# Bank of Bangladesh Heist 2016 > [!critical] > Em fevereiro de 2016, o **Lazarus Group** / **APT38** executou o maior roubo bancário cibernético da história até então: **US$ 81 milhões** furtados do Bangladesh Bank via mensagens SWIFT fraudulentas para o Federal Reserve de Nova York. O ataque expôs vulnerabilidades sistêmicas na infraestrutura financeira global e redefiniu o perfil do crime cibernético patrocinado por Estado. ## Visão Geral O assalto ao Bangladash Bank é um marco na história da cibercriminalidade financeira — a primeira vez que um grupo patrocinado por Estado (Coreia do Norte) utilizou o sistema de mensageria interbancária **SWIFT** como vetor de ataque para roubo em escala bilionária. O [[g0032-lazarus-group]] e sua divisão financeira [[g0082-apt38]] passaram meses planejando e se infiltrando na infraestrutura do Bangladesh Bank antes de executar o ataque em 4 de fevereiro de 2016. Os atacantes enviaram 35 instruções de transferência fraudulentas ao Federal Reserve Bank de Nova York, onde o Bangladesh Bank mantinha uma conta de reservas. O total solicitado foi de quase US$ 1 bilhão. A maioria das transações foi bloqueada por um erro ortográfico suspeito — "fandation" em vez de "foundation" — e pelo banco intermediário (Deutsche Bank) que detectou anomalias. Ainda assim, **cinco transações** totalizando **US$ 81 milhões** foram processadas para contas nas Filipinas antes da detecção. Para executar o ataque, os hackers norte-coreanos comprometeram a rede interna do Bangladesh Bank meses antes com spear-phishing direcionado. Uma vez dentro, instalaram malware customizado que manipulava diretamente o software SWIFT Alliance Access — capaz de enviar mensagens SWIFT legítimas, apagar logs de transações e mascarar o roubo dos operadores locais. Os fundos transferidos para as Filipinas foram rapidamente convertidos em fichas de casino para lavagem e desapareceram. O ataque revelou que a fraqueza estava nas implementações locais do SWIFT, não no protocolo em si. O Bangladesh Bank operava sem firewall adequado, conectando o SWIFT diretamente à internet em alguns pontos. O incidente forçou a SWIFT a lançar o Customer Security Programme (CSP) e estabelecer controles obrigatórios para todos os membros. ## Attack Flow ```mermaid graph TB A["📧 Spear-phishing<br/>Candidatos falsos com CV<br/>malicioso para RH do banco"] --> B["💻 Comprometimento Inicial<br/>Backdoor instalado via<br/>documento malicioso"] B --> C["🔍 Reconhecimento Interno<br/>Meses de movimentação lateral<br/>mapeando rede SWIFT"] C --> D["🏦 Acesso ao SWIFT<br/>Credenciais de operadores<br/>SWIFT obtidas"] D --> E["📨 Envio de Mensagens Fraudulentas<br/>35 instruções SWIFT para<br/>FED New York - US$ 951M solicitados"] E --> F["✅ 5 Transações Aprovadas<br/>US$ 81M transferidos<br/>para contas nas Filipinas"] F --> G["🎰 Lavagem via Cassinos<br/>Fichas de casino + remessas<br/>para Macau/China"] ``` ## Cronologia ```mermaid timeline title Bangladesh Bank Heist - Linha do Tempo Ján 2016 : Reconhecimento completado : Credenciais SWIFT obtidas 4 Fev 2016 : 35 mensagens SWIFT fraudulentas enviadas : US$ 951M solicitados ao FED New York 5 Fev 2016 : 5 transações aprovadas - US$ 81M transferidos : Filipinas: Jupiter Street RCBC Bank : Deutsche Bank bloqueia transações restantes 8 Fev 2016 : Bangladesh Bank descobre o ataque : SWIFT suspenso - auditoria forense Mar 2016 : US$ 81M rastreados para cassinos nas Filipinas : Apenas US$ 15M recuperados 2018 : EUA indicia 3 hackers norte-coreanos 2023 : Filipinas extradita intermediário (Maia Santos Deguito) ``` ## TTPs Principais | Tática | Técnica | Detalhe | |--------|---------|---------| | Acesso Inicial | [[T1566.001-spearphishing-attachment\|T1566.001]] | CV malicioso enviado para RH do Bangladesh Bank | | Execução | [[T1059.001-command-and-scripting-interpreter-powershell\|T1059.001]] | Backdoor ativo por meses antes do ataque | | Evasão | [[T1070.001-indicator-removal-clear-windows-event-logs\|T1070.001]] | EVTDIAG apagava logs de transações SWIFT | | Persistência | Backdoor customizado | Acesso mantido por meses antes da execução | | Impacto | Fraude financeira SWIFT | MSOUTC manipulava diretamente o Alliance Access | | Lavagem | Peel chain + cassinos | Fichas de casino para dissolver rastro on-chain | ## Vítimas e Impacto - **Bangladesh Bank**: US$ 81 milhões roubados - maior roubo bancário digital da época - **Federal Reserve Bank de Nova York**: processou transações fraudulentas involuntariamente - **RCBC (Filipinas)**: conta Jupiter Street usada para receber fundos - **Recuperação**: apenas US$ 15 milhões recuperados (18% do total roubado) - **Consequências sistêmicas**: SWIFT lançou Customer Security Programme obrigatório - **Contexto DPRK**: estimativas do governo norte-americano indicam que APT38 roubou mais de US$ 2 bilhões em operações similares globalmente ## Relevância LATAM Embora a operação tenha ocorrido no sul da Ásia, o modelo de ataque ao Bangladesh Bank tornou-se referência para ataques ao sistema financeiro global — e o [[financial|setor financeiro]] latino-americano foi diretamente atingido em ataques subsequentes. O [[g0032-lazarus-group]] e APT38 usaram técnicas SWIFT similares contra o **Banco de Chile** (2018, US$ 10 milhões via SWIFT + malware wiper), **Bancomext** (México, 2018, tentativa frustrada via SPEI), e o **Banco del Austro** (Equador, US$ 9 milhões via SWIFT). O LATAM demonstrou ser alvo prioritário dessas campanhas financeiras norte-coreanas pelo crescimento do mercado de capitais e menor maturidade de controles em alguns países. ## Mitigação - Implementar segmentação de rede rigorosa entre sistemas SWIFT e demais redes corporativas - Exigir autenticação multifator para operadores de sistemas de mensageria interbancária - Aderir integralmente ao SWIFT Customer Security Programme (CSP) - controles obrigatórios - Monitorar anomalias em horários e volumes de transações SWIFT (Bangladesh Bank foi atacado durante fim de semana) - Implementar verificação independente para transferências acima de limiares definidos - Revisar controles de acesso ao software Alliance Access e similares ## Referências - [1](https://www.wired.com/2016/05/insane-81m-bangladesh-bank-heist-heres-know/) Wired - The Insane $81M Bangladesh Bank Heist (2016) - [2](https://krebsonsecurity.com/2016/05/new-clues-in-the-81m-bangladesh-bank-heist/) Krebs on Security - New Clues in the Bangladesh Bank Heist (2016) - [3](https://home.treasury.gov/news/press-releases/sm774) US Treasury - OFAC Sanctions APT38 Members (2019) - [4](https://www.swift.com/our-solutions/compliance-and-shared-services/financial-crime-cyber-security/cyber-security/swift-csp) SWIFT Customer Security Programme (CSP) - [5](https://attack.mitre.org/groups/G0082/) MITRE ATT&CK - APT38 (G0082)