Как международная хакерская сеть заработала $100 млн на краже пресс-релизов (часть 2)

Пассажиры первых четырёх рядов встали и объявили, что они агенты Секретной службы США

В ноябре 2014 года, почти через два года после визита агента Париселлы в Киев, третий хакер, 27-летний Ермолович, прибыл на роскошный курорт на солнечном берегу Канкуна (Мексика) отдохнуть от морозной украинской зимы. Сразу после полуночи, когда он отдыхал в ресторане отеля, к столику подошла группа мексиканских сотрудников правоохранительных органов, согласно осведомлённому источнику. Полицейские сказали, что ему не рады в Мексике и отвезут его в аэропорт. По их словам, украинское консульство согласилось отправить его обратно в Украину. Тем временем полиция обыскала комнату наверху, разбудила жену хакера и конфисковала его ноутбук. Когда Ермолович в темноте прибыл в аэропорт, его затолкали в хвост коммерческого пассажирского самолёта и сказали, что пересадка в Далласе, штат Техас.

Как сказал источник, когда самолёт приземлился в Далласе, пассажиры первых четырёх рядов встали и объявили, что они агенты Секретной службы США. Ермолович не перейдёт Украине. Мексиканцы передали его правоохранительным органам США. Процедура экстрадиции не проводилась.

Сначала Ермоловичу предъявили обвинение в продаже платёжных данных из более чем 300 украденных корпоративных баз. Обвинение было основано на информации, найденной на его ноутбуке в Киеве во время обыска в 2012 году. Затем правоохранительные органы нашли пресс-релизы на ноутбуке, конфискованном мексиканскими властями. После перевода в исправительное учреждение округа Гудзон в Нью-Джерси, власти представили Ермоловичу выбор: тюремное заключение на срок от двух до трёх лет или 20 лет, предложив подписать соглашение о признании вины.

Даже заполучив одного из хакеров, раскрыть всю сеть было сложно. Ермолович утверждал, что не знал никого из трейдеров и общался в интернете только с московским руководством. Более того, трейдеры получали доступ к пресс-релизам через временный офшорный сервер, сведя к минимуму следы.

Эксперты говорят, что доказательство такой инсайдерской торговли часто зависит от того, какие меры трейдер предпринял, чтобы избежать обнаружения. По словам Борга, директора Отдела кибербезопасности США, даже международное сотрудничество не поможет доказать инсайдерскую торговлю, если трейдер меняет аккаунты. Трейдеры могут скрывать следы, открывая счета в брокерских конторах анонимно через криптовалюты или подставные фирмы, которые потом закрываются.

Семья Дубовых была не так осторожна

С 2010 года Центр анализа и обнаружения (Analysis and Detection Center) SEC вёл совместное расследование признаков инсайдерской торговли совместно с Financial Industry Regulatory Authority (FINRA), регулятором с Уолл-Стрит. Их алгоритмы разработаны для детектирования колебаний цен на акции до крупных корпоративных объявлений, что указывает на инсайдерскую информацию у участников торгов, говорит Джанет Остин, профессор университета Нью-Брансуика и автор книги «Инсайдерская торговля и манипулирование рынком: расследование и преследование без границ». Центр оценки рисков и количественной аналитики (Center for Risk and Quantitative Analytics) SEC затем изучает объект, делающий подозрительные сделки — есть ли у него связь с компанией, например, родственник или прошлый работодатель. Если они не могут найти непосредственную связь, то хранят данные на случай, если объект снова попадёт в поле зрения. Но большой объём сделок на рынке затрудняет обнаружение.

FINRA помогла SEC в расследовании дела с пресс-релизами. Оба агентства отказались комментировать эту историю. По словам Остин, вероятно, зная об утечке пресс-релизов, регуляторы подняли логи подозрительных сделок и выявили причастных лиц.

Дубовые неоднократно пользовались одними и теми же брокерскими счетами, владея некоторыми из них напрямую или через ближайших родственников с общими фамилиями. Их причастность также легко подтвердить тем фактом, что они входили в одну церковную общину.

В 2014 году посредники обнаружили, что семья Дубовых торговала с гораздо большего количества счетов, чем заявляли. Согласно судебным показаниям, они начали угрожать Павлу. В январе 2015 года Аркадий поехал в Украину, где познакомился с Валерием, «главным парнем». Их посредник и контактное лицо Роман предложил разные варианты компенсации, чтобы семья восстановила доступ: например, $50 000 в день или $100 000 в неделю с депозитом $300 000 (суммы свидетельствуют, насколько ценными стали пресс-релизы на чёрном рынке).

Ничего не получилось. В итоге группа нашла иной способ доступа к пресс-релизам через мужа двоюродной сестры Аркадия, Валерия Пичненко, который связался с посредником по своим каналам. Пичненко сохранял пресс-релизы на неприметном почтовом аккаунте, куда заходил Игорь и перенаправлял письма Виталию.

Но как новостные ленты не всегда информируют клиентов о проблемах с безопасностью, так и посредники решили не сообщать трейдерам, что одного из хакеров арестовали.

В августе 2015 года, через девять месяцев после ареста Ермоловича, агенты ФБР вывели пастора Виталия Корчевского с седеющими зачёсанными волосами из его престижного загородного дома в Филадельфии. В тот же день в своих домах в Джорджии были арестованы Аркадий, Игорь, Гаркуша и Момоток.

Корчевского обвинили в получении $17,5 млн незаконной прибыли, Аркадия — в $11 млн, Игоря — $249 тыс. Момоток и Гаркуша заработали около $1,3 млн и $125 000, соответственно.

Новость потрясла американскую славянскую баптистскую общину и прихожан Корчевского, многие из которых отказывались верить в его виновность. Из-за преследования баптистов в Союзе многие из них с недоверием относятся к властям и СМИ, объяснила Елена Панич, исследователь постсоветских баптистов.

Сторонники Корчевского утверждали, что это заговор правительства США, направленный на преследование христианского лидера. Защита заявила, и американские прокуроры признали это в суде, что на компьютерах Корчевского не найдено ни пресс-релизов, ни каких-либо доказательств, что он контактировал с хакерами.

Согласно показаниям свидетелей, Корчевский был осторожен. Он часто ездил в Украину для трейдинга и пользовался компьютерами, за которые платил Аркадий. Он также старался удалять доказательства и оставил в Киеве всё возможное техническое оборудование. Криминалисты ФБР признались, что не смогли восстановить удалённые аттачменты, где, по их мнению, были пресс-релизы. В обвинительных заключениях прокуроры вместо этого ссылались на торговые шаблоны Корчевского, которые во многих случаях повторяли шаблоны других обвиняемых, а также представили электронные письма и чаты между Корчевским и другими членами группы Дубовых с обсуждением сделок.

Несколько лидеров славянских баптистов указали прихожанам не обсуждать публично этот вопрос и молиться. После ареста сторонники создали страницу Виталия Корчевского в Facebook для молитвы и иногда молились у здания суда во время слушаний.

«Прошу вас не спешить с выводами, — сказал пастор Константин Лиховодов в Портленде, выступая через неделю после ареста Корчевского. — Он богобоязненный человек. И меня даже удивляет, братья, что мы так быстро согласились с неверующими в ущерб тому, что мы знаем о нашем собственном брате… мне стыдно сказать, что есть члены этой церкви, которые позволили себе в интернете… сказать, что он волк в овечьей шкуре. У меня вопрос: какое право вы имеете судить других? За кого вы себя принимаете?»

Изначально отказавшиеся признать вину, Гаркуша, затем Момоток, Аркадий и Игорь дали признательные показания до суда. В настоящее время они ожидают приговора. Когда в 2016 году человек в группе «Молитва за Виталия Корчевского» в Facebook написал, что подельники признали себя виновными, админ ответил:

Откуда ты знаешь, что правительство не заплатило им за ложь в суде? Смотри, они легко отделаются и получат по несколько миллионов каждый. Думаю, что вы недооцениваете способность правительств создать подходящую ситуацию и способность получить то, что они хотят. Рекомендую хорошо подумать и задать вопрос, кто здесь настоящий преступник.

Церковь Корчевского сильно пострадала из-за этого случая. Когда правительство США заморозило её средства, конгрегация начала собирать деньги для оплаты его адвокатов. Корчевский якобы использовал часть своих торговых доходов для покупки девяти объектов в пригороде Филадельфии, торгового центра и 9-процентной доли в жилом комплексе Джорджии. По словам знакомых, минимум пять домов было приобретено на имя новых семей иммигрантов, которые ещё не обзавелись кредитными рейтингами: «Да, это правда, на самом деле все они… я ничего не покупал для себя», — написал Корчевский по электронной почте, когда его спросили о некоторых домах. Корчевский не ответил на дальнейшие вопросы о своей роли в схеме.

«Это действительно шокировало людей, потому что они не думали, что он способен на что-то плохое, ведь он сделал для них так много хорошего, — сказал баптистский лидер, который знает Корчевского в течение трех десятилетий. — У него разбито сердце: разрушено всё, что он построил».

«Если он не признает вину, я почти уверен, что это из-за церкви. У него образ человека, который не способен на такое. Пока люди думают, что он невиновен, он может оставаться звездой», — сказал баптистский лидер, считающий Корчевского виновным.

До арестов в 2015 году у следствия был только один украденный пресс-релиз — скриншот, сделанный Халупским в Viber. Он отправил документ на свой почтовый ящик Yahoo, к которому, вероятно, имели доступ спецслужбы. Скриншот пресс-релиза с электронными письмами и окнами для трейдинга был ключевым доказательством против группы Дубовых — единственных трейдеров, которым выдвинуто обвинение по уголовной статье. После ареста Игорь предоставил ФБР доступ к электронной почте с более чем 200 пресс-релизами, которые, по его словам, были отосланы Корчевскому.

Халупского, трейдера с Уолл-Стрит, который проживал в Бруклине и управлял одесской трейдерской фирмой, задержали в Одессе в феврале 2017 года. После помещения под домашний арест украинские власти удовлетворили запрос об экстрадиции, так как Халупский является гражданином США.

Дубовые признали вину

В ходе разбирательства Дубовые признали свою вину. Халупский, как Корчевский, не признал. Он утверждал, что Дубовые ввели его в заблуждение. Аркадий, Игорь и Гаркуша свидетельствовали против них на суде. В свою очередь, адвокаты Халупского подвергли сомнению достоверность их показаний, напомнив о прошлых делах семьи — схеме наркоторговли от Панамы до Европы и отмывании денег в Латвии.

6 июля присяжные признали Халупского и Корчевского виновными по всем пунктам. Судья дважды отчитал сторонников Корчевского за молитву у здания суда во время слушаний. Когда читался вердикт, семья расплакалась, сообщает Bloomberg. Сроки заключения для обоих ещё не определены.

После оглашения приговора Корчевский обратился к своей филадельфийской общине с благодарностью за поддержку. С улыбкой невинного человека он сказал, что намерен обжаловать приговор:

Господь ясно показал: нет ни единого доказательства, что я владел какой-либо информацией. Их просто не существует. Конечно, они говорили об уничтоженном компьютере, хотя в моём доме нашли 17-летний ПК. Но Бог знает, и перед его лицом мы можем смело сказать: ничего подобного не было. Ни один компьютер или мобильный телефон не был уничтожен.

SEC возбудила два гражданских дела в отношении трейдеров инвестиционных и трейдинговых компаний из Москвы и Киева, а также физических лиц из Санкт-Петербурга. Они заявили о своей невиновности на основании отсутствия доказательств того, что имели доступ к пресс-релизам или контактировали с хакерами. В отличие от дела Корчевского с десятками писем на американские серверы и одним утёкшим пресс-релизом, улики в этих гражданских делах целиком основаны на торговых моделях.

В десятках случаев трейдеры и юридические лица, упомянутые в гражданском деле, совершали одинаковые сделки в течение нескольких часов, иногда минут перед выходом пресс-релиза. Выбор акций соответствовал тому, к каким пресс-релизам был доступ у хакеров.

Один из ответчиков по гражданскому делу — Давид Амарян, чья компания Copperstone Capital в январе 2015 года получила награду как лучший российский хедж-фонд. Он утверждал, что один из его сотрудников разработал алгоритм для поиска и имитации сделок на раннем этапе. Логика якобы в том, что выгодные сделки выбирались с предположением о том, что у кого-то другого есть инсайдерская информация — и поэтому рынок приходит в движение. Амаряну пришлось пройти через неприятный допрос, в ходе которого прокуроры доказали суду, что Давид знаком с другими фигурантами дела, хотя ранее он отрицал это знакомство. После этого Амарян и три его компании согласились выплатить SEC компенсацию $10 млн. В рамках урегулирования бизнесмен не признал, но и не отрицал факт противоправных действий. Аналогичные расчёты провели с другими российскими и украинскими ответчиками, в том числе с одной из самых известных инвестиционных компаний Украины. В целом SEC вернёт $53 млн несправедливо полученных доходов от инвестиционных компаний, трейдеров и брокеров.

Хакер Ермолович, которого забрали с Канкуна — единственный обвиняемый, который пока получил срок по этому делу. В мае 2017 года его приговорили к 30 месяцам тюрьмы.

Крупнейший в истории компьютерный взлом и мошенничество с ценными бумагами

Впоследствии ФБР назовёт это дело крупнейшим в истории компьютерным взломом и мошенничеством с ценными бумагами. Общая сумма дохода хакеров и трейдеров, обнародованная SEC, превышает $100 млн. Но власти считают, что это лишь верхушка айсберга. Для некоторых обвиняемых, включая Павла, размер полученного дохода не установлен. Кроме того, во время досудебного разбирательства адвокат защиты сослался на запечатанный аффидевит с информацией, что ФБР идентифицировало более 100 участников инсайдерской торговли. До сих пор власти возбудили дела только против 42 субъектов, в том числе 20 отдельных трейдеров.

Младший брат Аркадия Павел, который показал семье Дубовых украденные пресс-релизы — единственный из обвиняемых, кто до сих пор на свободе. Ему не грозит американское правосудие благодаря украинскому законодательству, и, вероятно, не грозит украинское правосудие благодаря его связям.

У Павла появились хорошие связи, особенно когда его двоюродный брат Александр Дубовой вошёл в украинскую политику. Семья Дубовых связана со многими влиятельными персонажами: от кремлёвских евангелистов за здоровый образ жизни до самого титулованного певца России, которого Путин лично поздравил с 80-летием на вечере в Кремле. Одна из самых значимых связей — бывший дьякон церкви Дубовых в Киеве, Александр Турчинов (не имеет отношения к хакеру Ивану Турчинову). Александр Турчинов — бывший руководитель спецслужб и в своё время исполнял обязанности президента Украины, а сейчас курирует полицию, спецслужбы и армию. Это делает его одним из самых влиятельных политиков Украины.

Любовь к числу семь

Среди прихожан церкви Word of Life Александр Турчинов и Дубовые известны общей любовью к числу семь, говорит их бывший пастор Владимир Кунец. По его словам, они выбрали число семь, потому что в Библии оно означает завершённость — день, когда Бог отдыхал. У Павла и Александра Дубовых в номерах сотовых телефонов минимум по четыре семерки, а у Александра Турчинова и Александра Дубового — особые номерные знаки на автомобилях тоже с четырьмя семерками, рассказал Кунец. (Нет никаких доказательств, что Александр Турчинов связан с торговой схемой Павла, а представитель Турчинова отрицает знакомства своего начальника с Павлом, хотя признал, что тот близок с двоюродным братом Павла Александром Дубовым).

Павел и Александр Дубовые поссорились со своим пастором Кунцом, когда они вместе с Александром Турчиновым заплатили миллионы долларов на строительство новой церкви Word of Life по соседству со старой. Затем в июле 2017 года они отобрали её у обиженного Кунца. Он был их пастором более 10 лет.

Специалист по постсоветскому баптизму Елена Панич объясняет, что из-за скудных финансов прихожане научились принимать в общину политиков и богатых прихожан, оставляя на усмотрение Бога судить об их поступках.

«Но где они берут деньги, не всегда понятно»

«Понимаете, церкви тоже нужны богатые люди. Они жертвуют деньги. Они строят молитвенные дома. Но где они берут деньги, не всегда понятно», — говорит Панич.

Кунец сказал, что после появления информации об уголовном деле в США в августе 2015 года Павел убежал в Беларусь к родственникам, где скрывался около года, прежде чем вернуться под другим паспортом. В полиции Украины говорят, что Павел живёт в Украине по поддельному российскому паспорту. Судя по всему, он живёт совершенно открыто с момента возвращения. Незадолго до Рождества 2017 года Павла видели на воскресной службе, которую, по словам прихожан, он регулярно посещал в прошлом году. Он также выезжал за границу: в Facebook стоят отметки из Тегерана. В Иране его арест агентами ФБР почти невозможен, хотя они продолжают ожидать удобного момента для задержания.

Полиция Украины заявила, что допрашивала Павла, но американские коллеги не передали необходимую информацию для его ареста. Спецслужбы Украины говорят, что у них нет информации о Павле.

Дело об утечке пресс-релизов практически не обсуждалось в украинских СМИ и Украинской евангельской баптистской общине, зато Павел засветился в одном из крупнейших коррупционных скандалов 2017 года, который освещался в программе «Панорама» на BBC. Национальное бюро по борьбе с коррупцией Украины обвинило Павла в попытке подкупить одного из своих агентов, чтобы закрыть расследование в отношении одесской фабрики его двоюродного брата и пресловутого мэра Одессы, который, по утверждению BBC, входит в мафиозную группировку. Согласно утёкшим документам из Генпрокуратуры Украины, Павел предложил агенту $100 000, чтобы снять блокировку с банковского счёта его двоюродного брата, пообещав дополнительно $200 000 после снятия блокировки и ещё $200 000 за полное закрытие дела.

В феврале в него трижды стреляли

На этом драматизм в жизни Павла не заканчивается. По словам двоюродного брата Александра Дубового, в феврале в него стреляли трижды и ранили во время встречи в кафе, когда Павел пытался спасти неизвестную женщину от избиения группой мужчин. В телефонном интервью из больницы Павел сказал, что конфликт с пастором Кунцом вокруг совместно построенной церкви «исчерпан». Он отрицал свою причастность к делу об утечке пресс-релизов, но не ответил на дальнейшие подробные вопросы.

Отвечая на вопрос, Александр Дубовой объяснил, что семья не считала схему с пресс-релизами противоречащей их вере: «Насколько я читал и слышал от родственников, и я хорошо знаю его самого, они, и он, в частности, не видели в этом какого-то воровства». Павел был инструментом или связующим звеном и не знал, как будет использоваться информация, сказал Александр.

ФБР отказалось дать официальный комментарий по поводу дела и предполагаемой причастности украинских спецслужб.

Хакер Турчинов тоже избежал последствий. По словам начальника украинской киберполиции Демидюка, в 2016 году Турчинов взломал базу данных налоговой службы Украины по заказу другой украинской бизнес-группы, украв информацию и изменив налоговые сведения в интересах заказчика. Когда полиция в январе 2017 года начала расследование, Турчинов бежал через истерзанные войной восточные территории Украины в Россию — страну, недоступную для американских и украинских властей.

Для Еременко обвинительный приговор сигнализировал начало нового этапа в его хакерской карьере. По словам Демидюка, когда в августе 2015 года были оглашены американские обвинения, некоторые «не очень хорошие люди» в спецслужбах Украины вместе с хакером Турчиновым использовали незнание Еременко украинского закона об экстрадиции, чтобы его шантажировать. Еременко сказали, что если он заплатит, то будет в безопасности от экстрадиции, которая на самом деле юридически ему не грозила. Турчинов, выступая посредником, ещё больше позабавился, удвоив сумму шантажа. Еременко оплатил. Товарищи разошлись, когда Еременко обнаружил обман.

Хакерские навыки Еременко впоследствии использовал Артемий Радченко, стильно одетый амбициозный 23-летний мужчина с сомнительными связями. В октябре 2015 года, через два месяца после того, как Еременко выдвинули обвинение в США, они создали Benjamin Capital Group — зарегистрированный в Великобритании инвестиционный банк, который работал в Киеве. По словам начальника киберполиции Украины и источника со знанием дела, Benjamin Capital создали под видом юридически чистой трейдинговой и инвестиционной компании. Но Радченко привлёк инвесторов, готовых платить за проверенные хакерские способности Еременко, чтобы добыть инсайдерскую информацию. Они наняли работников, арендовали серверы и два этажа офисных помещений.

На корпоративных форумах сотрудники жаловались на руководство и задержки зарплаты. Зимой 2017 года Еременко понял, что Радченко потратил все деньги инвесторов, а также прибыль от их работы на покупку квартир за рубежом и роскошные автомобили, сказал Демидюк.

Радченко продолжал держать Еременко в компании под угрозой насилия. Прежде чем всё развалилось, Еременко был одержим идеей взлома системы публикации финансовой отчётности EDGAR и добился некоторого успеха, по словам Демидюка и источника, знакомого с делом. EDGAR используют все компании, торгующие на фондовых биржах США, для подачи финансовых отчётов, которые затем публикуются в интернете. Когда Еременко наконец решил уйти, Радченко был в ярости.

Радченко нанял головорезов

«Радченко нанял головорезов, чтобы избить или, я не знаю, даже убить Еременко. Это была вендетта. Потому что из того, что мы знаем о Радченко… он очень агрессивен», — сказал Демидюк.

Кроме того, что Радченко не платил своим сотрудникам, он совершил роковую ошибку, не заплатив телохранителям. Крупные клиенты постепенно уходили из Benjamin Capital, а их место заняли сомнительные личности, в том числе представители организованной преступности. Инвесторы вступили в сговор с телохранителями Радченко и «хорошенько» его избили, по данным Демидюка. Затем начали искать Еременко. Но вместо того, чтобы его наказать, некоторые инвесторы предложили хакеру переехать в Россию, работать на них и погасить долг Радченко.

Взломы SEC, в том числе системы публикации финансовой отчётности EDGAR, произошли с октября 2016 года по апрель 2017 года, сообщает Reuters со ссылкой на неназванный источник, хотя в заявлениях SEC, опубликованных в сентябре, упоминается только взлом 2016 года. SEC говорит, что расследование продолжается.