美國聯邦檢察官12月27日控告,3名中國公民非法侵入美國律師事務所的網絡伺服器,並利用竊取的企業併購信息進行內線交易,不到2年便已賺取逾400萬美金暴利。美國檢方同時警告,全球握有寶貴信息的律師事務所,都可能成為未來網絡攻擊的主要目標。
起訴書指,自2014年4月至2015年底,3名嫌犯利用律師事務所的員工憑證,在公司伺服器上安裝惡意軟件,因而得以入侵2間負責併購業務的法律事務所郵件帳戶,取得數百萬封郵件,並有至少5間其他法律公司成為攻擊目標。
接着,他們再根據郵件中的交易信息,於併購交易消息公布前購買相關公司的股票,包括知名半導體公司英特爾(Intel Corporation)、商業服務公司 Pitney Bowes 和製藥商 Intermune 等,並以此取得超過400萬美元的不法獲利。
檢察官並未指出遭受攻擊的律師事務所名稱。但華爾街日報指出,起訴書的描述細節高度符合3月時該報指出正在接受黑客攻擊調查的律所 Cravath, Swaine & Moore LLP 及 Weil, Gotshal & Manges LLP 。這2家事務所為華爾街的銀行與財富500強公司代理法律訴訟及併購談判等業務,規模可達數十億美元。
遭起訴的3名中國公民分別是26歲與50歲的澳門居民 Iat Hong 及 Chin Hung,與30歲的中國大陸長沙人 Bo Zheng。其中 Iat Hong 已經於12月25日於香港被捕,將被引渡至美國受審,其他2人則尚未被收押。
這個網絡的證券詐欺案應當作為對全球的律師事務所的警訊:你們已經成為、或者將會成為網絡攻擊的目標,因為你們握有對潛在犯罪分子而言有價值的信息。
這個案件是美國最新一起涉及黑客攻擊的內線交易案,這也使美國檢方警告,擁有機密交易信息的律師事務所可能成為黑客的首要目標。華爾街郵報也認為,這對於長期以來被視為容易遭受網絡攻擊的律師事務所而言是一記「警鐘」。
網絡安全顧問和前證券交易委員會執法律師 John Reed Stark 便表示,目前大部分律師事務所缺乏實行最嚴格的網絡安全系統所需的精密基礎設備。
聲音
我們不期待律師事務所運作的像國安局那樣......但我們還是希望確保我們的機密信息受到保護。
法律事務所對威脅模型的認真程度擺第一,安全擺最後 。