发布时间:2025.06.06
源地址:https://www.bloomberg.com/news/features/2025-06-06/how-hack-of-sec-s-edgar-system-exposed-flaws-in-us-financial-security
当一伙臭名昭著的乌克兰网络犯罪团伙攻击了一个关键数据库时,监管机构迅速淡化了这次泄露事件。一名黑客表示,该系统仍然是一个软目标。
第一章:救赎
对于美国证券交易委员会来说,2019年1月15日是一个救赎之日。该机构提交了近年来最引人注目的执法案件之一,汇聚了来自五个部门的二十多名员工的努力。
这起案件在一份 43 页的诉状中叙述,情节如同机场惊悚片:乌克兰网络犯罪分子侵入了一个庞大的计算机网络,窃取了即将发布的美国一些最大公司的财报信息,然后将这些信息出售给一个神秘的交易者网络。作为调查机构之一,SEC 同时也是受害者。黑客找到了进入该机构 Edgar 数据库的方法,这可能是全球最大的企业文件存储库。这些网络犯罪分子因之前的违法行为已被 SEC 通缉。他们就像逃犯在警察局外出搜捕时,闯入了警察的证据室行窃。
该泄露事件由该机构在 16 个月前披露, 对 SEC 来说是一场噩梦 。毕竟,SEC 是惩罚公司网络安全失误的机构。《华尔街日报》上一篇评论文章标题为“SEC 的网络尴尬”。参议员们质询当时的 SEC 主席杰伊·克莱顿,询问事件经过以及 SEC 是否值得信赖来管理敏感的金融数据。
2017 年,SEC 主席克莱顿在参议院银行委员会作证。 摄影师:Pablo Martinez Monsivais/AP 照片
美国证券交易委员会(SEC)随民事诉状发布的一份新闻稿带来了一些安慰。此次黑客攻击的获利金额为几百万美元。导致此次事件发生的漏洞已被迅速修补。尽管交易员采取了“多重措施来掩盖他们的欺诈行为”,但 SEC 的“复杂分析”成功揭开了案件真相。该机构执法负责人表示:“今天的行动展示了 SEC 的决心和能力,即使犯罪分子在境外操作,我们也能揭露这些骗局并识别肇事者。”
美国证券交易委员会和司法部均对黑客进行了缺席起诉,指控其证券欺诈和电信欺诈。美国证券交易委员会还指控包括两名美国人在内的七名交易员参与该阴谋,称针对他们的证据“确凿无疑”。
这是美国证券交易委员会(SEC)官方的事件版本。但当有人建议我再仔细调查时,我开始着手弄清楚到底发生了什么,以及这种情况是否可能再次发生。我采访了司法部、特勤局、SEC 和乌克兰网络警察的人员;与被禁言令限制的被告交谈;并审查了突袭中查获的证据。
我发现的情况挑战了 SEC 案件的根基,并预示着未来的危险。在 SEC 系统被轻易攻破后,SEC 将调查资源投入到那些几乎不是犯罪策划者的低级替罪羊身上,甚至他们是否是金融犯罪分子都成疑。与此同时,最有罪责且最危险的参与者仍然逍遥法外。被黑客入侵的系统依然存在。而特朗普政府正在削减网络安全预算 ,实际上削弱了政府机构自我防御的能力。
故事的核心人物在官方叙述中几乎被抹去了踪迹。
第二章:黑客入侵
在乌克兰切尔卡瑟市郊一栋破旧的公寓楼里,被称为“攻壳机动队”的精英黑客奥尔加·库普里纳坐在三台笔记本电脑前。那是2016年12月22日,顿涅茨河畔一个晴朗而寒冷的夜晚,但34岁的库普里纳已经数周未曾出门。她被一个名叫阿尔捷姆·拉德琴科的黑帮分子囚禁着,拉德琴科在吸食可卡因的间隙对她吼叫着让她继续工作,她后来告诉当局和我。在另一间房里,另一名黑客疯狂地敲击着键盘。持枪的打手站岗守卫。
拉德琴科当时 26 岁,白天喜欢穿设计师运动服,晚上则穿鳄鱼皮鞋。两个月前,他招募了库普里纳,入侵美国证券交易委员会(SEC)以获取未公开的文件。他预计每份文件能卖到 20 万美元或更高,并承诺给她一半的收益。当库普里纳要求分成时,她说他打断了她的鼻子,并拒绝放她离开。(拉德琴科拒绝回答《彭博商业周刊》的提问。)
现在,圣诞节前三天,库普里娜彻夜工作,收集文件并将它们转移到一个优盘上。凌晨5点,拉德琴科带着这些文件离开,赶上新一天的交易。她告诉我,拉德琴科离开后,她偷偷地将文件复制到自己的一个文件夹里。然后她倒在地板上的床垫上,想着如何回到她7岁的女儿身边。
美国证券交易委员会的电子数据收集、分析和检索系统——Edgar,既是信息技术的奇迹,也是一个喘息不止的弗兰肯斯坦怪物。Edgar 于 1993 年创建,作为公司在线提交文件和投资者搜索文件的方式,每天处理 3000 份新文件和数百万次下载,使用拼凑起来的代码、过时的软件和一排安装在弗吉尼亚州地下室的尘封服务器。
Edgar 的临时拼凑结构成了黑客的梦想,他们寻找可以利用的漏洞
到 2016 年,大家一致认为该系统需要被替换,内部将这一计划称为“大爆炸”。“挑战在于,当我们驾驶一架无法停飞的巨型客机穿越天空时,如何在不扰乱市场的情况下进行如此巨大的变革,”负责计划现代化的美国证券交易委员会官员 Rick Heroux 回忆道。“总是有理由推迟。”
与此同时,每当需要软件补丁或新功能时,都会被临时拼接到现有系统上。Edgar 那种临时拼凑的结构成了黑客的梦想,他们寻找可以利用的漏洞。果不其然,2016 年 10 月,SEC 的 IT 部门注意到来自东欧的 IP 地址出现在本应禁止访问的系统部分。团队迅速发现了一个软件漏洞并进行了修补。接下来要考虑的问题是是否公开披露。SEC 自己的规定要求公司必须宣布任何“重大”的网络安全事件,但 IT 管理人员没有发现任何非公开信息被访问的证据。因此,该机构没有公开此事。
插图:Maxime Mouysset,彭博商业周刊
第三章:揭露
在美国证券交易委员会(SEC)位于华盛顿的总部大楼内,一座巨大的玻璃结构象征着该机构的透明度理念,监控专家们正在监测市场,寻找内幕交易的迹象。市场滥用部门的成员注意到,俄罗斯、乌克兰和美国的经纪账户在公司发布财报的前几个小时和几天内进行了预见性的押注。2017 年初,该部门负责人联系了新泽西州美国检察官办公室的一名网络检察官,并告诉他: 这又发生了。
在 2010 年至 2014 年间,讲俄语的网络犯罪分子渗透了三家美国新闻通讯社——Business Wire、PR Newswire 和 Marketwired,窃取了数千份未公开的财报和新闻稿,并将其传播给交易员,收取利润的 40%作为报酬。这是迄今为止最严重的“黑客交易”新型犯罪企业的典型案例。该犯罪团伙在被美国司法部、证券交易委员会和美国特勤局破获前,赚取了超过 1 亿美元的非法收益。一些在美国境内的成员,包括一名浸信会牧师,被逮捕。但由于美国与乌克兰之间没有引渡条约,主犯黑客——一名体型较大、面容稚嫩的 25 岁男子 Oleksandr Ieremenko,绰号 Lamarez(讽刺地取自“lame”一词)依然逍遥法外,驾驶着一辆橙色的兰博基尼 Huracán 在基辅游荡。而现在,根据调查人员的观察,他似乎又重新开始行动了。
特勤局联系了新闻通讯社,但他们坚称自己没有再次被黑。那么,执法部门不禁怀疑,他们到底是从哪里获得这些信息的呢?
库普里娜于2017年4月获释,原因是拉德琴科随行人员劝说他放她走。离开前,库普里娜将一本封面印有自由女神像的红蓝相间笔记本和几只优盘藏进包里。拉德琴科的一名保镖开车,库普里娜在回基辅的三个小时里,穿过被雪覆盖的树林,害怕自己会被带走并枪杀。结果,她在黎明时分被丢弃在城市郊区。回到公寓后,她拥抱了母亲,悄悄躺到女儿身边,然后昏睡过去。
在接下来的几天里,库普里纳的恐惧转变为愤怒。她在 Skype 上给里奇·拉图利普发了一条消息,拉图利普是一名特勤局的网络犯罪专家,跟踪她已经很久了,几乎成了朋友。她告诉拉图利普,有人一直在入侵美国证券交易委员会(SEC),而她有证据。
库普里纳不仅入侵了美国证券交易委员会(SEC),还入侵了花旗集团、纳斯达克、道琼斯和美国国家航空航天局(NASA)。 摄影师:Matt Eich,彭博商业周刊
美国证券交易委员会(SEC)在数据分析工具上投入巨大,以检测异常成功的交易。该努力的核心是一套名为 Artemis 的系统,取名自希腊狩猎女神,该系统解析交易记录和账户持有者数据,以寻找可疑活动的迹象。
在调查人员寻找潜在的内幕信息接收者时,他们锁定了 Sungjin Cho 和 David Kwon,这对喜欢派对的日内交易者住在洛杉矶韩国城相距几英里的地方。2016 年四个月内,36 岁的 Cho(他还拥有曼谷的一套公寓)在财报发布前进行了超过一百次交易,赚取了 120 万美元。Kwon 则赚取了超过 40 万美元。他们的买卖行为与一名名叫 Ivan Olefir 的乌克兰人高度一致,Olefir 与两位朋友一起赚取了超过 80 万美元。
调查人员发现,Cho 和 Olefir 在 2012 年至 2014 年间也曾有一段好运气,交易了许多在新闻电讯黑客事件中被 Ieremenko 窃取文件的公司股票。
Cho 共同拥有 CY 集团,这是一家位于洛杉矶的小型交易公司,为全球独立交易者提供资金和廉价的美国交易所接入服务,其中包括 Olefir 和基辅的其他几位交易者。该公司已因无牌经纪行为正接受美国证券交易委员会另一个部门的调查。
2017 年 5 月,在基辅的凯悦酒店,库普里娜与 LaTulip、其他几名特勤局特工以及乌克兰网络警察的一名成员会面。她用蹩脚的英语讲述了 Edgar 系统被黑的故事。
在耶列缅科的新闻通讯网络被攻破后,他与拉德琴科联手,后者是他在基辅夜生活中认识的一位富农之子。拉德琴科雄心勃勃,但技术能力有限。“他就是个脚本小子,”库普里娜嗤之以鼻道。
据库普里纳称,两人策划了一个计划,由耶列缅科入侵母库——美国证券交易委员会(SEC)本身,而拉德琴科则通过他在俄罗斯和乌克兰政治及有组织犯罪中的关系将其变现。他们在基辅租了一间办公室,并在英国注册了一家名为 Benjamin Capital 的公司,以吸引外部投资者,该名称听起来颇具合法性。
“那里有太多漏洞,你根本无法想象”
Ieremenko 发现了 Edgar 系统中的一个区域,公司可以上传测试文件以检查发布前的格式错误。有些公司使用了虚假数据,但很多没有。不久,Ieremenko 每周下载数百份测试文件。Radchenko 将这些文件出售,挥霍在瓶装服务和一辆宾利上。到 2016 年 10 月 SEC 修补该漏洞时,两人已经反目成仇。
那时,Radchenko 招募了 Kuprina。她告诉调查人员,不到两周时间,她就攻入了 Edgar 系统。她劫持了授权用户对网络的临时访问权限。她发起了网络钓鱼攻击,向管理员发送带有感染链接的电子邮件,这些邮件看起来像是来自他们的 SEC 同事。她发现了投诉网页中的一个漏洞。她找到了一个记录未公开文件标题的日志。“那里有太多漏洞,你根本无法想象,”她告诉我。在 2016 年 10 月至 2017 年 3 月期间,Kuprina 下载了更多包含重要非公开信息的文件。
会议结束后,LaTulip 将他听到的情况传达给了司法部,司法部又将其转交给了美国证券交易委员会(SEC)。但据参与调查的消息人士透露,SEC 执法部门的律师们难以相信该机构会成为攻击目标:他们坚称,SEC 一向严格避免保留价格敏感信息。
一周后,司法部检察官飞往基辅亲自讯问库普里纳。这次库普里纳带来了她的红蓝记事本和优盘。它们不仅揭示了她获得了哪些文件以及如何获得的,还揭示了伊列缅科在她介入之前的所作所为。
美国证券交易委员会(SEC)的信息技术人员花了四个月时间才证实库普里纳的说法。“我们不断回去找他们说,‘你们需要再仔细看看,’”一位检察官回忆道。当他们最终发现黑客的痕迹时,真相无可逃避:SEC 多个月来一直追踪的可疑交易源头竟然是 SEC 自己。
杰伊·克莱顿担任美国证券交易委员会(SEC)最高职位仅三个月时,就收到了来自基辅的信息简报。克莱顿是一位来自律师事务所 Sullivan & Cromwell 的老练律师,他坚决主张机构必须公开透明,而不是在检察官建立案件时保持沉默。“我说,‘大家听着,我们要看看自己在生态系统中的位置,我们是做信息披露的,这个问题是所有公司都面临的,我们需要像任何管理良好的组织那样去处理它,’”他告诉我。
2017 年 9 月 26 日,克莱顿出现在参议院银行委员会面前,回答为何美国证券交易委员会未能保护 Edgar 系统,并且未在一年前披露该漏洞。立法者们承认,这些都不是克莱顿的错,但责任在于他找出肇事者。“这是一件大事,”时任蒙大拿州民主党参议员乔恩·特斯特说。美国证券交易委员会没有透露具体是如何发现这次黑客攻击的,因此没人想到如果库普里纳没有举报,会发生什么。
第四章:调查
2018 年 11 月 28 日,库普里纳与 LaTulip 及一名特勤局同事一同在基辅郊外的鲍里斯波尔国际机场登上飞机。那天早晨,她与母亲和女儿告别,不确定何时能再见到她们。
在库普里纳前一年主动投案后,司法部向她提出了一个交易:来美国,坦白交代,协助我们调查网络犯罪,我们将尽力减轻你的刑期,帮助你重新开始生活。别无选择的库普里纳同意了。在基辅美国大使馆与政府官员的会面中,她讲述了自己的犯罪经历。
她开始窃取信用卡数据并在论坛上出售,选择了“攻壳机动队中的幽灵”这个别名,因为她避免留下痕迹
库普里纳 1982 年出生于基辅,是科学家的女儿,也是克格勃将军的侄女。苏联解体使她的家庭陷入贫困。库普里纳在厨房的桌子上拆解电子设备,通读晦涩的手册,并在互联网出现之前的留言板上摸索,在那里她接触到了黑客技术。她开始窃取信用卡数据并在论坛上出售,选择了“攻壳机动队中的幽灵”(一部赛博朋克漫画和动画)这个别名,因为她避免留下痕迹。她最喜欢的电影之一是 1995 年的黑客帝国 。她认同安吉丽娜·朱莉饰演的角色,那是一个在一群社交笨拙、冲动男子中光彩照人、自信满满的女性。
2007 年,在获得计算机科学和信息技术工程的双硕士学位后,Kuprina 嫁给了一位同为黑客的人。不久之后,她怀孕了。精英网络犯罪往往是合作性质的企业,在 2007 年至 2017 年间,Kuprina 参与了多起引人注目的黑客事件: 花旗集团 、捷蓝航空、纳斯达克、道琼斯、商业电讯社,甚至是 NASA。她开始参加拉力赛车比赛,并买了一套临河的公寓。有时她让女儿逃学,陪伴自己开车去见联系人,车内播放着电子音乐。但这场最初令人兴奋且利润丰厚的冒险逐渐变得阴暗。她的丈夫离开了她。在一次突袭中,她失去了对技术和密码的访问权限,被迫日夜工作,而她的母亲负责照顾孩子。登上飞机时,Kuprina 已是一个离异的母亲,有酗酒问题和危险的敌人。
抵达美国后,库普里娜被关押在新泽西纽瓦克的一所监狱,并穿上了橙色囚服。在接下来的几周里,检察官对她施加压力,询问 Edgar 系统的漏洞,她是如何建立“虫洞”的,以及她为何认为在她或伊列门科之前,其他黑客已经入侵过该系统。
在克莱顿的参议院听证会之后,SEC 监察长办公室开始对员工进行采访。其关注点不在于网络盗窃的细节,而是为什么保险库的门如此脆弱——以及当有人看到门被撬开时为何没有人提出异议。阅读过监察长报告的人形容其内容非常严厉,但该文件从未公开,因为其中包含了关于 SEC 网络安全的敏感信息。(SEC 拒绝了我获取即使是经过编辑的副本的请求,也拒绝安排任何人接受关于此次黑客事件或 Edgar 系统的采访。)
相反,2018 年 9 月 21 日,监察长办公室发布了一份平淡的一页摘要 ,称“Edgar 系统缺乏足够的治理”,该机构的“事件处理流程”需要改进。该声明在媒体上几乎没有引起波澜。随后几周,该机构的首席信息官和高级网络安全顾问相继离职,情况亦是如此。
在披露此次漏洞后,SEC 向国会请求了额外资金以提升其网络安全。然而,新成立的 Edgar 业务办公室主任并未打算替换 Edgar 系统,而是希望加强现有系统的防护。这是一个显著的转变:自 2014 年以来,SEC 已支付两家承包商 1060 万美元,设计一个更易使用、故障率更低且最重要的是更安全的新网络。如今,Big Bang 项目被搁置了。
这一决定激怒了负责改革的美国证券交易委员会官员赫鲁克斯。2018 年 10 月,他告诉机构自己将离职。在一封《商业周刊》看到的严厉信件中,他形容 Edgar 系统“陈旧且脆弱”,随时可能崩溃。“美国证券交易委员会正参与一场极其重要的竞赛,以避免灾难,”他写道。
在新闻通讯社的调查过程中,当局发现了大量证据将黑客与交易员联系起来,包括电子邮件和财务记录。一名参与者也翻供了,并准备在法庭上作证。
Edgar 案调查进展较为艰难。在获得黑客的电子邮件和 iCloud 账户的搜查令后,司法部整理出一份怀疑接收被盗收益报告的嫌疑人名单。与此同时,乌克兰网络警察监听了 Radchenko 的电话,确认了六名在俄罗斯和乌克兰购买这些文件的商人。在我所获悉的记录中,Ieremenko 和 Radchenko 抱怨他们的客户赚了数千万美元,而他们自己只拿到几十万美元。但当局未能找到这种非法交易的证据。据线人透露,买家已经学会避开美国市场,通过外国经纪人交易衍生品。
有两个例外,是 Radchenko 的熟人,他们几乎完全通过交易被黑客入侵的美国市场公司赚取了 140 万美元,然后套现。但鉴于乌克兰和俄罗斯缺乏引渡条约,这对人很可能不会被追究责任。
然后是 Cho、Kwon 和 Olefir,这些被美国证券交易委员会(SEC)监控系统盯上的日内交易者。这些人经常在公司文件被窃取和财报发布之间进行交易。他们的胜率远远超出基于有根据猜测所能达到的水平。
对这三人的通讯进行的初步搜索几乎没有发现将他们与黑客攻击联系起来的证据。2016 年,Cho 给一位在泰国的朋友发过一封邮件,他当时正在管理这位朋友 5000 美元的账户。Cho 写道:“任何外部账户……都必须向编码团队支付分成”,并补充说费用是 45%。也许“编码团队”指的是黑客,他们在新闻线阶段曾要求分得任何利润的 40%?
调查人员还发现了 2010 年 Ieremenko 与一位年轻乌克兰企业家之间的一段引人注目的交流,SEC 将其称为个人 4。该企业家是 Olefir 圈子的一员,并在新闻线入侵期间拥有 Cho 公司的账户。这些电子邮件内容无关——该企业家当时正在寻找一个加密项目的开发者——且早于入侵事件,但暗示了某种联系。
掌握了交易数据和电子邮件后,SEC 有足够的信心开始起草针对 Ieremenko 的起诉书,他们在 Edgar 系统中发现了他的数字指纹,以及大约六名交易员。机构内部有压力要将此案成功立案。而且,谁知道当当局设法破解交易员的手机后会发现什么?或者搜查他们的住所时会发现什么?也许他们还能找到证人开口作证。
负责平行调查的司法部则更加谨慎。刑事机关拥有监禁权力,必须满足比像 SEC 这样的民事机构更高的举证标准,且除了交易记录外,没有任何具体证据将交易者与犯罪联系起来。与 Radchenko 的两位朋友不同,他们大举下注后退出,Cho 的团队既没有兑现也没有掩饰他们的活动;他们使用自己的名字在美国经纪账户中进行交易,Cho 甚至用的是他母亲的名字。检察官开始准备一份仅针对 Ieremenko 和 Radchenko 的起诉书。他们将对交易者进行突袭,并根据发现的情况将其加入起诉书。
插图:Maxime Mouysset,彭博商业周刊
第五章:突袭
2019 年 1 月 8 日凌晨 4:30,Cho 被他位于洛杉矶市中心新装修联排别墅的露台上传来的敲击声吵醒。穿着内裤跌跌撞撞下楼梯时,他震惊地发现持枪的联邦调查局和特勤局特工正守在玻璃门外。
“把他妈的门打开,”其中一人嘴里嘟囔着。
Cho 照命令行事,后来他向我回忆道,一打特工冲了进来。他们给他和他交往了三周的一名女子戴上手铐,把她带到地下室的卡拉 OK 房间。一名穿着 FBI 风衣的特工要求交出 Cho 的手机。然后他递给他一份搜查令,开始连珠炮似地提问: 你 2012 年至 2014 年间使用的惠普笔记本电脑在哪里?你的 MacBook 在哪里?你有多少部手机?
特工们搭起了一张临时桌子,一位取证专家开始检查赵的设备。
你的密码是什么?专家问道。
数字 1,Cho 回忆道。
你能拼出来吗?专家困惑地问。
字面意思就是数字 1,Cho 说。
此时,Cho 已经在发抖,问是否可以穿上裤子。大约一个小时后,一名特工带他上楼来到一个霓虹灯照亮的卧室,墙上装有一个保险箱。 密码是多少? 特工问道。Cho 拖延着,不愿透露密码。 我们需要钻开它吗? 特工问。Cho 妥协了,输入了数字。里面有一些摇头丸和一大袋魔法蘑菇。
“我今晚要办乔迁派对!”他说。
经纪人面无表情。“我们不是来谈这个的,”他说。“你是交易员吗?”“是的,我有一家交易公司,”Cho 回答。“你认识 Oleksandr Ieremenko 吗?”“不认识,”Cho 说。“那 Artem Radchenko 呢?”Cho 说不认识。“Ivan Olefir?”“他是我在乌克兰的合伙人,”Cho 说。“为什么?”“你有没有基于被黑的信息进行交易?”“从没有,”Cho 说。
“一位特工回忆说:‘我不知道我们本来期望发现什么,但他看起来根本不像个大款罪犯。’‘他是个傻乎乎的年轻人,发现我们找到了他的藏匿物后慌了神。’”
两英里外,大卫·权在自己公寓外的走廊里瑟瑟发抖,联邦调查局特工正在彻底搜查他的住所。特工离开后,他诅咒自己遇见赵的那一天。不到两周时间,他们的名字就会出现在 CNBC 和《 纽约时报 》的头条上。
当月晚些时候,证券交易委员会提交了详尽的 43 页起诉书。然而,这份文件只讲述了部分事实。首先,库普里纳的名字被抹去了。任何阅读该文件及其附带新闻稿的人都会得出结论:对 Edgar 系统的攻击仅发生在 2016 年 5 月至 10 月之间,且仅由耶列门科一人实施。起诉书称,2016 年 10 月之后,“其他人”进行了“其他尝试”,但这些尝试似乎未能成功。
然而,据来自司法部、特勤局、乌克兰网络警察的六位以上调查员以及库普里纳本人透露,库普里纳在此后又下载了有价值的文件,时间长达六个月,直到 2017 年 3 月。他们表示,证据就在她的记事本和 U 盘中。证券交易委员会在未与库普里纳交谈的情况下提起诉讼,对于这一矛盾拒绝发表评论。
关于 Edgar 系统被黑的几乎所有真相,从非法获利的规模到库普里纳揭发事件的角色,至今从未被披露
除此之外,SEC 的起诉书未能反映该企业的真实规模,未提及东欧商人——他们是 Radchenko 的主要客户。相反,SEC 将注意力集中在 Cho、Kwon、Olefir 及其他少数几个主要是小规模参与者的身上。这个团伙赚取了约 360 万美元。这只是美国和乌克兰刑事当局根据黑客的通讯和电话谈话所了解的真正收益数千万美元的一小部分。
美国证券交易委员会对事实的陈述避免了部分尴尬。直到今天,关于 Edgar 系统被黑的几乎所有细节——从非法获利的金额、持续时间、所有肇事者的身份,到库普里纳揭发事件的角色——都未曾被披露。
美国证券交易委员会(SEC)的狭义版本将 Cho 置于阴谋的中心。他写给泰国朋友的那封邮件,询问支付给程序员的佣金?SEC 称那是指“支付给 Ieremenko 及与他合作的其他人的报酬”。
在“关系网”中,SEC 的诉状将 Olefir 的同伙,即个人 4,描述为黑客与交易员之间的中介,提及了他在 2010 年发送给 Ieremenko 的加密邮件,但未引用邮件内容。
SEC 的案件证据较少,但该机构乐观地认为,突袭中查获的笔记本电脑和其他物品经过分析后,将会提供更多证据。
第六章:漏洞
2019 年 4 月的一个阴天星期三,赵和他的律师,一位前美国证券交易委员会(SEC)检察官肖恩·普罗瑟,抵达新泽西,准备与司法部会面。对赵来说,过去几周压力重重。朋友们开始怀疑他,商业伙伴纷纷避而远之。他的父亲,一位为韩国相当于 SEC 的机构提供咨询的金融教授,也拒绝接电话。那天晚上吃完晚饭后,普罗瑟告诉赵别喝酒,早点休息。赵回答说:“即使我宿醉得要命,我的故事也不会变,因为那是真相。”普罗瑟说:“请别宿醉。”
第二天早晨,在联邦调查局纽瓦克分局,Cho 和他的律师坐在会议室的桌子旁,面对来自司法部和证券交易委员会的代表。这是一次陈述会议,不会被录音,也不能作为法庭证据使用。但如果 Cho 撒谎,他可能会被控重罪。考虑到 Cho 喜欢东拉西扯,Prosser 告诉他如果感觉到腿上被轻拍,就停止说话。
据多位与会者称,Cho 告诉大家,对他的指控是一个错误,并给出了一个简单明了的解释。多年来,Cho 说,他和 Olefir 的团队一直在监控即将发布财报的公司,关注买卖行为,以判断是否有人掌握内幕信息。他们购买了不常见的数据源,追踪暗池交易,并开发了一种算法,用以识别参与者何时试图悄无声息地建立头寸。看到可疑交易时,他们会跟进,并根据自己的信心调整下注。因此,他们的活动有时与黑客行为一致并不令人惊讶——这正是他们的策略。在信息中,他们用“超级基金”这一统称来指代内幕交易者,Cho 发誓他们从未知道这些人的真实身份。
乔问,那是一个几乎可以确定会成功的人会有的行为吗?
Cho 和 Olefir 在 2007 年相识,当时这位乌克兰人和他的朋友们成为了 CY Group 的客户。与大多数散户交易者不同,内向的警察之子、拥有科学博士学位的 Olefir 表现出持续的盈利能力。2009 年,Cho 访问了位于基辅的 Olefir 和他的团队,并最终在那里待了一个月。当 Cho 在曼谷买下他的公寓时,Olefir 来度假。Cho 不断为 Olefir 提供资金支持,以换取他盈利的一部分,然后让他使用朋友们的账户进行交易。(Cho 向他的朋友们声称是自己在交易,并得到乌克兰一支“程序员”团队的协助。)两人开始互称 tovarich,俄语意为同志。
当检察官追问 Cho 对 Olefir 策略的真实了解时,Cho 承认,在美国证券交易委员会提出诉讼后,他开始怀疑。Olefir 住在与黑客同一座城市。他做出了大部分交易决策。但 Cho 说,当他想起 Olefir 是多么谨慎,几乎总是对冲头寸,尽管拥有数百万的购买力,却很少冒险投入超过几万美元时,他便打消了疑虑。Cho 问,这种行为是一个几乎肯定会成功的人会有的吗?
为了证明这不是事后的借口,Cho 出示了一封 Olefir 于 2013 年发给他们的经纪人的电子邮件,经纪人想知道他们是如何连续猜中半打股票的。Olefir 在被《商业周刊》看到的邮件中写道:“我们的策略是基于在对冲基金或市场大玩家做出非常规的大额单边押注后进入财报。”他们还会关注“看跌期权或看涨期权交易量的激增”、买卖加速情况,以及某只股票是否有预测性交易的历史。
然后是美国证券交易委员会(SEC)对 CY 集团从 2015 年到 2017 年的调查,原因是该公司未经许可收取佣金,最终被罚款 3.5 万美元。该公司被迫交出大量文件,包括交易记录。Cho 回忆说,他曾对在场的调查人员说:“有什么傻瓜会明知故犯地以自己的名义进行内幕交易,而 SEC 又在严密监控?我可没那么大胆!”
当局确实在赵的设备和云服务中发现了证据。
购买娱乐性毒品。在他人经纪账户中的交易。与不存在项目相关联的资金转移。Cho 甚至伪造了一张女友的社会保障卡,并将模板保存在他的硬盘上。
当局在 Cho 大量的即时聊天记录或其他任何地方都没有发现将他与他们正在调查的严重犯罪联系起来的证据。没有任何收益报告,也没有任何迹象表明他知道或曾与 Edgar 系统或新闻通讯案件中的黑客有过联系。除此之外,长期监控 Ieremenko、Radchenko 和 Kuprina 的乌克兰和美国网络警察,从未听说过 Cho、Olefir 或他们的朋友。如果 Cho 真的是内幕交易团伙的一员,他就成功地没有留下任何痕迹。
4月19日,即纽瓦克会议的第二天,司法部通知普罗瑟不会对赵进行调查。司法部还向这位律师发送了一封电子邮件,《商业周刊》看到了这封邮件,邮件中表示将撤回对赵出庭大陪审团的传票,该大陪审团正在审理针对伊列门科和拉德琴科的案件。司法部得出的结论是,赵没有更多有用的信息可提供。
第七章:定罪
Cho 和他的朋友们曾抱有希望,认为美国证券交易委员会(SEC)会做出类似的决定,但这种希望很快被熄灭了。2020 年 1 月,SEC 的一位经济学家托马斯·邓恩提交了一份声明,包含支持该机构案件的统计分析。这份声明读起来令人困惑。
邓恩计算出,这些人随机选中如此多被窃取文件的公司的概率高达“万亿分之一”。但早些时候,在纽瓦克,赵曾告诉包括美国证券交易委员会代表在内的当局,他的团队并非随机选择目标:他们是有意试图识别信息泄露的公司。
邓恩报告的一部分专门用来证明赵、权、奥列菲尔及奥列菲尔的朋友们经常同步交易。但这些交易者都属于同一家小公司,他们对此坦然承认。如果分析能证明他们的活动与拉德琴科的两个朋友的行为相似,而这些交易者坚称他们不认识那两人,那么结论会更具指控性。美国证券交易委员会突出展示了与辩方说法一致的信息,却将其当作确凿证据。
根据 Dunn 的分析,2016 年 5 月至 10 月期间,Cho 在自己账户中对被黑公司的交易达 66 次。他的胜率为 89%,赚取了约 65 万美元。同一时期,Kwon 进行了 18 次交易,正确率为 78%,而 Olefir 进行了 95 次交易,胜率为 70%。Cho 和 Olefir 共同拥有的一个实体 Capyield Systems Ltd.也取得了类似的成功率。
邓恩制作了另一张表,显示这些人在交易未被入侵公司的表现。在 Cho 进行的 150 笔此类交易中,只有 39%获利,他亏损了 1.8 万美元。Olefir 的胜率大致相同,也亏了钱。Kwon 在 63 笔交易后略有盈利,正确率约为一半。
美国证券交易委员会(SEC)的论点是,交易者只在被黑客入侵的公司中赚钱,因此他们一定是在作弊。但他们的律师反问,如果掌握内幕信息,为什么还要盲目交易?为什么在那些他们毫无优势的公司盈利报告上进行三倍于其他交易的操作?如果这是为了误导,新闻线索案中的交易者并没有被记录显示有类似行为。Radchenko 的两个朋友也没有(他们不像 Olefir 那样,直接消失了)。如果 CY 集团交易者的策略真的是像他们声称的那样,识别并搭便车内幕交易,那么他们的收益不应该正如实际表现的那样——当他们正确发现非法活动时收益暴涨,而当信号被证明是幻影时则接近盈亏平衡吗?
美国证券交易委员会(SEC)对统计数据的依赖尤为重要,因为在提起指控一年后,它仍未找到任何新的证据来支持其案件。对于一项关键证据——Individual 4 发送给 Ieremenko 的电子邮件,SEC 也表现得异常隐晦。Cho 的律师威胁要向法官投诉,因为 SEC 未能交出该邮件。
美国证券交易委员会(SEC)也拒绝向我提供那封电子邮件的副本。2024 年,我在北欧找到了个人 4。他同意通过一款消息应用回答问题,条件是保持匿名。个人 4 表示,他在试图启动一个加密项目时,曾向 Ieremenko 发送过“一两条消息”。“对我来说,他只是一个程序员,和其他程序员没什么两样。我从未与他有过任何业务往来。”个人 4 形容有人说他和 Olefir 参与内幕交易集团的说法是“胡扯”。他还补充说,他从未接受过 SEC 或任何其他美国当局的采访。
当 Cho 终于在 2020 年 2 月穿着短袖衬衫,头发两侧剃短,顶部凌乱地坐下来接受美国证券交易委员会(SEC)的视频录制证词时,他感到很自信。代表 SEC 的是 Christopher Bruckmann,一位留着山羊胡、穿着深色西装的诉讼律师。
布鲁克曼问赵对阅读起诉书的反应。赵说:“这让我感到震惊。我根本不知道这些黑客是谁……在我看来,我心想,‘你们可以查看任何电脑,任何你们想看的东西,随便。这里一定是个大误会。’”
当被问及他对盈利交易的策略时,Cho 回答说:“任何盈利或任何影响市场的公告,总会有一些泄露。如果你能察觉到这种动向,那就是策略所在。”他对具体细节含糊其辞,说 Olefir 通常负责监控信息流并做出决策。“我不太擅长技术分析,”Cho 说。
在成为交易员之前,Cho 曾在卡内基梅隆大学学习计算机科学。“那是个很难的专业,”Bruckmann 评论道。
“我有聪明的实验室伙伴,”赵笑着回答,“我有点即兴发挥……只是为了让父母开心。”
“你说你是临时抱佛脚的,是因为你有聪明的实验室伙伴。你作弊了吗?”布鲁克曼问道。
“我可能有点作弊,”赵现在笑着说。
赵真正的本事似乎是利用别人的才能。这一点在他解释自己如何在 Edgar 系统被黑期间赚到大部分钱时变得清晰起来。赵对 Olefir 在他们的联合交易账户中下注金额如此之小感到沮丧。但赵的朋友权有一个单独的账户。于是赵指示权进行与 Olefir 相同的交易,却没有告诉权他们是在搭便车利用这位乌克兰人。正是这一行为,在 2016 年夏天,将权牵扯进了这起案件。这个揭露让通过 Zoom 观看庭审的赵的战友 Olefir 感到震惊。
2020 年 9 月,库普里娜首次进入位于华盛顿的美国证券交易委员会总部。前一个月,她已对司法部关于 Edgar 系统及另外五起黑客攻击的指控认罪。她的案件被保密,判刑也被暂缓执行,同时她继续配合政府调查。她得知自己最著名的黑客攻击清单将被保密,无法在黑客社区中炫耀,这让她感到恼火,但她理解这是必要的。
她将自己的成功归功于家庭——“我是在一个间谍家庭中长大的”——以及必要性
库普里纳后来告诉我,她一直被男性低估。她记得小时候找老师时,“有个很有名气的家伙说,‘你永远不会成为黑客。’这让我很生气。”她将自己的成功归功于家庭——“我是在一个间谍家庭长大的”——以及必要性。机会很少,当时在乌克兰,黑客行为并不被视为犯罪,她说,那时黑客受到尊重。她归功于自己的动力和广泛的兴趣。她从小数学成绩优异,但也上过艺术学校。她弹钢琴,写歌。她曾告诉妈妈,黑客本身就是一种艺术。这是抽象思维、创造性思维,是把拼图拼凑起来。
前往首都的这次旅行对库普里娜来说是一种喘息,她的生活在新泽西变成了一种郊区炼狱。出狱后,她被关在一家 Candlewood Suites 长住酒店里,没有电话,没有网络,晚上 7 点必须宵禁。每隔几天,一名特勤局特工会开车带她去 Wegmans 咖啡馆,他们会聊上几个小时,谈论她的经历。除此之外,她就在门口的空间里做瑜伽;画龙;读关于社会工程学的书;还会打开字幕看《90 天未婚夫》或《菲尔博士》,以提高她的英语水平。有时她非常想念女儿和母亲,甚至无法起床。
库普里纳回忆说,在美国证券交易委员会的一个会议室里,检察官们就起诉书中的被告对她进行了盘问。让她作证承认认识 Cho、Olefir 及其他人将极为重要。她告诉他们,拉德琴科曾试图将黑客行为和交易活动分开处理。即便如此,她确实遇到过司法部名单上未被起诉的一些商人。但她坚称自己不认识美国证券交易委员会确认的那些日间交易者,甚至从未听说过他们的名字。
大卫·权(David Kwon)第一次认识赵是在 2015 年一次比佛利山庄豪宅的派对上。权喜欢炒股,但他曾遭受过一些损失,累计亏损数百万美元,这意味着未来任何交易的利润实际上都可以免税。一天晚上,赵建议他们用权的一个旧账户一起交易。不久之后,2016 年 8 月,赵打电话给权,告诉他停止手头的事情,买入美国网络安全公司 FireEye Inc.的期权,该公司即将发布财报。在接下来的两个月里,赵大约打了十几次电话给他,时间总是在美国交易日结束时。电话停止后,权并未多想,直到联邦调查局用撞门器破门而入。
确信自己将入狱,权陷入了酗酒和抑郁。在一次与美国证券交易委员会(SEC)的会议中,他获准因压力服用 Xanax。随后,该机构提出了一条救命稻草:如果权签署一份声明,牵连赵某,偿还 16.5 万美元的交易利润(不到他涉嫌获利的一半),并同意在审判中作证指控他的朋友,他就可以避免罚款并继续交易。在律师的建议下,尽管权坚称自己对所涉阴谋毫不知情,他还是同意了 SEC 的协议。
权在 2020 年 3 月 11 日提交的声明中抨击了赵的品格。声明称,赵未经允许借用了权的物品,并在自己住所装修拖延数月期间免费住在权家中。赵有时还使用权的银行账户进行客户转账,理由是他的贷款银行 FBME 银行被关闭。现在,权写道,他“开始相信”这些交易与黑客交易计划有关。
然而,除了暗示之外,该声明在很大程度上与 Cho 的证词一致。Kwon 写道,Cho 说他“发现了一个超级基金”,该基金已经多年未活跃,交易不频繁但很成功。“Cho 表示他不知道该超级基金的身份,”Kwon 写道。
事实上,权后来告诉我,他从未怀疑他的朋友参与内幕交易集团,直到他们两人都被起诉。但如果政府说赵与乌克兰黑客合作,他又有什么资格反驳呢?
4 月 9 日,SEC 宣布了权的和解。(Olefir 的一位朋友被指控赚取了 58,000 美元,也在同一时间达成和解。他拒绝接受采访。)权使用他和赵的交易账户中的资金支付了他的律师费和 SEC 的费用。
第八章:和解
美国证券交易委员会每年提起的大约 700 起案件中,约有 98%以和解告终。这反映了系统中固有的权力动态和激励机制。政府希望避免诉诸审判所带来的费用和不确定性;检察官则有动力尽快结案;而对于大多数个人被告来说,进行有力的法律辩护费用高昂且难以承受。和解能够最大限度地减少双方的成本、风险和干扰,同时也能避免 SEC 不得不承认错误的尴尬。
到了 2020 年秋天,Cho 已经没钱了。他的生意陷入停滞,女友怀孕了。为了支付律师费,Cho 把他在洛杉矶的联排别墅挂了出来,卡拉 OK 房几乎没怎么用过。Prosser 告诉他,上法庭至少还要多花一百万美元。
普罗斯试图说服美国证券交易委员会撤销此案,但该机构态度坚决。由于无法将赵的团队与黑客联系起来,机构转而采用了一种名为“计划责任”的法律理论,基本上就是说被告本应知道存在某种欺诈行为。
9 月 21 日,普罗瑟写信给监管机构:“简而言之,调查显示,关于赵先生责任的实际事实与……工作人员在最初的起诉书中所指控的情况大不相同。”近两年来,政府未能提供“任何证据表明赵先生在任何时候知晓 Edgar 系统被黑……或曾从此次黑客事件中获得过哪怕一条重要的非公开信息(即使是间接获得的)。”
普罗斯提出了一笔15万美元的象征性和解金额,这只是美国证券交易委员会指控赵某获得的120万美元的一小部分,远低于该机构希望通过罚款获得的400万美元。一周内,该机构回以20万美元的还价。
“为什么没人给我点他妈的凡士林,好让我被他妈的操得更惨,”Cho 写信给他的律师,愤怒于他居然得付钱。当该机构提出 17.5 万美元的罚款时,Cho 勉强同意了 。Prosser 在一封邮件中安慰他说,结果“会让你有理由向别人解释,尽管有人指控你赚了一百万美元,但 SEC 同意以仅为那金额五分之一的罚款和解。”
像几乎所有与 SEC 和解的人一样,Cho 签署了一份命令,声明他“既不承认也不否认”指控。他还被禁止发表任何可能暗示 SEC 投诉不准确的言论。
1972 年引入的美国证券交易委员会(SEC)所谓的禁言令,旨在阻止被告达成和解后再宣称自己无罪,但这一措施引发了争议。一些批评者认为,这让企业得以逃避承认不当行为。另一些人则称其为对透明度和言论自由的冒犯。去年,SEC 拒绝了一项限制其使用的请愿,临近卸任的主席为其辩护,称其为一项重要工具。共和党委员赫斯特·皮尔斯发表了不同意见 ,写道:“在一个致力于人民至上的自由社会中,反对政府及政府官员的言论自由至关重要。”
2020 年 11 月,禁言令让 Cho 保持沉默,而美国证券交易委员会则大肆宣扬其在 Edgar 案件中的最新胜利。
赵在他位于韩国的家附近。“我不能说自己是无辜的,”他说。 摄影师:Youngrae Kim,彭博商业周刊
第九章:后果
到 2023 年底我联系上 Cho 时,他正和女友及他们的宝宝住在首尔的一间公寓里。他很高兴能离母亲更近一些,母亲已经原谅了他因使用她的账户而将她牵扯进这起案件。他的父亲仍然不和他说话。
此案影响了 Cho 的事业、人际关系、财务状况和健康。他同意分享自己的故事,尽管担心政府可能会因他违反禁言令而追究责任。“我不能说自己是无辜的,但我会告诉你所有事实,让人们自己判断,”他说。
普罗斯尔和他的律师更加直言不讳。“与司法部不同,我发现当美国证券交易委员会无法找到支持其原始理论的事实时,往往拒绝终止调查或撤回已提起的诉讼,”他说。“他们会因为内部压力,或者知道个人没有资源应诉而坚持达成和解。这不是一个机构应有的运作方式。”
Cho 仍然与 Olefir 保持联系,后者也达成了和解,同意支付 25 万美元的罚款,而美国证券交易委员会指控他获利 80 万美元。在证据披露阶段,该机构未发现任何将这名乌克兰人与黑客或被黑的财报联系起来的证据。Olefir 向监管机构提供了访问其银行账户、通讯记录以及他开发的软件程序的权限,该程序用于深入分析财报发布前的交易活动。最终,这些都不足以说服美国证券交易委员会放弃追诉。
奥列菲尔拒绝接受采访,理由是禁言令。“我本以为如果我交出一切并告诉他们发生了什么,事情会有不同的结局,”他告诉我。“我不能多说了。”奥列菲尔继续使用他的盈利策略进行交易。“进展非常顺利,”他说。
权本人则在与和解决定作斗争。“我觉得整个过程对我非常不公,”他说。“这花费了我数年的时间去应对,直到今天仍然对我有很大影响。”权和赵不再说话。“我对成有复杂的感情,”权说。“如果他说的都是真的,那么我真的很难过我们的关系会变成那样。”
伊列缅科和拉德琴科,Edgar 系统黑客事件的策划者,仍然在逃,他们的主要客户——俄罗斯和乌克兰商人,也同样在逃。刑事当局称这些商人携带了大部分赃款。伊列缅科和拉德琴科的一位交易员朋友被美国证券交易委员会缺席判罚共计 1600 万美元,这笔钱该机构很可能永远无法收回。
根据美国当局,SEC 黑客事件的主要操纵者包括这些人。 来源:美国国务院
2024 年,我通过社交媒体联系了 Radchenko,想要进行一次采访。尽管他头上悬赏百万美元,他还是回复了我,要求我发送一份问题清单。我们交换了几条消息,但当他问这对他有什么好处时,我告诉他我无法支付报酬,他便冷淡了下来。Radchenko 用乌克兰语写道:“Liam,你听到的关于我的那些事都不是真的。你被那些有既得利益的人误导了,可能现在仍然如此。”
在 2019 年 Edgar 新闻稿中被点名的 22 位 SEC 工作人员,没有一人同意与我进行公开采访。前 SEC 主席 Jay Clayton 谈到了他得知黑客事件后的反应,但拒绝对案件细节发表评论。Clayton 最近被特朗普总统任命为纽约南区美国检察官,该办公室历来是打击白领犯罪的权威机构。
SEC 拒绝就本报道发表评论,也未在我根据《信息自由法》提交请求时提供相关工作文件。
黑客事件后,该机构加强了网络安全工作,升级了软硬件,并聘请“渗透测试员”来发现潜在漏洞。然而,像许多政府机构一样,SEC 目前正面临裁员。据报道,约有 600 名员工,即 15%的员工,将因埃隆·马斯克削减政府监管及监管人员的计划而离职。目前尚不清楚其中有多少来自 IT 部门。特朗普政府还提议大幅削减负责监督所有政府机构网络安全的网络安全与基础设施安全局的预算。
美国证券交易委员会(SEC)面临重大风险。去年,该机构宣布完成了合并审计追踪系统 ,这是一个备受争议的新数据库 ,存储着数千家公司每时每刻的交易数据。该系统旨在帮助识别违规行为,但即使在裁员之前,批评者也认为该机构没有能力监管它。他们表示,如果落入错误之手,这些数据可能被用来逆向工程价值数十亿美元的交易策略。
库普里纳(中)与她的母亲和女儿。 摄影师:Matt Eich,彭博商业周刊
今年一月,我在她现居的安静社区一家披萨和啤酒店与库普里纳见面。2023 年,一名法官鉴于她对特勤局的协助,判处她已服刑的刑期。同年,SEC 发布了一份简短的命令,指示她不要再犯任何罪行,并以极简的细节承认了她参与了 Edgar 系统的黑客事件。
库普里娜告诉我她在网络安全公司 Recorded Future Inc.的工作,她在那里监控暗网论坛并在会议上发表演讲。她用第一笔工资中的一部分支付了一辆旧车的定金,这辆车配备了大引擎和一个定制车牌,上面写着 ELEET,这是一个黑客术语。
“我只想说,除了我妈妈是个罪犯这一点,她真的很爱我,我也真的很爱她。”
我们与她的母亲和女儿一同相聚,当俄罗斯开始轰炸乌克兰时,政府将她们带到了美国。三人一边分享甜点,一边笑谈库普里娜小时候的一些恶作剧。她母亲回忆说,奥尔加大约十岁时,会用手在第聂伯河里抓鱼。她的朋友们不相信她,于是她走进河里亲自示范,大家都来看。之后,渔民们也开始模仿她的做法。
库普里娜说,当她抵达美国时,她非常害怕会失去与女儿的联系。她记得在女儿入睡时握着她的手,就像她的母亲当年对她做的那样。她现在16岁的女儿非常轻声地插话道:“我只想说,除了我妈妈曾是个罪犯,她真的很爱我,我也真的很爱她。”然后她补充道:“我们的纽带从未消失过。就像这些年我一直和她在一起一样。”
我曾经问过库普里娜她是否认为 Edgar 系统仍然存在漏洞。她告诉我她与美国证券交易委员会(SEC)IT 团队的一次会议。库普里娜回忆说,她详细说明了自己如何利用 Edgar 那过时的软件和拼凑起来的代码多次渗透系统。SEC 已经收紧了谁可以提交文件的权限,并取消了允许公司在发布前审查测试文件的功能。但网络中总会包含对黑客有吸引力的信息。库普里娜记得,当她告诉工作人员阻止像她这样的人唯一方法是彻底推翻系统重新开始时,工作人员显得很愤慨。——与莉迪亚·贝尤德合作完成