Bugün öğrendim ki: 2016 yılında bilgisayar korsanlarının SWIFT ağını kullanarak Bangladeş merkez bankasından yaklaşık 1 milyar dolar çalmaya çalıştığı, ancak bir transfer isteğindeki tek bir yazım hatasının ("foundation" kelimesinin "fandation" olarak yanlış yazılması) şüphe uyandırdığı ve paranın büyük kısmının çalınmasını engellemeye yardımcı olduğu belirtiliyor.

---

2015–2016 SWIFT bankacılık hack'i ile karıştırılmamalıdır.

2016 banka siber soygunu

Halk arasında Bangladeş Bankası siber soygunu olarak da bilinen Bangladeş Bankası soygunu,[1] Şubat 2016'da gerçekleşen bir hırsızlık olayıdır. Güvenlik korsanları, Bangladeş'in merkez bankası olan Bangladeş Bankası'na ait New York Federal Rezerv Bankası hesabından yasa dışı yollarla 1 milyar ABD dolarına yakın para transfer etmek için SWIFT ağı üzerinden otuz beş adet sahte talimat gönderdi. Otuz beş sahte talimattan beşi, 101 milyon ABD dolarının transferinde başarılı oldu; bu tutarın 81 milyon dolarının Filipinler'e, 20 milyon dolarının ise Sri Lanka'ya gittiği tespit edildi. New York Federal Rezerv Bankası, yanlış yazılmış bir talimatın yarattığı şüpheler nedeniyle 850 milyon ABD doları tutarındaki diğer otuz işlemi durdurdu.[2] 2025 yılı itibarıyla, Filipinler'e transfer edilen 81 milyon dolardan sadece 15 milyon doları geri alınabildi ve kalan 66 milyon doların kurtarılması konusunda çok az ilerleme kaydedildi[3], Sri Lanka'ya transfer edilen paranın tamamı ise o tarihten bu yana geri kazanıldı. Filipinler'e transfer edilen paranın büyük bir kısmı şirketlere veya kurumlara değil, tekil şahıslara ait dört kişisel hesaba aktarıldı.

Arka plan

[değiştir]

Diğer birçok ulusal banka gibi, Bangladeş'in merkez bankası olan Bangladeş Bankası da, Bangladeş'in döviz rezervlerini yatırmak, korumak ve transfer etmek amacıyla New York Federal Rezerv Bankası'nda bir hesap bulundurmaktadır. Gelişmekte olan bir ekonomi olan Bangladeş'in döviz rezervleri genellikle milyarlarca ABD dolarına ulaşmaktadır. Eylül 2020 itibarıyla Bangladeş, 39 milyar ABD dolarlık döviz rezervine sahiptir.[4] Dünya Bankalararası Finansal Telekomünikasyon Derneği (SWIFT) ağı, döviz hesabını tutan banka ile para çekme, transfer veya yatırma işlemleri için iletişim kurmak amacıyla kullanılmaktadır.

Bangladeş Bankası'na yönelik 2016 yılındaki siber saldırı, türünün ilk örneği değildi. 2013 yılında, Bangladeş'in Sonali Bankası da, 250.000 ABD dolarını çalmayı başaran bilgisayar korsanlarının hedefi olmuştu.

Her iki olayda da, saldırganların hedef alınan bankaların içindeki içeriden kişiler tarafından desteklendiğinden ve bu kişilerin, bankaların SWIFT küresel ödeme ağına erişimindeki zayıflıklardan yararlanmalarına yardımcı olduğundan şüphelenilmektedir.[5][6]

Olaylar

[değiştir]

Bangladeş merkez bankasının güvenliğindeki zayıflıklardan ve bazı çalışanlarının olası dahil olmasından yararlanan[7] failler, Bangladeş Bankası'nın New York Federal Rezerv Bankası'ndaki hesabından 951 milyon ABD doları çalmaya çalıştı. Hırsızlık, 4-5 Şubat 2016 tarihleri arasında, Bangladeş Bankası ofislerinin hafta sonu nedeniyle kapalı olduğu bir dönemde gerçekleşti.

Failler, Bangladeş Bankası'nın bilgisayar ağına sızmayı, transferlerin nasıl yapıldığını gözlemlemeyi ve ödeme transferleri için bankanın kimlik bilgilerine erişmeyi başardılar. Bu kimlik bilgilerini, New York Federal Rezerv Bankası'na yaklaşık üç düzine talep göndermek için kullandılar. Bu talepler, Filipinler ve Sri Lanka'daki hesaplara para transfer etmek için yapıldı.

851 milyon ABD doları değerindeki otuz işlem, bankacılık sistemi tarafından personel incelemesi için işaretlendi, ancak beş talep onaylandı; Sri Lanka'ya 20 milyon ABD doları (daha sonra geri alındı)[8][9] ve Filipinler'e 81 milyon ABD doları kaptırıldı; para 5 Şubat 2016'da bu Güneydoğu Asya ülkesinin bankacılık sistemine girdi. Bu para kumarhaneler aracılığıyla aklandı ve bir kısmı daha sonra Hong Kong'a transfer edildi.

The Straits Times gazetesinde yayınlanan bir rapora göre, müfettişler suçluların saldırı için Dridex kötü amaçlı yazılımını kullandığından şüpheleniyorlardı.[10]

Filipinler'e yönlendirilen fonlar

[değiştir]

Filipinler'e transfer edilen para, Rizal Commercial Banking Corporation (RCBC) bünyesindeki beş ayrı hesaba yatırıldı; bu hesapların daha sonra sahte kimliklerle açıldığı ortaya çıktı. Fonlar daha sonra Filipin pezosuna çevrilmek üzere bir döviz komisyoncusuna transfer edildi, RCBC'ye iade edildi ve Çinli-Filipinli bir iş adamının hesabında birleştirildi;[11][9] çeviri işlemi 5 ile 13 Şubat 2016 tarihleri arasında gerçekleştirildi.[12] Ayrıca, söz konusu dört ABD doları hesabının, New York Federal Rezerv Bankası'ndan transferin yapıldığı tarih olan 4 Şubat 2016'ya kadar dokunulmadan, 15 Mayıs 2015 gibi erken bir tarihte RCBC'de açıldığı tespit edildi.[12]

8 Şubat 2016'da, Çin Yeni Yılı sırasında, Bangladeş Bankası SWIFT aracılığıyla RCBC'yi ödemeyi durdurması, fonları iade etmesi ve fonlar halihazırda transfer edilmişse "dondurması ve beklemeye alması" konusunda bilgilendirdi. Çin Yeni Yılı Filipinler'de resmi tatildir ve Bangladeş Bankası'ndan benzer bilgileri içeren bir SWIFT mesajı RCBC'ye ancak bir gün sonra ulaştı. O zamana kadar, yaklaşık 58,15 milyon ABD doları tutarındaki bir çekim işlemi, RCBC'nin Jupiter Caddesi (Makati Şehri) şubesi tarafından zaten gerçekleştirilmişti.[12]

16 Şubat'ta, Bangladeş Bankası Başkanı, 4 Şubat 2016'da RCBC lehine verilen SWIFT ödeme talimatlarının sahte olduğunu belirterek, 81 milyon dolarlık fonun geri alınması konusunda Bangko Sentral ng Pilipinas'tan (Filipinler Merkez Bankası) yardım istedi.[12]

Sri Lanka'ya yönelik başarısız fon yönlendirme girişimi

[değiştir]

Sri Lanka'ya yapılan 20 milyon dolarlık transfer, korsanlar tarafından Sri Lanka merkezli özel bir limited şirket olan Shalika Foundation'a gönderilmek üzere planlanmıştı. Bilgisayar korsanları, fon transferi taleplerinde "Foundation" kelimesini "Fandation" veya "Fundation" şeklinde yanlış yazdılar. Bu imla hatası, Bangladeş Bankası'ndan açıklama istedikten sonra söz konusu işlemi durduran bir yönlendirme bankası olan Deutsche Bank'ta şüphe uyandırdı.[8][13][14]

Sri Lanka merkezli Pan Asia Bank, bir yetkilinin işlemi Sri Lanka gibi bir ülke için çok büyük bulmasıyla durumu fark etti. Söz konusu şüpheli işlemi Deutsche Bank'a bildiren Pan Asia Bank oldu. Sri Lanka'daki fonlar Bangladeş Bankası tarafından geri alındı.[8]

Soruşturma

[değiştir]

Bangladeş

[değiştir]

Başlangıçta, Bangladeş Bankası sisteminin hacklenip hacklenmediğinden emin değildi. Merkez bankası başkanı, güvenlik olayı müdahalesi, zafiyet değerlendirmesi ve iyileştirmeyi yönetmesi için ABD merkezli World Informatix Cyber Security firmasıyla anlaştı. World Informatix Cyber Security, soruşturma için adli bilişim şirketi Mandiant'ı dahil etti. Bu müfettişler, sistemin ihlal edildiğini gösteren "ayak izleri" ve bilgisayar korsanlarına ait kötü amaçlı yazılımlar buldular. Müfettişler ayrıca bilgisayar korsanlarının Bangladeş dışında bulunduğunu belirttiler. Bangladeş Bankası tarafından vaka ile ilgili bir iç soruşturma başlatıldı.[8]

Bangladeş Bankası'nın yaptığı adli inceleme, kötü amaçlı yazılımın Ocak 2016'da bankanın sistemine kurulduğunu ve uluslararası ödemeler ile fon transferleri için bankanın operasyonel prosedürleri hakkında bilgi topladığını ortaya çıkardı.[12]

Soruşturmada ayrıca, henüz kimliği belirlenemeyen bilgisayar korsanları tarafından 250.000 ABD dolarının çalındığı 2013 yılındaki faili meçhul Sonali Bank hack olayı da incelendi. Raporlara göre, 2016 merkez bankası hack olayında olduğu gibi, bu hırsızlıkta da SWIFT küresel ödeme ağı kullanılarak sahte fon transferleri gerçekleştirilmişti. Bu olay, 2016 yılındaki şüpheli bir şekilde benzer olan Bangladeş merkez bankası soygununa kadar Bangladeş polis yetkilileri tarafından faili meçhul bir vaka olarak ele alınmıştı.[15]

Filipinler

[değiştir]

Filipinler Ulusal Soruşturma Bürosu (NBI) bir soruşturma başlattı ve yasa dışı fonların aklanmasında kilit rol oynadığı iddia edilen Çinli-Filipinli bir kişiyi incelemeye aldı. NBI, ülkenin Kara Para Aklamayı Önleme Konseyi (AMLC) dahil olmak üzere ilgili devlet kurumlarıyla koordineli çalışmaktadır. AMLC, 19 Şubat 2016 tarihinde bir kumarhane operatörüyle bağlantılı banka hesaplarına yönelik soruşturmasını başlattı.[12] AMLC, dava ile bağlantılı olarak bir RCBC şube müdürü ve sahte isimler kullanan beş bilinmeyen kişi hakkında Adalet Bakanlığı'na kara para aklama şikayetinde bulundu.[16]

15 Mart 2016'da, Mavi Şerit Komitesi (Blue Ribbon Committee) ve Kara Para Aklama ile Mücadele Yasası Kongre Gözetim Komitesi başkanı Senatör Teofisto Guingona III liderliğinde bir Filipin Senatosu duruşması yapıldı.[17] 17 Mart'ta kapalı kapılar ardında bir duruşma daha gerçekleştirildi.[18] Filipinler Eğlence ve Oyun Kurumu (PAGCOR) da kendi soruşturmasını başlattı.[8] 12 Ağustos 2016'da, RCBC'nin Filipinler merkez bankası (BSP) tarafından uygulanan 1 milyar Filipin pezosu tutarındaki cezanın yarısını ödediği bildirildi.[19] Bundan önce banka, bağımsız yönetim kurulu üyesi sayısını dörtten yediye çıkararak yönetim kurulunu yeniden yapılandırmıştı.[20]

10 Ocak 2019'da, eski bir RCBC şube müdürü olan Maia Santos Deguito, Makati Şehri Bölge Mahkemesi'nde 8 ayrı kara para aklama suçundan suçlu bulundu ve her bir suç için 4 ila 7 yıl hapis cezasına çarptırıldı.[21] 12 Mart 2019'da RCBC, Bangladeş Bankası'na karşı "RCBC'nin iyi adını, itibarını ve imajını yok etmeye yönelik halka açık karalama, taciz ve tehditlere başvurarak, davacı RCBC'den para sızdırmak için büyük bir hile ve plan içerisine girdiği" iddiasıyla dava açtı.[22]

6 Şubat 2023'te, İstinaf Mahkemesi Birinci Dairesi, Deguito'nun temyiz başvurusunu reddetti ve Makati Şehri Bölge Mahkemesi'nin 2019'daki mahkumiyet kararını onadı.[23]

Bangladeş Bankası soygunuyla ilgili 29 Şubat 2024 tarihli kararda, New York Yüksek Mahkemesi; Rizal Commercial Banking Corporation ile davalılar Ismael Reyes, Brigitte Capiña, Romualdo Agarrado ve Nestor Pineda'ya karşı açılan mülkiyetin gaspı, gaspı kolaylaştırma ve gasp etmek için komplo kurma şeklindeki 3 dava nedenini kişisel yargı yetkisi eksikliği nedeniyle reddetti. Ancak, Bangladeş Bankası'nın 81 milyon dolarlık siber soygunla ilgili davasının, alınan paranın iadesi dahil olmak üzere diğer gerekçelerle devam etmesine izin verdi.[24]

Amerika Birleşik Devletleri

[değiştir]

Her ikisi de ABD merkezli olan FireEye'ın Mandiant adli bilişim bölümü ve World Informatix Cyber Security, hack olayını araştırdı. Müfettişlere göre, faillerin Bangladeş Bankası'nın iç prosedürlerine olan aşinalığı, muhtemelen çalışanlarını gözetleyerek elde edilmişti. ABD Federal Soruşturma Bürosu (FBI), ajanların en az bir banka çalışanının suç ortağı olarak hareket ettiğine dair kanıtlar bulduğunu bildirdi. FBI ayrıca, Bangladeş Bankası'nın bilgisayar sisteminde yol almalarında bilgisayar korsanlarına yardım eden birkaç kişinin daha olduğuna dair kanıtların bulunduğunu iddia etti.[25] Bangladeş hükümeti, çalınan fonları kurtarmak amacıyla New York Federal Rezerv Bankası'na dava açmayı değerlendirdi.[8]

FBI'ın Kuzey Kore şüphesi

[değiştir]

Amerika Birleşik Devletleri'ndeki federal savcılar, Kuzey Kore hükümeti ile hırsızlık arasında olası bağlantılar olduğunu ortaya çıkardı.[26] Bu rapora göre ABD savcıları, hırsızlığın Kuzey Kore hükümeti tarafından desteklenen suçlular tarafından gerçekleştirildiğinden şüpheleniyordu. Raporda ayrıca, suçlamalara fonlar Filipinler'e yönlendirildikten sonra transferini kolaylaştıran "iddia edilen Çinli aracıların" da dahil edildiği belirtildi.[27]

Symantec Corp ve BAE Systems dahil olmak üzere bazı güvenlik şirketleri, dünyanın en aktif devlet destekli hacker gruplarından biri olan Kuzey Kore merkezli Lazarus Grubu'nun saldırının arkasında olduğunu iddia etti. Bu şirketler, Bangladeş soygununda kullanılan yöntemler ile ABD yetkililerinin Kuzey Kore'ye atfettiği 2014 Sony Pictures Entertainment hack'i gibi diğer olaylar arasındaki benzerliklere atıfta bulundular. Siber güvenlik uzmanları, Lazarus Grubu'nun Mayıs 2017'de dünya çapında yüz binlerce bilgisayara bulaşan WannaCry fidye yazılımı saldırısının da arkasında olduğunu belirtiyor.[28]

Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 2016 yılındaki Bangladeş Bankası hack olayını BeagleBoyz'a atfeden "FASTCash 2.0: Kuzey Kore'nin BeagleBoyz'u Bankaları Soyuyor" başlıklı bir uyarı yayınladı. Ajans, BeagleBoyz'un Kuzey Kore hükümetinin Keşif Genel Bürosu'na bağlı bir tehdit aktörü grubu olduğunu ve 2014'ten beri faaliyet gösterdiğini iddia etti.[29]

ABD Ulusal Güvenlik Ajansı Direktör Yardımcısı Richard Ledgett'in, "Sony saldırganlarından Bangladeş bankası saldırganlarına uzanan bu bağlantı doğruysa, bu bir ulus devletin banka soyduğu anlamına gelir" dediği aktarıldı.[30]

ABD, bir Kuzey Koreli bilgisayar programcısı olan Park Jin Hyok'u,[31] Pyongyang rejimi adına hareket ederek Bangladeş Bankası'nı hacklemekle suçladı. Aynı programcı, WannaCry 2.0 virüsü ve 2014 Sony Pictures saldırısıyla bağlantılı olarak da suçlanmıştı.[32]

Diğer saldırılar

[değiştir]

Bilgisayar güvenliği araştırmacıları, hırsızlığı on bir başka saldırıyla ilişkilendirdi ve Kuzey Kore'nin bu saldırılarda bir rolü olduğunu iddia etti; eğer bu doğruysa, bu, bir devlet aktörünün fon çalmak için siber saldırı kullandığı ilk bilinen vaka olacaktı.[33][34]

İlişkili kuruluşların yanıtı

[değiştir]

Rizal Commercial Banking Corporation (RCBC), olayla ilgili RCBC şubesinde gerçekleşen yasa dışı faaliyete müsamaha göstermediğini belirtti. RCBC Başkanı Lorenzo V. Tan, bankanın konuyla ilgili olarak Kara Para Aklamayı Önleme Konseyi ve Bangko Sentral ng Pilipinas ile iş birliği yaptığını söyledi. Tan'ın avukatı, RCBC Jupiter Caddesi şube müdüründen kara para aklama dolandırıcılığında kullanılan iddia edilen sahte banka hesabı hakkında açıklama yapmasını istedi.[36]

RCBC'nin yönetim kurulu komitesi de bankanın kara para aklama dolandırıcılığına karışmasıyla ilgili ayrı bir soruşturma başlattı. RCBC Başkanı Lorenzo V. Tan, yetkililerin vaka ile ilgili soruşturmasına yer açmak için süresiz ücretsiz izne ayrıldı.[37][38] 6 Mayıs 2016'da, bankanın iç soruşturması tarafından herhangi bir yanlış yapmadığı aklanmasına rağmen Tan, olay için "tam ahlaki sorumluluğu üstlenmek" amacıyla RCBC Başkanlığı'ndan istifa etti.[39][40] RCBC'nin kurucusu Alfonso Yuchengco'nun kızı Helen Yuchengco-Dee, bankanın operasyonlarını devraldı. Banka ayrıca soyguna karışması nedeniyle kamuoyundan özür diledi.

Bangladeş Bankası şefi, başkan Atiur Rahman, merkez bankası soygunu ve ardından RCBC personeli tarafından paranın Filipinler'de aklanmasıyla ilgili soruşturma sürerken görevinden istifa etti. İstifa mektubunu 15 Mart 2016'da Başbakan Şeyh Hasina'ya sundu. İstifası kamuoyuna açıklanmadan önce Rahman, ülkesinin iyiliği için istifa edeceğini belirtti. Rahman istifasından sonra, bir yıl önce siber güvenlik açıklarını öngördüğünü ve bankanın güvenlik duvarını, ağını ve genel siber güvenliğini güçlendirmek için bir Amerikan siber güvenlik firması kiraladığını iddia ederek kendini savundu. Ancak, bürokratik engellerin güvenlik firmasının Bangladeş'teki faaliyetlerine siber soygun sonrasına kadar başlamasını engellediğini suçladı.[42]

5 Ağustos 2016'da, Bangko Sentral ng Pilipinas, banka soygunuyla bağlantılı olarak bankacılık kanun ve yönetmeliklerine uyulmaması nedeniyle RCBC'ye karşı 1 milyar pezoluk (52,92 milyon ABD doları) para cezasını onayladı. Bu, BSP tarafından herhangi bir kuruma onaylanan en büyük para cezasıdır. RCBC, bankanın BSP'nin kararına uyacağını ve uygulanan cezayı ödeyeceğini belirtti.[43]

Bangladeş Bankası, çalınan parayı geri almak için çalışmalarını sürdürdü ve çoğu Metro Manila merkezli bir kumarhane operatöründen olmak üzere sadece yaklaşık 15 milyon ABD doları geri alabildi. Şubat 2019'da Federal Rezerv, Bangladeş Bankası'nın parayı geri almasına yardımcı olacağına söz verdi ve SWIFT de merkez bankasının altyapısını yeniden inşa etmesine yardım etmeye karar verdi. Bangladeş merkez bankası ayrıca RCBC'nin soyguna suç ortağı olduğuna inanarak, 2019'un başlarında New York Güney Bölgesi ABD Bölge Mahkemesi'nde Filipin bankasını "büyük bir komplo" kurmakla suçlayan bir dava açtı. Buna karşılık RCBC, Bangladeş Bankası'nın iddialarının temelsiz olduğuna inanarak karalama davası açtı.[44]

2020'de Bangladeş Bankası, birden fazla dava nedeni ile RCBC'ye karşı New York Yüksek Mahkemesi'nde dava açtı. Bu dava nedenlerinin üçü 29 Şubat 2024'te reddedildi. Aynı yılın Haziran ayında, New York İstinaf Mahkemesi, RCBC'nin davanın farklı bir mahkemede görülmesi yönündeki dilekçesini reddetti.[45]

Sonrası

[değiştir]

Dava, Filipinler'i Kara Para Aklama ile Mücadele Mali Eylem Görev Gücü'nün, kara para aklamaya karşı yetersiz çaba gösteren ülkeler kara listesine geri alma tehdidinde bulundu.[46] Kanun yapıcıların 2012 yılında kumarhaneleri, şüpheli işlemlerle ilgili olarak Kara Para Aklamayı Önleme Konseyi'ne rapor vermesi gereken kuruluşlar listesinden çıkarmayı başarmalarının ardından, Filipinli yetkililerin kara para aklamaya karşı çabalarındaki potansiyel bir zayıflığa dikkat çekildi.

Vaka ayrıca, bilgisayar korsanlarının gerçek banka yetkilendirme kodlarını kullanarak emirlerin gerçek görünmesini sağlaması nedeniyle hem devlet hem de özel kurumlar için siber saldırı tehdidini vurguladı. SWIFT, bir yanıt olarak SWIFT CSP'yi (müşteri güvenlik programı) oluşturdu. SWIFT, SWIFT sistemini kullanan bankalara siber güvenlik duruşlarını güçlendirmelerini ve CSCF (müşteri güvenlik kontrolleri çerçevesi) olarak bilinen SWIFT güvenlik yönergelerini izlediklerinden emin olmalarını tavsiye etti.[47]

Popüler kültürde

[değiştir]

Billion Dollar Heist, bu olayla ilgili 2023 yapımı bir belgeseldir[48]

Ayrıca bakınız

[değiştir]

Sıfır güven güvenlik modeli

Kaynakça

[değiştir]