Українська хакерка зламала систему SEC і викрила провал у справі проти денних трейдерів
Українська хакерка допомогла розкрити гучну справу про злам SEC, у якій звинуватили американських денних трейдерів. Про це вийшла велика стаття на Bloomberg News. Scroll.media пропонує короткий переказ історії.
Що сталося
- Ольга Купріна, відома під псевдонімом «Привид у броні» (Ghost in the Shell), яка зламувала Citigroup, Nasdaq, Dow Jones і навіть NASA, стала інформатором федеральної агенції після приголомшливої кібератаки на систему подачі фінансових звітів SEC — Edgar, що сталася у 2016 році.
- Система, створена ще у 1993 році як спосіб для компаній подавати документи онлайн, а для інвесторів — шукати їх, обробляє 3000 нових документів та мільйони завантажень щодня, використовуючи зібраний код, застаріле програмне забезпечення та ряд запилених серверів, встановлених у підвалі у Вірджинії.
- У жовтні 2016 року ІТ-відділ SEC помітив IP-адреси зі Східної Європи в частинах системи, які мали бути захищені. Команда швидко виявила вразливість програмного забезпечення та виправила її. ІТ-менеджери не знайшли жодних доказів доступу до непублічної інформації. Тому агентство не оприлюднило цю інформацію.
- У 2019 році SEC зробила цапами-відбувайлами американських денних трейдерів, звинувативши їх у привласненні $4,1 млн через інсайдерські угоди, пов’язані зі зламом Edgar. Сонгджін Чо, денний трейдер із Лос-Анджелеса, був шокований, коли федеральні агенти з’явилися у нього на світанку. Вони вилучили техніку, допитували його про іноземних хакерів і звинуватили у використанні викрадених даних.
Деталі атаки
- За даними джерела, Купріну в її київській квартирі утримував місцевий кримінальний авторитет Артем Радченко. Її змусили зламати одну з найбільших у світі баз корпоративних документів. Радченко нібито планував продавати неопубліковані звіти за $200 000 кожен. Коли Купріна захотіла оплату за злам, Радченко зламав їй ніс.
- У 2018 році Купріна втекла до США, де уклала угоду зі слідством та передала жорсткі диски й рукописні записи, що підтверджували, що вона отримала доступ до даних SEC. За її словами, Edgar був застарілою, латаною системою, яку роками не захищали належним чином
«Там було стільки вразливостей, ви собі навіть уявити не можете», — розповіла вона слідчим.
- Завдяки співпраці Купріної з американськими правоохоронцями вдалося викрити багатомісячний злам ключової системи SEC і спростувати офіційну версію подій. SEC не повідомила громадськість, що злам Edgar тривав набагато довше, ніж визнавалося, і був виявлений не завдяки внутрішньому розслідуванню, а саме Купріній.
- Попри її ключову роль у розкритті злому — і навіть завантаження документів у березні 2017 року — ім’я Купріної не згадувалося у скарзі SEC. Натомість комісія зосередилася на Чо та його знайомих: Девіді Квоні, другові, що торгував через рахунки Чо, та Івані Олефірі, українському клієнті, пов’язаному з трейдинговою компанією Чо.
- Хоча ці троє дійсно здійснювали угоди на основі звітів про прибутки, слідство не знайшло доказів, що вони контактували з хакерами або знали, що документи були вкраденими. Проте SEC все одно висунула обвинувачення, спираючись на високу частку прибуткових угод і непрямі зв’язки.
- Критики кажуть, що SEC потрібна була перемога — і вона обрала легку мішень. Агентство зазнало тиску після зламу його систем, і замість того, щоб зосередитися на українських організаторах, яких досі не впіймали, воно вдарило по трейдерах, до яких мало доступ.
Чим це все скінчилося
- Міністерство юстиції США, яке вело паралельне розслідування, зрештою відмовилося від кримінального переслідування трейдерів. Чо погодився на врегулювання у $175 000 — лише частку з того, що SEC стверджувала, що він заробив. Він не визнав провини, але за правилами SEC не має права публічно заявити, що він невинний.
- У 2020 році Купріна визнала провину за федеральними обвинуваченнями, пов’язаними з Edgar та п’ятьма іншими зламами, за даними Bloomberg. Вона відсиділа короткий термін і була звільнена за співпрацю зі слідством. У 2023 році суд засудив її до терміну, вже відбутого під вартою, визнавши її допомогу у розслідуванні.
- Зараз хакерка працює в компанії з кібербезпеки Recorded Future Inc. і возз’єдналася з матір’ю та донькою, яких уряд США евакуював із України.
- Тим часом Радченко залишається на свободі. А система SEC Edgar, попри часткові оновлення, досі вразлива, за словами експертів з кібербезпеки.
Помітили помилку? Виділіть його мишею та натисніть Shift+Enter.
10 Червня, 2025
Українська хакерка зламала систему SEC і викрила провал у справі проти денних трейдерів
3 хв. читання
Українська хакерка допомогла розкрити гучну справу про злам SEC, у якій звинуватили американських денних трейдерів. Про це вийшла велика стаття на Bloomberg News. Scroll.media пропонує короткий переказ історії.
Що сталося
- Ольга Купріна, відома під псевдонімом «Привид у броні» (Ghost in the Shell), яка зламувала Citigroup, Nasdaq, Dow Jones і навіть NASA, стала інформатором федеральної агенції після приголомшливої кібератаки на систему подачі фінансових звітів SEC — Edgar, що сталася у 2016 році.
- Система, створена ще у 1993 році як спосіб для компаній подавати документи онлайн, а для інвесторів — шукати їх, обробляє 3000 нових документів та мільйони завантажень щодня, використовуючи зібраний код, застаріле програмне забезпечення та ряд запилених серверів, встановлених у підвалі у Вірджинії.
- У жовтні 2016 року ІТ-відділ SEC помітив IP-адреси зі Східної Європи в частинах системи, які мали бути захищені. Команда швидко виявила вразливість програмного забезпечення та виправила її. ІТ-менеджери не знайшли жодних доказів доступу до непублічної інформації. Тому агентство не оприлюднило цю інформацію.
- У 2019 році SEC зробила цапами-відбувайлами американських денних трейдерів, звинувативши їх у привласненні $4,1 млн через інсайдерські угоди, пов’язані зі зламом Edgar. Сонгджін Чо, денний трейдер із Лос-Анджелеса, був шокований, коли федеральні агенти з’явилися у нього на світанку. Вони вилучили техніку, допитували його про іноземних хакерів і звинуватили у використанні викрадених даних.
Деталі атаки
- За даними джерела, Купріну в її київській квартирі утримував місцевий кримінальний авторитет Артем Радченко. Її змусили зламати одну з найбільших у світі баз корпоративних документів. Радченко нібито планував продавати неопубліковані звіти за $200 000 кожен. Коли Купріна захотіла оплату за злам, Радченко зламав їй ніс.
- У 2018 році Купріна втекла до США, де уклала угоду зі слідством та передала жорсткі диски й рукописні записи, що підтверджували, що вона отримала доступ до даних SEC. За її словами, Edgar був застарілою, латаною системою, яку роками не захищали належним чином
«Там було стільки вразливостей, ви собі навіть уявити не можете», — розповіла вона слідчим.
- Завдяки співпраці Купріної з американськими правоохоронцями вдалося викрити багатомісячний злам ключової системи SEC і спростувати офіційну версію подій. SEC не повідомила громадськість, що злам Edgar тривав набагато довше, ніж визнавалося, і був виявлений не завдяки внутрішньому розслідуванню, а саме Купріній.
- Попри її ключову роль у розкритті злому — і навіть завантаження документів у березні 2017 року — ім’я Купріної не згадувалося у скарзі SEC. Натомість комісія зосередилася на Чо та його знайомих: Девіді Квоні, другові, що торгував через рахунки Чо, та Івані Олефірі, українському клієнті, пов’язаному з трейдинговою компанією Чо.
- Хоча ці троє дійсно здійснювали угоди на основі звітів про прибутки, слідство не знайшло доказів, що вони контактували з хакерами або знали, що документи були вкраденими. Проте SEC все одно висунула обвинувачення, спираючись на високу частку прибуткових угод і непрямі зв’язки.
- Критики кажуть, що SEC потрібна була перемога — і вона обрала легку мішень. Агентство зазнало тиску після зламу його систем, і замість того, щоб зосередитися на українських організаторах, яких досі не впіймали, воно вдарило по трейдерах, до яких мало доступ.
Чим це все скінчилося
- Міністерство юстиції США, яке вело паралельне розслідування, зрештою відмовилося від кримінального переслідування трейдерів. Чо погодився на врегулювання у $175 000 — лише частку з того, що SEC стверджувала, що він заробив. Він не визнав провини, але за правилами SEC не має права публічно заявити, що він невинний.
- У 2020 році Купріна визнала провину за федеральними обвинуваченнями, пов’язаними з Edgar та п’ятьма іншими зламами, за даними Bloomberg. Вона відсиділа короткий термін і була звільнена за співпрацю зі слідством. У 2023 році суд засудив її до терміну, вже відбутого під вартою, визнавши її допомогу у розслідуванні.
- Зараз хакерка працює в компанії з кібербезпеки Recorded Future Inc. і возз’єдналася з матір’ю та донькою, яких уряд США евакуював із України.
- Тим часом Радченко залишається на свободі. А система SEC Edgar, попри часткові оновлення, досі вразлива, за словами експертів з кібербезпеки.
Помітили помилку? Виділіть його мишею та натисніть Shift+Enter.
