Группа Корчевского крала у информагентств еще не опубликованные пресс-релизы, на инсайде заработала $30 млн

Власти США во вторник предъявили обвинения в мошенничестве группе биржевых трейдеров и компьютерных хакеров. Обвиняемые, как утверждается, проникали в компьютерные системы новостных агентств, публикующих сведения о сделках слияния и поглощения, добывали конфиденциальную информацию о еще не объявленных сделках, а затем использовали эту информацию на торгах, незаконно наживая десятки миллионов долларов.

Источники, близкие к прокуратуре США, утверждают, что среди обвиняемых есть выходцы из республик бывшего СССР. Один из них — Виталий Корчевский, россиянин, с 1990-х живущий в США. В 1995 г. он получил степень MBA в частном христианском Университете Риджент, был также сертифицирован как финансовый аналитик. По данным Morningstar, в конце 1990-х Корчевский работал в Morgan Stanley, занимаясь управлением активами. Затем работал в компаниях Victus Capital и Investment Counselors, а в 2009 г. основал собственный инвестиционный фонд NTS Capital в Глен-Миллз, пригороде Филадельфии.

Как выяснили американские правоохранители, хакеры, предположительно действовавшие из России и Украины, проникали в компьютерные сети деловых новостных агентств PRNewswire Association, Marketwired и Business Wire (подразделение холдинга Berkshire Hathaway Уоррена Баффетта). За все время действия преступного сообщества они выкрали более 150 000 пресс-релизов о готовящихся сделках. Эти сведения передавались Корчевскому и некоторым другим брокерам в США, и те, используя небольшое временное окно перед официальным объявлением о той или иной сделке, продавали или покупали акции компаний, включая Panera Bread, Boeing, Oracle, Hewlett-Packard и Caterpillar. Сделки проходили через частные учетные записи брокеров, а вырученные деньги переправлялись в офшорные компании через эстонские банки.

Во вторник Корчевский был взят под стражу в собственном доме в Глен-Миллз. Федеральная прокуратура Бруклина инкриминирует ему мошенничество и отмывание денег. Фонд NTS Capital практически никак себя не проявлял за четыре года со времени последней подачи официальных документов регуляторам, и пока не ясно, функционирует ли он.

[РИА "Новости", 11.08.2015, "В США обвинили 32 человек за попытку использования украденных данных": Власти США во вторник предъявили обвинения 32 людям, в том числе двум украинцам, в попытке получить прибыль с помощью украденной корпоративной информации, сообщила Комиссия по ценным бумагам США, передает РИА Новости. [...]

Согласно информации комиссии, речь, в частности, идет об «Иване Турчинове и Александре Еременко, которые в течение пяти лет, используя новейшие технологии, взламывали сайты двух и более новостных служб и похищали сотни объявлений о доходах корпораций до того, как они публиковались официально». Кроме того, как указывается, они «создали секретный сайт для передачи похищенных сведений трейдерам в России, Украине, Мальте, Кипре, Франции, а также американских штатах Нью-Йорк, Джорджия и Пенсильвания». — Врезка К.ру]

[ИА "РБК", 11.08.2015, "Выходца из России назвали организатором мошенничества на NYSE": Всего по делу о мошенничестве проходят девять хакеров и трейдеров. Части подозреваемых обвинения были предъявлены во вторник в федеральном суде Нью-Джерси, остальным, включая Корчевского, их предъявят позднее в Бруклине. В обвинительном заключении, оглашенном в Нью-Джерси, в качестве фигурантов дела указаны Иван Турчинов, Александр Еременко, а также Аркадий, Игорь и Павел Дубовые. — Врезка К.ру]

["Русская служба BBC", 11.08.2015, "Русских хакеров" в США судят за кражу пресс-релизов": Следователи приводят такой яркий пример. 1 мая 2013 года хакеры и связанные с ними трейдеры в течение 36 минут, прошедших с поступления в пиар-компанию пресс-релиза о сокращении заработка одной корпорации и до предания его гласности, успели сыграть ее акциями на понижение и заработали 511 тыс. долларов.

Комиссия по ценным бумагам обвиняет всех 32 ответчиков в мошенничестве и просит суд взыскать с них штрафы и полную сумму нечестно нажитой прибыли.

В 57-страничном обвинительном документе, обнародованном в Нью-Джерси, приводится другой пример выгодного использования похищенного пресс-релиза. [...] В начале 2012 года корпорация Caterpillar прислала в пиар-компанию PRNewswire пресс-релиз, из которого явствовало, что в предыдущем году ее прибыли выросли на 36%. Эта информация, которая хранилась на сервере пиар-компании менее суток и потом была опубликована, была похищена хакерами и переправлена трейдерам. Они молниеносно приобрели акции и опционы Caterpillar на 8,3 млн долларов. После оглашения пресс-релиза акции корпорации подскочили в цене на 2%. Мошенники заработали на этой операции около миллиона. — Врезка К.ру]

Расследование стало одним из самых масштабных в этой области. Власти США неоднократно подчеркивали опасность интеграции хакеров и нечистоплотных финансистов. Хакеры уже давно охотятся за информацией, ценной для инвесторов и позволяющей злоумышленнику получить незаконное преимущество на торгах. Однако правительственные чиновники и эксперты по информационной безопасности признают, что до сих пор случаи таких «подозрительных биржевых сделок» были редки. В частности, прошлой зимой фирма FireEye предупредила ФБР об активности хакеров, предположительно связанной с биржевыми торгами. До этого в 2006 г. американская Комиссия по ценным бумагам и биржам обвинила эстонскую компанию в участии в незаконной схеме с использованием украденной информации на торгах накануне объявлений о сделках. Обычно в таких случаях дело не доходит до уголовного преследования, обвиняемые отделываются крупными штрафами.

В таких условиях финансовые организации наращивают расходы на информационную защиту. По расчетам PricewaterhouseCoopers, в ближайшие два года их бюджеты будут увеличены на $2 млрд. 

***
Группа FIN4 "выуживала" инсайд у менеджеров более 100 публичных компаний по электронной почте

Эксперты по вопросам компьютерной безопасности из компании FireEye сообщили об обнаружении группы хакеров, специализирующихся на кибершпионаже. Группа, названная исследователями FIN4, занимается взломом почтовых ящиков руководства компании и использует полученные данные для игры на бирже, сообщает компания в отчете.

По данным FireEye. Жертвами FIN4 стали более 100 компаний, в основном связанных со сферой здравоохранения и биотехнологий, акции которых торгуются на NYSE и NASDAQ. Большинство компаний являются американскими. Вычислив жертву в руководящем составе компании, FIN4 высылают ей письмо с прикрепленным в ней документом Office. Каждое письмо составляется таким образом, чтобы жертва приняла его за подлинное — тексты письма написаны на грамотном английском языке человеком, знакомым с терминологией инвестиционных рынков и осведомленным во внутренних делах компаний. Вложенный документ содержит VBA-макросы, которые имитируют всплывающее окно, похожее на всплывающее окно Windows, требующее от пользователя подтверждения аутентификации (и повторного введения логина и пароля). Таким образом эти данные попадают на контролируемый злоумышленниками сервер.В ряде случаев FIN4 представляют клиентом компании, обеспокоенном возможным разглашением корпоративных данных на форуме. В письмо приложена ссылка, которая перенаправляет пользователя на поддельную страницу с логином Outlook Web Access, откуда данные также попадают к злоумышленникам.

После этого, FIN4 заходили в аккаунт жертвы и настраивали его так, чтобы письма со словами «хакеры», «фишинг», «взломан» и «вредоносный» автоматически удалялись. Они также вели с этих аккаунтов переписку, рассылая партнерам компаний зараженные письма и узнавая от них финансовую информацию о текущих сделках и другие чувствительные данные. FIN4 активно использует Tor, в частности, для того, чтобы анонимно подключаться через него к почтовым ящикам жертв.

Наиболее привлекательной для FIN4 является информация о слияниях и поглощениях, обнаружили в FireEye. Так, один раз жертвами хакеров стали сразу пять участников одной и той же сделки. Компания сконцентрировалась на медицинских технологиях и здравоохранении, так как именно на этом рынке цены на акции часто резко изменяются в связи с появлением информации о результатах клинических испытаний, судебных слушаний, страховых выплатах и так далее.

Какой именно ущерб был нанесен компаниям, в FireEye сказать затрудняются. Однако в компании отмечают, что коллектив FIN4 является одним из наиболее крупных и хорошо организованных. При этом простота используемых ими методов означает, что FIN4 тяжело обнаружить. В FireEye рекомендуют отключить показ VBA-макросов в настройках Microsoft Office, установить двухфакторную систему аутентификации и проверить сеть на подключения через OWA с известных выходных узлов Tor.

Оригинал этого материала