Как хакеры и трейдеры из Украины и России заработали $100 млн на украденных пресс-релизах

13071
2

Изабель Кошив собрала для издания The Verge полную историю того, как группа хакеров, а также трейдеров из Украины и России годами наживалась на воровстве пресс-релизов. Инсайдерская торговля принесла подпольной сети свыше $100 млн — но не все ее участники понесли наказание. Редакция AIN.UA публикует краткий пересказ расследования Кошив.

С чего все началось

Украинский хакер Иван Турчинов с 2009 года промышлял торговлей пресс-релизами, добытыми на американских ресурсах. 

Его целью был сайт Business Wire, хотя взламывали и другие подобные порталы (PR Newswire и Marketwired). Туда на условиях эмбарго загружают корпоративные сводки, сообщения от регуляторов и другую рыночную информацию, способную влиять на стоимость акций. Турчинов воровал материалы и продавал через трех посредников из Москвы: главный скрывался под ником eggPLC. 

В 2012 году 24-летний Турчинов рассказал о схеме друзьям в киевском ночном клубе. Один из гостей, хакер Александр Еременко, соблазнился легкими деньгами. Совместно со своим другом Вадимом Ермоловичем, он взломал Business Wire. Они «угнали» доступ Ивана и заставили его работать совместно. Заработок формировали из прибылей, полученных итоговыми трейдерами: хакеры получали 40%, посредники — 10%.

Способы взлома разнились: практиковали SQL-иньекции, email-фишинг, распространение вирусов и угон данных для авторизации. Трейдеры, активные на американских биржах, формировали списки желаемых компаний и ориентировочные даты выхода важных пресс-релизов. После получения документов, хакеры загружали их на иностранные сервера, чтобы данными воспользовались трейдеры. При этом, о взломах редко заявляют: PR-компании или опасаются репутационных осложнений или попросту не знают про утечки информации.

Самое загадочное звено этой цепи — посредники, которые сводили обе стороны. Один из свидетелей, задействованный в суде над участниками схемы, называл главным некого «Валерия». Другой уточнял эти показания, называя участником схемы трейдера Романа Вишневского. В 2013 году 26-летний Вишневский уже попал на страницы российского Forbes благодаря успехам его компании United Traders. На запросы издания предприниматель не ответил.

Хакерская активность вокруг сайтов, публикующих пресс-релизы, давно привлекала внимание SEC (Комиссии по ценным бумагам и биржам), а также американских спецслужб. В 2012 году они обратились к руководству PR Newswire с информацией о потенциальном взломе. Те наняли компанию Stroz Friedberg для аудита. В марте специалисты удалили вирус Турчинова, после чего хакер в панике обратился к посредникам из Москвы. Он рассказал о потере доступа и том, что о спецслужбы знают о существовании других участников схемы. 

Турчинов, отчасти благодаря Еременко, вернул доступ к PR Newswire только к 30 мая. Но они уже были в поле зрения правоохранительных органов. Американские спецслужбы обратились к украинским коллегам и запросили помощь в расследовании деятельности Турчинова. Слежка показала: Турчинов общался с группой молодых людей, куда входили Еременко и Ермолович, а также вел праздный образ жизни, не имея явного источника дохода. Ему приписали владение домом в Конча-Заспе, в соцсетях нашли публикации с коллекцией золотых часов, оружием, дорогим автомобилем и многочисленные кадры из ночных клубов.

В ноябре 2012 СБУ и ФБР совместно обыскали 9 домов возле Киева. Они конфисковали ноутбуки Еременко и Турчинова, нашли сотни пресс-релизов и переписку, связанную со схемой. Но дело застыло после обысков и допросов со стороны американских агентов. Украина не экстрадирует своих граждан, а на родине им не выдвинули обвинений. Спецслужбы сообщили, что не получали соответствующего запроса от американских коллег, что подтвердил на суде агент из США.

Близкий к Турчинову источник рассказал, что хакер откупился от полиции коллекцией часов стоимостью свыше $500 000, домом и Bentley. Турчинову поставили условие: или он работает на правоохранительные органы или отправляется в США. Глава Департамента Киберполиции Сергей Демидюк признает, что тогдашние сотрудники заключили такую неформальную сделку. Заинтересованные лица из числа спецслужб пользовались данными параллельно с посредниками из Москвы и передавали их своим трейдерам.

Ермоловичу повезло меньше. Он попался спустя два года, во время отдыха в Мексике. К нему вломилась местная полиция и потребовала покинуть страну. Хакеру сообщили, что украинское консульство организовало его перелет. Уже в аэропорту Ермолович узнал, что самолет полетит в США. Там его обвинили в торговле незаконно добытыми корпоративными данными и тоже поставили перед выбором: тюремный срок от 2 до 20 лет или признание вины и сотрудничество со следствием. 

Ермолович был скуп в своих показаниях, так что о посредниках из России известно не так много. Демидюк и другие источники уверены, что под ником eggPLC скрывается московский трейдер родом из Санкт-Петербурга. Он нанимает хакеров с 2008 года и, пользуясь их услугами, наживается на скачках стоимости акций. В дарк-вебе eggPLC организовал масштабный бизнес. 

Кто пользовался данными

Круг заинтересованных лиц был широк: это трейдеры из Санкт-Петербурга, Москвы, Киева и США. В расследовании указаны лишь крупнейшие фигуранты.

Среди них: братья Павел и Аркадий Дубовой, выходцы из богатой и известной в Украине баптистской семьи. У них обширные связи, которые лишь усилились после выхода их двоюродного брата Александра Дубового на украинскую политическую арену. В числе близких знакомых Дубовых, например, есть Иосиф Кобзон. Кроме того, бывшим пастором церкви Дубовых «Слово жизни» был Александр Турчинов, временно исполнявший обязанности президента Украины и нынешний секретарь Совета национальной безопасности и обороны Украины.

Инициатором сотрудничества с хакерами был Павел, а реализацией занимался Аркадий и его бизнес-партнер Александр Гаркуша, жившие в США. Сам Павел тогда жил в Украине. Впервые они обсудили схему в ноябре 2010 года. После рождественских праздников, Аркадий и Александр Гаркуша отправились на встречу с баптистским пастором Виталием Корчевским из Филадельфии.

До занятости в церкви, Корчевский был портфельным менеджером и вице-президентом Morgan Stanley. Он умел торговать на бирже, а среди прихожан заслужил хорошую репутацию советами по части финансового планирования. Виталий потратился на постройку собственной церкви в Филадельфии, организовал союз из 28 церквей с русскоговорящими прихожанами США.

Первая встреча, в аэропорту Атланты, прошла неудачно. Вовлечь Корчевского, пообещав ему 10% от прибыли, удалось только с третьего раза. Трейдер торговал деньгами Аркадия. При этом все стороны играли «в серую». Корчевский тайно торговал со своего счета, в то время как Аркадий создал аккаунт для Владислава Халупского. На суде он рассказал, что просто хотел проверить: кто покажет себя лучше. Халупский тоже был бывшим брокером с Уолл-стрит, живший в перемещениях между Одессой и Бруклином. 

Московские посредники о махинациях Дубовых по привлечению второго трейдера не знали. Кроме того, помимо Халупского, пользоваться схемой стали приближенные к Дубовым: два менеджера из украинских предприятий Аркадия, двое его родственников из Одессы и бухгалтер Леонид Момоток. При этом, услуги хакеров оплачивал Павел. Адреса счетов выдавал московский посредник, а сделки оформлялись через офшорные британские компании под видом девелоперских заказов и консультаций по инвестициям. В расследовании указан пример такого перевода: Павел писал Аркадию, что перевел $95 000 Турчинову и $160 000 Халупскому. В телефонном интервью он отрицал свою связь со схемой и говорил, что родственники были задействованы в этом больше.

Зарабатывали участники инсайдерской сети неплохо. Легче всего торговать было Корчевскому. Полагаясь на прежние знания, он, например, смог заработать $2,3 млн на продаже акций Dendreon после их падения. Но иногда трейдер терял деньги: так случилось после публикации пресс-релизов компании Verisign’s. Несмотря на позитивную отчетность, ценные бумаги просели в цене, а Дубовой прогорел более чем на $114 000.

Были и другие проблемы. В 2014 году московские посредники выяснили, что Дубовые торговали со множества счетов. Они угрожали Павлу, в то время как Аркадий даже отправился в Украину на встречу «главным» — Валерием. Обсуждались условия для возвращения доступа к серверу. Среди вариантов значилось, что Дубовые будут платить $50 000/день или $100 000/неделю за доступ к пресс-релизам, предварительно внеся $300 000 на депозит. Обсуждение зашло в тупик, но Дубовые нашли выход. Материалы им стал передавать родственник Валерий Пинченко, также вышедший на связь с посредниками.

Как все закончилось

Несмотря на задержание Ермоловича, спецслужбам США было нелегко вычислить участников схемы. К расследованию подключились Комиссия по ценным бумагам и биржам и Служба регулирования отрасли финансовых услуг США (FINRA). Ведомства мониторили сделки, зная о доступе группы трейдеров к пресс-релизам, и подмечали подозрительные паттерны.

Спустя 9 месяцев после задержания Ермоловича, агенты ФБР задержали Корчевского, Аркадия и его сына Игоря, Гаркушу и Момотка. Им вменяли незаконный заработок в разных объемах. Для Корчевского это были $17,5 млн, Аркадия – $11 млн, Игоря – $249 тыс., Момотка – $1,3 млн, Гаркуши – $125 тыс.

Гражданина США Холупского экстрадировали в Америку только в феврале 2017. Он и Корчевский — единственные, кто не признал свою вину. Впрочем, по обвинительным показаниям и материалам дела, их тоже признали виновными. Но все фигуранты дела пока что ожидают приговора. В тюрьме сидит только Ермолович, которого в мае 2017 приговорили к 2,5 годам заключения.

Полностью избежал наказания Павел Дубовой. Как гражданину Украины, ему не грозила экстрадиция в США, а на родине он смог «уйти» благодаря многочисленным связям — как личным, так и родственников. Сейчас украинская полиция заявляет, что Павел Дубовой живет на территории страны с фальшивым российским паспортом, под другим именем. Он, очевидно, не очень скрывается — автор расследования видела его среди прихожан баптистской церкви на службе в канун Рождества.

Кроме того, Павел успел засветиться в коррупционном скандале Paradise Papers, а также предлагал взятку агенту НАБУ. На этом его злоключения не закончились — в феврале, по словам Александра Дубового, его двоюродный брат Павел получил три пулевых ранения, ввязавшись в драку в кафе.

Без наказания также остались хакеры Турчинов и Еременко. Турчинов в 2017 году сбежал через восточные области в Россию после того, как полиция начала расследовать кражу данных из налоговой. Турчинов сделал это по заказу некой бизнес-группы. Вскрылись также и его махинации с Еременко. После обысков в 2015 году, Турчинов воспользовался его правовой неграмотностью и шантажировал коллегу, заявив о необходимости заплатить за избежание экстрадиции. Сумма была завышена вдвое от требований, выставленных самому Турчинову, но Еременко согласился. Когда все вскрылось, дуэт хакеров распался.

Еременко какое-то время работал на Артемия Радченко, 23-летнего бизнесмена, с которыми они основали инвестфирму Benjamin Capital. Со временем Еременко узнал, что Радченко прожигает деньги предприятия на дорогие покупки. Он собрался отойти от дел, но ввязался в серию разбирательств. Радченко нанял бандитов, чтобы те разобрались с Еременко. Однако против самого Радченко настроились другие инвесторы. Он даже не платил собственным телохранителям. Те, в итоге, объединили усилия с криминалитетом и побили самого Радченка.

Затем они вышли на Еременко. Инвесторы предложили ему переехать в Россию и, работая оттуда, выплатить долг Радченка. До разрыва, Радченко и Еременко работали над взломом системы EDGAR. Она разработана в SEC и используется каждой компаний на бирже для подачи финансовой отчетности, которая следом публикуется онлайн. Неизвестно, как далеко продвинулся Еременко на новом месте работы, но утечки в SEC и системе EDGAR случались с октября 2016 по апрель 2017 года.

Сколько стоили пресс-релизы

SEC оценивает совокупные заработки мошенников в $100 млн. Дела завели против инвестиционных компаний из Москвы, Киева и частных лиц из Санкт-Петербурга. В общей сложности комиссия добилась получения $53 млн в виде компенсаций.

ФБР нашла свыше 100 трейдеров, у которых был доступ к пресс-релизам. Расследование ведут в отношении 42 организаций и 20 физлиц. 

Оставить комментарий

Комментарии | 2

Поиск