В расследовании телеканала CNBC раскрывается масштабная международная схема кибермошенничества, организованная молодыми российскими предпринимателями и бывшими сотрудниками спецслужб. Используя изощренные хакерские атаки на американскую инфраструктуру финансовых рынков, участники группы сумели заработать десятки миллионов долларов на инсайдерской торговле акциями крупнейших компаний США. Итогом этой операции противостояния между ФБР и московскими хакерами стал громкий арест в швейцарских Альпах и последующий судебный процесс в Бостоне.
🛬 Арест в Альпах и начало расследования 0:02
🏔️ Роковой отпуск в Швейцарии
21 марта 2021 года частный самолет с молодым российским предпринимателем Владиславом Клюшиным и его супругой Жанной приземлился в небольшом швейцарском аэропорту Сион. Пара планировала отпраздновать годовщину свадьбы на роскошном горнолыжном курорте Церматт. Клюшин находился на пике своего успеха: он владел прибыльной IT-компанией «М13», обладал связями на самом высоком уровне в российском правительстве и выполнял заказы для администрации Президента России Владимира Путина.
Бизнесмен не подозревал, что американские правоохранительные органы отслеживали его рейс с самого вылета из Москвы. ФБР готовило обвинения, затрагивающие основы финансовой системы США, поскольку жертвами преступной схемы стали инвесторы таких известных американских технологических гигантов, как Tesla, Snapchat и Roku. Швейцарская полиция задержала Клюшина прямо на взлетной полосе в тот момент, когда он собирался пересесть в вертолет, чтобы отправиться на заснеженные склоны.
🕵️♂️ Наводка от SEC и легендарный следователь
История расследования началась задолго до ареста, когда опытный следователь ФБР по финансовым преступлениям БДжей Канг получил конфиденциальную наводку от Комиссии по ценным бумагам и биржам США (SEC). Аналитики SEC зафиксировали паттерн подозрительной активности на фондовом рынке: группа иностранных трейдеров регулярно совершала феноменально прибыльные сделки прямо перед публикацией квартальных отчетов крупных компаний. БДжей Канг, получивший известность на Уолл-стрит благодаря арестам автора крупнейшей финансовой пирамиды Берни Мэдоффа и инсайдера Раджа Раджаратнама, возглавил расследование.
К делу подключился федеральный прокурор Стивен Фрэнк. По его воспоминаниям, масштаб происходящего поражал: из квартала в квартал, на протяжении долгого времени, неизвестные лица за рубежом извлекали миллионы долларов нелегальной прибыли, нанося прямой ущерб рядовым американским инвесторам. На начальном этапе команда ФБР сомневалась, удастся ли им вообще вычислить организаторов, скрывающихся за границей.
💻 Анатомия хакерской схемы «взлом для торгов» 4:41
📂 Уязвимое звено: агенты по подаче отчетности
Для раскрытия механизма обогащения следователи начали массово запрашивать данные по IP-адресам, доменам и цифровым следам подозреваемых. Изучая собранный массив информации, команда ФБР обнаружила ключевую закономерность, предоставленную SEC: все пострадавшие корпорации использовали одних и тех же агентов по подаче отчетности (filing agents).
Как пояснил федеральный прокурор Сет Косто, эти специализированные сервисные компании помогают публичным предприятиям форматировать и отправлять обязательные финансовые отчеты в базу данных SEC до их официального обнародования. Хакеры взломали компьютерные системы этих агентов, похитив легитимные логины и пароли действующих сотрудников. Это позволяло им беспрепятственно заходить в закрытые корпоративные аккаунты и заранее просматривать конфиденциальные финансовые результаты любых интересующих их компаний. Оплата серверов для вывода украденных данных производилась анонимно с помощью криптовалюты Bitcoin.
🇷🇺 Московский след и роковая ошибка хакера
Следователи сумели отследить IP-адрес, с которого совершалась транзакция в биткоинах, и обнаружили, что кибератака координировалась непосредственно из Москвы. Косвенным подтверждением послужил и временной фактор: несанкционированный доступ к аккаунтам американских компаний происходил глубокой ночью по американскому времени, что в точности соответствовало стандартным рабочим часам в Москве.
Вскоре ведущий хакер совершил критическую ошибку, которая позволила ФБР установить его личность. Всего за четыре минуты до очередного проникновения в сеть американской фармацевтической компании для кражи документов, подозреваемый зашел со своего личного IP-адреса в аккаунт iTunes. Проверив регистрационные данные Apple, ФБР выяснило, что учетная запись оформлена на реальное имя Ивана Ермакова.
Американские спецслужбы уже сталкивались с Ермаковым ранее:
- 2016 год: Министерство юстиции США заочно предъявило Ермакову обвинения в качестве действующего офицера ГРУ за участие в хакерских атаках на предвыборный штаб Хиллари Клинтон и вмешательстве в президентские выборы.
- 2018 год: Ермаков был повторно обвинен в кибератаках и дезинформационных кампаниях против международных антидопинговых агентств, американской корпорации в сфере ядерной энергетики в Пенсильвании и химической лаборатории в Швейцарии.
🤝 Олигарх, хакер и «роман» в стиле миллиардеров 11:15
🏢 Компания «М13» и её связи с Кремлем
После увольнения из военной разведки ГРУ амбициозный хакер Иван Ермаков устроился на работу в частную московскую компанию «М13», располагавшуюся в южной части города. Фирма официально позиционировала себя как агентство в сфере кибербезопасности, предлагая клиентам услуги «этичного хакинга» (тестирование корпоративных сетей на проникновение силами команд black hats). Однако, по версии американского следствия, те же самые технологии взлома сотрудники применяли для незаконного проникновения к американским агентам отчетности.
На своем веб-сайте компания «М13» открыто указывала, что ее клиентами являются государственные структуры Российской Федерации, включая администрацию Президента Владимира Путина. Владельцем и руководителем этой структуры являлся молодой и быстро богатеющий предприниматель Владислав Клюшин. Несмотря на отсутствие глубоких технических навыков в IT, Клюшин обладал обширными связями в оборонном секторе, спецслужбах и среди российской бизнес-элиты, регулярно посещая закрытые мероприятия совместно с высокопоставленными офицерами ФСБ.
🛥️ Роскошная жизнь и зашифрованные чаты
Клюшин стремился к сверхбогатству и атрибутам роскошной жизни миллиардеров. В июне 2020 года он удостоился государственной Медали Почета за подписью Владимира Путина, а также получил ведомственную награду от руководства ФСБ. Между Клюшиным и Ермаковым завязались тесные дружеские и деловые отношения. Они вместе отдыхали, занимались хели-скингом, посещали матчи чемпионата мира по футболу в России и вели постоянную переписку в зашифрованных мессенджерах. Клюшин приобрел для Ермакова элитную квартиру в Москве, а себе купил яхту под названием «7K» на верфи на Кипре за $3 миллиона.
В личных чатах Threema партнеры детально обсуждали американский сериал «Миллиарды» о коррумпированных трейдерах Уолл-стрит, проецируя сюжет на свою жизнь. Ермаков в переписке выступал в роли своеобразного психотерапевта для своего босса, рассуждая о том, что непрекращающаяся жажда покупок при наличии огромного состояния свидетельствует о внутреннем несчастье.
Постепенно Клюшин решил поставить схему на промышленные рельсы, создав подобие нелегального хедж-фонда («Инсайдерская торговля ЛТД»). Он привлек крупных инвесторов из российского бизнес-сообщества, доверивших ему управление капиталом. Схема принесла им около $15 миллионов чистой прибыли, при этом сам Клюшин забирал себе беспрецедентную комиссию в размере от 50% до 60% от дохода.
📈 Миллионы на американских акциях 18:28
🚗 Операции с Tesla, Sketchers и Ulta Beauty
В офисе «М13» на экранах сотрудников непрерывно транслировалась украденная финансовая информация американского рынка. В распоряжении следствия оказались внутренние чаты, наглядно демонстрирующие процесс реализации схемы на примере сделок со следующими эмитентами:
- Tesla: Хакеры похитили черновик квартального отчета компании. Увидев рекордную выручку в размере $6,8 миллиарда, Клюшин отправил инвесторам СМС с указанием срочно покупать акции. После закрытия рынка Tesla официально опубликовала данные, превзошедшие ожидания аналитиков, что вызвало резкий взлет котировок.
- Sketchers: Летом 2019 года команда «М13» заранее узнала о неожиданно позитивных финансовых результатах обувного бренда. Закупив опережающий объем акций, группа заработала более $1 миллиона на одной сделке.
- Ulta Beauty: В данном случае украденные документы указывали на ухудшение прогнозов косметической компании. Хакеры открыли короткую позицию (шорт). Когда негативные новости вышли в публичное поле, цена акций рухнула на 30%, принеся «М13» почти $2 миллиона чистой прибыли за одну ночь.
Деньги накапливались колоссальными темпами. Клюшин лично информировал Ермакова, что один из инвесторов за короткий срок утроил свои вложения, заработав около $1 миллиона. В домашнем сейфе олигарха скопилось наличными более $3 миллионов стодолларовыми купюрами. При этом хакеры осознавали риски: Клюшин держал на рабочем столе распечатку статьи Reuters о приговоре украинскому хакеру по аналогичному американскому делу. Когда Клюшин скинул в общий чат Threema фотографии их тайных инвесторов, Ермаков резко отчитал его, заявив, что тот подставляет всю организацию, нарушая конспирацию.
Стоит отметить, что хакеры, несмотря на блестящие технические навыки, оказались посредственными финансистами. По материалам дела, в периоды, когда у них не было прямой инсайдерской информации, они совершали грубые ошибки, путались в выставлении стоп-приказов и несли системные убытки. В чатах они жаловались друг другу на «странное поведение рынка» и признавали: «как трейдеры мы отстой». Тем не менее, использование инсайда позволило им заработать суммарно около $93 миллионов менее чем за 3 года.
🏦 Звонок из Saxo Bank и выдуманное приложение
Аномальная доходность операций «М13» вызвала серьезные подозрения у комплаенс-службы датского онлайн-брокера Saxo Bank, через которого проводились транзакции. Руководство банка инициировало официальный звонок для прояснения легитимности торговых стратегий. В ходе разговора, запись которого оказалась у CNBC, Владислав Клюшин озвучил ложную легенду.
Через переводчика он заверил банкиров, что его фирма не использует инсайд, а разработала уникальное высокотехнологичное приложение Preston. По словам Клюшина, программа в реальном времени анализирует социальные сети и интернет-пространство, прогнозируя тренды. Успех по сделке с Tesla он цинично объяснил тем, что система моментально среагировала на знаменитый твит Илона Маска о выкупе акций по цене $420. Клюшин даже предложил прислать демо-версию приложения, что вызвало панику среди его сотрудников, знавших, что никакого готового софта не существует. Представители Saxo Bank заявили телеканалу CNBC, что при выявлении подозрительной активности банк незамедлительно информирует контролирующие органы.
👁️ Тайный фронт: откровения бывшего шпиона 32:02
🎭 Мнение перебежчика из ФСБ
После экстрадиции из Швейцарии Владислав Клюшин предстал перед судом присяжных в Бостоне. В феврале 2023 года он был признан виновным в мошенничестве с ценными бумагами, мошенничестве с использованием электронных средств связи и незаконном проникновении в компьютерные системы. Суд приговорил его к 9 годам заключения в американской федеральной тюрьме Форт-Дикс и конфискации $34 миллионов. Иван Ермаков и другие соучастники укрылись в Москве и остаются недосягаемыми для американского правосудия.
В рамках журналистского расследования CNBC удалось встретиться в США с бывшим офицером ФСБ, который проживает под вымышленным именем «Джон» (или «Майк») в рамках программы защиты свидетелей. Он проработал в российской разведке около 16 лет, занимаясь вербовкой иностранных бизнесменов и сбором финансовой информации на Западе.
По мнению бывшего шпиона, кейс Клюшина — лишь вершина айсберга:
«Финансовый сектор и банковская система — это одно из полей масштабной невидимой войны между Россией и Западом. В условиях жестких санкций кибератаки и инсайдерская торговля используются структурами, близкими к Кремлю, в качестве нестандартного оружия для дестабилизации американских рынков капитала».
Бывший оперативник утверждает, что кража финансовой информации западных компаний и последующее личное обогащение за этот счет являются абсолютно нормальной практикой среди руководства российских спецслужб. По его словам, на территории США годами действуют внедренные «кроты» внутри частного бизнеса, которые незаметно передают экономические данные кураторам в Москве, не привлекая внимания покупками суперкаров вроде Bugatti или Lamborghini.
С точки зрения государства, как считает перебежчик, Кремлю крайне выгодно иметь таких «фрилансеров»: они не требуют бюджетного финансирования, самостоятельно обеспечивают себя миллионами, а взамен выполняют задачи по экономическому шпионажу и позволяют государственным структурам быть на шаг впереди Запада. Кроме того, по версии экс-офицера ФСБ, Клюшин и Ермаков вряд ли сами вышли на уязвимость американских агентов отчетности — вероятнее всего, готовую наводку на цель им передали действующие сотрудники спецслужб за долю в прибыли.
🛡️ Угроза национальной безопасности США
Эксперт по кибербезопасности Сандра Джойс (Google) подчеркнула в интервью, что взлом подобных систем для специалистов уровня ГРУ, за плечами которых стояли отключения электроэнергии в Киеве и запуск разрушительного вируса NotPetya, являлся «легкой добычей». Она констатировала резкий рост числа случаев финансового вымогательства со стороны хакерских группировок, базирующихся в России и Восточной Европе, что официально признано угрозой национальной безопасности США.
Бывший руководитель Бостонского отделения ФБР Джо Бонаволонта подытожил, что, учитывая колоссальный нелегальный доход группы Клюшина в $93 миллиона, можно с уверенностью предположить существование других аналогичных кибергруппировок, промышляющих инсайдом на американском рынке. Пока Иван Ермаков находится в Москве, он остается неуязвимым, однако, по заявлению представителей ФБР, обвинения будут висеть над ним всю жизнь, делая любой выезд за пределы России фатальным.
