駭進SEC資料庫從事內線交易的烏克蘭駭客遭美國起訴

美國證券交易委員會(SEC)與司法部(DOJ)周二(1/15)指控及起訴了參與EDGAR駭客事件並不當獲利的10名嫌犯,這批嫌犯透過存取EDGAR系統的非公開資訊以從事內線交易,估計至少獲利410萬美元。

EDGAR為SEC旗下的電子數據收集、分析及檢索系統(Electronic Data Gathering, Analysis, and Retrieval),可接收、儲存與傳遞上市公司資訊的資料庫,它每年可收到逾170萬份的電子文件,外界每日存取的頁面數量超過5000萬。

SEC指控了9名嫌犯,其中之一的烏克蘭駭客Oleksandr Ieremenko過去曾駭進通訊社,隨後將目標轉為EDGAR,目的都是要竊取上市公司未公開的財報資訊,再將它們交給同夥,藉由財報公布的時間差透過股市獲利。SEC估計Ieremenko在2016年5月至10月間趁著至少157次的財報發表而獲利超過410萬美元。

其它遭SEC指控的8名嫌犯分別來自烏克蘭、俄羅斯及美國,以及兩家由他們所經營的公司,宣稱他們違反了聯邦證券反詐欺法,要求退還不法所得並支付罰款。

至於美國司法部則起訴了Ieremenko與另一名烏克蘭駭客Artem Radchenko,指控他們兩人涉嫌駭進EDGAR。

根據DOJ的調查,26歲的Ieremenko與27歲的Radchenko發動了一連串的目標式攻擊,包含目錄穿越攻擊、網釣攻擊與惡意程式攻擊,在成功滲透EDGAR網路之後,即將檔案複製到自己所掌控的伺服器上,在2016年5月至10月間複製了數千檔案。

DOJ還公布了這群犯罪集團賺取不法所得的手法,指出有一A上市公司在2016年5月19日的下午3:32上傳了一份測試財報到EDGAR伺服器上,6分鐘之後駭客就把它轉拷到位於立陶宛的伺服器上,同夥很快地在3:42到3:59之間購買了價值240萬美元的A公司股票,A公司則是在4:02分對外公布財報,還說2016年將創下該公司的營收紀錄,隔天他們即將A公司股票出手,賺了27萬美元。

在美國從事電信詐騙及實質電信詐騙將可被判罰20年的牢獄之災及25萬美元的罰款,證券詐騙或電腦詐騙最高則會面臨5年刑期與25萬美元的罰款。

原文來自 iThome Online