Jak wyhakować sto milionów dolarów z giełdowych komunikatów prasowych

Kupowali akcje, zanim wzrosły. Sprzedawali, zanim spadły. Wydawałoby się, że mieli niezwykły talent do precyzyjnego, wielokrotnego i niezawodnego przewidywania przyszłości – a tak naprawdę korzystali z talentów profesjonalnych włamywaczy.

By wygrywać na giełdzie, trzeba przewidywać przyszłość trafniej od pozostałych graczy. To trudne zadanie. Pokusa, by pójść na skróty, musi być ogromna, szczególnie gdy otrzymuje się ofertę od hakerów, którzy wykradają komunikaty prasowe firm, zanim te zostaną ujawnione pozostałym uczestnikom rynku. Poznajcie historię sporej szajki manipulatorów giełdowych, którzy zarobili co najmniej 100 milionów dolarów, a większość z nich nigdy nie poniosła żadnych konsekwencji.

Jak ograć rynek

Historia nadużyć giełdowych jest tak długa jak historia samej giełdy, ale jej odcinek, nad którym chcemy się dzisiaj pochylić, zaczyna się około roku 2008. To wtedy ktoś ukrywający się pod pseudonimem eggPLC szukał na przestępczych forach dostępu do cudzych rachunków maklerskich. To jeden ze sposobów manipulowania giełdą: używając cudzych, przejętych rachunków, przestępcy składają określone zlecenia zakupu lub sprzedaży instrumentów finansowych, manipulując w ten sposób ich wartością, a sami – ze swojego rachunku – wykorzystują wywołane zmiany cen do osiągnięcia sporego zysku. Za pseudonimem eggPLC prawdopodobnie ukrywał się Roman Wiszniewskij, rosyjski makler, który już w wieku 26 lat trafił do rosyjskiego Forbesa jako gwiazda rynku.

Najwyraźniej manipulowanie za pomocą cudzych rachunków nie wystarczało Wiszniewskiemu, ponieważ już rok później nowym celem postawionym przed hakerami zostały amerykańskie firmy zajmujące się publikacją komunikatów giełdowych. Takimi komunikatami są na przykład wyniki finansowe za ostatni kwartał lub plany przejęcia konkurencji, których publikacja może wysłać kurs akcji w bardzo przewidywalnym kierunku. Informacje tego rodzaju trafiają do wyspecjalizowanych firm co najmniej kilkanaście minut przed ich upublicznieniem. Wiedza o tym, czy kurs wzrośnie, czy spadnie, pozwala zarobić krocie, nie tylko na akcjach, ale także – a może przede wszystkim – na opcjach. Nie będziemy się zagłębiać tu w opisy mechanizmów giełdowych – dla posiadacza tych informacji to gotowe pieniądze, po które trzeba się tylko schylić. Oczywiście schylać się trzeba ostrożnie, by nie wpaść w oko organów nadzorczych, które patrzą, czy ktoś nie handluje zbyt skutecznie tuż przed publikacją informacji. A Wiszniewskij potrafił przez długi czas schylać się ostrożnie.

eggPLC szybko znalazł na forum chętnych do wykonania zlecenia. Pierwszym hakerem został Iwan Turczynow. Wykradzione komunikaty prasowe przekazywał zleceniobiorcy i dwóm innym pośrednikom. Podział łupów był prosty – 40% dla hakera, 10% dla pośrednika, reszta dla maklera, który przeprowadzał operacje giełdowe. Turczynow przez kilka lat pracował solo, ale około roku 2012 wygadał się swoim kolegom z branży, opisując współpracę z maklerem. Dwaj z nich, Ołeksandr Jeremienko i Wadim Jermołowicz, chcieli dołączyć do biznesu, ale Turczynow twierdził, że nie potrzebuje wspólników. Jeremienko i Jermołowicz szybko go przekonali, że tkwi w błędzie – włamali się na własną rękę do firmy Business Wire, z której Turczynow czerpał informacje i przejmując nad nią kontrolę, usunęli jego narzędzia z sieci agencji. Turczynow nie miał wielkiego wyboru i zgodził się działać z utalentowanymi kolegami.

Jak wyglądało działanie przestępców? Weźmy przykład firmy Dendreon Pharmaceuticals. Jej komunikat prasowy został przekazany agencji 3 sierpnia 2011 o godzinie 15:34, a opublikowany o 16:01, tuż po zamknięciu rynków. Komunikat informował o niższej niż oczekiwana sprzedaży jej nowego leku. Tymczasem o 15:56 jeden z maklerów działających w porozumieniu z hakerami zakupił 1100 opcji put – czyli kontraktów umożliwiających sprzedaż akcji po określonej cenie. Następnego dnia akcje Dendreona spadły o 67%, a makler sprzedał swoje opcje, zarabiając na nich ponad 2 miliony dolarów. Czasem ruchy akcji zaskakiwały przestępców – tak jak w przypadku komunikatu firmy Verisign, który mimo pozytywnej treści spowodował spadek ceny. Stracili wtedy ok. 100 000 dolarów, jednak z reguły zarabiali na wyciekach dużo więcej.

Niekończąca się historia

Business Wire było tylko jedną z firm na celowniku hakerów. Według dokumentów sądowych uzyskali w sumie dostęp do trzech agencji informacyjnych, obsługujących podmioty giełdowe: Business Wire, PR Newswire oraz Marketwired. Do włamań używali całego spektrum technik – od SQLi, przez phishing, po zakup danych dostępowych na czarnym rynku. Gdy dostawali się już do sieci ofiary, identyfikowali miejsce przechowywania najcenniejszych informacji i zostawiali po sobie złośliwe oprogramowanie, które kopiowało kluczowe komunikaty i przekazywało im ich treść. Wszystkie wymienione firmy od czasu do czasu odkrywały infekcje – usuwały wtedy oprogramowania włamywaczy, by po kilku dniach lub tygodniach ponownie dać się zhakować.

Taki ciąg wydarzeń miał miejsce między innymi w marcu 2012. PR Newswire otrzymało informacje od Secret Service, że prawdopodobnie padło ofiarą włamania. Firma wynajęła specjalistów, którzy zidentyfikowali i usunęli złośliwe oprogramowanie Turczynowa. Ten poinformował o problemie kolegów, którzy w ciągu kilku tygodni (między innymi dzięki talentowi Jeremienki) odzyskali dostęp do sieci. Secret Service był już jednak na tropie hakerów. Amerykanie, ustaliwszy tożsamość Turczynowa, postanowili zwrócić się o pomoc do służb ukraińskich. Te zaczęły go śledzić. Ustaliły, że ma piękny dom w najlepszej dzielnicy Kijowa, kolekcję złotych zegarków, broń, eleganckiego Bentleya oraz kilku przyjaciół (w tym Jeremienkę i Jermołowicza , którzy – podobnie jak on – dysponują ogromnymi dochodami, lecz nie widać źródeł pochodzenia tych pieniędzy).

W październiku 2012 ukraińskie służby w towarzystwie agentów Secret Service przeprowadziły przeszukania dziewięciu nieruchomości w Kijowie. Skonfiskowano między innymi laptopy Turczynowa i Jeremienki, odkrywając na nich setki komunikatów prasowych i zapisy rozmów jasno wskazujące na udział w przestępstwie. Sprawa wydawała się dobrze rokować. Ale tylko wydawała się. Amerykanie nie liczyli na ekstradycję podejrzanych, ponieważ Ukraina nie oddaje swoich obywateli innym krajom. Ku ich zaskoczeniu podejrzani nie usłyszeli jednak zarzutów na Ukrainie. Ukraińcy tłumaczyli się, że nie otrzymali takiej prośby ze Stanów. Według informacji zebranych przez dziennikarzy The Verge Turczynow, w zamian za taki obrót sprawy, przekazał w ręce policji swoją kolekcję zegarków wartą około pół miliona dolarów, dom oraz samochód. Otrzymał także prostą propozycję – pracy dla swoich nowych kolegów lub podróży do USA. Trudno się dziwić, że wybrał pierwszą opcję. I w ten sposób do Wiszniewskiego oraz dotychczasowego grona maklerów, korzystających z unikatowej wiedzy Turczynowa i jego kolegów, dołączył nowy zespół, powiązany z ukraińskimi służbami specjalnymi.

Nieformalna ekstradycja

Secret Service pierwszy sukces w ściganiu przestępców odniosło w 2014. Wtedy to Jermołowicz postanowił spędzić urlop w Meksyku, w Cancun. Gdy już zameldował się w swoim hotelu, odwiedzili go meksykańscy funkcjonariusze, którzy przekazali mu, że nie jest w tym kraju mile widziany. Byli tacy uprzejmi, że zawieźli go na lotnisko, zapewniając, że ukraiński konsulat zgodził się zapewnić mu podróż powrotną na Ukrainę. Jermołowicz został umieszczony na pokładzie zwykłego samolotu pasażerskiego, który miał go zabrać do domu – z jednym małym międzylądowaniem w Dallas. W Dallas kilku pasażerów siedzących nieopodal wstało i przedstawiło się Jermołowiczowi – byli to agenci Secret Service, którzy w ten sposób zorganizowali mu nieformalną ekstradycję z Meksyku. W tym samym czasie meksykańscy agenci przeszukali pokój hotelowy Jermołowicza, konfiskując jego laptopa.

Już w Stanach Jermołowicz usłyszał zaległe zarzuty wykradzenia baz danych kilkuset amerykańskich firm oraz zarzuty nowe, obejmujące kradzież komunikatów giełdowych. Groziło mu 20 lat w więzieniu – lub 2 do 3, gdyby zdecydował się na przyznanie do winy i współpracę. Mimo woli współpracy Jermołowicza rozbicie gangu maklerów okazało się być skomplikowane – Jermołowicz nie chciał lub nie potrafił podać nazwisk osób zaangażowanych w cały proceder, twierdząc, że kontaktował się tylko z jednym liderem przestępców. Ostatecznie Jermołowicz został w zeszłym roku skazany na 30 miesięcy pozbawienia wolności.

Marny los hakera

Koledzy Jermołowicza, Turczynow i Jeremienko, jak do tej pory nie trafili w ręce amerykańskich organów ścigania. Turczynow rzekomo w 2016 włamał się do systemów ukraińskiego fiskusa i na zlecenie innej grupy przestępczej modyfikował zapisy dotyczące należnych podatków. Gdy sprawa wyszła na jaw, uciekł do Rosji, gdzie pozostaje poza zasięgiem ukraińskiej policji.

Jeremienko z kolei został wykiwany przez policjantów i kolegę. Gdy Amerykanie opublikowali akt oskarżenia, w którym wskazali niektóre jego przestępstwa, ukraińskie służby rzekomo wykorzystały jego niewiedzę odnośnie kwestii związanych z ekstradycją. Policjanci wymusili na nim łapówkę, by od ekstradycji odstąpić (podczas gdy Ukraina nigdy nie wydaje swoich obywateli Amerykanom), a Turczynow, który pełnił w tym układzie rolę pośrednika, podwoił informacje o kwocie łapówki, przywłaszczając sobie drugą połowę. Jeremienko zapłacił, lecz gdy zorientował się, że został oszukany, obraził się na byłego już przyjaciela.

Jeremienko nie miał szczęścia. Po rozstaniu z kolegami związał się z bankiem inwestycyjnym Artiemija Radczenki, utworzonym prawdopodobnie specjalnie po to, by korzystać z wykradzionych informacji giełdowych. Bogaci inwestorzy przekazywali środki na inwestycje, a Radczenko pomnażał je dzięki talentom Jeremienki. Radczenko bardziej jednak niż na płaceniu pracownikom i wypłacaniu zysków inwestorom koncentrował się na kupowaniu za cudze i zarobione pieniądze nieruchomości za granicą. Jeremienko próbował odejść, jednak Radczenko go szantażował i nie chciał zrezygnować z jego usług. Dopiero interwencja oszukanych inwestorów i osobistych ochroniarzy Radczenki (którzy dołączyli do inwestorów, ponieważ Radczenko im też zalegał z wypłatami) zakończyła tę trudną sytuację – jednak spowodowała kolejne problemy Jeremienki. Został on rzekomo namówiony do wyjazdu do Rosji, gdzie ma spłacać długi Radczenki. Podobno pod koniec swojej ukraińskiej kariery próbował także włamać się do serwerów Amerykańskiej Komisji Papierów Wartościowych i Giełd, gdzie osiągnął początkowo pewne sukcesy, jednak nie dotarł do najważniejszego repozytorium sprawozdań finansowych.

Bogaty ma lepiej

Jak zatem widzicie, hakerzy odpowiedzialni za jeden z najpoważniejszych incydentów w historii amerykańskiej giełdy nie skończyli zbyt dobrze – w przeciwieństwie do maklerów, którzy zarobili krocie na ich wyczynach. Kilka osób otrzymało umiarkowane wyroki (tu odsyłamy do źródła tej historii, gdzie znajdziecie między innymi bardzo obszerny opis zaangażowania ukraińskiego kościoła Baptystów w nielegalny proceder), lecz większość skończyła, płacąc odszkodowania Amerykańskiej Komisji Papierów Wartościowych i Giełd. Firmy te wpłaciły łącznie 53 miliony dolarów odszkodowania, w zamian za to nie musiały określać, czy przyznają się do winy, czy nie. Bogaty i otoczony dobrymi prawnikami zawsze ma łatwiej.

Łączne zyski przestępców udokumentowane przez SEC sięgnęły 100 milionów dolarów, ale jest to prawdopodobnie bardzo mocno zaniżona kwota. Śledczy nigdy nie poznali pełnej skali działania złodziejskiego procederu.

Czasy się zmieniają

Za czasów Gordona Gekko uzyskanie poufnych informacji o danej firmie wymagało źródeł osobowych – pracowników lub współpracowników, którzy z sympatii, głupoty lub żądzy zysku dzielili się poufnymi informacjami. Dzisiaj, dzięki komputeryzacji procesów komunikacji, wystarczy dobry włamywacz.

Drugi ciekawy aspekt tej sprawy pokazuje, że firma może bardzo dobrze dbać o bezpieczeństwo swoich danych, lecz dane te często muszą trafić w ręce innych podmiotów, a zapewnienie tam porównywalnego poziomu bezpieczeństwa bywa trudne, jeśli nie niemożliwe.

Jeśli lubicie podobne historie, to obejrzyjcie prezentację Adama z zeszłorocznej konferencji BSides – nie będziecie zawiedzeni.

https://www.youtube.com/watch?v=hVLqJ6jvjps