Foto: Andrew Harnik (AP)
De AMERIKAANSE autoriteiten hebben een toeslag van “een vermoeden van oekraïense computer-hacker en een aantal handelaren” met een poging om contant geld in op “markt-het verplaatsen van inkomsten van het bedrijf nieuws” gestolen uit Securities and Exchange Commission systemen, Reuters meldde dinsdag.
Er zijn 10 verdachten in rekening gebracht, van wie twee worden geconfronteerd met strafrechtelijke vervolging, Reuters schreef. Het incident betrekking heeft op een 2016 schending van de SEC Electronic Data Gathering, Analysis, and Retrieval (EDGAR) database, de corporate dossiers systeem. Reuters schreef:
Autoriteiten zeggen dat de regeling resulteerde in een $4.14 miljoen illegale handel in winst-en bedrogen beleggers.
… Autoriteiten gezegd Oleksandr Ieremenko, 26, en Artem Radchenko, 27, zowel van Kiev, gebruikt een litouwse server te hacken Edgar en het verkrijgen van duizenden “test-deponeringen,” met inbegrip van 157 winst aankondigingen, en deelden hun bevindingen met handelaren.
Het Ministerie van Justitie zei samenzweerders verzonden valse e-mails de SEC-medewerkers die verschenen zijn van andere medewerkers, waardoor Ieremenko en Radchenko te stelen dossiers door middel van phishing aanvallen en door het installeren van malware op de SEC-computers.
De oekraïense mannen in de zaak, Ieremenko en Radchenko, worden geconfronteerd met 16 aanklachten, waaronder computer fraude, draad fraude en samenzwering. De SEC is ook het indienen met betrekking civiele aanklachten tegen “zes personen en twee bedrijven in de Verenigde Staten, Rusland en Oekraïne,” beweren dat ze gedeeld in de voordelen van de regeling en in sommige gevallen gedeelde hun buit met Ieremenko, Reuters toegevoegd.
Als de Washington Post merkte op, beursgenoteerde bedrijven maken gebruik van EDGAR om publieke rapportering—vaak uren voordat het potentieel van de markt-het verschuiven van daarin vervatte informatie is gemaakt officieel openbaar. Dat lijkt te hebben gemaakt is het een aantrekkelijk doelwit. Volgens de Wall Street Journal, officieren van justitie zeggen een belangrijke fout in EDGAR toegestaan de hackers te omzeilen van een login-scherm en direct toegang tot “test-deponeringen,” “documenten dienen te controleren dat bedrijven die toegang hebben tot het systeem.” De meeste van deze zijn leeg, maar sommige bedrijven ingediende rapporten met actuele, waardevolle gegevens naar de test opbergsysteem, het Tijdschrift schreef. In andere gevallen worden ze naar verluidt gebruikt phishing technieken, zoals die zich voordeed als SEC security personeel te infecteren SEC systemen en het verder onderzoeken van de netwerk.
In het gerechtelijke dossier, de Post schreef, officieren van justitie omschreef een manier dat de verdachten naar verluidt profiteerden van hun schending van het systeem:
In één geval, een naamloze vennootschap, een document ingediend bij de SEC, 3:32 uur die opgenomen uitgebrachte driemaandelijkse financiële resultaten volgens de aanklacht in. Over zes minuten later, het bericht werd gestolen van Edgar. Tussen 3:42 uur, en 3:59 uur die dag, de hackers over gekocht 121,000 aandelen van de onderneming, ter waarde van ongeveer $2,4 miljoen. De onderneming heeft de financiële balans op het openbaar op 4:02 uur aankondiging “record winst.” De hackers verkocht van de voorraad de volgende dag na het potten van meer dan $270,000 in de winst, volgens de klacht.
In een ander incident gemarkeerd door het Tijdschrift, de openbare aanklager zei Ieremenko de groep behaalde een test indienen van een Nasdaq-genoteerde bedrijf slechts acht minuten nadat deze is geüpload, dan gesaldeerd $307,000 door in te zetten tegen haar aandelen na het gesloten 12 procent naar beneden voor de dag.
Volgens het Tijdschrift, officieren van justitie zijn ook de voorbereiding tegen Ieremenko en medeplichtigen voor vermeende betrokkenheid in een 2010-2015 regeling te stelen van corporate press releases. Ieremenko verschijnt prominent in SEC gerechtelijke documenten vanaf 2015 wordt als een van de vermeende hackers centraal die regeling, wat betekent dat de vermeende EDGAR inbraak gebeurde nadat hij had reeds aangetrokken door het agentschap van het ire.
De SEC geconfronteerd met de harde kritiek voor de eerste constatering van de tekortkoming in 2016, maar alleen in het openbaar in 2017, toen ze zich realiseerden gestolen gegevens zijn gebruikt in de handel. Als de Post opgemerkt, er is “lange tijd onenigheid binnen de SEC en door juristen” over de vraag of het heeft de wettelijke bevoegdheid om nastreven gevallen als dit, als de hackers waren niet verbonden aan alle betrokken bedrijven. Ze zou kunnen zeggen dat de misdaad was geen handel met voorkennis, en valt dus buiten de SEC bevoegd is.
“Beursgenoteerde bedrijven weten dat, als ze werden gehackt, rechtszaken zou vliegen en de SEC zou kunnen worden onderzocht,” Stanford University professor en voormalig SEC-commissaris Joseph Grundfest vertelde het Tijdschrift. “Maar wanneer de SEC is gehackt, niets ergs gebeurt om iedereen in de commissie, en alle vingers wijzen naar de hackers.”
John Reed Stark, een voormalige SEC handhaving agent die leert cybersecurity wet aan de Duke University, vertelde de Post de SEC “moet hebben gevoeld in een buitengewone hoeveelheid druk te brengen in dit geval” en “ik denk dat ze zijn spot-on.”
[Reuters]
Deel Dit Verhaal