惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

量子位
小众软件
小众软件
S
SegmentFault 最新的问题
人人都是产品经理
人人都是产品经理
博客园 - 【当耐特】
博客园 - 三生石上(FineUI控件)
C
Check Point Blog
S
Schneier on Security
Microsoft Azure Blog
Microsoft Azure Blog
N
Netflix TechBlog - Medium
Engineering at Meta
Engineering at Meta
GbyAI
GbyAI
罗磊的独立博客
有赞技术团队
有赞技术团队
V
V2EX
Y
Y Combinator Blog
博客园 - 叶小钗
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
F
Fortinet All Blogs
W
WeLiveSecurity
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Stack Overflow Blog
Stack Overflow Blog
The Cloudflare Blog
S
Security @ Cisco Blogs
TaoSecurity Blog
TaoSecurity Blog
MyScale Blog
MyScale Blog
Hugging Face - Blog
Hugging Face - Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
www.infosecurity-magazine.com
www.infosecurity-magazine.com
PCI Perspectives
PCI Perspectives
H
Heimdal Security Blog
Schneier on Security
Schneier on Security
Security Latest
Security Latest
AWS News Blog
AWS News Blog
月光博客
月光博客
Security Archives - TechRepublic
Security Archives - TechRepublic
Recent Announcements
Recent Announcements
Google DeepMind News
Google DeepMind News
博客园 - Franky
Cisco Talos Blog
Cisco Talos Blog
T
Threat Research - Cisco Blogs
M
MIT News - Artificial intelligence
T
Troy Hunt's Blog
N
News and Events Feed by Topic
Cloudbric
Cloudbric
Scott Helme
Scott Helme
云风的 BLOG
云风的 BLOG
Attack and Defense Labs
Attack and Defense Labs

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Цена одной опечатки: Как три неверные буквы сорвали киберограбление на миллиард долларов
enamored_poc · 2026-05-24 · via Все публикации подряд на Хабре

Цена одной опечатки: Как три неверные буквы сорвали киберограбление на миллиард долларов

Уровень сложностиПростой

Время на прочтение7 мин

Охват и читатели16K

Кейс

1. Миллиард в прицеле: Как Центробанк Бангладеш стал идеальной мишенью

Чтобы украсть миллиард долларов у государства, не нужно взламывать хранилища с золотыми слитками. В современной международной банковской системе деньги — это просто записи на серверах. Центробанк Бангладеш, как и многие другие центробанки мира, хранил свои валютные резервы на счетах Федерального резервного банка Нью-Йорка (ФРС).

Чтобы перевести эти средства куда угодно, достаточно отправить легитимный запрос через межбанковскую систему передачи информации и совершения платежей — SWIFT.

Почему именно Бангладеш? Атаковать серверы ФРС Нью-Йорка или ядро сети SWIFT технически нецелесообразно — это системы с беспрецедентным уровнем защиты. Но интерфейс доступа к деньгам (терминал SWIFT) находится на стороне клиента. И именно инфраструктура ЦБ Бангладеш оказалась идеальной точкой входа.

Причина банальна — тотальная экономия на базовой информационной безопасности:

  • Отсутствие сегментации: Комната с терминалом SWIFT должна быть жестко изолирована от остальной корпоративной сети. В Бангладеш этого не сделали.

  • Дешевое железо: Вместо энтерпрайз-решений, управляемых коммутаторов и аппаратных фаерволов, банк использовал обычные б/у роутеры стоимостью около $10.

  • Дырявый периметр: Любая скомпрометированная машина рядового сотрудника открывала прямой путь к критически важным серверам.

Точка входа В январе 2016 года хакеры из северокорейской группировки Lazarus начали операцию с классического целевого фишинга (spear-phishing).

На электронные адреса нескольких сотрудников банка упало письмо от соискателя по имени «Рассел Алам» (Rasel Ahlam). Внутри находился безобидный на первый взгляд файл с резюме и сопроводительным письмом. На деле файл содержал скрытый троян (скорее всего, документ с вредоносными макросами или запакованный экзешник).

Один из клерков скачал резюме и открыл его на рабочем компьютере. Этого клика оказалось достаточно. Вредонос незаметно отработал в фоне, закрепился в системе и открыл бэкдор. Хакеры Lazarus оказались внутри банковской сети и начали свой путь к терминалу SWIFT.

2. Призрак в системе: Как взломать SWIFT

Получив первичный доступ, хакеры из Lazarus не стали сразу ломать серверы и пытаться вывести деньги. Любая аномалия в сети центробанка могла поднять тревогу. Вместо этого они ушли в глубокую разведку, которая длилась несколько недель.

Разведка боем Всё это время атакующие тихо перемещались по сети (lateral movement), дампили пароли и изучали внутренние процессы. Им нужно было понять бизнес-логику: в какие часы операторы начинают и заканчивают смены, кто и как авторизует транзакции, в какие дни уходят самые крупные суммы.

Хакеры установили кейлоггеры и снимали скриншоты с рабочих машин клерков. Главной задачей было досконально изучить формат сообщений SWIFT (стандарты вроде MT103 и MT202) и специфику заполнения полей. Чтобы ФРС Нью-Йорка без вопросов одобрила переводы на сотни миллионов долларов, запросы должны были выглядеть абсолютно рутинно.

Техническая матчасть Сама по себе система SWIFT — это не просто программа на рабочем столе. Это защищенный аппаратно-программный комплекс. Банки подключаются к глобальной финансовой сети через специализированное серверное ПО — Alliance Access.

Воспользовавшись слабой архитектурой сети (теми самыми дешевыми коммутаторами и отсутствием жесткой изоляции SWIFT-контура), хакеры скомпрометировали контроллер домена, нашли нужные учетные записи и добрались до серверов, на которых крутился Alliance Access.

Кастомная малварь Просто получить доступ к серверу было недостаточно. В SWIFT встроены жесткие механизмы криптографической защиты и проверки целостности данных. Поэтому Lazarus написали кастомную малварь, заточенную исключительно под взлом Alliance Access.

Этот вредонос (позже ИБ-исследователи идентифицируют его как набор модифицированных DLL-библиотек и исполняемых файлов) внедрялся глубоко в процессы банковского софта. Он делал три вещи:

  1. Перехватывал управление над процессами Alliance Access в оперативной памяти.

  2. Подменял проверки встроенных механизмов валидации и обходил систему контроля целостности локальной базы данных (Oracle), на которую опирался софт.

  3. Формировал от лица ЦБ Бангладеш запросы на перевод денег в обход операторов, автоматически подписывая их легитимными криптографическими ключами банка.

Для серверов ФРС в Нью-Йорке всё выглядело так, будто авторизованный сотрудник в Дакке сел за терминал и штатно отправил деньги. Малварь полностью подчинила себе программный комплекс. Оставалось только выбрать правильный момент для удара.

3. Слепой принтер и идеальный тайминг: Кража под прикрытием выходных

Идеальный взлом требует не только сложного кода, но и безупречного планирования времени. Чтобы вывести миллиард долларов, хакерам нужно было окно, когда никто не будет следить за мониторами и сверять остатки на счетах.

Выбор времени Атака стартовала вечером в четверг, 4 февраля 2016 года. Выбор даты был математически точным:

  • В Бангладеш пятница и суббота — официальные государственные выходные, банк пуст.

  • В США (где находится ФРС Нью-Йорка) выходные — это суббота и воскресенье.

Эта разница в расписаниях и часовых поясах дала группировке Lazarus почти четверо суток идеальной «слепой зоны». В течение этого времени в обоих банках не было людей, способных оперативно связаться друг с другом и заблокировать переводы.

Устранение улик в физическом мире Замести цифровые следы внутри скомпрометированного сервера — половина дела. В защищенной комнате ЦБ Бангладеш находился независимый механизм контроля: обычный матричный принтер. Он был настроен на автоматическую распечатку бумажных квитанций для каждой входящей и исходящей транзакции SWIFT.

Для банковских служащих это был главный физический лог. Если деньги уходят со счета, принтер должен начать шуметь и печатать подтверждение. Бумагу нельзя удалить удаленно.

Патч печатного механизма Хакерам пришлось решать проблему в физическом мире с помощью программного обеспечения. Вредоносная программа, установленная на серверах SWIFT, включала в себя специальный модуль, который перехватывал и блокировал отправку данных на печать.

Когда вечером в четверг вредонос начал генерировать десятки фальшивых запросов на перевод $1 млрд в ФРС Нью-Йорка, принтер в Бангладеш просто замолчал.

Утром в воскресенье, когда сотрудники ЦБ вышли на работу (начало их рабочей недели), они обнаружили, что принтер не работает. Сначала это списали на банальный аппаратный сбой. На починку сети и перезапуск оборудования ушли часы. Когда принтер наконец ожил и начал непрерывно выплевывать накопившиеся чеки о списании сотен миллионов долларов, было слишком поздно — запросы уже давно достигли Нью-Йорка.

4. Роковая опечатка: Fandation вместо Foundation

ФРС Нью-Йорка начала автоматически обрабатывать поступающие запросы. Криптографические подписи были подлинными, формат сообщений — корректным. Система не видела причин для блокировки. Первые четыре транзакции на общую сумму $81 млн успешно прошли все проверки и улетели на заранее подготовленные счета на Филиппинах. Ограбление шло по плану.

Человеческий фактор Пятый перевод на сумму $20 млн был направлен на счет некоммерческой организации на Шри-Ланке, которая называлась Shalika Foundation.

Здесь в безупречный технический план вмешалась человеческая усталость или простое незнание английского языка. Хакер, вбивая реквизиты получателя, допустил банальную опечатку. Вместо Foundation он напечатал Fandation.

Вмешательство случая Международные переводы редко идут напрямую, обычно они проходят через банки-корреспонденты. Платеж на Шри-Ланку маршрутизировался через Deutsche Bank.

Ошибочное слово Fandation зацепило внимание автоматизированной системы комплаенса (или бдительного операциониста). В жестко регламентированной банковской сфере расхождения в названиях юрлиц — это красный флаг. Deutsche Bank приостановил транзакцию и направил в ЦБ Бангладеш рутинный запрос на подтверждение реквизитов.

Именно этот запрос разрушил всю схему. К тому моменту системы фрод-мониторинга ФРС Нью-Йорка также забили тревогу, зафиксировав аномальное количество переводов из резервов суверенного государства на счета сомнительных частных фондов. Цепочка оборвалась. ФРС экстренно заблокировала оставшиеся переводы на $850 млн.

Сложнейшая многомесячная кибероперация с использованием кастомной малвари и патчингом физических устройств провалилась из-за трех неверных букв на клавиатуре.

5. По следам $81 миллиона: Казино, Филиппины и наследие Lazarus

Те $81 млн, что успели проскользнуть через фильтры ФРС, бесследно растворились в Юго-Восточной Азии. Этот этап операции показал, насколько глубоким было планирование.

Идеальное отмывание Деньги упали на четыре счета в филиппинском банке RCBC в Маниле. Эти счета были открыты по поддельным документам еще за год до атаки — в мае 2015 года, и всё это время лежали с балансом в $500, ожидая своего часа.

Как только миллионы поступили на счета, их немедленно перевели брокерам, конвертировали в филиппинские песо и вывели в наличность. Финальной точкой маршрута стали крупные казино Манилы. В игорных зонах наличность обменяли на фишки, провернули через столы для баккары и снова обналичили. В этот момент цепочка транзакций окончательно прервалась: в мире легального гемблинга следы таких денег теряются навсегда. Вернуть удалось лишь жалкие крохи от украденной суммы.

Геополитический контекст Расследованием инцидента занялись топовые ИБ-компании (FireEye, Symantec, Kaspersky). Анализируя логи, IP-адреса и фрагменты кода кастомной малвари, исследователи нашли прямые пересечения с инструментарием печально известной группировки Lazarus.

Это открытие зафиксировало уникальный исторический прецедент. До этого момента считалось, что элитные правительственные хакеры (APT-группировки) занимаются исключительно кибершпионажем, кражей военных секретов или саботажем инфраструктуры противника. Северная Корея изменила правила игры: целое государство использовало кибероружие и топовых специалистов для банального ограбления банков, чтобы пополнить бюджет в условиях жестких международных санкций.

Итог История взлома Центробанка Бангладеш — это классический пример того, как в мире информационной безопасности технологии всегда сталкиваются с человеческим фактором.

Группировка Lazarus провела феноменальную работу: они месяцами сидели в сети, написали сложнейший эксплойт для взлома закрытого комплекса SWIFT и даже удаленно пропатчили матричный принтер, чтобы ослепить службу безопасности в физическом мире. И вся эта многомиллионная операция спецслужб, подготовка которой заняла больше года, с треском провалилась из-за банального незнания английского языка и рутинной внимательности банковского клерка. Опечатка в три буквы спасла миру 850 миллионов долларов.

Анонсы новых статей, полезные материалы, а так же если в процессе у вас возникнут сложности, обсудить их или задать вопрос по этой статье можно в моём Telegram‑сообществе. Смело заходите, если что‑то пойдет не так, — постараемся разобраться вместе.