Как международная хакерская сеть заработала $100 млн на краже пресс-релизов (часть 1)

GoodWin Оффлайн

GoodWin

Well-Known Member
Premium (VIP)
Регистрация
19 Апр 2017
Reaction score
205
RUB
0

Весной 2012 года в киевском ночном клубе подвыпивший 24-летний Иван Турчинов бахвалился перед дружками-хакерами. Он хвастал, что много лет взламывает ленты бизнес-новостей и продаёт биржевым трейдерам неопубликованные пресс-релизы через московских посредников за долю в прибыли.
Один из хакеров в том клубе Александр Еременко раньше работал с Турчиновым — и решил войти в долю. Вместе со своим другом Вадимом Ермоловичем они взломали ленту Business Wire, украли внутренний доступ Турчинова к сайту и заставили московского главаря, известного под псевдонимом eggPLC, взять их в схему. Враждебное поглощение означало, что Турчинову пришлось делиться. Теперь в игру вступили три хакера.
Трейдеры составляют списки пресс-релизов на покупку

Новостные ленты вроде Business Wire — это центры обмена корпоративной информацией, публикации пресс-релизов, требуемых по законодательству объявлений и другой информации, которая влияет на рынок и держится под строгим эмбарго перед публикацией. В течение минимум пяти лет три американские новостных ленты были взломаны с использованием различных методов: от SQL-инъекций и фишинговых писем до троянов и «левых» учёток. Трейдеры с американских фондовых бирж составляли список нужных пресс-релизов на покупку и указывали хакерам нужный момент для кражи информации. Затем хакеры загружали украденные пресс-релизы на иностранные серверы для трейдеров — и получали свои 40% прибыли на различные оффшорные банковские счета. Издание The Verge провело интервью с хакерами и следователями, получило логи чатов и судебные документы — и проследило развитие дела, которое правоохранительные органы позже назовут одним из крупнейших случаев мошенничества с ценными бумагами в истории США.

Для получения инсайдерской информации трейдерам больше не нужен человек в компании

Эта история показывает, как интернет произвёл тихую революцию в инсайдерской торговле. Для получения инсайдерской информации трейдерам больше не нужен человек в компании. Вместо этого они могут обратиться к хакерам, которые находят слабые места в безопасности. У крупной корпорации или банка может быть хорошая внутренняя безопасность. Но уязвимости обязательно есть у организаций, с которыми она работает, таких как финансовые учреждения, юридические фирмы, брокерские компании, небольшие инвестиционные рекомендации или, в этом случае, новостные ленты.

«Всегда есть человеческий фактор»

Как сказал один из участников схемы, неважно, какой уровень безопасности в компании: «Всегда есть человеческий фактор: тот единственный сотрудник, который кликнет по ссылке в фишинговом письме или продаст свой пароль».

«Почти каждую организацию, которая собирает полезные для трейдеров финансовые данные, хотя бы однажды ломали», — говорит Скотт Борг, директор Отдела кибербезопасности США (US Cyber Consequences Unit), некоммерческого исследовательского института, который консультирует правительство. «Все управления экономического анализа крупнейших стран мира почти наверняка были взломаны».

По большей части, говорит Борг, эти хаки не замечают. Они, как правило, «сложные и таргетированные», и компании часто отказываются от огласки, чтобы избежать обязательств и репутационного ущерба или потому что просто не знают, какая именно информация украдена.

За последние восемь лет Комиссия по ценным бумагам и биржам США (SEC) организовала три новые группы для обнаружения киберпреступлений и подтолкнула компании к укреплению собственной безопасности и быстрому сообщению о взломах. Меры возымели некоторый успех, о чём свидетельствует недавний случай с хаком юридических фирм тремя китайскими хакерами, но это игра в кошки-мышки. Даже SEC не защищена: в 2016 году её взломали. SEC сообщила о взломе только в следующем году, что вызвало обвинения в лицемерии.

Международный характер торговли краденой информацией особенно затрудняет правоприменение. Незадолго до того, как Турчинов хвастал перед друзьями в клубе, Секретная служба США, в задачу которой входит защита финансовой инфраструктуры страны, заинтересовалась украинским хакером.

Судебные документы показывают, что с начала 2012 года три новостных ленты — Business Wire, PR Newswire и Marketwired — бесконечно латали дыры и удаляли вредоносные программы, пытаясь заблокировать доступ хакеров. Бывший специалист по кибербезопасности в SEC Аскари Фой объяснил, что обычно эти компании сообщают о взломах в ФБР, чтобы возбудить уголовное дело и предоставить доступ к своим системам для экспертизы.

«Они торговали по-крупному»

Когда власти предупредили PR Newswire о потенциальном взломе, те в марте 2012 года наняли частную фирму кибербезопасности Stroz Friedberg для дальнейшего расследования. Согласно судебным документам, вредоносную программу Турчинова обнаружили и удалили. 27 марта он отправил москвичам паническое сообщение, предположительно ссылаясь на внутреннюю переписку PR Newswire, к которой имел доступ:

«Когда вернётесь, сразу мне напишите, есть несколько проблем. Первая и самая главная — облом с PR. Они обнаружили модуль и удалили всё наше дерьмо. Они убрали временный сервер. Я ещё не перешёл на новый, жду. Это произошло 13-го [марта]. Вторая проблема: ваших ребят обнаружили. Они торговали по-крупному и о них ходит много разговоров, что они торгуют только в нужный момент».​

Но к 30 мая 2012 года во многом благодаря новому коллеге Еременко хакеры восстановили доступ к PR Newswire и вернулись в бизнес.

Секретная служба приняла решение направить запрос о помощи разведывательным службам Украины, сообщают украинский агент Алексей Ткаченко и судебные документы. Украинские коллеги установили слежку за Турчиновым.

По словам человека, с которым также связывались украинские агенты, они заметили, что Турчинов общался с группой из 10 других мужчин в возрасте 20−30 лет, включая коллег Еременко и Ермоловича, у которых имелись значительные денежные средства и не было заметного источника дохода. Говорят, что Турчинов владел домом в Конча-Заспе, киевском эквиваленте Беверли-Хиллз. В социальных сетях он публиковал экстравагантную коллекцию золотых часов, пистолет, роскошный автомобиль и фотографии с друзьями в ночных клубах Киева.

В ноябре 2012 года украинцы в сопровождении агентов Секретной службы США, которые уже работали в тандеме с ФБР, провели рейды по девяти объектам недвижимости вокруг Киева, связанных с хакерами. Они конфисковали ноутбуки Еременко и Турчинова, нашли сотни пресс-релизов и логи чатов с обсуждением схемы. Спустя несколько месяцев спецагент Секретной службы США Александр Париселла прибыл в Украину, чтобы допросить Турчинова, Еременко и других, говорится в судебных документах.

Но потом дело заглохло. Украина не экстрадирует собственных граждан, поэтому спецагент Париселла не мог ничего сделать, кроме как попытаться заставить хакеров рассказать о пресс-релизах и украденных данных платёжных карт, которые они нашли.

В Украине никому из хакеров тоже не выдвинули обвинение. Украинские правоохранительные органы заявили, что не получали требуемого запроса от США — факт, подтверждённый американским агентом на суде. Похоже, у украинских спецслужб было особое отношение к Турчинову, главному подозреваемому американцев.

«Теперь ты работаешь на нас или поедешь в Америку»

«Тогда он заплатил ментам. Хорошо, не заплатил. Он отдал им свою коллекцию часов стоимостью в полмиллиона. Отдал свой дом, отдал „Бентли”. Тогда они сказали: „Хорошо, теперь ты работаешь на нас или поедешь в Америку”», — сказал человек, находящийся в тесном контакте с Турчиновым в то время.

После визита специального агента Париселлы Турчинов продолжал взламывать пресс-релизы, но теперь уже под надзором сотрудников разведывательных служб, рассказал The Verge начальник киберполиции Украины Сергей Демидюк. По его словам, спецслужбы начали работать параллельно московским посредникам, используя доступ Турчинова и привлекая собственных трейдеров.

«Нужно признать, именно это произошло», — сказал Демидюк о том, как украинские спецслужбы якобы наживались на незаконных сделках.

Разведывательные службы Украины не ответили на просьбу прокомментировать своё участие в схеме.



Трудно сказать, как закрутилась схема. В судебном заседании свидетель назвал «главным» человека, о котором известно только имя Валерий. Свидетели и документы также упоминают некоего Романа Вишневского как посредника в контактах с трейдерами. Судя по имени Skype и социальных контактах, это российский трейдер, об успехах которого в возрасте 26 лет написал Forbes Russia (Вишневский не ответил на неоднократные просьбы о комментариях). Никому не было предъявлено обвинение, хотя Вишневский совсем недавно ездил в США, в ноябре 2017 года. Согласно нескольким источникам, в интернете предполагаемый главарь банды известен только под экранным именем eggPLC.

Демидюк и другие, кто говорил на условиях анонимности, считают, что eggPLC — московский биржевой трейдер родом из Санкт-Петербурга, который нанимал хакеров по крайней мере с 2008 года. На ряде подпольных форумов, где покупаются и продаются эксплойты, мы встречали рекламу eggPLC для хакеров, он искал помощь в доступе к брокерским счетам. По словам человека, связанного со схемой, затем eggPLC использовал брокерские аккаунты для повышения и понижения цен на акции, совершая сделки со своих собственных счетов. Этот вариант старой школы фондового мошенничества, известного как памп и дамп (pump and dump). Схема возродилась в середине 2000-х благодаря хакерам.

eggPLC вёл полноценный бизнес в дарквебе

Основываясь на словах Демидюка и других, осведомлённых в деталях схемы, eggPLC нанял Турчинова для взлома новостных лент примерно в 2009 году. Турчинов отправлял украденные пресс-релизы eggPLC и двум другим московским посредникам, которые передавали их трейдерам; хакеры получали долю в 40% от прибыли, а посредники — 10%. Из его неактивных номеров ICQ видно, что eggPLC вёл полноценный бизнес в дарквебе. Один номер он рекламировал как личный номер; другой назывался «поддержка eggPLC».

В Санкт-Петербурге, Москве, Киеве и США украденные пресс-релизы привлекали всё больше трейдеров, некоторые из которых работали в инвестиционных компаниях, а другие — самостоятельно. Друзья говорили друзьям, круг посвящённых рос.

Двое трейдеров, братья Павел и Аркадий Дубовые, происходят из хорошо известной и богатой украинской баптистской семьи, несколько членов которой разбогатели на приватизации украинских заводов в 1990-е годы. Аркадий, которому принадлежит фабрика мороженого в Одессе, в середине 1990-х годов эмигрировал в пригород Атланты благодаря закону, предоставляющему статус беженца для преследуемых религиозных меньшинств Советского Союза. Павел некоторое время учился в США недалеко от Аркадия. Но вместе с большим числом родственников они переехали в Киев, когда их двоюродного брата Александра избрали в парламент в 2007 году.

Проживая в Украине в ноябре 2010 года, Павел Дубовой, согласно судебным документам, отправил партнёру Аркадия по строительному бизнесу электронное письмо с инструкциями, как получить доступ к украденным пресс-релизам.

После рождественских праздников Аркадий и его бизнес-партнер Александр Гаркуша отправились из своих домов в Альфаретте, штат Джорджия, в аэропорт Атланты, где встретили славянского баптистского пастора и трейдера из Филадельфии по имени Виталий Корчевский.

Будучи бывшим портфельным менеджером и вице-президентом Morgan Stanley, Корчевский пользовался репутацией хорошего консультанта по финансовому планированию у представителей нового иммигрантского сообщества, многие из которых приехали в Америку с плохим английским и слабым пониманием американской жизни. Корчевский был видным религиозным деятелем в американской славянской баптистской общине, его также часто приглашали проповедовать в США и странах бывшего Советского Союза.

«Он очень любит себя и свои амбиции»

В начале 2000-х годов Корчевский завершил работу в Morgan Stanley в Нью-Йорке и вернулся в Южную Филадельфию, где проводил вечера, разъезжая по пригородам и навещая славянских баптистов, которых надеялся привлечь на свои небольшие евангельские христианские собрания. Позже он организовал союз из 28 русскоязычных церквей и потратил значительную часть своего большого дохода на создание собственной церкви в Филадельфии. Он также спонсировал эмиграцию многих своих прихожан из бывшего Советского Союза, как он это делал в конце 1980-х годов. Те часто жили в его доме, пока не находили работу и жильё.

«Он был очень религиозным… но когда я его встретила, то увидела в нём и бизнесмена. Он человек амбиций. Это человек, который любит себя и свои амбиции, — сказал лидер славянских баптистов, знавший Корчевского три десятилетия. — Ему нравится быть лидером… и личностью, на которую люди равняются».



Для обсуждения схемы Аркадий Дубовой и Гаркуша встретились с Корчевским в ресторане аэропорта, когда у него была остановка в Атланте. Сначала схему трудно было продать. Финансово грамотный пастор не впечатлился. Он сказал, что эти пресс-релизы есть в общем доступе. После встречи Аркадий решил, что это очередная плохая идея его младшего брата. Вторая встреча омрачилась техническими трудностями. Только с третьей попытки группа наконец-то получила надлежащий доступ к серверу, чтобы продемонстрировать его Корчевскому — и пастор признал схему работоспособной.

Аркадий начал открывать брокерские счета. Английский Аркадия был настолько плох, что он просил других, в том числе сына Игоря, писать письма от его имени. Он также заявил в суде, что не разбирается в акциях и с трудом пользуется компьютером. Поэтому он разрешил Корчевскому торговать со своих счетов и платил ему около 10% прибыли. Корчевский в то время создавал филадельфийский фонд и тайно совершал сделки со своих счетов, из-за чего впоследствии посредник отказался сотрудничать с группой за неуплату полной комиссии.

Он хотел посмотреть, кто лучше торгует: пастор Корчевский или Халупский

Аркадий тоже вёл двойную игру. Брат Павел познакомил его с другим бывшим треудером с Уолл-Стрит, Владиславом Халупским, который жил на два города, путешествуя между Одессой и Бруклином. Аркадий открыл Халупскому счета для торговли. Позже он дал показания, что хотел посмотреть, кто лучше торгует: пастор Корчевский или Халупский. Аркадий также отправил своего сына Игоря обучаться трейдингу в одесскую фирму Халупского.

Схема продолжала расти. В неё втягивались друзья, родственники, коллеги и другими прихожане: для всех это казалось надёжным способом разбогатеть. Два менеджера украинских фирм Аркадия открыли счета, затем двое его родственников в Одессе (семья Дубовых очень большая, но в деле замешаны только пять человек). Спустя год в неё ввязались бухгалтер Аркадия и прихожанин Леонид Момоток. Последний немного разбирался в фондовой торговле и открыл больше аккаунтов для торговли, в том числе один под именем своего брата. Чем более несвязанными являются субъекты и счета, тем труднее расследование для регулирующих органов.

Лёгкие деньги

Для людей вроде Корчевского, зарегистрированного американского инвестиционного консультанта с более чем десятилетним опытом, украденные пресс-релизы были лёгкими деньгами.

3 августа 2011 года в 15:34 в систему PR Newswire был загружен пресс-релиз от Dendreon Pharmaceuticals — и опубликован менее чем через 30 минут в 16:01, сразу после закрытия рынков. Релиз объявил, что новый препарат компании не будет соответствовать прогнозируемой цели продаж. В 15:56, до публикации релиза и за четыре минуты до закрытия рынков Корчевский купил 1100 опционов на продажу — контракт, дающий возможность продать акции по определённой цене в течение определённого периода времени. На следующий день акции Dendreon упали на 67%, и Корчевский продал свои опционы с прибылью более $2,3 млн. По телефонным записям видно, что Корчевский дважды звонил в офис Аркадия до релиза и дважды после продажи опционов.

Есть случаи, когда трейдеры теряли деньги. Несмотря на позитивный пресс-релиз, 26 апреля 2013 года цена акций интернет-компании Verisign неожиданно упала. Сын Аркадия Игорь Дубовой написал по электронной почте Корчевскому: «Аркадий попросил меня продать все акции. Если у вас нет интернета, пожалуйста, дайте мне знать, следует ли это сделать или у вас есть сервис для этого». Вскоре после этого Игорь закрыл позиции Дубовых с убытком в $114 038. Затем Игорь отправил Корчевскому ещё одно письмо: «Я уже всё продал и только что увидел ваше письмо. Не уверен, что совершил сделку как вы планировали». Корчевский ответил Игорю: «Ничего страшного… это не последний день… в любом случае странно… получил правильные цифры… смешанная реакция».

В Украине Павел, который вёл совместный счёт с братом Аркадием, отвечал за выплату комиссионных хакерам. Он платил через свою британскую подставную компанию, используя номера счетов, предоставленные неизвестным лицом, вероятно, Романом Вишневским, который несколько раз упоминался в суде как контактное лицо Дубового (Вишневский не ответил на неоднократные просьбы о комментариях). В одном из нескольких писем Аркадию от февраля 2012 года Павел сообщил об оплате $95 000 на эстонский счёт Турчинова с пометкой «ребята». Платёж был проведён под видом оплаты за строительное оборудование от девелоперской компании Аркадия. Строительство — типичное занятие советских баптистов, которым часто отказывали в доступе к государственному жилью. В письме также указано, что $160 000 выплатили «Владу», то есть Халупскому, украино-американскому трейдеру и инвестиционному консультанту. Павел также рассылал списки ожидаемых пресс-релизов Аркадию в Джорджии и хакерам через московских посредников.

Неясно, как Павел познакомился с Романом, который ввёл Павла в схему и работал на главаря группировки, свидетельствуют показания. Также не совсем понятно, чем Павел зарабатывал на жизнь. Его двоюродный брат политик Александр в интервью The Verge назвал его «техническим специалистом» и «фрилансером», который также занимался недвижимостью, хотя и не выразил уверенности в его способностях трейдера.

Павел по телефону в марте отрицал свою причастность к инсайдерской торговле и вообще к трейдингу. «Честно говоря, у меня очень мало общего с этим делом. Мои родственники гораздо более вовлечены, — такие слова Павла о схеме с пресс-релизами указаны в обвинительном заключении властей США. — Я не имею к этому никакого отношения. У меня никогда не было брокерских счетов и не велось никаких сделок. Я даже не знаю, как это делается… я не знаю, что происходит в этом деле… не знаю, почему [они указали на меня]».

Павел впоследствии отклонил неоднократные просьбы о встрече и не ответил на конкретные вопросы о схеме взлома.
 
GoodWin Оффлайн

GoodWin

Well-Known Member
Premium (VIP)
Регистрация
19 Апр 2017
Reaction score
205
RUB
0
История. конечно, для голливудского фильма))
А мне очень понравилось, что тут есть одна фамилия, довольна известная тем кто увлекается торговлей на финансовых рынках)))
 
L Оффлайн

luckky

Member
Регистрация
9 Окт 2018
Reaction score
0
RUB
0
История. конечно, для голливудского фильма))
А мне очень понравилось, что тут есть одна фамилия, довольна известная тем кто увлекается торговлей на финансовых рынках)))
Может не для фильма, но очень захватывает)
 
O Оффлайн

oxyacider

Member
Premium (VIP)
Регистрация
3 Апр 2019
Reaction score
1
RUB
0
Здесь упоминаются 2е фамилии из UT. Эту информацию я публиковал на смартлабе со ссылкой на источник - иносми, Тимофей её удалил без объяснений. На столько я понял потому, что он в кентах с ними.
 

Пользователи, которые просматривали тему (Всего: 2)

Поделиться страницей

Сверху