bangladesh-swift-heist-2016

# Bangladesh Bank SWIFT Heist 2016 > [!critical] Lazarus Group roubou US$ 81 milhões via sistema SWIFT - um erro de digitação impediu o maior roubo bancário da história de US$ 951 milhões > Em 4-5 de fevereiro de 2016, o subgrupo BlueNoroff da Lazarus Group (Coreia do Norte) usou credenciais legítimas do Bangladesh Bank para enviar 35 instruções fraudulentas via SWIFT ao Federal Reserve Bank de Nova York, tentando transferir US$ 951 milhões. Um erro de digitação em uma das ordens levantou suspeita e bloqueou a maioria. US$ 81 milhões chegaram a contas nas Filipinas e foram lavados em cassinos em horas - tornando a recuperação quase impossível. ## Visão Geral O Bangladesh Bank SWIFT Heist é considerado o maior roubo bancário por meios cibernéticos da história, e o primeiro caso documentado de uma nação-estado usando capacidades cibernéticas para roubo financeiro direto em escala. O [[g0032-lazarus-group|Lazarus Group]] - específicamente o subgrupo [[g0124-bluenoroff|BlueNoroff]] que foca em operações de geração de receita - passou meses de preparação silenciosa dentro dos sistemas do Bangladesh Bank antes de executar o heist. O acesso inicial ocorreu por volta de outubro de 2015, via emails de phishing enviados a funcionários do banco. O malware implantado - incluindo o **EVTDIAG** para manipular logs de eventos e **MSOUTC** para capturar comúnicações SWIFT - operou silenciosamente por meses mapeando os procedimentos internos, coletando credenciais de acesso ao sistema SWIFT e aprendendo o fluxo de autorização de transferências internacionais. Em 4-5 de fevereiro de 2016, aproveitando o final de semana quando o banco e o Fed estariam com equipes reduzidas, o Lazarus Group enviou 35 instruções fraudulentas via o terminal SWIFT do Bangladesh Bank ao Federal Reserve Bank de Nova York. As instruções eram técnicamente impecáveis - formuladas com o vocabulário correto, autenticadas com credenciais legítimas e com valores plausíveis individualmente. O que impediu o roubo total de US$ 951 milhões foi um erro ortográfico: uma instrução usou "fandation" em vez de "foundation" no nome do beneficiário, levantando suspeita de um banco intermediário alemão (Deutsche Bank). Dos 35 pedidos, 30 foram bloqueados ou revertidos. Cinco ordens, totalizando US$ 101 milhões, foram executadas. US$ 20 milhões foram eventualmente recuperados via intervenção judicial, mas US$ 81 milhões chegaram a contas nas Filipinas e foram rapidamente convertidos em fichas de cassino - jurisdição sem controles efetivos de AML à época. ## Attack Flow ```mermaid graph TB A["Phishing Inicial Outubro 2015 - malware implantado em endpoints"] --> B["Reconhecimento Longo Meses estudando procedimentos e coletando credenciais SWIFT"] B --> C["Acesso ao Terminal SWIFT Credenciais do Bangladesh Bank capturadas silenciosamente"] C --> D["35 Instruções Fraudulentas 4-5 fevereiro 2016 final de semana - equipes reduzidas"] D --> E["Limpeza de Logs EVTDIAG apaga rastros do terminal SWIFT local"] E --> F["USD 81M Transferidos Filipinas - cassinos lavagem em fichas e chips"] ``` > **Ator:** Lazarus Group / BlueNoroff | **Alvo:** Sistema SWIFT do Bangladesh Bank | **Roubo:** USD 81M de USD 951M tentados ## Cronologia ```mermaid timeline title Bangladesh Bank SWIFT Heist 2015-10 : Phishing atinge funcionários do Bangladesh Bank - malware implantado 2016-01 : Lazarus Group obtém credenciais SWIFT e aprende procedimentos internos 2016-02-04 : 35 instruções fraudulentas enviadas via SWIFT ao Federal Reserve NY 2016-02-05 : Deutsche Bank sinaliza erro ortográfico - 30 ordens bloqueadas 2016-02-05 : USD 81M chegam a contas nas Filipinas - convertidos em fichas de cassino 2016-02-07 : Bangladesh Bank descobre o roubo ao tentar enviar novas transferências 2016-03 : BAFin e SWIFT emitem alertas para sistema bancário global 2018-09 : DOJ EUA indicia Park Jin Hyok - membro Lazarus Group ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Emails de phishing para funcionários do Bangladesh Bank em outubro 2015 | | Network Sniffing | [[t1040-network-sniffing\|T1040]] | Captura de credenciais SWIFT e monitoramento de tráfego interno | | File Deletion | [[t1070-file-deletion\|T1070]] | EVTDIAG manipula e apaga logs do terminal SWIFT para cobrir rastros | | Masquerading | [[t1036-masquerading\|T1036]] | Instruções SWIFT formuladas para parecer transferências legítimas | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais legítimas do Bangladesh Bank usadas para autenticar no SWIFT | | Remote Email Collection | [[t1114-002-remote-email-collection\|T1114.002]] | Coleta de emails para entender procedimentos de autorização do banco | ## Vítimas e Impacto **Impacto financeiro direto:** - US$ 81 milhões roubados e não recuperados (US$ 20M recuperados de US$ 101M transferidos) - Bangladesh Bank perdeu quase 25% de suas reservas internacionais em um único final de semana - Custo de investigação, remediação e litígio estimado em dezenas de milhões adicionais **Impacto sistêmico na rede SWIFT:** - SWIFT emitiu alertas de emergência para todo o sistema bancário global - Múltiplos outros ataques via SWIFT identificados subsequentemente (Vietnam, Taiwan, outros) - SWIFT implementou novo framework de segurança obrigatório (Customer Security Programme - CSP) para todos os membros - Bancos centrais globais revisaram controles de autenticação e alçadas de aprovação **Impacto geopolítico:** - Primeiro caso juridicamente documentado de Estado-nação usando capacidades cibernéticas para roubo financeiro direto - DOJ EUA indiciou membros do Lazarus Group - precedente de atribuição criminal estatal - Bangladesh demitiu o governador do banco central após o incidente ## Relevância LATAM e Brasil O ataque ao Bangladesh Bank estabeleceu um precedente fundamental para o sistema financeiro brasileiro: - **Conectividade SWIFT**: o Brasil está conectado ao sistema SWIFT via Banco Central e todas as instituições financeiras com operações internacionais. O vetor de ataque via credenciais SWIFT legítimas é estruturalmente idêntico ao disponível em bancos brasileiros - **BlueNoroff e LATAM**: o subgrupo [[g0124-bluenoroff|BlueNoroff]] expandiu operações para América Latina em anos subsequentes, com foco em exchanges de criptomoedas e bancos regionais. Incidentes não divulgados públicamente foram investigados por autoridades brasileiras - **Regulação BACEN**: em resposta a ataques SWIFT globais, o BACEN emitiu normas específicas de cibersegurança para o sistema financeiro (Resolução CMN 4.893/2021 e sucessoras) - diretamente influenciadas por este incidente - **Cassinos e lavagem**: o modelo de lavagem via cassinos é aplicável à região - o Brasil, com mercado regulado de apóstas em expansão, enfrenta risco similar de uso de cassinos e plataformas de apóstas como veículo de lavagem de fundos roubados por ransomware e fraudes bancárias ## Mitigação **Controles para sistema SWIFT e correspondentes bancários:** - Implementar verificação em duplo cego para transferências internacionais acima de limites definidos - Aplicar [[m1032-multi-factor-authentication|M1032]] - MFA em terminais SWIFT com token físico (não SMS) - Monitorar via [[ds-0029-network-traffic|DS-0029]] - transferências SWIFT em finais de semana e fora do horário comercial **Controles estratégicos:** - Implementar [[m1026-privileged-account-management|M1026]] - segregação de funções rigorosa para autorização de transferências internacionais - Aplicar [[m1031-network-intrusion-prevention|M1031]] - monitoramento de anomalias em terminais SWIFT e redes de pagamento - Implementar programa de conformidade SWIFT Customer Security Programme (CSP) completo ## Referências - [1](https://www.reuters.com/article/us-cyber-heist-bangladesh-idUSKCN0V71GU) Reuters - Hackers Steal 80 Million from Bangladesh Central Bank (2016) - [2](https://www.swift.com/swift-resource/9316) SWIFT - Customer Security Programme (CSP) (2017) - [3](https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks) DOJ - North Korean Programmer Charged with Cyber Attacks (2018) - [4](https://securelist.com/the-bangladesh-heist-anatomy-of-lazarus-swift-attacks/105258/) Kaspersky Securelist - Bangladesh Heist: Anatomy of Lazarus SWIFT Attacks (2020) - [5](https://www.bbc.com/news/business-35682743) BBC - Bangladesh Bank Hackers Steal 80m in Cyber-Heist (2016) - [6](https://www.wired.com/2016/05/insane-81m-bangladesh-bank-heist-heres-know/) WIRED - The Insane 81M Bangladesh Bank Heist (2016)