В конце октября 2012 года специалисты Центра анализа и выявления нарушений, действующего при Комиссии по ценным бумагам США (SEC), обнаружили в интернете любопытный видеоролик, демонстрирующий взлом сервера, принадлежавшего новостному агентству PR Newswire.
На сайте этого агентства компании США публикуют информацию для инвесторов — сообщения о важных событиях, финансовые отчеты и другие сведения, способные существенно повлиять на цену акций. Такие сведения размещаются «под эмбарго», то есть с распоряжением опубликовать их в точно назначенное время, но сама информация поступает агентству заранее.
В ролике, обнаруженном аналитиками SEC, показывалось, как можно прочитать документы, еще не опубликованные в открытом доступе. Автор видео, скрывавшийся под псевдонимом DSU, на русском языке объяснял: «Вот как выглядит страница с файлами, подготовленными для публикации. Мы выбираем файл, который хотим загрузить, и система нам его открывает. <...> Логин и пароль для доступа к этому сайту будут отправлены на адрес вашей электронной почты».
Комиссия по ценным бумагам немедленно связалась с ФБР и занялась проверкой всех сделок с акциями компаний, которые в последнее время раскрывали информацию на PR Newswire. Результат оказался печальным — практически со всеми бумагами совершались подозрительные операции накануне обнародования важной информации.
Перед хорошими новостями кто-то скупал крупные пакеты акций и перепродавал через несколько часов, когда их котировки подскакивали. А перед публикацией негативной информации неизвестные трейдеры начинали игру на понижение.
Например, в пять часов 53 минуты утра 25 июня 2012 года компания Zumiez загрузила в PR Newswire отчет о хороших результатах по итогам второго квартала. Уже через 13 минут неизвестный трейдер купил крупный пакет акций этой компании. После того как в четыре часа дня пресс-релиз был опубликован и котировки резко выросли, трейдер продал свой пакет. Его доход составил 67 тысяч долларов за десять часов.
Тем временем специалисты ФБР установили, что сервер PR Newswire был взломан с помощью трояна, спрятанного в письмах, рассылавшихся хакерами сотрудникам агентства. Чуть позже удалось установить IP-адрес компьютера, с которого отправлялись вредоносные послания, и страна, откуда исходила хакерская атака.
Ко всеобщему удивлению, это была не Россия: взломщик находился в Киеве. Им оказался Александр Еременко, известный в хакерском сообществе под ником Zlom. Хакером DSU, выложившим в Сеть видеоролик о взломе сервера PR Newswire, был еще один киевлянин — Иван Турчинов.
Связь между двумя злоумышленниками стала несомненной, когда в одном из онлайн-чатов следователи ФБР обнаружили короткое послание от Zlom, адресованное DSU: «Я хакнул prnewswire.com».
Поскольку ФБР не имеет полномочий вести расследования за пределами Соединенных Штатов, к делу подключилась Секретная служба Министерства финансов США, которая обратилась к спецслужбам Украины с просьбой о помощи в задержании хакеров. За Турчиновым и Еременко установили слежку, а в ноябре 2012 года — арестовали.
В ноутбуках хакеров обнаружились тексты сотен украденных пресс-релизов, а также электронные адреса сотен клиентов в США, покупавших инсайдерскую информацию. Все эти сведения украинцы передали за океан.
Больше всего ФБР и Секретную службу заинтересовал главный покупатель ворованной информации — баптистский пастор Виталий Корчевский, эмигрировавший в США с Украины после развала СССР. Он не только использовал сведения из украденных пресс-релизов для игры на бирже, но и перепродавал инсайдерскую информацию своим прихожанам, которых приобщил к спекуляциям с ценными бумагами.
Летом 2015 года Корчевского арестовали в США по обвинению в инсайдерской торговле и получении незаконного дохода в размере 17,5 миллиона долларов. Впрочем, уже осенью того же года его выпустили под залог в 2,2 миллиона долларов.
А Иван Турчинов и Александр Еременко даже не предстали перед судом: дело против них на Украине прекратили. «От ментов он попросту откупился, — рассказал один из знакомых Турчинова журналу Wired. — Правда, не деньгами. Он отдал им свою коллекцию часов, а она тянула на полмиллиона. Дом тоже отдал. Даже до „бентли“ дошло. А потом они ему заявили: теперь ты работаешь на нас, а иначе отправишься в США».
В результате, по информации издания, Иван Турчинов продолжил красть пресс-релизы из американских новостных агентств — не только PR Newswire, но и аналогичных ему Business Wire и Marketwired. Только отдавал их новым кураторам из украинских спецслужб, а те уже сами перепродавали трейдерам.
Александр Еременко после прекращения уголовного дела нашел нового делового партнера: в октябре 2015 года он вместе с еще одним хакером Артемом Радченко зарегистрировал в Лондоне компанию Benjamin Capital Group. Их мишенью стала ни много ни мало Комиссия по ценным бумагам США.
Для взлома SEC мошенники использовали старый трюк с рассылкой сотрудникам учреждения электронных писем с вредоносными вложениями. Так и не удалось выяснить, кто именно запустил вложенный файл и открыл злоумышленникам доступ к EDGAR — учетной системе, где хранится информация о корпоративных событиях всех компаний-эмитентов США. В итоге хакеры получили доступ к 157 корпоративным отчетам о прибыли, которые еще не были представлены публично.
Доступ к такой информации открывал огромные возможности для наживы: по данным следствия, один из вовлеченных в схему трейдеров заработал 270 тысяч долларов всего за один торговый день. Другая сделка принесла группе Еременко 307 тысяч долларов за сутки.
ФБР назвало деятельность группы Еременко крупнейшим компьютерным мошенничеством в истории. Сейчас выявлено более ста человек, занимавшихся инсайдерской торговлей с использованием информации, купленной у хакеров. Пока дела возбуждены в отношении 20 физических и 42 юридических лиц.
Максим Рубченко