אסיה.

אני מכיר את ההאקרים האלה טוב… הם סיפרו לי על הפריצה וסיפקו לי את כל הפרטים… המתקפות האלה הן רק קצה הקרחון

כשמנהל הבנק של בנגלדש הצליח בסופו של דבר להפעיל את המדפסת ולראות את העברות הכספים, החלה הפאניקה. התברר ש-101 מיליון דולר כבר הצליחו לקבל את אישור הפדרל ריזרב בניו יורק ו"להתנדף" – 20 מיליון לחשבון בנק בסרי לנקה, ו-81 מיליון לחשבונות בנק בפיליפינים. את הכסף בסרי לנקה הצליחו להציל, פשוט כי אף אחד עוד לא הגיע למשוך אותו. אבל בפיליפינים התמונה הייתה שונה – הכסף נעלם. מישהו, מתי שהוא, הספיק למשוך אותו מחשבונות הבנק, שוב, מבלי שאף אחד הבחין.

הבנק בבנגלדש היה רק ה"מכה" הראשונה. כעבור שלושה חודשים, דובר "סוויפט", אותה מערכת בין-לאומית להעברות כספים בין הבנקים, הודה בראיון לוולסטריט ג׳ורנל שהיו כמה תקריות נוספות, אבל לא הרחיב עליהן. גם הרשויות השונות שחוקרות את הפרשה לא חשפו אילו בנקים נפרצו.

איור: ליזה וורונין

כמה כלי תקשורת טענו שהפורצים נעזרו בחפרפרת בתוך הבנק של בנגלדש שסיפקה להם את אישורי הכניסה למחשבי הבנק. דיווחים אחרים טענו שמחשבי הבנק בבנגלדש לא אובטחו כראוי. והיו גם שציטטו חוקרי אבטחה שטענו כי מאחורי הפריצה עומדת צפון קוריאה, מכיוון שתוכנה זדונית שהתגלתה במחשבי הבנק של בנגלדש דומה לתוכנה שהאקרים מצפון קוריאה השתמשו בה כדי לפרוץ בסוף 2014 למחשבי חברת "סוני".

"כולם טועים", אומר לנו אד אלכסנדר, מי שהיה עד לאחרונה סוכן סמוי ו"חבר" קרוב של ההאקרים, בשיחת טלפון מבית המלון שבו הוא שוהה בבריטניה. "אני מכיר את ההאקרים האלה טוב. הם פרצו גם לתאגיד המספק שירותי תמיכה טכניים לבורסה של הודו, כדי לחדור דרכו לבורסה. חודשיים קודם לכן הם סיפרו לי על הפריצה וסיפקו לי את כל הפרטים. הם נתנו לי הכול. הם לקחו את התוכנה הזדונית מהמתקפה של צפון קוריאה על מחשבי ׳סוני׳, ביצעו בה התאמות, ושתלו אותה במחשבי הבנקים כדי לגרום לחוקרים להאמין שצפון קוריאה ביצעה את המתקפות. מה שכמובן לא נכון.

"המתקפות האלה הן רק קצה הקרחון. מערכת הבנקאות הגלובלית נפרצה – ההאקרים כבר השיגו גישה לאלפי בנקים ברחבי העולם, וזה רק עניין של זמן עד שתבוצע ׳המכה׳ הבאה".

איש הצללים

לפני כעשור, החל אלכסנדר לעבוד עבור זרוע הסייבר של תאגיד ביטחון פרטי בשם  המספק שירותי מודיעין לכמה מהחברות הגדולות בארה"ב. הוא הוביל צוות של כ-200 סוכנים המתמחים באיסוף מודיעין אנושי וריגול ברשת, לחדור לתוך פורום סודי ברשת האפלה (הדארק נט) שבו על פי החשד נמצאת קבוצת האקרים המכונה Babylon APT.

"הרשת האפלה" היא רשת נסתרת הנמצאת על גבי תשתית האינטרנט. כל אחד יכול להתחבר אליה באמצעות תוכנה מיוחדת ולהתחיל לגלוש בפורומים ובאתרים נסתרים הנמצאים בתוכה באופן אנונימי לגמרי.

איור: ליזה וורונין

אבל כדי להיכנס לפורום של Babylon אלכסנדר היה צריך לעבור תהליך אישור ארוך של שלושה שלבים. בשלב הראשון הוא היה צריך לשכנע את אחד הפעילים להזמין אותו פנימה. לאחר מכן מנהל הפורום היה צריך לאשר אותו באופן אישי, ולבסוף הוא היה צריך להוכיח שהוא ראוי. או במילים של פושעי סייבר – שהוא רכש בעבר דברים בכמה עשרות אלפי דולרים במטבע הדיגיטלי ביטקוין.

זה כמובן לא הספיק כדי להוכיח את נאמנותו לאורך זמן. אף אחד לא אוהב אנשים שסתם מסתובבים בפורום ומרחרחים. לכן הוא נאלץ להמשיך לרכוש דברים מההאקרים בפורום. למשל, מידע שגנבו מחברות טכנולוגיה (שעלותו בדרך כלל כ-75 אלף דולר) או גישה לרשתות ממשלתיות (כ-100 אלף דולר). "כל מה שרכשתי נעשה בידיעת רשויות החוק שעבדתי איתן", הוא אומר.

אני חושד שהם רוצים שארגוני הפשע ייתפסו ויעלו לכותרות בגלל השוד הקטן שביצעו, דבר שיסיח את תשומת הלב מהדבר הגדול שהם עושים מאחורי הקלעים

ככל שחלף הזמן, ואלכסנדר התקרב אל ההאקרים, הוא ראה כיצד הם מסמנים כמטרה רשתות ממשלתיות או בנקים ואז פורצים אליהם. הוא ידע מה הם עושים עם המידע שגנבו ולמי הם מוכרים אותו הלאה. הוא רכש את אמונם, והם סמכו עליו, אף על פי שהכירו אותו רק בכינוי שלו.

"כיום אני כבר לא מתקשר איתם דרך הפורום ההוא ברשת האפלה. אחרי שחדרתי פנימה וראיתי שהם סומכים עליי מאוד, שיניתי טקטיקה – אמרתי להם שיש בפורום כמה סוכנים ושכדאי להם לסגור אותו. וכך היה. הם סגרו אותו ולא פתחו מאז פורום חדש. במקום זאת, הם החלו לתקשר איתי ועם אנשי הקשר שהם סומכים עליהם דרך תוכנת מסרים מידיים (Jabber). כך אני והסוכנים שלי שלטנו ב-30 אחוז מהקהל שלהם".

מה עוד גילית עליהם? 


"גיליתי שרובם האקרים סינים שעובדים עבור הממשל הסיני. ליתר דיוק עבור צבא סין. הם החלו לעבוד עבורו ב-2006. חלקם מתמחים בפריצה לרשתות ממשלתיות. אחרים בפריצה לבנקים ולחברות טכנולוגיה. יש כאלה העוסקים בפריצה למחשבים של צבאות. עד היום הם תקפו כמה ממשלות וצבאות מסביב לעולם. בין ההאקרים האלה יש אנשים מושחתים שרוצים להרוויח כסף. אחרי שהם פורצים לבנק או לרשת ממשלתית בהוראת הממשל הסיני, הם מוכרים את הגישה לשם".

חלק מצילומי המסך שהעביר לנו אלכסנדר, המראים כיצד ההאקרים מבצעים מניפולציות בתוך מערכות הבנקים. חלק מהצילומים מראים את שעת המתקפה על מחשבי הבנק, אחרים מראים כיצד ההאקרים מריצים מספר פעולות זדוניות, ויש המראים שההאקרים השיגו גישה ברמה גבוהה למערכות הבנקים | צילומי מסך: באדיבות אד אלכסנדר

לדברי אלכסנדר, ההאקרים הסינים סיפרו לו על כך בפתיחות, פשוט כי הניחו שאין לו שום דרך לחשוף אותם או להגיע אליהם. בתחילת 2015, למשל, נפרצו מחשבי חברת Anthem, אחת מחברות ביטוח הבריאות הגדולות בארה"ב – פרשה שקיבלה הד תקשורתי גדול. בדיקות שנערכו קישרו את הפריצה למשטר הסיני. אחרי שהעבירו את המידע הגנוב – פרטים מזהים על 80 מיליון לקוחות החברה – לממונה עליהם בצבא סין, הציעו ההאקרים לאנשי הקשר שלהם, ביניהם אלכסנדר, לרכוש את המידע בתמורה ל-300 אלף דולר. אלכסנדר סירב.

אבל זה היה רק קצה הקרחון. "תיכנסו ל-uniteller.com", אומר לנו אלכסנדר. "יוניטלר הוא שירות בבעלות Banorte, הבנק השלישי בגודלו במקסיקו, המאפשר להעביר כספים בין מאות בנקים במדינות רבות ברחבי העולם. באתר שלהם יש login ו-sign up. תלחצו על אחד מהם, ותראו מה קורה – כלום" (נכון למועד כתיבת שורות אלה, א"ל, ג"פ).

וזה כי? 


"זה כי ההאקרים הסינים פרצו לשירות העברת הכספים של יוניטלר, שמאפשר לבצע העברות כספים בין בנקים. כך הם הצליחו להשיג גישה למערכות מחשבים קריטיות של הבנקים המרכזיים במקסיקו. מערך התשתיות של מקסיקו נשלט כיום על ידי קבוצת ההאקרים הזאת. הם נמצאים בכל מקום במקסיקו. אבל דרך שירות יוניטלר הם הצליחו לחדור גם לבנקים רבים אחרים ברחבי העולם שמחוברים לשירות. לכן יוניטלר השביתו את אפשרות הכניסה לשירות שלהם באתר".

כלומר, יוניטלר יודעים שהם נפרצו?


"כן, יצרתי איתם קשר בסוף חודש מאי השנה. סיפרתי להם על הפגיעוּת, הם שוחחו איתי מעט, אבל אז היועץ המשפטי שלהם התערב, והם נעלמו. הם לא עונים לטלפונים שלי ולא להודעות. הם לא פנו לגופי אכיפת חוק. בערך שבוע לפני שיצרתי קשר עם יוניטלר, פניתי לסוכנויות אכיפת חוק שונות וקבעתי איתם מועד שבו אעדכן אותם יותר על המקרה. זה היה ב-2 ביוני, ובדיוק באותו היום אתר יוניטלר השבית את הכניסה לשירות שלו דרך האתר.

עורכי הדין של הבנקים לא רוצים שידברו על זה, ולכן בולמים כל אפשרות לעזור להם

"לפני כן, כשרצית להיכנס לשירות, היית רואה הודעה שבה נכתב כי החברה מעדכנת את התוכנה, בבקשה תהיו סבלניים איתנו ותפנו לתמיכה. יוניטלר יודעים שהם לא יכולים יותר לבצע העברות כספים ברשת. כלומר, התוכנה הזדונית שהתקינו ההאקרים עדיין נמצאת בתוך המערכת שלהם והם לא הצליחו לאתר אותה".

"חשוב להבין", ממשיך אלכסנדר, "ההאקרים הסינים, אותה קבוצה המכונה Babylon APT, למעשה פרצה במשך 8-7 שנים לכל אחד מהבנקים ברשת של יוניטלר והשיגה אליהם גישה מלאה. אבל לא רק לבנקים ברשת יוניטלר, אלא גם לבנקים נוספים, שאינם ברשת הזאת, ביניהם יש לפחות בנק ישראלי אחד (מידע שאנחנו בודקים בימים אלה ונפרסם בכתבה נפרדת, ג"פ, א"ל). ברגע שהם סיימו עם בנק מסוים, הם החלו למכור לארגוני פשע את הפגיעוּת שלו, שמקנה גישה אליו. הם מוכרים פגיעות של בנק מסוים לקבוצת פשע מסוימת. הם לא מוכרים פגיעות אחת לכל מערכת הבנקאות. זה קרה החל מיוני 2015, וארגוני הפשע החלו מיד להשתמש בפגיעות כדי למפות, לבדוק ולהדביק בה את כל מערכת הבנקאות הגלובלית".

אלכסנדר העביר אלינו צילומי מסך המראים לטענתו כיצד ההאקרים הסינים משיגים גישה ישירה לרשתות העברת הכספים של יוניטלר ומשנים בהן נתונים. "הפגיעות מאפשרת להאקרים לשלוח מרחוק כל פקודה שהם רוצים לשרתי הבנקים. היא גם מאפשרת להם להעלות למחשבי הבנקים תוכנות זדוניות נוספות המספקות גישה קבועה נוספת". את צילומי המסך הוא קיבל כשארגוני הפשע שניצלו את הפגיעות ניסו להוכיח שהם מסוגלים לחדור ולבצע שינויים בבנקים שונים.

במילים אחרות, ארגוני הפשע שקנו את הפגיעות מההאקרים הסינים, הם אלה שכרגע מנסים לתקוף את מערכת הבנקאות. שני מומחי סייבר אמריקנים שפנינו אליהם, אישרו שצילומי המסך תומכים בטענותיו של אלכסנדר.

"התוקף כנראה מנצל פגיעות במערכת כדי ליצור לעצמו נוכחות קבועה וגישה נסתרת לקבצים", אומר ג׳יימס סקוט, עמית בכיר במכון החשיבה ICIT המתרכז באיומי סייבר על תשתיות קריטיות, ומושבו בוושינגטון. "עד שהפגיעות לא תיסגר, התוקף יכול להמשיך להרוויח מהפגיעות ולמכור אותה לתוקפים אחרים".

קיית׳ פורסט, מייסד Data Derivatives, חברת ייעוץ המתמקדת בפשעי סייבר כלכליים, אמר לנו כי צילומי המסך מראים שלהאקרים יש גישה בדרגה גבוהה מאוד לרשתות הבנקים. רק מי שיש לו גישה ברמה כזו, הוא מסביר, יכול לשנות נתונים במחשבי הבנקים.

"איך הפריצה ליוניטלר קשורה לפריצה לבנק של בנגלדש?" אנחנו שואלים את אלכסנדר. "זו אותה פגיעות ואותם אנשים שפיתחו אותה", הוא אומר. "רוב הבנקים בעולם חשופים כיום לפגיעות הזו, גם אלה שאינם ברשת של יוניטלר. היא מאפשרת לפורצים לחדור לבנק ולאתר את פרטי העובדים. כך הם יכולים, בשם העובדים, לתת הוראות להעביר כספים דרך מערכת ׳סוויפט׳ (כפי שקרה בבנק של בנגלדש, ג"פ, א"ל).

אילו בנקים נוספים מודעים לכך שהם נפרצו?


"אחרי הבנק המרכזי של בנגלדש, נפרץ בנק נוסף. יצרתי איתו קשר, אבל עורכי הדין של הבנק לא רצו קשר איתי. פניתי לכמה בנקים נוספים, אבל כולם בלמו את הניסיונות שלי לעזור להם.

"חשוב להבין שגם לאחר שארגוני הפשע פורצים לבנק מסוים ומנצלים את הפגיעות שקנו מהסינים, להאקרים הסינים עדיין יש גישה לבנק, ולא רק לבנק אחד, אלא לרוב מערכת הבנקאות הגלובלית".

כמה עולה פגיעות כזו?


"היא עולה בין עשרת אלפים דולר לבנקים קטנים, ועד 250 אלף דולר לבנקים גדולים. זה לא הרבה כסף".

אם קל כל כך לגנוב כסף מהבנקים, למה הקבוצה הסינית לא עושה את זה ישירות?


"כי יש פה סיכון גדול. ככל שארגוני הפשע גונבים יותר כסף, כך גדל הסיכוי שייתפסו. המוכרים הסינים לא רוצים לקחת את הסיכון הזה, אלא רק להרוויח מהפגיעות המסוימת שהם מוכרים. בנוסף, מתוך היכרות איתם, אני חושד שהם רוצים לראות את ארגוני הפשע נתפסים ועולים לכותרות בגלל השוד הקטן שביצעו, דבר שיסיח את תשומת הלב ממה שבאת מתרחש מאחורי הקלעים – שהסינים עדיין שוהים בתוך רשת הבנקים ומבצעים דברים גדולים יותר".

בפברואר 2016, מייג׳ור ג׳נרל בצבא סין (דרגה המקבילה לאלוף בצה"ל) ששמו צ׳יאו לי-אנג קרא לסין לבלום את ארה"ב באמצעות מתקפה על המערכות הפיננסיות שלה. "זו הדרך לשלוט בכלי הדם של אמריקה", הוא כתב במאמר דעה שפורסם ב-China Military Online, השופר הרשמי של צבא סין.

"כדי לבלום את ארה"ב, על הארצות שהוגות את האסטרטגיה שלהן לחשוב כיצד לחתוך את זרימת ההון לארה"ב", הוא כתב.

האם הגישה הזו מתבטאת בפריצה הסינית לבנקים? לשאלה הזו אין תשובה ברורה. בכל מקרה, גם אם כן, זה לא צריך להפתיע אף אחד. כפי שהראנו בכתבות קודמות, צבא סין משקיע בעשור האחרון משאבים עצומים בגניבת קניין רוחני ובפריצה לחברות מערביות. ראש האף-בי-איי ג׳יימס קומיי סיכם את זה יפה: "יש שני סוגים של חברות בארה"ב: אלה שנפרצו על ידי הסינים, ואלה שלא יודעות שהן נפרצו על ידי הסינים", הוא אמר בראיון לתוכנית התחקירים Minutes 60. מחיר הגניבה הסינית כבד: היא עולה לחברות האמריקניות כ-300 מיליארד דולר בשנה וב-1.2 מיליון משרות, לפי נתונים של הוועדה האמריקנית לגניבת קניין רוחני.

"אז לאן כל זה צפוי להתפתח?" אנחנו שואלים את אלכסנדר. "התרחיש הריאלי הוא שעורכי הדין של הבנקים יהפכו את המשבר הזה לחמור הרבה יותר. הם רוצים שהלקוחות שלהם לא ידברו על זה ולא ישתפו שום דבר שקשור בזה. הם לא רוצים להיקלע לתביעות משפטיות נגדם, ולכן בולמים כל אפשרות לעזור להם. זה המצב הגרוע ביותר שיכול להיות.

"כשפניתי לדוגמה לבנק באוהיו (Fifth Third Bank), עורכי הדין של הבנק אמרו לי שהמודיעין שלנו 'מיושן', בלי שבכלל ראו את המודיעין ששיתפנו איתם באופן חופשי במטרה להגן על המותג שלהם. אבל המודיעין היה ללא ספק מעודכן. מכיוון שהם סירבו, מצב הבנק כיום גרוע הרבה יותר משהיה.

"במקרים אחרים הבנקים שוכרים חברות שיתקנו עבורן את הבעיה. הבנק המרכזי של בנגלדש למשל, שכר את חברת FireEye, אבל גילה בהמשך שהוא משלם יותר מדי כסף לחברה שלא מצליחה לפתור את הבעיה וביטל את החוזה איתה. חברות מהסוג של FireEye הן למעשה חלק מהבעיה, כי עורכי הדין שלהן מייעצים לבנקים איך לפתור את הבעיה".

יש בנקים שנמצאים בסיכון גבוה יותר מבנקים אחרים? 


"אני יכול להעריך שארגוני הפשע ינסו להתרחק בשלב הזה מבנקים גלובליים, וילכו על מטרות קלות יותר – באקוודור, בפיליפינים, בווייטנאם. אלה בנקים פחות מאובטחים. בכל מקרה, ההאקרים הסינים נמצאים גם בבנקים הגדולים.

"הדבר היחיד שהבנתי שבכוחי לעשות כרגע הוא לפנות לתקשורת, ואולי דרכה לעורר את מערכת הבנקאות. אני נמצא כרגע בבריטניה כי אני מאמין שיש לי מספיק מידע כדי לאתר ולתפוס מישהו הקשור בארגוני הפשע, שנמצא כאן.

"אנחנו חייבים לשאול את עצמנו מדוע הבנקים מפעילים מיד אזעקה כשפורץ נכנס בשערי הבנק ועוזב עם כמה אלפי דולרים, אבל לא מפעילים את האזעקה כשמדובר בפרצה גדולה יותר ובמיליוני דולרים. יש לי רשימה של בנקים שנפרצו, אבל אני לא יכול לעשות שום דבר מלבד לתת לפושעים לנצח, כשהבנקים בוחרים לא לשתף פעולה".

השתתף בהכנת הכתבה: בן קמינסקי