Lazarus Heist: 2시간 만에 1,400만 달러를 모금한 Intercontinental ATM Heist

당신이 발리우드 영화의 엑스트라로 일일 일자리를 제안받은 인도의 저임금 근로자라고 상상해보십시오. 네 차례 야? 현금 인출기에 가서 돈을 인출하다.

2018년, 마하라슈트라의 몇몇 남자들은 영화의 작은 부분을 받아들이고 있다고 생각했지만 실제로는 야심찬 은행 강도로 돈을 모으는 돈 노새가 되도록 속았습니다.

습격은 2018년 8월 주말 동안 푸네에 본사를 둔 코스모스협동조합은행을 중심으로 이뤄졌다.

한적한 토요일 오후, 은행 본점의 직원들은 갑자기 일련의 무서운 메시지를 받았습니다.

그들은 미국에 기반을 둔 카드 결제 회사인 Visa에서 왔으며, 코스모스 은행 카드를 사용하는 사람들에 의해 수천 건의 대규모 ATM 현금 인출 요청이 쏟아질 수 있다고 경고했습니다.

그러나 코스모스 팀이 자체 시스템을 조사한 결과 비정상적인 트랜잭션은 발견되지 않았습니다.

보안을 위해 약 30분 후 Visa는 코스모스 은행 카드의 모든 거래를 중지했습니다. 이 지연은 비용이 많이 듭니다.

다음날 Visa는 의심스러운 거래의 전체 목록을 Cosmos 본사와 공유했습니다. 전 세계 다양한 ATM에서 약 12,000개의 개별 인출이 있었습니다.

은행은 거의 1,400만 달러(1,150만 파운드)의 손실을 입었습니다.

경고: 이 기사에는 Lazarus Heist 팟캐스트의 스포일러가 포함되어 있습니다.

넓은 범위와 정확한 타이밍이 특징인 대담한 공격이었다. 범죄자들은 ​​미국, 영국, 아랍에미리트, 러시아를 포함한 28개국에서 ATM을 약탈했습니다. 이 모든 일이 불과 2시간 13분 만에 일어났습니다. 범세계적으로 범행을 저지른 이례적인 일입니다.

궁극적으로 조사관은 분명히 북한 국가의 명령에 따라 이전에 연속 공격을 수행한 그림자 해커 그룹에서 그 기원을 추적할 것입니다.

그러나 더 넓은 그림을 알기도 전에 Maharashtra 주 사이버 범죄 부서의 수사관들은 수십 명의 남자가 일련의 현금 포인트로 걸어가 은행 카드를 넣고 가방에 지폐를 넣는 CCTV 영상을 보고 놀랐습니다.

조사를 이끈 Brijesh Singh 경감은 “우리는 이와 같은 자금 노새 네트워크를 알지 못했습니다.”라고 말했습니다.

한 갱단에는 노트북에서 실시간으로 ATM 거래를 모니터링하는 프로세서가 있었다고 Singh은 말합니다. CCTV 영상에 따르면 돈 노새가 현금을 갖고 가려고 할 때마다 딜러는 그것을 발견하고 그를 세게 때렸습니다.

CCTV 영상과 현금인출기 주변 지역의 휴대폰 데이터를 사용하여 인도 형사들은 급습 후 몇 주 동안 18명의 용의자를 체포할 수 있었습니다. 그들 대부분은 현재 재판을 기다리고 있는 감옥에 있습니다.

Singh은 이 사람들이 완고한 사기꾼이 아니라고 말했습니다. 체포된 사람 중에는 웨이터, 운전사, 제화공도 있었습니다. 다른 하나는 약학 학위를 받았습니다.

“그들은 예의 바른 사람들이었습니다.”라고 그는 말합니다.

그럼에도 불구하고 습격이 발생했을 때 “엑스트라”로 모집 된 사람들조차도 그들이 실제로 무엇을하고 있는지 알고 있다고 믿어집니다.

그러나 그들은 그들이 누구를 위해 일하고 있는지 알고 있었습니까?

수사관들은 북한의 비밀스럽고 고립된 국가가 절도 배후에 있다고 믿고 있습니다.

북한 해커와 수십억 달러.

북한은 세계에서 가장 가난한 나라 중 하나이지만 제한된 자원의 상당 부분이 유엔 안보리가 금지한 활동인 핵무기와 탄도 미사일 제조에 사용됩니다. 그 결과 유엔은 이 나라에 무거운 제재를 가하여 무역을 크게 제한했습니다.

11년 전 집권한 이후 김정은 북한 노동당 위원장은 네 차례의 핵 실험과 몇 차례의 도발적인 ICBM 시험 발사를 포함한 전례 없는 무기 실험 캠페인을 감독했습니다.

미국 당국은 북한 정부가 경제를 부양하고 무기 프로그램 자금을 조달하는 데 필요한 돈을 훔치기 위해 엘리트 해커 그룹을 사용하여 전 세계 은행과 금융 기관에 침입하고 있다고 믿고 있습니다.

라자루스 그룹으로 불리는 해커들은 북한의 강력한 군사정보기관인 정찰총국이 운영하는 부대 소속으로 추정된다.

사이버 보안 전문가들은 해커를 죽음에서 돌아온 성경의 인물 나사로라고 불렀습니다. 바이러스가 컴퓨터 네트워크에 들어가면 죽이는 것이 거의 불가능하기 때문입니다.

이후 Lazarus Group은 2016년 방글라데시 중앙은행에서 10억 달러(8억 1500만 파운드)를 훔치려 했고 영국의 NHS를 포함하여 전 세계 피해자로부터 몸값을 추출하려는 WannaCry 사이버 공격을 시작한 혐의로 기소되었습니다.

북한은 라자로 그룹의 존재와 국가 주도 해킹 의혹을 강력히 부인하고 있다.

그러나 주요 법 집행 기관은 북한에 대한 해킹이 그 어느 때보다 더 발전되고 대담하며 야심차다고 말합니다.

Cosmos 하이스트의 경우 해커는 “잭팟”이라는 기술을 사용했습니다. ATM에서 돈을 쏟아 붓게 하는 것은 슬롯머신에서 잭팟을 터뜨리는 것과 같기 때문에 소위 말하는 것입니다.

은행 시스템은 처음에 고전적인 방식으로 해킹당했습니다. 컴퓨터 네트워크를 맬웨어로 감염시킨 직원이 열어본 피싱 이메일 메시지를 통해였습니다. 침입한 해커는 현금 인출을 승인하는 메시지를 은행에 보내는 ATM 키라고 하는 일부 소프트웨어를 조작했습니다.

이를 통해 해커는 전 세계 어디에서나 파트너로부터 ATM 인출을 허용할 수 있게 되었습니다. 그들이 바꿀 수 없는 유일한 것은 출금당 최대 금액이었기 때문에 그들은 많은 카드와 바닥에 많은 사람들이 필요했습니다.

습격을 준비하면서 파트너와 협력하여 “복제” ATM 카드를 만들었습니다. 원본 은행 계좌 데이터를 사용하여 ATM에서 사용할 수 있는 복제 카드를 만들었습니다.

영국 보안 회사인 BAE Systems는 즉시 Lazarus Group의 소행이라고 의심했습니다. 그녀는 몇 달 동안 그들을 지켜보았고 그들이 인도 은행을 공격할 계획이라는 것을 알고 있었습니다. 그녀는 단지 어느 것을 모릅니다.

BAE 보안 연구원 Adrian Nish는 “또 다른 범죄 행위라는 것은 우연의 일치였습니다.”라고 말했습니다. 그는 Lazarus Group이 매우 다재다능하고 야심차다고 말합니다. “대부분의 범죄 집단은 아마도 200만 명을 가지고 도망치고 거기서 멈출 만큼 충분히 행복할 것입니다.”

코스모스 은행 강도와 관련된 물류는 엄청납니다. 해커들은 북한 시민이 합법적으로 방문할 수 없는 많은 국가를 포함하여 28개국에서 파트너를 어떻게 찾았습니까?

미국 기술 보안 조사관은 Lazarus Group이 해킹 기술 공유에 전념하는 전체 포럼이 있고 범죄자들이 종종 지원 서비스를 판매하는 다크 웹에서 핵심 조력자를 만났다고 믿고 있습니다. 2018년 2월, 자신을 Big Boss라고 부르는 한 사용자가 신용 카드 사기 방법에 대한 팁을 게시했습니다. 그는 또한 복제된 ATM 카드를 만들 수 있는 장비를 가지고 있으며 미국과 캐나다에 있는 돈 노새 그룹에 접근할 수 있다고 말했습니다.

이것이 바로 Lazarus Group이 Cosmos Bank의 성공을 달성하는 데 필요한 서비스였으며 Big Boss와 협력하기 시작했습니다.

우리는 미국 기반 기술 보안 회사인 Intel 471의 최고 정보 책임자인 Mike DeBolt에게 이 파트너에 대해 자세히 알아보도록 요청했습니다.

DeBolt의 팀은 Big Boss가 최소 14년 동안 활동했으며 G, Habibi 및 Backwood와 같은 일련의 가명을 가지고 있음을 발견했습니다. 보안 조사관은 그가 다른 포럼에서 동일한 이메일 주소를 사용했기 때문에 그를 이러한 모든 사용자 이름에 연결할 수 있었습니다.

“기본적으로 게으르다”고 DeBolt는 말합니다. “우리는 이것을 매우 일반적으로 봅니다. 배우가 포럼에서 자신의 가명을 변경하지만 동일한 이메일 주소를 유지합니다.”

2019년 빅 보스는 미국에서 체포되어 캐나다인 36세 Ghalib Al-Omari로 가면을 벗겼다. 그는 북한 은행 강도 혐의로 자금을 세탁하는 등의 범죄에 대해 유죄를 인정하고 11년 8개월의 징역형을 선고받았다.

북한은 코스모스 은행 기능이나 다른 해킹 계획에 대한 어떠한 개입도 인정한 적이 없습니다. BBC는 런던 주재 북한 대사관에 대한 코스모스 공격에 연루된 혐의를 제기했지만 아무런 답변을 받지 못했습니다.

그러나 우리가 이전에 그에게 연락했을 때 최일 대사는 북한이 후원하는 해킹과 돈세탁 혐의에 대해 “농담”으로, 미국이 “우리 나라의 이미지를 더럽히려는” 시도라고 대답했습니다.

2021년 2월 FBI, 미 비밀경호국, 법무부는 라자루스 그룹 해커 용의자 전창혁, 김일, 박진혁 3명을 기소했다고 발표했다. 이들은 현재 평양으로 돌아온 것으로 알려졌다.

미국과 한국 당국은 북한에 훈련된 해커가 최대 7000명에 이르는 것으로 추산하고 있다. 인터넷 사용 허가를 받은 사람이 거의 없어 사용자의 활동을 은폐하기 어렵기 때문에 모두 국내에서 운영될 가능성은 낮습니다. 대신 해외로 보내지는 경우가 많습니다.

전직 북한 외교관이자 정권의 가장 고위 좌파 중 한 명인 류현우는 해커들이 해외에서 어떻게 활동하는지에 대한 통찰력을 제공했습니다.

2017년에는 쿠웨이트 주재 북한 대사관에서 근무하며 약 1만 명의 북한인 고용을 감독하는 데 도움을 주었다. 당시 많은 사람들이 걸프 전역의 건설 현장에서 일하고 있었고 모든 북한 근로자와 마찬가지로 대부분의 급여를 시스템에 넘겨야 했습니다.

그는 자신의 사무실에 두바이의 비좁은 숙소에서 살면서 일하는 19명의 해커를 감독하던 북한 치료사로부터 매일 전화를 받았다고 말했습니다. “그들이 정말로 필요로 하는 것은 바로 인터넷에 접속할 수 있는 컴퓨터입니다.”라고 그는 말했습니다.

북한은 해커가 외부에 있다는 사실을 부인하지만 유효한 비자를 가진 IT 노동자만 가능합니다. 그러나 Rio의 설명은 이러한 전자 장치가 전 세계 기숙사에서 어떻게 작동하는지에 대한 FBI의 주장과 일치합니다.

2017년 9월 유엔 안전보장이사회는 북한에 대해 가장 강력한 제재를 가하여 연료 수입을 제한하고 수출을 추가로 제한하며 UN 회원국에 2019년 12월까지 북한 근로자를 본국으로 돌려보낼 것을 요구했습니다.

그러나 해커는 여전히 활동 중인 것으로 보입니다. 그들은 현재 암호 화폐 회사를 목표로 하고 있으며 약 32억 달러를 훔친 것으로 추정됩니다.

그들은 미국 당국에 의해 “총 대신 키보드”를 사용하는 “세계 최고의 은행 강도”로 묘사되었습니다.