Milyar dolarlık soygunun perde arkası: Bilgisayar korsanları, Bangladeş Merkez Bankası'ndan milyonlarca doları nasıl çaldı?

Bangladeş Merkez Bankası nöbetçi amiri Zübeyir Ben Hüda, 5 Şubat 2016 cuma günü sabah saat 8.45'te Dakka'daki 30 katlı genel merkez binasına giriş yaptığında tarihin en büyük hırsızlık girişimiyle karşı karşıya kalacağını bilmiyordu.

Asansörle dokuzuncu kata çıkan Ben Hüda, sadece birkaç kişinin giriş izni olan Muhasebe ve Bütçe Departmanı'nın “işlem odasına" girmişti ki, ansızın Swift işlemlerini gösteren mesajların çıktısının alındığı yazıcının bozulmasıyla ne yapacağını şaşırdı. 

Daha öncesinde de küçük arızalar yapan cihazı kontrol eden nöbetçi amiri sorunun nereden kaynaklandığını bulmaya çalışırken, uluslararası Swift talimatları görüntülenemiyordu. Aksi gibi Bangladeş'te resmî tatil olması nedeniyle teknik ekibe de ulaşılamıyordu.

'BU TÜR AKSAKLIKLAR SÜREKLİ OLUYORDU'

Bangladeş Merkez Bankası’nda dijitalleşme adımları atılmadığı için idari personel, standart telefon hatları ve diğer kanallar üzerinden mesaj gönderip, büyük havale talimatlarının çıktılarını dosyaladığı için bu yazıcı hayati öneme sahipti.

Cihazın düzeltilmesi için çalışmalar yapılsa da bir netice alınamadı ve resmî tatil olması nedeniyle transferler görüntülenemedi. Yetkililerle konuşan Ben Hüda "Bu tür ufak aksaklıklar sürekli oluyordu" diyerek duruma açıklık getirmeye çalıştı. Fakat, tablo hiç de onun sandığı gibi iyiye gitmiyordu.

5 Şubat günü yaşanan bu olayın bilgisayar korsanlarının saldırısıyla ilişkili olabileceği kimsenin aklına dahi gelmemişti. Kimliği belirlenemeyen korsanlar bankanın sistemine sızmış ve daha önce hiç görülmemiş siber bir saldırı başlatmıştı.Tek bir amaçları vardı, Merkez Bankası’nın kontrol altında tuttuğu milyarlarca doları çeşitli hesap hareketleriyle başka hesaplara aktarmak.

İşte dünyayı hayretler içinde bırakan film gibi soygunun perde arkası…

PARAYI AKTARMAK İÇİN ÇEVRİMİÇİ KUMARHANELERİ KULLANDILAR

Yaşanan soygunun büyüklüğü bir gün sonra ortaya çıkmaya başladı. Yazıcıyı çalıştırmayı başaran Bangladeşli yetkililer, New York Federal Reserve Bank'tan üç mesaj aldı. Bir Fed çalışanı Bangladeş'e yazarak son 24 saat içinde alınan 46 ödeme talimatı hakkında bir açıklama istiyordu.

Fed, daha önce bankadan bu kadar büyük meblağlarda para transfer işlemi talebi almamıştı. Yaklaşık 1 milyar dolar değerinde bir paranın transferi için talimat verilmişti.

"Bir hata olmalı" diye düşündü Ben Hüda. Merkez Bankası, mesai saatleri içinde bile Fed'e bir günde nadiren iki veya üçten fazla ödeme talimatı göndermezdi.

Bangladeşli yetkililer daha fazla bilgi edinmek için dosyaları incelemeye başladı. Para hangi hesaba gitmişti? Bulabildikleri ekstreler bozuktu ve okunamıyordu. Ciddi bir hata olduğunu anlayan Ben Hüda, panikledi ve nereye başvurması gerektiğine emin olamadı.

Kuruluşun Bürüksel merkezdeki ofisini arayan Ben Hüda, Swift takip birimi yöneticisine e-posta gönderdi. New York'taki Fed'e telefonla ulaşmaya çalıştı ama banka hafta sonu kapalıydı.

Olaydan sonra açılan soruşturmada soruları yanıtlayan Merkez Bankası nöbetçi amiri, tüm ödeme işlemlerini durdurmaları için e-posta ve faks gönderdiğini söyledi. Henüz kimse fark etmese de şimdiye kadar görülmüş en cesur banka soygunuyla karşı karşıyaydılar.  

Bilgisayar korsanları, parayı çekebilmek için yardım kuruluşları, çevrimiçi kumarhaneler, sahte banka hesapları ve geniş bir işbirlikçiler ağından yararlanıyordu.

GÜVENLİK AÇIKLARI MİLYONLARCA DOLARA MÂL OLDU

Bangladeş Bankası'na yapılan saldırıyı araştıran İngiltere’deki bir siber güvenlik firması çalışanı olan BAE Systems'in İstihbarat direktörlüğünü yapan Adrian Nish, "asgari düzeyde" güvenlik sistemleri kullandığını tespit ettiğini belirtti. 

Yetenekli bilgisayar korsanları için bile, Swift sistemine sızmanın en uygun yolu diğer üye bankalar üzerinden girmektir. Son üç yılda, bilgisayar korsanları Ekvador, Tayvan, Vietnam, Polonya, Hindistan ve Rusya'daki bankaların bilgisayar ağlarına sızarak Swift ağı üzerinden sahte ödeme talimatları göndermeye çalışıyor. Güvenlik açıklarından yararlanan korsanlara karşı çeşitli mekanizmalar devreye sokulsa da, bu süre zarfında milyonlarca dolar kaybedildi.

ABD siber güvenlik firması FireEye'dan Patrick Neighorn, “Gelişmekte olan ülkelerin bankacılık sistemleri, gelişmiş ülkelerin sahip olduğu güvenlik mekanizmalarına sahip değiller. Bu da sistemin içinde bir açıklık oluşturuyor. İşlemlerin büyük çoğunluğu merkezi olarak yönetilemiyor ve bunu sağlayacak teknolojik altyapıya da halihazırda geçilmiş değil” ifadesini kullanıyor.

Peki ama bu korsanlar kimdi? Bu operasyon hangi ülkeler üzerinden gerçekleştirilmişti? Dijital izleri takip eden yetkililer karşı karşıya kaldıkları tablo karşısında dehşete düşmüşlerdi.

70 SAHTE ÖDEME TALİMATI ÜZERİNDEN 1 MİLYAR DOLAR ÇALDILAR

Yapılan incelemelerde, bilgisayar korsanlarının küresel Swift sisteminin içine sızdığı ve aylarca gizlendikten sonra, bankacılık sisteminin en ilkel olduğu ülkeyi seçtikleri ortaya çıktı. Ve harekât günü geldiğinde, New York saatiyle Perşembe öğleden sonra başlayan ve Fed'in Filipinler'deki dört banka hesabına, Sri Lanka'daki bir banka hesabına toplam 1 milyar dolar tutarında 70 sahte ödeme talimatı çıkarıldı.

Zamanlaması ise oldukça iyi düşünülmüştü. Resmi tatilin Cuma gününe gelmesi ve hafta sonu şubelerin kapalı olması nedeniyle korsanlar kendilerine bir hayli zaman kazandırmış olacaktı. Sadece o da değil, Ben Hüda, Filipinler Merkez Bankası'na bir ödeme durdurma emri gönderse bile Çin Yeni Yılı nedeniyle, transferi durduramadı.

Bangladeşli yetkililer ancak dört gün sonra işlemin iptal edilmesi için resmi olarak müdahale edilmesini istedi. Fakat, Filipin Merkez Bankası şikâyet ve iptal taleplerinin diplomatik posta yoluyla yazılı olarak kendilerine gönderilmesini istedi.

Peki ama bu kadar plânlı bir soygunu kim veya kimler organize etmişti? Kim böyle bir soygunu gerçekleştirecek uzmanlığa ve cesarete sahipti? Suçun üzerinden haftalar geçtikten sonra, Bangladeşli yetkililer ABD siber güvenlik firması FireEye'ı soruşturma için görevlendirdi.

FireEye, bankayla bir gizlilik anlaşması imzaladı ve mutlak gizlilik içerisinde kalınması için anlaşmaya varılsa da, bankanın bazı bulguları kamuoyuna sızdı ve diğer siber güvenlik firmaları, kamuya açık kanıtlardan kendi sonuçlarını çıkardı.

'DÜNYA ÜZERİNDEKİ HİÇBİR BANKA GÜVENDE DEĞİL'

Analistler, bilgisayar korsanlarının başvurduğu yöntemi tespit edebilmek için Kasım 2014’teki Sony Pictures, Mart 2013'teki "Dark Seoul" saldırılarını incelemeye koyuldu. İncelemeler esnasında Mayıs 2017'deki WannaCry fidye yazılımı saldırısında kullanılan aynı kodun Merkez Bankası soygununda da kullanıldığı ortaya çıktı. Bu saldırıda korsanlar dünya çapında 200 bin'den fazla bilgisayarı felç etmiş ve sistemi düzeltmek için istedikleri fidyenin Bitcoin olarak ödenmesini talep etmişti.

Uzmanlar, bu operasyonu Lazarus Grubu’nun yaptığını düşünüyordu. Olası şüpheliler nihayet tespit edilmişti.

ABD istihbaratının bilişim uzmanlarının yaptığı incelemelerde, Kuzey Kore merkezli siber korsan ekibinin bu saldırıları organize ettiği ileri sürüldü. Sert yaptırımlar sonrasında Kuzey Kore yönetimi, ülke çapındaki gıda kıtlığıyla mücadele etmek ve silah sanayini geliştirmek için böylesi operasyonları düzenlediği düşünülüyordu.

Konuyu inceleyen tek kuruluş FireEye değildi. Ulusal Güvenlik Ajansı Başkan Yardımcısı Richard Ledgett, siber güvenlik firmalarının bulgularını incelediklerini ve Kuzey Kore'nin yeni bir siber saldırı grubu oluşturduğunu ileri sürdü ve ekledi.

"Ortaya çıkan veriler doğruysa, dünya genelindeki hiçbir banka güvende değildir demektir. Bu diğerlerinden çok farklı ve ciddiye alınması gereken büyüklükte bir mesele.”

SOYGUNUNUN PROVASI SONY PİCTURES ÜZERİNDE DENENDİ

Lazarus Grubu’nun ABD topraklarındaki ilk önemli saldırısı Hollywood'da yaşandı. Los Angeles merkezli Sony Pictures Intertainment, 2013 yılında Seth Rogen ve James Franco'nun rol alacağı ve Kuzey Kore'de geçecek yeni bir film yapmaya hazırlandığını açıkladı. Filmin konusu ise Kuzey Kore Devlet Başkanı Kim Jong-un'un CIA görevlileri tarafından öldürülmesiydi.

Kuzey Kore, bu film çekilirse ABD'ye karşı harekete geçeceğini sert bir dille deklare etti. Hemen ardından kendilerine “Barışın Bekçileri” diyen bilgisayar korsanı grup, 2014 yılının Kasım ayında Sony Pictures’a bir tehdit mesajı gönderdi.

Tehdidin gerçek olduğunu kanıtlamak isteyen bilgisayar korsanları, birkaç gün sonra şirket çalışanlarının bilgisayarlarına korku filmlerini andıran görüntüler gönderdi. Hemen ardından şirket yöneticilerinin yazışmaları, maaş bilgileri ve proje halindeki filmlere ilişkin bilgiler internette ifşa edildi.

Yaklaşık bir hafta boyunca şirketin tüm bilişim altyapısı çöktü. Bilgisayarlar virüslerle kitlendiğinden şirket çalışamaz hâle geldi. Öyle ki, personel kartları dahi okunamadığı için çalışanlar binaya giriş yapamadı.

Sony Pictures, baskılara ve saldırılara boyun eğmeyeceğini söylese de, sonraki saldırıların fiziksel olacağı tehdidi sonrasında proje rafa kaldırıldı. Bilişim uzmanları, Sony Pictures’a yönelik saldırıları incelediğinde, saldırısının aslında çok daha iddialı bir operasyonun provası olduğunu anladı.

2016 Bangladeş Merkez Bankası soygununun provası Sony Pictures üzerinde denenmişti.

1700 KİŞİDEN OLUŞAN DEV BİR EKİP

Elbette böylesi bir operasyonun Kuzey Kore merkezinde gerçekleşmesi çoğu kişiye göre imkânsızdı. Bunun da nedeni, Kuzey Kore’nin siber teknolojik altyapısının bu çapta bir saldırıya imkân vermeyecek oranda geri kalmış olmasıydı.

FBI tarafından yapılan incelemelerde ise önemli bir soru ortaya atıldı: Bu saldırı, Kuzey Kore rejiminin desteği ile Asya'nın farklı yerlerinde faaliyet gösteren karanlık bir siber korsanlar tarafından organize edilmiş olabilirdi.

Bu nedenle takibi imkânsız olan Kuzey Koreli korsan grubu, Siber-güvenlik sektöründe “Lazarus Grubu” olarak adlandırılıyordu. İsa Peygamber tarafından mucizevi bir şekilde yeniden diriltilen Beytanyalı Lazarus'a atıfta bulunulan bu tanımın nedeni, bu grup tarafından üretilen bilgisayar virüslerini yok etmenin bir o kadar zor olmasıydı.

ABD istihbaratı tarafından yapılan incelemelerde, bugüne kadar grup hakkında çok az şey öğrenildi. Fakat bunlar arasında en ilginci, Lazarus Grubu’nun dar bir ekipten oluşmaması. 

Yetkililer, Kuzey Kore'nin dünya çapında yaklaşık 1700 bilgisayar korsanından oluşan ve 5 bin eğitmen, süpervizör ve diğer destek personelinin bulunduğu devasa bir siber korsan ağı olduğunu düşünüyor.

ASKERİ VE MALİ DEPARTMANLARI VAR

Pek çok operasyon Güney Kore'den istihbarat toplamayı amaçlıyor. Öyle ki, bilgisayar korsanlarının kendi içinde departman halinde çalıştığı düşünülüyor. Saldırganların askeri hedeflere ve istihbarat faaliyetlerine yönelik bir birimi bulunurken, mali kazanç elde etmeyi amaçlayan bir departmanı da mevcut.

Kuzey Koreli bilgisayar korsanları, finansal sistemdeki zayıf halkaları hedef almada özellikle usta hale geldi. Hedeflerinde ise gelişmekte olan ülkelerdeki bankacılık sistemleri var. Özellikle Güneydoğu Asya'dakiler…

Siber güvenlik şirketi Kaspersky Lab'den Vitaly Kamluk, Lazarus Grubu’nun kullandığı kötü amaçlı yazılımlarda kullanılan Korece dil kodlaması tespit ettiklerini ve grup tarafından 2017'de Avrupa ve Orta Amerika'da bir dizi saldırı sırasında kullanılan “kısa süreli IP adreslerinin” Lazarus Grubu'nun Kuzey Kore merkezli bir yapılanma olduğunu kesin olarak kanıtladığını belirtti.

KİMLİĞİ TESPİT EDİLEN İLK SÜPHELİ

Geçtiğimiz yıllarda FBI, Lazarus Grubu’nun üyesi olduğundan şüphelenilen kişinin adı Park Jin-hyok ya kullandığı diğer adlarla Pak Jin-hek ve Park Kwang-jin’dı.

FBI, Park Jin-hyok’un ülkenin en iyi üniversitelerinden birini bitirdikten sonra Chosun Expo adındaki Kuzey Kore şirketinin Çin'in liman kenti Dalian'daki bürosunda çalışmaya başladığını tespit etti.

Siber ayak izleri Jin-hyok’un 2002 yılından, 2014 yılına kadar Dalian'da bulunduğunu ve bu tarihten sonra internet faaliyetleri Kuzey Kore'nin başkenti Pyonyang'dan yürüttüğünü tespit etti. Jin-hyok’un peşine düşen FBI, Chosun Expo'dali CV’sini ele geçirerek, şüphelinin fotoğrafına ulaşmış oldu.

FBI, 30’lu yaşlarında olduğu düşünülen Jin-hyok’un gündüzleri oyun programladığı geceleri ise bilgisayar korsanlığı yaptığına inanıyor.

ÇALINAN PARAYI KURTARMAYA ÇALIŞIYORLAR

Soygundan bu yana Filipin makamları, Bangladesh Bank’ın çalınan parasının yaklaşık beşte birini kurtarmayı başardı. Uzmanlar, çalınan milyonlarca doların eski bir Portekiz kolonisi olan Makao üzerinden transfer edildiğini düşünüyor. Makao'nun, uzun yıllardır Kuzey Kore ile dış dünya arasında önemli bir finansal koridoru olduğu biliniyor.

Bangladesh Bank ise yaşanan kaybı mümkün olabildiğince azaltabilmek için çalışıyor. Öyle ki, Bangladeşli yetkililer, Filipinler'deki en büyük evrensel bankalardan biri olan RCBC'ye dava açacağını duyurdu. Gerekçesi ise Swift ödeme talimatlarının şüpheli olmasına rağmen yine de bunu göz ardı ederek ödemeleri yapmış olması. Bangladesh Bank ayrıca kaybettiği parayı geri almak için gizli anlaşmalara da başvurma seçeneğini devreye soktu.

Amerika Birleşik Devletleri'nde Temsilciler Meclisi Denetim ve Reform Komisyonu Başkanı Carolyn Maloney, Bangladeş’de gerçekleşen siber saldırının ardından yeni bir tasarı geliştirdiklerini duyurdu. Buna göre Fed, bu tür acil durumlarla mücadele etmek için 7/24 erişilebilir bir yardım hattı oluşturdu.

Kumarhanelere yönelik uluslararası bir şeffaflık kuralı getirmeyi hedefleyen ABD Temsilciler Meclisi, 100 bin doların üzerindeki her bahsi “Kara Para Aklamayı ve Önleme Konseyi”ne bildirilmesini zorunlu kıldı.

Parayı kumarhane hesaplarına koymanın amacı izinin sürülmesini engellemek. Para bir kez kumarhanede kullanılan fişlere dönüştürülüp, onlarla oyun oynandığında ve sonra yeniden paraya dönüştürüldüğünde izini sürmek neredeyse imkânsız hale geliyor.

DAVANIN TEK TUTUKLUSU

Lazarus Grubu’nun peşine düşen FBI, Kore'deki büro şefi Kyung-jin Kim’in yardımıyla siber korsanları tek tek yakalamaya çalışıyor. Bugüne kadar soygunda parmağı olduğu düşünülen tek bir kişi hakkında dava açıldı. 

Birden fazla kara para aklama suçlamasıyla yargılanan Maia Santos-Deguito ismindeki şahıs, 14 yıl hapis cezası aldı. Lazarus Grubu ile bağlantılı olduğu tespit edilen bir diğer isim Park Jin-hyok'un ise Çin'in Dalian kentinde Kuzey Koreli bilgisayar programcıları grubu yönettiği düşünülüyor. 

Davayı inceleyen yetkililer, Makao’ya transfer edilen paranın kuryeler yoluyla Pyongyang'a gönderildiğini düşünüyor. Dolayısıyla paranın dijital takibi bir noktadan sonra sona kesiliyor.  

Yetkililer bu büyüklükteki bir saldırının son olmayacağını ve bilgisayar korsanlarının sistemlerin içine girerek “uykuya dalmış” olma ihtimalinin son derece yüksek olduğunu belirtiyor. Filipinli senatör Sergio Osmena ise ilerde yaşanacak olası felaketlere işaret ederek:

“Bu işin arkasında gerçekten kimin olduğunu asla bulamıyoruz. Dahası gerçek hedeflerinin ne olduğunu da tespit edebilmek mümkün gözükmüyor.”

The New York Times'da yayımlanan "The Billion Dollar Bank Job" başlıklı yazıdan derlenmiştir.