北韓駭客打劫中央銀行！精心策劃卻功虧一簣，孟加拉銀行大劫案始末

2016年，一起網路駭客打劫央行大案幾近得手卻因拼寫錯誤功虧一簣，盜賊與10億美元失之交臂。這起網路金融罪案發生5年後餘波未平，而陸續浮出水面的案情令人驚愕、唏噓。

這宗搶劫央行大案現在被認定是北韓駭客所為。2016年2月，駭客向SWIFT（環球銀行金融電信協會網路）發出35條欺詐指令，要求將10億美元從美國紐約聯邦儲備局轉入孟加拉央行賬戶，5條被確認，成功轉走1.01億美元，但另30條涉及8.5億美元的轉款指令被紐約聯儲局拒絶，因為指令中發現拼寫錯誤。

訂閱風傳媒VIP會員，享有零廣告閱讀介面

透過<Google新聞>追蹤風傳媒

流向菲律賓的8100萬美元贓款尚未全數追回，但流向斯里蘭卡的2000萬美元已追回。

BBC國際頻道的10集播客《拉撒路大劫案》（The Lazarus Heist）嘗試還原這起世紀大案的來龍去脈，梳理作案經過，由傑夫·懷特（Geoff White）和吉恩·H·李（Jean H Lee）主持。

2016年2月5日星期五，孟加拉首都達卡，孟加拉銀行（央行）保安嚴密的總部大樓10層，一台打印機出了故障。它負責打印的是央行賬戶款項進出的記錄。這種尋常的小故障以前也曾發生過，當天的值班經理祖拜爾·本·胡達（Zubair Bin Huda）後來對警察解釋說，當時沒有引起多少注意。

後來大家都意識到，這台打印機出故障其實是個徵兆，暗示了巨大的麻煩。就在那個時刻，已侵入央行網路系統的駭客正在作案：盜取10億美元。

為了偷偷把錢從央行賬戶轉走，劫犯們動用了假帳戶、慈善組織、賭場和其他協同犯罪者的網路來遮人耳目。但經過偵查發現，罪犯留下的數字手印明確無誤地指向北韓政府。

在大部分世人心目中，落後、閉塞、貧窮的北韓跟高科技和網路駭客離得很遠。但是，美國聯邦調查局（FBI）說，孟加拉央行遭駭客打劫案背後是一個由駭客和中間人組成的團隊，成員散佈在亞洲各地，其駭客行動得到北韓政府的支持。

這個團隊叫拉撒路集團（Lazarus Group）。拉撒路是《聖經》裏的一個死而復生的人物；了解這個駭客團隊製造的電腦病毒的專家認為，單就生存能力而言這個面目不清的團隊跟拉撒路不相上下。

這個團隊至今依舊很神秘，但FBI掌握了一名成員的身份背景：朴鎮赫（Park Jin Hyok），還用過朴光振（Park Kwang-jin）等名字。他是電腦編程員，畢業於北韓頂級高等學府，曾受僱於北韓出口公司（Chosun Expo）在中國大連的分部，具體工作包括為世界各地的客戶編寫網路遊戲和博彩軟件。

根據FBI的書面證詞，他在大連工作期間註冊了電子郵箱、創建了一份個人簡歷，還通過社交網站建立了社交圈。網路足印顯示，他初到大連是在2002年，一直到2013年或2014年，網路活動足跡顯示這個期間他不時會在北韓首都平壤的互聯網上出現。（相關報導：美國幽浮報告》不排除外星生物來源！國家情報總監：140多起「不明空中現象」大多無法解釋｜更多文章）

FBI公布了一張朴鎮赫的標準像，來自2011年北韓出口公司向客戶介紹項目經理的郵件。照片上是一名三十歲上下的北韓男子，身著黑色條紋襯衫和深棕色西裝，除了面容疲憊之外沒有任何不尋常。

FBI說，朴鎮赫白天是程序員，晚上是電腦駭客。

2018年6月，美國當局起訴朴鎮赫，對他的控罪包括2014年9月到2017年8月期間圖謀實施電腦詐騙和電信詐騙，一旦就擒、獲罪，他將面臨多達20年監禁。他在美國當局提起訴訟前從中國回到北韓。

但是，北韓有無數跟他一樣的年輕人，從小被作為網路戰士來培養。這些孩子年齡最小的只有12歲，都是數學天才，從各地學校中挑選出來送到首都接受封閉式集訓。

孟加拉央行的美元儲備存在紐約美國聯準會銀行賬戶上。央行總部10層樓那台打印機出故障後被重啟，結果吐出一份令人震驚的通知，來自紐約美國聯準會。

通知說，美國聯準會收到顯然來自孟加拉央行（客戶）的取款指令，提取10億美元，幾乎就是賬戶裏的全部款額。

駭客作案從2月4日周四孟加拉時間晚上20:00時開始，紐約時間是周四上午，正常工作時間。孟加拉銀行周五、周六休息，等到發現駭客襲擊時，已經是紐約的周末。

所以，選擇達卡的周四晚上作案顯然是有精心考慮的，美國網路安全專家拉克什·阿斯塔納（Rakesh Asthana）說，等雙方都發現疑竇時，已經過去三天了。

從紐約聯儲局把錢成功轉移出來後，這筆錢需要流向某個目的地，這個目的地是駭客們事先在菲律賓首都馬尼拉的銀行開設的賬戶。關鍵在於，2016年2月8日周一是農曆新年，亞洲各地的銀行都關門。駭客們又多了二天先機。

這樣，搶劫後駭客們有五天的逃遁時間。

如此縝密的計劃當然是經過仔細籌劃設計的。罪案調查人員後來發現，拉撒路集團的病毒早在一年前就侵入孟加拉央行電腦系統裏潛伏。

2015年1月，孟加拉央行數名員工收到一份貌似人畜無害的求職郵件，發件人自稱拉塞爾·阿拉姆（Rasel Ahlam）。他的郵件措辭彬彬有禮，還附了一條下載求職信和個人履歷的鏈接。

FBI後來發現其實沒有這麼個人，這只是個拉撒路集團作案用的化名。

收到這份電郵的員工當中至少一人毫無防備地點擊那個鏈接下載了所謂的簡歷和求職聲明，把藏在文件裏的病毒帶入央行電腦系統。這個病毒很快就感染了一台又一台電腦，輕而易舉進入了數字金庫。

然後，它們停下腳步，潛伏下來。

病毒成功潛入央行系統後，拉撒路集團用了一年時間安排撤退計劃和路線。

朱庇特街（Jupiter Street）是馬尼拉城裏一條繁忙的商業街。菲律賓最大的銀行之一RCBC在這條街上有一個分行，隔壁是一間平價旅館，還有一間牙醫診所。

2015年5月，拉撒路病毒侵入孟加拉央行系統幾個月之後，有人在這家RCBC開了四個賬戶，開戶人是駭客的同犯。事後回想，其實是有疑點的：用來開戶的駕照是假的，開戶人分別就職於不同的公司，但職務和工資完全一樣。不過，當時沒有人注意到這些。幾個月過去了，這幾個賬戶裏除了開戶時存入的500美元，就再沒有錢款進出。

到了2016年2月，拉撒路集團認為一切準備就緒。（相關報導：美國幽浮報告》不排除外星生物來源！國家情報總監：140多起「不明空中現象」大多無法解釋｜更多文章）

除了一個小小的環節：孟加拉央行總部10樓的一台打印機，負責打印央行所有賬戶的所有錢款流動記錄，留作紙質備份。

白紙黑字，看到的人立刻就會發現駭客在作案。

所以必須侵入控制這台打印機的系統，讓它出故障。

2016年2月4日晚上20:36時，駭客開始行動。他們發出35條轉款指令，金額總計9.51億美元，幾乎清空孟加拉央行在紐約聯儲局的美元賬戶。

不出意外的話，這起劫案最早要到五天後才會被人發現，而屆時作案者早已逃之夭夭，無影無蹤。

可是，就像好萊塢大片裏的銀行打劫案一樣，百密一疏，最後眼睜睜看著唾手可得的贓款與自己失之交臂。

這可能是個令拉撒路集團吐血的疏忽，只有一個，非常小，但最後一切都毀在這一小點上：拼寫錯誤。

A view of Shapla Square in Dhaka's financial district, from an upper floor of Bangladesh Bank

孟加拉銀行在那個周末發現賬上出現異常動向後困惑不解，找到網路安全專家阿斯塔納，請他的公司World Informatix協助調查。當時央行高層認為還有可能把這筆去向不明的錢追回來，因此對失竊案保密，不但公眾不知，甚至沒有向政府通報。

阿斯塔納很快順藤摸瓜找到了病毒潛伏的地方 — 位於銀行系統的核心部位的Swift，即環球銀行金融電信協會網路，世界各地的銀行通過這個系統完成金融交易清算。他還發現，在SWIFT看來，拉撒路駭客的轉款指令就是來自銀行員工，沒有疑問。

同時，孟加拉央行高層發現蓋子很難再捂下去，被偷走的錢也很難馬上追回。一部分失竊錢款已經進入菲律賓的銀行，而菲律賓法律規定只有通過法庭下令才能開始追款程序。申請法庭令，就意味著銀行劫案無法繼續對公眾保密。

2月下旬，孟加拉央行遭駭客打劫的消息震驚世界。

央行行長立刻辭職，劫案也驚動了美國眾議院。

美國眾議員卡羅琳·馬洛尼（Carolyn Maloney）聽到這個消息時正在去機場的路上。她記得當時的震驚。她當時覺得那就是金融市場發生的最可怕的事情之一。

她是眾議院金融服務委員會成員。因為劫案涉及SWIFT系統，就有可能危及全球對這個至關重要的交付清算系統的信心。

令人擔憂的是，事情還牽涉到紐約聯儲局。

很快，馬洛尼和許多其他人懸在半空的心放下了些許 - 聯儲局證實，大部分涉案錢款沒有流出，因為指令被拒。

指令被拒的原因，是一個拼寫錯誤。

馬尼拉有很多銀行，RCBC在馬尼拉有很多分行。但是，拉撒路集團選擇在朱庇特街分行開戶，當時絶對不會想到這是個致命的錯誤。

馬洛尼告訴BBC，大部分轉款指令被聯儲局系統拒絶執行，因為其中有一個敏感詞，朱庇特；之所以敏感，是因為有一艘伊朗貨輪也叫這個名字。

朱庇特這個詞觸發了警鐘，聯儲局系統叫停執行指令，對交易進行審核評估，30條指令被拒，5條獲得執行，1億美元被盜。

其中2000萬美元進入斯里蘭卡一個慈善組織莎麗卡基金會（Shalika Foundation）的賬戶。慈善組織的主人，莎麗卡·佩雷拉（Shalika Perera），後來表示她以為那是一筆清白合法的捐款。但是，因為指令中基金會拼錯了，Foundation 拼寫成 Fundation，交易被審核，沒來及完成就被追回。（相關報導：美國幽浮報告》不排除外星生物來源！國家情報總監：140多起「不明空中現象」大多無法解釋｜更多文章）

另外8100萬美元到現在還沒有追回。