גלובס - עיתון העסקים של ישראלאתר נגיש

האקר / צילום: שאטרסטוק, א.ס.א.פ קריאייטיב

כדי לפרוץ לכספת הממשלתית שמכילה את הסודות הפיננסיים של החברות הגדולות ביותר בארה"ב, החליטו האקרים להתחזות לחברה.

אזרח אוקראיני בשם אלכסנדר אירימנקו ושותף שלו הצליחו במשך שישה חודשים לחדור למערכת הדיווחים של חברות לרשות ניירות ערך הפדרלית, ה-SEC, כשהם מחפשים מידע שיעזור להם במסחר, כולל תוצאות כספיות שלא פורסמו, לפי תביעה ממשלתית שפורסמה השבוע.

הם עבדו עם סוחרי ניירות ערך באוקראינה, רוסיה ולוס אנג'לס, כשהם משתמשים במחשב שרת של ה-SEC שמכונה "מכונת סינון כלפי חוץ". אחד הסוחרים השתמש בחשבון ברוקר שנפתח בשמה של אמו כדי לשגר הוראות מסחר, וסוחר אחר, מלוס אנג'לס, שיתף פעולה עם דודו כדי להרוויח מהמסחר.

כשהקבוצה הזו סחרה בצורה חוקית, היא הפסידה סך של 38,599 דולר, לפ התביעה של ה-SEC. אחרי הפריצה למסד הנתונים של ה-SEC, הרוויחו הסוחרים 4.1 מיליון דולר בעזרת הצצה מוקדמת ל-157 דוחות כספיים של חברות.

אירימנקו, בן 57, קיבל 45% מהרווחים, ומאוחר יותר התרברב ברשת ביכולתו לגנוב נתונים, בלי לספק פרטים, כמובן.

המבוכה הגדולה של רשות ני"ע

הפריצה הזו נחשפה על ידי ה-SEC בספטמבר 2017, וגרמה מבוכה לרשות הזו, שבעצמה מענישה חברות על פיתוח מערכות מחשוב שלהן. לגודל המבוכה התברר גם שאירימנקו ושותפיו הואשמו במעורבות בפריצה לנתוני חברות בעבר.

בין הטריקים ששימשו את ההאקרים: הם גילו חוליה חלשה במערכת אחסון הדיווחים של החברות הבורסאיות, שידועה כ"איסוף נתונים אלקטרוני, ניתוח ומשיכה", ובראשי תיבות Edgar. חולשה בתוכנה אפשרה לפצחנים לעקוף שער כניסה שמחייב משתמשים להקליד נתונים שלהם.

מעבר לשער הגישה הזה, הם יכלו למצוא "דיווחי מבחן" - מסמכים שמשמשים לבדיקה שלחברות יש גישה למערכת הממוחשבת. רוב הדוחות הללו ריקים, אך יש כמה חברות שמכניסות את נתוני הרווח שלהן לדיווחים הללו.

שיטות נוספות של השגת גישה כללו שיגור אימיילים נגועים לעובדי SEC על-ידי התחזות לעובדי ביטחון של הרשות, ושימוש בתוכנות שמורידות בצורה שיטתית מסמכים של ה-SEC לשרת בליטא, שהתשלום עבורו בוצע בביטקוין.

כדי לחדור למערכת Edgar, אירימנקו ושותפו, אוקראני בן 27 בשם ארטם רדצ'נקו, שלחו מיילים נגועים לעובדי הרשות, לפי גיליון האישום נגד שניהם, שהוגש בניו ג'רזי. עם פתיחתם הדביקו המיילים הללו מחשבים, ואפשרו לפצחנים להיכנס לעוד רשתות של ה-SEC ולגנוב מידע כדי לפתוח גישה לדיווחי המבחן.

באוגוסט 2016 הוריד שרת של אירימנקו דיווח מבחן מחברה שנסחרת בנאסד"ק, שמונה דקות אחרי שהדיווח הגיע למערכת Edgar, לפי התביעה. התברר שהחיובים וההכנסות שהחברה קיבלה ברבעון השני באותה שנה היו נמוכים מתחזיות המשקיעים. כל שהיה על שני הפצחנים לארגן זה הימור נגד המניה בלי סיכון לעצמם.

בשעה 15:19 החלה רשת הסוחרים של שני הפצחנים למכור את המניה בחסר (שורט), כדי להרוויח מהירידה הצפויה. המכירה הזו (של מניות שאולות) נמשכה עד 15:54. נקנו גם אופציות על ירידה של המניה.

ב-16:01 החברה פרסמה את ההודעה לעיתונות על תחזית ההכנסות המוחמצת. המניה ירדה באותו יום ב-12%, וקבוצת הפצחנים והסוחרים שלהם הרוויחה 307 אלף דולר.

כשה-SEC נפרצת מאשימים את ההאקרים

ה-SEC חשפה בסופו של דבר את פרצת התוכנה ב-Edgar באוקטובר 2016, וסגרה אותה. הידיעות על הפריצה למחשבי הרשות הזו נחשפו רק בספטמבר 2017, וגרמו למחוקקים ולפעילי שוק לתהות כיצד מאבטחת ה-SEC את הנתונים הרגישים שהיא מחזיקה. הרשות תבעה בעבר חברות בורסאיות ויועצי השקעות שהמערכות שלהם נפרצו על-ידי פצחנים בלי שהם דיווחו על כך למשקיעים וללקוחות שלהם.

"חברות בורסאיות יודעות שאם הן ייפרצו, ה-SEC תפתח בחקירה והתביעות המשפטיות נגדן ייערמו", אמר ג'וזף גרונדפסט, פרופסור למשפטים ועסקים באוניברסיטת סטנפורד, שכיהן בעבר בנציבות ה-SEC. "אבל כאשר ה-SEC נפרצת, שום דבר רע לא קורה למי שאחראי לכך ברשות, וכולם מאשימים רק את הפצחנים".

ג'יי קליינטון, יו"ר ה-SEC, מסר בהודעה כתובה שלו מיום שלישי שהרשות חשופה לאותם איומי סייבר כמו בנקיים, חברות בורסאיות ובורסות. "אנחנו מכירים בכך שאנחנו חייבים להפעיל את המשאבים שלנו באפקטיביות וללא הפוגה, כדי לשפר את הגנת הסייבר שלנו", הוא כתב.

שני סוחרים בלוס אנג'לס הוזכרו בתביעה של ה-SEC, והואשמו ששילמו לאירימנקו תמורת הגישה למידע שהוא העביר להם. סאנג'ין צ'ו, בן 38, ודייויד קוון, בן 44, הואשמו בכך שהרוויחו כמיליון דולר מהמסחר ב"טיפים" שנגנבו מה-SEC. צ'ו מסר שקוון הוא דוד שלו.

צ'ו סחר גם באמצעות חשבון שהוא פתח בשם אמו, והרוויח 21 אלף דולר ממסחר באופציות, לפי התביעה. האם עצמה מתגוררת בדרום קוריאה, והיא לא הואשמה בעבירה כלשהי.

צ'ו הקים את חברת המסחר היומי במניות ונגזרים Cygs, ששילמה ל-SEC ב-2017 קנס קטן על תפעול חברת ברוקרים לא רשומה. הרשות מסרה שלחברה הזו היה סניף באוקראינה, וצ'ו הכיר את אירימנקו דרך סוחר אוקראיני ששמו לא צוין, שמקורב לרבים מהסוחרים שקשורים לשני הפצחנים מאוקראינה.

בשיא פעילותה, Cygs וסוחרי היום שהיו קשורים אליה היו אחראים למסחר בכ-200 אלף מניות בחודש, ולמסחר בהיקף שנתי של 1.9 מיליארד דולר, לפי נוסח ההסדר מ-2017. צ'ו הוגדר כמנהל טכנולוגי בחברת מטבעות מוצפנים, היבריד בלוק, שמייסדיה כללו את האלוף האולימפי בהחלקת קרח מהירה לשעבר, אפולו אוהנו.

לפי התביעה הנוכחית של ה-SEC, כמה סוחרים ברוסיה נהנו מהמידע שנגנב ממחשבי Edgar. אחד מהם, אנדרה סרפנוב, השתתף בפריצה למערכות דיווחים אלקטרוניים לפני כמה שנים. בשנים 2010 עד 2015, פצחנים שכללו את אירימנקו פרצו למערכות כמו Marketwired (שירות ידיעות על דוחות כספיים של חברות) וביזנסווייר (שירות מתחרה) מקבוצת ברקשייר האתאוויי. המידע שנגנב נמכר לרשת סוחרים למטרת רווח נטול סיכונים מהמניות הנוגעות בדבר.