2016年，發(fā)生了一起黑客打劫孟加拉國(guó)央行的大案，盜賊幾近得手，卻因一個(gè)單詞功虧一簣，與10億美元失之交臂，只拿走1.01億美元。

5年后，這起大案余波未平，而新的案情陸續(xù)浮出水面，令人驚愕。

案發(fā)

2016年2月5日，星期五，孟加拉國(guó)的法定休息日，首都達(dá)卡，孟加拉銀行（央行）保安嚴(yán)密的總部大樓10層，一臺(tái)打印機(jī)出了故障。

| 孟加拉銀行總部大樓位于首都達(dá)卡的金融區(qū)

它負(fù)責(zé)打印的是央行賬戶款項(xiàng)進(jìn)出的記錄。這種尋常的小故障以前也曾發(fā)生過(guò)，當(dāng)天的值班經(jīng)理祖拜爾·本·胡達(dá)，不以為意。

其實(shí)，這臺(tái)打印機(jī)的故障是個(gè)征兆，顯示銀行史上最大的一樁劫案，正在悄無(wú)聲息發(fā)生。

此時(shí)，侵入孟加拉央行系統(tǒng)的黑客，向SWIFT（環(huán)球同業(yè)銀行金融電訊協(xié)會(huì)）發(fā)出35條指令，要求從紐約聯(lián)邦儲(chǔ)備銀行提取10億美元。

前4條指令，是把8100萬(wàn)美元轉(zhuǎn)賬到菲律賓RCBC銀行，黑客得手。

第5條指令，是把2000萬(wàn)美元轉(zhuǎn)賬到斯里蘭卡一個(gè)慈善組織——莎麗卡基金會(huì)。慈善組織的主人，莎麗卡·佩雷拉后來(lái)表示，她以為那是一筆清白合法的捐款。

但是，因?yàn)橹噶钪谢饡?huì)一詞拼錯(cuò)了，F(xiàn)oundation 拼寫(xiě)成 Fundation，引起負(fù)責(zé)處理轉(zhuǎn)賬程序的德意志銀行職員的懷疑，截停那筆款項(xiàng)，并向孟加拉央行查證。

孟加拉央行高層大吃一驚，對(duì)這筆資金的異常流動(dòng)困惑不解，找到安全專家阿斯塔納，請(qǐng)他協(xié)助調(diào)查。

當(dāng)時(shí)央行高層認(rèn)為還有可能把這筆錢追回來(lái)，因此對(duì)失竊案保密，不但公眾毫不知情，甚至孟加拉當(dāng)局也蒙在鼓里。

阿斯塔納很快發(fā)現(xiàn)問(wèn)題所在：銀行系統(tǒng)的核心——SWIFT，全球各地的銀行之間通過(guò)這個(gè)系統(tǒng)進(jìn)行交易清算，被認(rèn)為是世界上最安全的電子支付系統(tǒng)。孟加拉銀行連接SWIFT系統(tǒng)的計(jì)算機(jī)，竟然沒(méi)有安裝防火墻。

他發(fā)現(xiàn)，在SWIFT看來(lái)，黑客擁有操作權(quán)限，轉(zhuǎn)款指令正確，就是來(lái)自銀行員工，沒(méi)有疑問(wèn)。

那臺(tái)打印機(jī)的故障也很蹊蹺，被人用遠(yuǎn)程木馬程序操縱，無(wú)法作業(yè)，以掩蓋行竊證據(jù)。它被修正后重啟，結(jié)果吐出一份更加令人震驚的通知！

| 紐約美聯(lián)儲(chǔ)

通知來(lái)自紐約美聯(lián)儲(chǔ)，孟加拉央行的美元儲(chǔ)備存在對(duì)方的賬戶上。

通知說(shuō)，美聯(lián)儲(chǔ)已經(jīng)收到來(lái)自孟加拉央行（客戶）的取款指令，提取10億美元，幾乎就是賬戶里的全部款額。

| 孟加拉婦女在烈日下勞作

孟加拉國(guó)是全球最貧困國(guó)之一，10億美元無(wú)異于天文數(shù)字。

不幸中的萬(wàn)幸，經(jīng)過(guò)查詢，美聯(lián)儲(chǔ)證實(shí)，大部分涉案錢款沒(méi)有流出，因?yàn)橹噶畋痪堋?/p>

黑客發(fā)出的35條指令，5條被確認(rèn)，成功轉(zhuǎn)走1.01億美元，但另30條涉及8.5億美元的轉(zhuǎn)款指令，被紐約聯(lián)儲(chǔ)銀行拒絕，因?yàn)橐粋€(gè)敏感詞。

盜賊選擇在菲律賓RCBC銀行位于馬尼拉的朱庇特街支行開(kāi)戶，當(dāng)時(shí)不會(huì)想到這是個(gè)致命的錯(cuò)誤。

朱庇特是一個(gè)敏感詞，因?yàn)橛幸凰乙晾守涊喴步羞@個(gè)名字。

朱庇特這個(gè)詞觸發(fā)了警報(bào)，聯(lián)儲(chǔ)局系統(tǒng)叫停執(zhí)行，對(duì)交易進(jìn)行審核評(píng)估，30條指令被拒，5條獲得執(zhí)行，1.01億美元被盜。

央行高層發(fā)現(xiàn)，錢很難馬上追回。菲律賓法律規(guī)定，只有通過(guò)法庭下達(dá)判決，才能開(kāi)始追款程序。

這就意味著，蓋子再難捂下去。

2月下旬，孟加拉央行遭黑客打劫的消息震驚世界。

3月15日，央行行長(zhǎng)阿蒂·拉赫曼引咎辭職，兩名副行長(zhǎng)遭解職。

陰謀

孟加拉央行遭黑客打劫案背后，是一個(gè)由黑客和中間人組成的團(tuán)隊(duì)，成員散布在亞洲各地。

這個(gè)團(tuán)隊(duì)叫拉撒路。拉撒路是一個(gè)死而復(fù)生的傳說(shuō)人物。

專家認(rèn)為，單就生存能力而言，這個(gè)面目不清的團(tuán)隊(duì)跟拉撒路不相上下。

調(diào)查人員后來(lái)發(fā)現(xiàn)，早在一年前，拉撒路團(tuán)隊(duì)的病毒就侵入孟加拉央行，一直潛伏在電腦系統(tǒng)里。

2015年1月，孟加拉央行幾名員工收到一份貌似人畜無(wú)害的求職郵件，發(fā)件人自稱拉塞爾·阿拉姆。他的郵件措辭彬彬有禮，還有一條下載求職信和個(gè)人履歷的附件鏈接。

收到這份電郵的員工當(dāng)中，至少一人毫無(wú)防備地點(diǎn)擊那個(gè)鏈接，下載了所謂的簡(jiǎn)歷和求職信，把藏在文件里的病毒帶入央行電腦系統(tǒng)。

這個(gè)病毒很快就感染了一臺(tái)又一臺(tái)電腦，輕而易舉進(jìn)入了數(shù)字化金庫(kù)。

然后，它們停下腳步，潛伏下來(lái)。

病毒成功潛入央行系統(tǒng)后，拉撒路用了一年時(shí)間安排撤退計(jì)劃和路線。

| 馬尼拉朱庇特街上的RCBC支行

朱庇特街是馬尼拉城里一條繁忙的商業(yè)街。菲律賓最大的銀行之一RCBC（黎剎），在這條街上有一個(gè)支行。

2015年5月，拉撒路病毒侵入孟加拉央行系統(tǒng)幾個(gè)月之后，有人在這家RCBC開(kāi)了四個(gè)賬戶，開(kāi)戶人是黑客的同犯。

事后回想，其實(shí)是有疑點(diǎn)的：用來(lái)開(kāi)戶的駕照是假的，開(kāi)戶人分別就職于不同的公司，但職務(wù)和工資完全一樣。

不過(guò)，當(dāng)時(shí)沒(méi)有人注意到這些。

幾個(gè)月過(guò)去了，這幾個(gè)賬戶里除了開(kāi)戶時(shí)存入的500美元，就再?zèng)]有錢款進(jìn)出。

到了2016年2月，拉撒路集團(tuán)認(rèn)為一切準(zhǔn)備就緒。

除了一個(gè)小小的環(huán)節(jié)：孟加拉央行總部10樓的一臺(tái)打印機(jī)，負(fù)責(zé)打印央行所有賬戶的所有錢款流動(dòng)記錄，留作紙質(zhì)備份。

白紙黑字，看到的人立刻就會(huì)發(fā)現(xiàn)黑客在作案。

所以必須先侵入控制這臺(tái)打印機(jī)的系統(tǒng)，讓它出故障。

2月4日，周四，孟加拉時(shí)間晚上20:36時(shí)，行動(dòng)開(kāi)始。

此時(shí)，紐約時(shí)間是周四上午，正常工作時(shí)間。

孟加拉銀行周五、周六休息，接下來(lái)就是紐約的周末。

等雙方都發(fā)現(xiàn)疑竇時(shí)，已經(jīng)過(guò)去3天了。

關(guān)鍵在于，周一，2016年2月8日，是農(nóng)歷新年，亞洲各地的銀行都關(guān)門(mén)。黑客們又多了2天先機(jī)。

這樣，搶劫得手后，黑客們有5天的逃遁時(shí)間。

如此大膽縝密、天衣無(wú)縫的計(jì)劃，顯然是經(jīng)過(guò)精心設(shè)計(jì)的。

可是，就像好萊塢大片里的銀行打劫案一樣，百密一疏，最后眼睜睜看著唾手可得的贓款與自己失之交臂。

這可能是個(gè)令拉撒路集團(tuán)吐血的疏忽，只有一個(gè)，非常小，但最后一切都?xì)г谶@一小點(diǎn)上：朱庇特，它觸發(fā)了敏感詞警報(bào)。

追查

當(dāng)孟加拉央行開(kāi)始追款行動(dòng)時(shí)，拉撒路黑客們已經(jīng)先行了幾步。

2月5日，周五，馬尼拉朱庇特街RCBC支行的四個(gè)賬戶突然活躍異常，現(xiàn)金進(jìn)帳，流出，轉(zhuǎn)入一個(gè)外匯公司，換成菲律賓貨幣，重新存入這家銀行，有一部分現(xiàn)款被提取。

在專家看來(lái)，這些操作完全不出意料。

被成功盜取的8100萬(wàn)美元贓款中，5000萬(wàn)經(jīng)由RCBC流入了Solaire、Midas兩家賭檔，另外3100萬(wàn)下落不明。

通過(guò)賭檔是為了掩蓋贓款流動(dòng)痕跡，但有沒(méi)有風(fēng)險(xiǎn)？

沒(méi)有。

盜賊預(yù)訂了私人包間，里面的玩家都是同伙，他們?cè)诶锩嫱媪藥讉€(gè)星期。

孟加拉央行在這段時(shí)間追了上來(lái)，趕到馬尼拉，識(shí)別出贓款流動(dòng)軌跡。

但是，線索到賭檔之后就斷了。

當(dāng)時(shí)，菲律賓的法規(guī)還不適用于賭檔。從賭檔的角度看，沒(méi)有任何違法之處。

| Kim Wong

孟加拉央行設(shè)法從承包Midas私人包間的一個(gè)名叫 Kim Wong的人手中追回1600萬(wàn)美元。他先被起訴，后來(lái)控方撤訴。

另外6500萬(wàn)美元似乎徹底消失了。

調(diào)查的下一站，離真相更近了一步。

| 七寶山飯店

尋著蛛絲馬跡，調(diào)查團(tuán)隊(duì)追蹤到沈陽(yáng)一家酒店——七寶山飯店，門(mén)口有一對(duì)石獅子。

這家酒店有平壤特色：床單、菜式、服務(wù)員的服裝和餐廳的歌舞表演，等等。

2014年，黑客就在這家酒店，以此為基地，向索尼影業(yè)發(fā)起網(wǎng)上攻擊，而這已經(jīng)是互聯(lián)網(wǎng)社區(qū)眾所周知的事。

索尼高管的薪酬、保密郵件內(nèi)容和尚未發(fā)行的新片的詳情被泄露，在網(wǎng)上曝光，而公司70%的電腦被黑客病毒入侵陷入癱瘓，員工的門(mén)禁卡失效，打印機(jī)無(wú)法啟動(dòng)。

索尼影業(yè)公司總部所在地的一個(gè)咖啡店長(zhǎng)達(dá)6個(gè)星期無(wú)法接受信用卡付款。

最終，主流院線表示不準(zhǔn)備放映索尼這部影片，它只能在一些獨(dú)立影院上映。

起訴

拉撒路團(tuán)隊(duì)至今依舊很神秘。

賽門(mén)鐵克的研究人員表示，他們發(fā)現(xiàn)了一些證據(jù)，波蘭、菲律賓、韓國(guó)的20多家銀行，越南先鋒銀行、孟加拉央行、世界銀行、歐洲央行、美國(guó)銀行等遭受的一系列攻擊，都來(lái)自拉撒路團(tuán)隊(duì)。

厄瓜多爾銀行被黑客劫走1200萬(wàn)美元。

美國(guó)FBI掌握了一名拉撒路團(tuán)隊(duì)成員的身份背景。

樸鎮(zhèn)赫，化名樸光振，電腦編程員，曾受雇平壤進(jìn)出口公司大連分公司。

FBI說(shuō)，樸鎮(zhèn)赫白天是程序員，晚上是電腦黑客。

2017年5月，WannaCry 病毒像野火一樣全球蔓延，令150國(guó)的30萬(wàn)部計(jì)算機(jī)受到癱瘓。無(wú)數(shù)受害者的電腦、數(shù)據(jù)、文檔被鎖，必須支付價(jià)值數(shù)百至數(shù)百萬(wàn)美元的比特幣之后，才能取回。

虛擬貨幣被打劫的金額估計(jì)超過(guò)20億美元。

2018年6月，美國(guó)起訴樸鎮(zhèn)赫，指控他參與了攻擊索尼案、孟加拉央行劫案、WannaCry 病毒案。

| 金日、樸鎮(zhèn)赫、全昌赫

2021年2月，美國(guó)起訴另外兩名男子，稱他們也是拉撒路集團(tuán)成員。

今天，孟加拉央行還在努力追款，大約6500萬(wàn)美元，對(duì)數(shù)十個(gè)機(jī)構(gòu)和個(gè)人提起訴訟，包括菲律賓RCBC銀行。

RCBC堅(jiān)稱自己沒(méi)有違反任何法規(guī)。

| 菲律賓RCBC銀行朱庇特街支行經(jīng)理Maia Santos Deguito（左）

這是當(dāng)今全球戰(zhàn)場(chǎng)上的一條新戰(zhàn)線：模糊不清的地帶、活動(dòng)、團(tuán)隊(duì)、黑客，藏在暗處迅速拓展。