美国SEC的Edgar系统遭黑客入侵暴露金融安全漏洞——彭博社
Liam Vaughan
插图:Maxime Mouysset为《彭博商业周刊》绘制### 第一章:救赎
对于美国证券交易委员会而言,2019年1月15日是救赎之日。该机构提交了多年来最受瞩目的执法案件之一,凝聚了五个部门二十多名员工的工作成果。
这份长达43页的起诉书描述的案件犹如机场惊悚小说:乌克兰网络犯罪分子入侵了一个庞大的计算机网络,其中包含美国一些大公司即将发布的盈利报告,然后将这些信息出售给一个神秘的交易网络。作为调查机构之一,SEC本身也是受害者。黑客找到了进入该机构Edgar数据库的方法,这可能是世界上最大的公司文件存储库。这些网络犯罪分子此前已因其他罪行被SEC通缉。他们就像是在警局外出搜寻时抢劫证据室的逃犯。
该机构在16个月前披露的这起入侵事件对SEC来说是一场噩梦。毕竟,SEC是惩罚网络安全失误的机构。“SEC的网络尴尬”,《华尔街日报》的一篇专栏文章这样写道。参议员们严厉质询了当时的主席杰伊·克莱顿,询问事件经过以及SEC是否还能被信任处理敏感财务数据。
2017年美国证券交易委员会主席克莱顿在参议院银行委员会作证。摄影师:Pablo Martinez Monsivais/美联社美国证券交易委员会(SEC)随民事起诉书发布的新闻稿给出了一些保证。黑客窃取的金额为数百万美元。导致事件发生的漏洞已迅速修补。尽管交易者采取了"多种手段掩盖欺诈行为",但SEC的"精密分析"成功破获此案。“今天的行动表明,SEC有决心和能力揭开这些骗局,即使作案者在境外活动也能将其绳之以法,“该机构执法部门负责人表示。
SEC与司法部均以证券欺诈和电信诈骗罪名对黑客进行缺席起诉。SEC还指控七名交易员(包括两名美国人)参与共谋,称对其不利的证据"确凿无疑”。
这是SEC对事件的官方说法。但当有知情者建议我重新调查时,我开始着手查明真相,以及类似事件是否会重演。我采访了司法部、特勤局、SEC和乌克兰网络警察的官员;与受禁言令约束的被告交谈;并查阅了突击搜查中查获的证据。
我的调查结果动摇了SEC案件的根本依据,并预示了未来的风险。在系统被轻易攻破后,SEC将调查资源耗费在低层级的替罪羊身上——这些人即便涉及金融犯罪,也绝非主谋。而真正应担责且危险的角色依然逍遥法外。遭入侵的系统仍未升级。特朗普政府正在削减 网络安全 预算,这实质上削弱了政府机构的自我防御能力。
故事的核心人物在官方叙述中几乎被完全抹去。
第二章:黑客行动
在乌克兰切尔卡瑟市郊一栋破旧的公寓楼里,化名"攻壳幽灵"的黑客精英奥尔加·库普里娜正面对三台笔记本电脑。那是2016年12月22日,第聂伯河畔一个晴朗寒冷的夜晚,但34岁的库普里娜已经数周未曾出门。她后来向当局和我透露,自己正被名叫阿尔乔姆·拉德琴科的歹徒囚禁——这个白天爱穿名牌运动服、晚上钟情鳄鱼皮鞋的26岁男子,一边吸食可卡因一边呵斥她继续工作。隔壁房间,另一名黑客正在疯狂敲击键盘,持枪打手们把守着各个出入口。
两个月前,拉德琴科以每份文件20万美元分她一半利润为诱饵,招募库普里娜入侵美国证监会系统窃取未公开的申报文件。当库普里娜索要分成时,她称对方打断了她的鼻梁并拒绝放人。(拉德琴科拒绝回应《彭博商业周刊》的质询)
圣诞前夜凌晨五点,连续通宵工作的库普里娜将窃取的文档存入U盘。待拉德琴科带着"战利品"赶赴早市交易后,她偷偷将文件备份到私人文件夹,瘫倒在床垫上盘算着如何回到七岁女儿身边。
美国证监会的电子数据收集分析检索系统(Edgar)既是信息技术奇迹,也是苟延残喘的"科学怪人”。这个1993年诞生的系统日均处理3000份新备案和数百万次下载,却运行在弗吉尼亚州地下室成排积灰的服务器上,依靠拼凑的代码和过时的软件勉强支撑。
埃德加的临时搭建结构对黑客来说是梦寐以求的,他们一直在寻找可乘之机
到2016年,人们已达成共识需要更换该系统,内部将这项计划称为"大爆炸"。负责这项现代化改造的SEC官员里克·赫鲁回忆道:“挑战在于如何在不让市场动荡的情况下,对这架正在飞行的巨型客机进行大规模改造。““总有理由推迟这件事。”
与此同时,每当需要软件补丁或新功能时,都是在现有系统上打补丁。埃德加的临时搭建结构对黑客来说是梦寐以求的,他们一直在寻找可乘之机。果然,2016年10月,SEC的IT部门发现系统某些本应禁止访问的部分出现了来自东欧的IP地址。团队迅速识别出软件漏洞并进行了修补。接下来的问题是是否要公开此事。SEC自身规定要求公司公布任何"重大"网络安全事件,但IT管理人员没有发现任何非公开信息被访问的证据。因此该机构没有公开此事。
插图:Maxime Mouysset为《彭博商业周刊》绘制### 第三章:启示
在SEC华盛顿总部的其他地方,这座旨在体现该机构透明理念的巨大玻璃建筑内,监控专家们正在监测市场寻找内幕交易的迹象。市场滥用部门的成员注意到俄罗斯、乌克兰和美国的经纪账户在公司发布财报前几小时或几天内进行了有预见的押注。2017年初,该部门负责人联系了新泽西州美国检察官办公室的一名网络检察官,告诉他:又发生了。
2010年至2014年间,俄语系网络犯罪分子侵入了美国三大新闻通讯社——商业通讯社、美通社和市场通讯社——窃取了数千份未发布的财报和新闻稿,并将这些信息以利润40%的分成兜售给交易员。这是当时被称为"黑客交易"的新型犯罪活动中最恶劣的案例。该犯罪团伙在被美国司法部、证券交易委员会和特勤局捣毁前,已非法获利超过1亿美元。包括一名浸信会牧师在内的数名美国境内成员被捕。但由于美乌之间没有引渡条约,主犯——身材魁梧、娃娃脸的25岁乌克兰人奥列克桑德尔·叶列缅科(化名"瘸子”,讽刺性绰号)仍逍遥法外,驾驶着橙色兰博基尼飓风跑车穿梭在基辅街头。而根据调查人员的观察,此人似乎已重操旧业。
特勤局联系了各家新闻通讯社,但对方坚称未再遭入侵。当局不禁疑惑:那他们是从何处获取信息的?
2017年4月,在拉琴科随行人员的劝说下,库普里娜获释。离开前,她将一个印有自由女神像的红蓝笔记本和数个U盘藏进包里。拉琴科的保镖驾车送她返回基辅,在积雪覆盖的森林中穿行三小时,库普里娜始终恐惧自己会被灭口。但黎明时分,她只是被抛弃在城郊。回到公寓后,她拥抱了母亲,悄悄爬上床与女儿相拥而眠,随即昏睡过去。
接下来的日子里,库普琳娜的恐惧逐渐转化为愤怒。她给特勤局网络犯罪专家里奇·拉图利普发了一条Skype消息——这位追踪她已久的探员与她几乎成了朋友。她告诉拉图利普,有人一直在入侵美国证券交易委员会(SEC),而她掌握了证据。
库普琳娜不仅入侵了SEC,还入侵了花旗集团、纳斯达克、道琼斯和美国宇航局。摄影:马特·艾克(Bloomberg Businessweek)SEC已投入巨资开发数据分析工具,用于检测异常成功的交易。这项工作的核心是一个名为阿尔忒弥斯的系统,其名称源自希腊狩猎女神,该系统通过解析交易记录和账户持有人数据来识别可疑活动迹象。
调查人员在寻找内幕信息潜在接收者时,锁定了居住在洛杉矶韩国城相距几英里的两位热衷派对的日内交易员——曹成镇(Sungjin Cho)和大卫·权(David Kwon)。2016年的四个月间,36岁的曹成镇(他在曼谷还拥有一套公寓)在财报发布前交易逾百次,获利120万美元。权某则获利超过40万美元。他们的买卖操作与一位名叫伊万·奥列菲尔的乌克兰人高度吻合,后者与两名朋友共同获利超过80万美元。
调查人员发现,曹成镇和奥列菲尔在2012至2014年间也曾有过一段交易热潮,他们交易的许多公司正是伊列缅科在新闻专线黑客攻击中窃取文件的对象。
Cho共同拥有的CY集团是洛杉矶一家小型贸易公司,为包括基辅的Olefir等全球独立交易员提供资金和低成本接入美国交易所的渠道。该公司此前已因无证经营经纪业务而受到美国证券交易委员会另一部门的调查。
2017年5月,在基辅凯悦酒店,Kuprina会见了LaTulip、其他几名特勤局特工及乌克兰网络警察成员。她用蹩脚的英语讲述了入侵EDGAR系统的经过。
在Ieremenko的新闻通讯社黑客团伙解散后,他与基辅夜店结识的富农之子Radchenko合作。Radchenko野心勃勃但技术有限。“他就是个脚本小子”,Kuprina嗤之以鼻。
据Kuprina所述,两人策划让Ieremenko入侵SEC核心数据库,Radchenko则通过俄乌政界和黑道关系变现。他们在基辅租用办公室,并在英国注册了听起来正规的Benjamin Capital公司以吸引外部投资者。
“那里的漏洞多到你他X的难以想象”
Ieremenko发现EDGAR系统存在测试文件上传区,企业会在正式发布前检查格式错误。虽然部分使用假数据,但多数上传真实信息。很快他每周能下载数百份测试文件。Radchenko倒卖文件收益,挥霍于酒水服务和宾利轿车。2016年10月SEC修补漏洞时,两人已分道扬镳。
随后Radchenko招募了Kuprina。她向特工表示,自己不到两周就攻破EDGAR系统:劫持授权用户的临时访问权限;对管理员发起钓鱼攻击,发送伪装成SEC同事的带毒链接邮件;发现投诉网页漏洞;获取未公开文件标题日志。“那里的漏洞多到你他X的难以想象”,她告诉我。2016年10月至2017年3月间,Kuprina又下载了数十份含重大非公开信息的文件。
会议结束后,拉图利普将所闻转达给司法部,后者又将其传递给证券交易委员会。但据参与调查的消息人士透露,SEC执法部门的律师们难以相信该机构会成为攻击目标:他们坚称SEC一向严格避免保留价格敏感信息。
一周后,司法部检察官飞赴基辅亲自审问库普里娜。这次她带来了红蓝双色记事本和U盘。这些证据不仅揭示了她获取的文件内容及方式,还暴露了在她介入之前伊列缅科的所作所为。
SEC的IT团队耗时四个月才核实库普里娜的陈述。“我们不断向他们强调’需要重新核查’",一位检察官回忆道。当最终发现黑客的电子指纹时,真相已无可辩驳:SEC追踪数月的可疑交易源头正是SEC自身。
杰伊·克莱顿就任SEC主席仅三个月时,便收到了来自基辅的情报简报。这位来自苏利文克伦威尔律所的精英律师没有坐等检方立案,而是坚持要求机构主动公开。“我当时说’各位,想想我们在金融生态中的角色——我们从事信息披露工作,这是所有企业都面临的问题,我们必须像任何优秀机构那样处理此事’",他向我透露。
2017年9月26日,克莱顿出席参议院银行委员会听证会,解释为何SEC未能保护EDGAR系统且隐瞒入侵事件长达一年。议员们承认这并非克莱顿的过失,但追责重任落在他肩上。“此事非同小可”,时任蒙大拿州民主党参议员乔恩·泰斯特表示。由于SEC未具体说明如何发现黑客入侵,无人追问若没有库普里娜的举报将酿成何等后果。
第四章:调查
2018年11月28日,库普里娜与拉图利普及其一名特勤局同事在基辅郊外的鲍里斯波尔国际机场登机。那天早晨,她与母亲和女儿道别,不知何时能再相见。
前一年库普里娜主动投案后,司法部提出交易条件:来美国认罪,协助调查网络犯罪,我们将尽力减刑并助你重建新生。走投无路的库普里娜同意了。在美国驻基辅大使馆与政府官员会面期间,她坦白了自己的犯罪生涯。
她开始窃取信用卡数据并在论坛出售,选择"攻壳机动队"作为代号,因其作案不留痕迹
1982年出生于基辅的库普里娜是科学家之女,其叔父曾任克格勃将军。苏联解体使家族陷入贫困。她在厨房餐桌上拆解电子设备,啃完艰深的技术手册,在互联网前时代的留言板上自学黑客技术。她开始窃取信用卡数据并在论坛出售,选择"攻壳机动队”(一部赛博朋克动漫)作为代号,因其作案不留痕迹。1995年电影《黑客》是她最爱,尤其认同安吉丽娜·朱莉饰演的角色——在社交笨拙的冲动男性世界中游刃有余的冷艳女性。
2007年获得计算机科学与IT工程双硕士学位后,库普里娜嫁给同为黑客的丈夫。不久怀孕。高端网络犯罪常需团队协作,2007至2017年间她参与多起轰动性黑客事件:花旗集团、捷蓝航空、纳斯达克、道琼斯、商业通讯社,甚至NASA。她迷上拉力赛车,购置河景公寓,有时让女儿翘课陪她见客户,车内轰鸣着电子乐。但这趟刺激的致富之旅逐渐变调:丈夫离去,突袭行动中她失去技术设备和密码,只得昼夜工作由母亲照料孩子。登机时,这位酗酒的单亲母亲身后还跟着致命仇家。
库普里娜抵达美国后,被关押在新泽西州纽瓦克监狱,身着橙色囚服。随后数周,检方不断追问她关于埃德加系统的漏洞细节、如何建立网络通道,以及为何认为在她或伊雷缅科之前已有其他黑客入侵。
克莱顿参议院听证会后,美国证交会监察长办公室开始约谈工作人员。调查重点并非网络盗窃案细节,而是为何金库门如此脆弱——以及当人们发现门锁被撬时为何无人发声。读过监察报告的人士称其措辞严厉,但该文件因包含证交会网络安全敏感信息从未公开。(证交会拒绝了我获取删节版的请求,也拒绝安排任何人员就黑客事件或埃德加系统接受采访)
2018年9月21日,监察长办公室仅发布了一份平淡的一页摘要,称"埃德加系统缺乏有效监管”,该机构的"事件处理流程"需要改进。这份公告几乎未引起媒体波澜。随后数周内,证交会首席信息官和高级网络安全顾问相继离职的消息同样无人关注。
在披露系统遭入侵后,证交会向国会申请额外资金加强网络安全。但新成立的埃德加业务办公室主任并未重建系统,而是选择修补现有架构。这一急转弯令人诧异:自2014年起,证交会已支付1060万美元给两家承包商设计新网络,旨在提升易用性、降低故障率,最重要的是增强防盗性。如今,“大爆炸"重建计划已被搁置。
这一决定激怒了负责监督系统改革的SEC官员赫鲁。2018年10月,他向该机构表示将离职。在《商业周刊》获得的一封措辞严厉的信件中,他将Edgar系统描述为"陈旧脆弱"且随时可能崩溃。他写道:“SEC正在参与一场至关重要的赛跑,以避免灾难发生。”
在对新闻专线进行调查期间,当局发现了大量将黑客与交易员联系起来的证据,包括电子邮件和财务记录。一名参与者还转为污点证人,准备出庭作证。
Edgar案件的调查进展更为艰难。在获得对黑客电子邮件和iCloud账户的搜查令后,司法部编制了一份涉嫌接收被盗收益报告的嫌疑人名单。与此同时,在监听拉德琴科的电话后,乌克兰网络警察确认了六名在俄罗斯和乌克兰购买文件的企业家。根据向我描述的对话记录,伊雷缅科和拉德琴科抱怨他们的客户赚取了数千万美元,而他们只得到几十万美元。但当局无法找到这种非法交易的证据。据线人透露,买家已学会避开美国市场,通过外国经纪商交易衍生品。
有两个例外情况,他们是拉德琴科的已知同伙,通过在美国市场交易被黑客入侵的公司股票获利140万美元后套现。但由于乌克兰和俄罗斯缺乏引渡条约,这两人不太可能被追究责任。
然后是赵、权和奥列菲尔,这些日内交易者被SEC的监控系统发现。这些人经常在公司文件被盗后至财报发布前进行交易。而且他们的胜率远高于通过合理推测可能达到的水平。
对三人通讯记录的初步调查几乎没有发现他们与黑客攻击有关的证据。只有一封2016年赵姓男子发给泰国朋友的邮件提及,他在为对方管理一个5000美元的账户。“任何外部账户…都必须向编程团队支付分成,“赵写道,并补充说费用是45%。或许"编程团队"指的就是那些在新闻通讯社入侵阶段要求分得40%利润的黑客?
调查人员还发现了2010年伊列缅科与一位乌克兰年轻企业家(美国证交会称其为"4号个人”)之间耐人寻味的往来邮件。此人属于奥列菲尔交际圈,在新闻通讯社遭黑客入侵期间使用过赵所在公司的账户。这些邮件内容与案件无关——这位企业家当时在为加密货币项目寻找开发人员——且时间早于黑客攻击事件,但它们暗示了某种关联。
凭借交易数据和邮件证据,美国证交会信心十足地开始起草对伊列缅科和约六名交易者的起诉书,他们在爱德加系统内发现了前者的数字指纹。该机构内部破获此案的压力很大。更何况,一旦成功破解交易者手机或搜查其住所,谁知道当局会发现什么?或许能争取到证人配合。
同时展开调查的司法部则更为谨慎。拥有判刑权力的刑事检控机关需要比证交会等民事机构更高的举证标准,而除交易记录外,尚无确凿证据表明这些交易者与犯罪有关。与拉德琴科那两位豪赌后抽身的友人不同,赵的团队既未套现也未掩饰操作——他们以本人名义(赵某甚至以其母亲名义)在美国经纪账户进行交易。检方开始准备仅针对伊列缅科和拉德琴科的起诉书,计划先对交易者实施突击搜查,再根据取证结果决定是否追加指控。
插图:Maxime Mouysset为《彭博商业周刊》绘制### 第五章:突袭
2019年1月8日凌晨4点30分,赵被洛杉矶市中心新装修的联排别墅露台上传来的撞击声惊醒。他只穿着内裤跌跌撞撞走下楼梯,震惊地发现全副武装的FBI和特勤局特工正等在玻璃门外。
“把该死的门打开”,一名特工做口型说道。
赵后来向我回忆,他照做后,十几名特工冲进屋内。他们给他和交往三周的女友戴上手铐,将女子带往地下室卡拉OK房。一名穿着FBI防风外套的特工索要他的手机,随后递给他搜查令并连珠炮般发问:你2012至2014年使用的惠普笔记本电脑在哪?你的MacBook在哪里?你有多少部手机?
特工们架起折叠桌,取证专家开始检查赵的电子设备。
“密码是什么?”专家问。
赵记得自己回答:“数字1”。
“能拼写出来吗?”专家困惑地追问。
“就是数字1”,赵强调。
此时赵浑身发抖,请求穿上裤子。约一小时后,特工带他来到霓虹灯照明的卧室,墙内嵌着保险箱。*密码?*特工逼问。赵犹豫不决时,对方威胁:*要我们钻孔吗?*赵妥协输入密码,箱内露出摇头丸和一大袋迷幻蘑菇。
“我今晚要办乔迁派对!”他说。
探员面无表情。我们不是为这个来的,他说道。你是交易员吗? 是的,我经营一家交易公司,赵回答。你认识奥列克桑德·伊列缅科吗? 不认识,赵说。那阿尔乔姆·拉德琴科呢? 赵表示不认识。伊万·奥列菲尔? 他是我在乌克兰的合伙人,赵回答。怎么了?*你是否曾利用黑客信息进行交易?*从未有过,赵说。
“我不知道我们原本期待发现什么,但他看起来完全不像个挥金如土的罪犯,”参与搜查的一名探员回忆道,“他就是个吓坏了的滑稽年轻人,因为我们找到了他的藏匿物。”
两英里外,大卫·权在自己公寓外的走廊上瑟瑟发抖,而FBI探员把他的住处翻了个底朝天。他们离开后,他咒骂遇见赵的那一天。不出两周,他们俩的名字将充斥CNBC和纽约时报。
当月晚些时候,美国证券交易委员会提交了长达43页的详细起诉书。然而,这仅讲述了部分事实。首先,库普里娜的名字被抹去了。任何阅读该文件及随附新闻稿的人都会得出结论:对Edgar系统的攻击仅在2016年5月至10月期间发生,且由伊列缅科单独实施。起诉书称,2016年10月后,“其他人”进行了“其他尝试”,但这些尝试似乎未获成功。
然而,根据来自美国司法部、特勤局及乌克兰网络警察的六名以上调查人员以及库普里娜本人的说法,库普里娜在此后又持续下载了六个月有价值文件,直至2017年3月。他们表示,证据就在她的记事本和U盘中。美国证券交易委员会在未与库普里娜交谈前就提出了指控,对此差异拒绝置评。
关于埃德加黑客攻击几乎每个方面的真相,从未被披露
除此之外,美国证券交易委员会的投诉未能反映该企业的真实规模,没有提及作为拉琴科主要客户的东欧商人。相反,美国证券交易委员会将重点放在了赵、权、奥列菲尔和其他一些大多是小型参与者身上。这个团体只赚取了微不足道的360万美元。根据黑客的通信和电话记录,美国和乌克兰的刑事当局认为,这只是实际获得的数千万美元中的一小部分。
美国证券交易委员会对事实的陈述使其免于一些尴尬。直到今天,关于埃德加黑客攻击几乎每个方面的真相,从未被披露。
美国证券交易委员会的狭隘版本将赵置于阴谋的中心。他写给泰国朋友的那封电子邮件,要求支付程序员佣金?美国证券交易委员会称这是“对伊列缅科和其他与他一起工作的人的补偿”的提及。
在“关系网”下,美国证券交易委员会的投诉将奥列菲尔的同伙,个人4,描述为黑客和交易者之间的渠道,引用但没有引用他在2010年发送给伊列缅科的加密电子邮件。
美国证券交易委员会的案子很轻,但该机构乐观地认为,一旦分析,突袭中查获的笔记本电脑和其他物品将产生更多信息。
第六章:漏洞
2019年4月一个阴沉的周三,赵和他的律师——前美国证券交易委员会检察官肖恩·普罗瑟——在新泽西州降落,准备与司法部会面。对赵来说,过去几周压力重重。朋友们质疑他,商业伙伴避而远之。他那位担任韩国证券监管部门顾问的金融学教授父亲拒绝接听电话。当晚用餐后,普罗瑟劝赵停止饮酒早点休息。“就算我宿醉到史无前例,我的说辞也不会改变,因为这就是真相,“赵回答道。“千万别宿醉,“普罗瑟说。
次日上午在联邦调查局纽瓦克外勤办公室,赵和律师坐在会议桌前,对面是司法部和证交会的代表。这是一场豁免会议,内容不会被记录,也不能作为法庭证据。但如果赵撒谎,就可能面临重罪指控。考虑到赵有跑题的倾向,普罗瑟约定轻拍他腿部时就该停止发言。
据多名与会者回忆,赵向调查人员解释针对他的指控纯属误会。他声称多年来与奥列菲尔的团队始终在监控即将发布财报的公司,通过买卖行为判断是否存在内幕交易。他们购买冷门数据流,追踪暗池交易,并开发算法识别暗中建仓行为。发现可疑交易时,他们就顺势跟单,根据把握程度调整头寸。因此其操作偶尔与黑客攻击时段重合并不奇怪——这正是他们的策略。在通讯记录中,他们用"超级基金"统称那些赵坚称不知其身份的内幕交易者。
赵问道,这是一个几乎稳操胜券之人会有的行为吗?
赵与奥列菲尔相识于2007年,当时这位乌克兰人带着朋友们注册成为CY集团客户。与大多数散户交易者不同,性格内向的警察之子奥列菲尔拥有科学博士学位,且持续保持盈利。2009年,赵前往基辅拜访奥列菲尔及其团队,结果停留了整整一个月。当赵在曼谷购置公寓时,奥列菲尔还曾前去度假。赵不断追加资金支持奥列菲尔交易,以换取其部分盈利,后来更允许他操作朋友们的账户(赵向朋友们谎称交易由他本人执行,并得到乌克兰"程序员团队"的协助)。两人开始以俄语"同志”(tovarich)互称。
当检察官追问赵对奥列菲尔策略的真实了解程度时,赵承认在SEC提起诉讼后确实产生过怀疑——奥列菲尔与黑客们同住一座城市,且主导多数交易决策。但赵表示自己最终打消疑虑,因为他想起奥列菲尔素来谨慎:几乎总是对冲头寸,即便拥有数百万美元购买力,单笔交易也极少超过数万美元。赵反问道:这像是一个手握必胜筹码之人的行为吗?
为证明这并非事后托辞,赵出示了2013年奥列菲尔发给经纪人的邮件。当时经纪人询问他们如何连续六次准确选股,奥列菲尔在《商业周刊》获得的邮件中写道:“我们的策略基于跟随对冲基金或市场主力——当他们异常地大规模单向押注后,我们再介入盈利”。除其他因素外,他们重点关注"看跌或看涨期权交易量激增”、买卖加速迹象,以及个股是否存在预测性交易历史。
接着是2015年至2017年间,美国证券交易委员会对CY集团无证收取佣金展开的调查,最终处以3.5万美元罚款。该公司被迫提交了大量文件,包括交易记录。赵回忆当时对在场的调查人员说:哪个白痴会在证交会全面调查期间,还敢用自己的名字进行内幕交易?我可没这么大胆子!
然而在赵的电子设备和云服务中,当局确实发现了证据。
关于购买消遣性毒品的记录。关于操作他人证券账户的交易记录。关于标注为不存在项目的资金转账记录。赵甚至为女友伪造了社会保障卡,并将模板保存在硬盘中。
但当局在赵大量的即时聊天记录及其他任何地方,都未找到能将他与他们调查的严重罪行联系起来的证据。没有盈利报告。没有任何迹象表明他认识或接触过入侵埃德加系统和新闻专线案的黑客。更重要的是,长期监控伊雷缅科、拉德琴科和库普里娜的乌克兰及美国网络警察,从未听说过赵、奥列菲尔或他们的朋友。如果赵真是内幕交易团伙成员,他成功做到了不留痕迹。
4月19日,即纽瓦克会面次日,司法部通知普罗瑟不会对赵展开调查。该部门还向律师发送了一封邮件(彭博商业周刊已查阅),声明撤销要求赵在大陪审团前就伊雷缅科和拉德琴科持续审理案件作证的传票。司法部认定,赵已无法提供更多有价值信息。
第七章:定罪
赵和他的朋友们对SEC做出类似裁决的任何希望很快破灭了。2020年1月,SEC经济学家托马斯·邓恩提交了一份包含统计分析的报告,为该机构的案件提供支持。这份报告读来令人困惑。
邓恩计算出,这些人随机选中这么多文件被盗的公司,其概率最多只有"万亿分之一”。但早些时候,赵在新泽西纽瓦克曾向包括SEC代表在内的当局表示,他的团队并非随机选择目标:他们刻意试图识别存在信息泄露的公司。
邓恩报告的一部分专门证明赵、权、奥列菲尔和奥列菲尔的朋友们经常同步交易。但这些同属一家小型公司的交易员们早已坦然承认这一点。如果分析能证明他们的活动与拉琴科的两位朋友(交易员坚称不认识这两人)的行为一致,那将更具杀伤力。SEC却在突出那些与辩方说法相符的信息,并将其作为确凿证据呈现。
根据邓恩的分析,2016年5月至10月期间,赵在自己的账户中对被黑客入侵的公司进行了66次交易。他的胜率高达89%,获利约65万美元。同期,权进行了18次交易,正确率78%;奥列菲尔交易95次,胜率70%。赵与奥列菲尔共同拥有的Capyield Systems有限公司也取得了相近的成功率。
邓恩还制作了另一张表格,显示这些人在交易未被入侵公司时的表现。在赵进行的150笔此类交易中,仅39%盈利,亏损1.8万美元。奥列菲尔的胜率大致相同且同样亏损。权在63次交易后勉强持平,正确率约50%。
美国证券交易委员会(SEC)的论点是,这些交易员仅从被黑客攻击的公司中获利,因此他们必定存在欺诈行为。但他们的律师反问:如果真能获取内幕信息,为何还要盲目交易?为何在他们毫无优势的公司财报上投入三倍于平常的交易量?若这是一种误导手段,新闻通讯社案件中的交易员并未被记录有类似操作。拉琴科的两名朋友同样如此(与奥列菲尔不同,他们直接无视了SEC的调查)。而如果CY集团交易员的策略真如他们所言——识别并搭便车内幕交易,那么他们的收益模式不正是如此吗?当准确发现非法活动时大赚一笔,当信号实为虚假时盈亏平衡?
SEC对统计数据的依赖尤为关键,因为在提起诉讼一年后,该机构仍未找到新证据支持其指控。其对关键证据——“个人4号"发送给伊列缅科的邮件——的处理也出奇地含糊。周姓交易员的律师威胁要向法官申诉,因SEC拒绝提交这份邮件。
SEC同样拒绝向我提供邮件副本。2024年,我在北欧找到了"个人4号”。他同意通过匿名通讯软件回答问题,表示自己只为启动加密货币项目时给伊列缅科发过"一两封消息”:“对我来说他就是个普通程序员,我和他没有任何业务往来。“对于其与奥列菲尔同属内幕交易团伙的指控,他斥为"胡说八道”,并补充称SEC或其他美国当局从未约谈过他。
2020年2月,当赵最终身着短袖衬衫、两侧短发头顶凌乱地接受美国证券交易委员会录像取证时,他显得信心十足。代表SEC的是蓄着山羊胡、身着深色西装的庭审律师克里斯托弗·布鲁克曼。
布鲁克曼询问赵对起诉书的反应。“这令我震惊,“赵说,“我根本不认识这些黑客……我当时心想’你们可以检查任何电脑,想查什么都可以,这完全是个大误会’。”
被要求解释其交易盈利方法时,赵回答:“任何财报或影响市场的公告,总会有些消息泄露。如果你能捕捉到这种动向,那就是策略所在。“他对具体细节含糊其辞,表示通常由奥列菲尔监控数据流并做出决策。“我不算技术专家,“赵说。
在成为交易员前,赵曾在卡内基梅隆大学攻读计算机科学。“那可是个难专业,“布鲁克曼评论道。
“我有聪明的实验搭档,“赵露出笑容回答,“我算是蒙混过关…为了让父母高兴。”
“你说蒙混过关,有聪明搭档。你作弊了吗?“布鲁克曼追问。
“可能有点小作弊,“赵咧嘴笑着说。
赵真正的才能似乎在于驾驭他人智慧。当他解释在EDGAR系统遭黑客入侵期间如何赚取大部分利润时,这点变得尤为明显。赵对奥列菲尔在他们联合账户中只下小注感到沮丧,但他的朋友权有个独立账户。于是赵指示权进行与奥列菲尔相同的交易,却未告知这是在搭乌克兰人的便车。正是2016年夏天的这一举动,将权拖入了案件。这个真相让正在通过Zoom观看取证的赵的"同志"奥列菲尔大为震惊。
2020年9月,库普里娜首次踏入华盛顿的美国证券交易委员会总部。此前一个月,她已就司法部关于入侵EDGAR系统及其他五起网络攻击的指控认罪。在持续配合政府调查期间,她的案件被密封处理,量刑程序暂缓。当得知自己的"辉煌战绩"将永远保密,无法在黑客圈内赢得声誉时,她曾感到恼火,但也理解这样做的必要性。
她将成功归功于家庭——“我成长于一个间谍世家”——以及生存需求
库普里娜后来告诉我,男性总是低估她的能力。她记得年少时寻找导师的经历:“有个所谓的权威人士对我说’你永远成不了黑客’,这话彻底激怒了我。“她将成功归因于家庭背景——“我成长于间谍世家”——和现实所迫。她表示,当时乌克兰机会匮乏,而黑客行为并不被视为犯罪,反而备受尊崇。她特别提到自己的进取心与多才多艺:学生时代数学拔尖,同时就读艺术学校,会弹钢琴、创作歌曲。她曾对母亲说,黑客技术本身就是艺术——是抽象思维、创造性思维,如同拼凑谜题。
这趟华盛顿之行对库普里娜而言是种解脱,此前她在新泽西过着郊区炼狱般的生活。出狱后,她被安置在Candlewood Suites长租酒店,没有手机和网络,每晚7点实施宵禁。每隔几天,特勤局探员会载她去Wegmans咖啡馆,花数小时讨论她的黑客事迹。其余时间,她只能在门廊空地练瑜伽、画龙、研读社会工程学书籍,或通过观看《90天未婚夫》和《菲尔医生》的字幕版来提升英语。有时因思念女儿和母亲,她甚至终日无法起床。
在一次美国证券交易委员会的会议室里,库普里娜回忆道,检察官就起诉书中的被告对她施压。让她作证认识赵某、奥列菲尔等人将极具价值。她告诉调查人员,拉德琴科曾试图将黑客活动与交易操作分隔开来。即便如此,她确实接触过司法部名单上部分未被起诉的商人。但她坚称不认识证交会指认的日内交易员,甚至从未听说过这些人的名字。
大卫·权2015年首次在比佛利山庄豪宅派对中结识赵某。权某热衷股票交易但屡遭亏损,累计损失达数百万美元,这意味着未来交易获利实际上可免税。某夜赵某提议用权某的旧账户共同交易。不久后的2016年8月,权某接到赵某电话,要求立即停下手头事务买入美国网络安全公司FireEye Inc.的期权——该公司即将发布财报。随后两个月赵某又来电十余次,均在美国交易日收盘时分。当电话突然中断后,权某并未多想,直到联邦调查局破门而入。
深信自己将入狱的权某陷入酗酒抑郁。在与证交会某次会面中,他获准服用抗焦虑药物阿普唑仑。随后该机构抛出救命稻草:若权某签署指证赵某的声明,退还16.5万美元交易获利(不足其涉嫌获利半数),并同意庭审时作证指控友人,即可免于罚款并继续交易。在律师建议下,权某接受了证交会协议,尽管他始终坚持对所谓共谋计划毫不知情。
权某于2020年3月11日提交的声明对赵某的人品进行了抨击。声明称赵某未经允许擅自动用权某物品,在自家房屋装修拖延数月期间长期免费寄居权某家中。赵某曾多次使用权某银行账户进行客户转账,声称是因为其开户行FBME银行被查封。权某在声明中表示,他现在"逐渐确信"这些交易与黑客交易计划有关。
尽管存在影射成分,该声明内容大体与赵某证词吻合。权某写道,赵某自称发现了一个休眠数年、交易频率低但收益可观的"超级基金”,“赵某表示他并不清楚该超级基金的实际控制人”。
权某后来向我透露,事实上在两人被起诉前,他从未怀疑过这位朋友参与内幕交易集团。但既然政府指控赵某与乌克兰黑客合作,他又能如何反驳?
4月9日,美国证交会宣布与权某达成和解。(同时与奥列菲尔某位被指控获利5.8万美元的朋友达成和解,该人士拒绝接受采访。)权某动用他与赵某共有的交易账户资金支付了律师费和证交会罚金。
第八章:和解协议
在美国证交会每年提起的约700起案件中,98%以和解告终。这折射出制度设计中固有的权力格局与利益驱动:政府希望避免庭审带来的高昂成本和不确定性;检察官需要快速结案;而对多数被告而言,组织有效法律辩护的费用令人望而却步。和解能最大限度降低双方成本、风险及程序负担,也使证交会免于在判例错误时被迫承认失误的尴尬。
到2020年秋天,赵的资金已耗尽。他的生意陷入停滞,女友又怀有身孕。为支付法律费用,赵将洛杉矶的联排别墅挂牌出售,那间几乎无人使用的卡拉OK室也未能幸免。律师普罗瑟告诉他,若坚持庭审,至少还需花费一百万美元。
普罗瑟曾试图说服美国证券交易委员会(SEC)撤诉,但该机构态度坚决。在无法将赵的团队与黑客直接关联后,SEC转而采用"计划责任"法律理论,主张被告理应知晓存在某种欺骗行为。
9月21日,普罗瑟致信监管机构:“简言之,证据开示程序表明,与赵先生罪责相关的实际情况与…工作人员最初起诉书中指控的内容大相径庭。“近两年调查后,政府仍未能提供"任何证据显示赵先生曾知晓爱德加系统遭黑客入侵…或通过该入侵获得过哪怕一条重大非公开信息(即使是间接获得)"。
普罗瑟提议象征性和解15万美元,仅为SEC指控赵获利120万美元的零头,远不及该机构期望通过处罚获得的400万美元。一周内,SEC还价20万美元。
“怎么没人给我他妈的凡士林,好让我被操得更爽点"赵愤慨地向律师写道,他对需要支付任何费用都感到愤怒。当机构提出17.5万美元时,赵勉强同意。普罗瑟在邮件中安慰他,这个结果将"让你能向他人解释:尽管指控你获利百万,但SEC同意以仅五分之一的罚金和解”。
与几乎所有和美国证券交易委员会(SEC)达成和解的人一样,赵签署了一份命令,声明他"既不承认也不否认"指控。他还被禁止发表任何可能暗示SEC指控不准确的言论。
SEC于1972年推出所谓"禁言令”,旨在防止被告在和解后宣称自己无罪,这一制度一直存在争议。批评者指出,这使企业得以回避承认不当行为。也有人认为这是对透明度和言论自由的侵犯。去年SEC驳回了限制使用禁言令的请愿,即将离任的主席辩称这是必要工具。共和党籍委员赫斯特·皮尔斯发表异议声明称:“在奉行人民至上的自由社会,反对政府和官员的言论自由至关重要。”
2020年11月,当SEC高调宣布在Edgar案中取得最新胜利时,禁言令让赵保持了沉默。
赵在韩国住所附近。“我被禁止宣称自己无罪”,他说。摄影师:Youngrae Kim(为彭博商业周刊拍摄)### 第九章:余波
2023年底我联系到赵时,他与女友及婴儿住在首尔的公寓里。令他欣慰的是离母亲更近了——母亲已原谅他用她的账户交易导致其卷入案件。但父亲仍拒绝与他交谈。
此案影响了赵的业务、人际关系、财务状况和健康。尽管担心政府可能因违反禁言令而追究他,他还是同意分享自己的经历。“我不能说自己无辜,但我会提供所有事实,让人们自行判断,“他说。
他的律师普罗瑟更为直率。“与司法部不同,我发现SEC经常在无法找到支持其最初理论的事实时,拒绝结束调查或撤回已提起的诉讼,“他说。“由于内部压力,或者当他们知道个人缺乏资源进行审判时,他们会坚持和解。这不是一个机构运作的恰当方式。”
赵仍与同样达成和解的奥列菲尔保持联系,后者同意支付25万美元的罚款,而SEC指控他获利80万美元。在调查过程中,该机构没有发现任何证据将这位乌克兰人与黑客或被黑的财报联系起来。奥列菲尔向监管机构提供了他的银行账户、通信记录以及他开发的用于深入分析财报前交易活动的软件程序。最终,这并不足以说服SEC放弃。
奥列菲尔以禁言令为由拒绝接受采访。“我以为如果我交出一切并告诉他们发生了什么,结果会不同,“他告诉我。“我不能再多说了。“奥列菲尔继续使用他的盈利策略进行交易。“进展非常顺利,“他说。
权某则对自己达成和解的决定感到纠结。“我觉得整个过程对我非常不公,“他说。“这花了我几年的时间才熬过来,至今仍对我影响很大。“权某和赵不再交谈。“我对成(赵)的感情很复杂,“权某说。“如果他说的一切都是真的,那么我为我们的关系变成这样感到非常难过。”
埃雷门科和拉德琴科,即"埃德加"黑客攻击的策划者,至今仍逍遥法外,他们的主要客户——被刑事当局指控卷走大部分资金的俄罗斯和乌克兰商人同样在逃。美国证券交易委员会已对埃雷门科和拉德琴科的一名交易员朋友作出合计1600万美元的缺席罚款,但该机构很可能永远无法追回这笔钱。
根据美国当局调查,这些人是SEC黑客攻击事件的主要幕后推手。图片来源:美国国务院2024年,我通过社交媒体联系拉德琴科请求采访。尽管悬赏百万美元通缉,他仍回复要求我发送问题清单。我们短暂交流后,当他问及能获得什么回报,而我表示无法支付报酬时,对话骤然冷却。“利亚姆,你听到的关于我的消息"都不属实,拉德琴科用乌克兰语写道,“你被那些在此事中有利害关系的人误导了,可能仍在被误导。”
2019年SEC新闻稿中提及的22名工作人员,无人愿意接受正式采访。前SEC主席杰伊·克莱顿向我谈及他获悉黑客事件时的反应,但拒绝评论案件细节。克莱顿近期被特朗普总统任命为纽约南区联邦检察官,该职位历来是起诉白领犯罪的核心机构。
美国证券交易委员会(SEC)拒绝对此报道置评,也未根据《信息自由法》应我的请求提供其工作相关文件。
遭遇黑客攻击后,该机构加强了网络安全措施,升级软硬件并聘请"渗透测试员"来发现潜在漏洞。然而与许多政府机构一样,SEC目前正在缩减规模。据报道,作为埃隆·马斯克主导的政府监管机构裁减计划的一部分,约600名员工(占总人数15%)将离职。目前尚不清楚其中有多少来自信息技术部门。特朗普政府还提议对负责统筹所有政府机构网络安全的网络安全与基础设施安全局进行大幅削减。
SEC面临重大风险。去年该机构宣布完成建设综合审计系统——这个颇具争议的新数据库实时存储数千家公司的交易数据。该系统旨在帮助识别违规行为,但即使在裁员前,批评者就认为SEC不具备监管该系统的能力。他们表示,若数据落入不法分子之手,可能被用来逆向推导价值数十亿美元的交易策略。
库普琳娜(中)与母亲和女儿合影。摄影师:马特·艾克为《彭博商业周刊》拍摄今年一月,我在库普琳娜现居的宁静社区比萨啤酒屋与她长谈。2023年法官因她协助特勤局的贡献判处其已服刑期。同年,美国证交会发布简短命令,要求她不得再犯,并简要承认了她参与爱德加系统黑客攻击的事实。
库普琳娜向我讲述了她在网络安全公司Recorded Future Inc.的工作——监控暗网论坛并在会议演讲。她用首份薪水支付了一辆大引擎老爷车的首付,定制车牌"ELEET”(黑客术语)。
“我只想说,尽管母亲曾是罪犯,但她真心爱我,我也深爱着她”
她的母亲和女儿也加入了谈话。俄罗斯轰炸乌克兰时,政府将她们接来美国。三人分享甜点时,笑谈库普琳娜儿时趣事:十岁左右的奥尔加曾徒手在第聂伯河抓鱼,为向质疑的朋友证明,她当场演示引来众人围观,后来渔民纷纷效仿。
库普琳娜坦言初到美国时,最怕失去与女儿的羁绊。她记得像母亲当年那样牵着孩子的手入睡。如今16岁的女儿轻声插话:“我只想说,尽管妈妈曾是罪犯,但她真心爱我,我也深爱着她。“又补充道:“我们的纽带从未消失。这些年来,我一直都在她身边。”
我曾询问库普琳娜,她认为埃德加系统是否仍存在漏洞。她向我讲述了与美国证券交易委员会(SEC)IT团队的一次会面。库普琳娜回忆道,她详细列举了自己如何利用该系统陈旧的软件和拼凑的代码成功渗透。SEC已收紧提交文件的权限,并取消了允许公司在发布前预览测试文件的功能。但该网络始终会存有对黑客具有吸引力的信息。库普琳娜记得,当她告诉工作人员唯一能阻止她这类人入侵的方法就是彻底重建系统时,他们显得愤愤不平。——与莉迪亚·贝尤德合作 阅读下一篇:美国对中国黑客攻击的最大担忧在关岛显现