美国联邦检察官12月27日控告,3名中国公民非法侵入美国律师事务所的网络服务器,并利用窃取的企业并购信息进行内线交易,不到2年便已赚取逾400万美金暴利。美国检方同时警告,全球握有宝贵信息的律师事务所,都可能成为未来网络攻击的主要目标。
起诉书指,自2014年4月至2015年底,3名嫌犯利用律师事务所的员工凭证,在公司服务器上安装恶意软件,因而得以入侵2间负责并购业务的法律事务所邮件帐户,取得数百万封邮件,并有至少5间其他法律公司成为攻击目标。
接着,他们再根据邮件中的交易信息,于并购交易消息公布前购买相关公司的股票,包括知名半导体公司英特尔(Intel Corporation)、商业服务公司 Pitney Bowes 和制药商 Intermune 等,并以此取得超过400万美元的不法获利。
检察官并未指出遭受攻击的律师事务所名称。但华尔街日报指出,起诉书的描述细节高度符合3月时该报指出正在接受黑客攻击调查的律所 Cravath, Swaine & Moore LLP 及 Weil, Gotshal & Manges LLP 。这2家事务所为华尔街的银行与财富500强公司代理法律诉讼及并购谈判等业务,规模可达数十亿美元。
遭起诉的3名中国公民分别是26岁与50岁的澳门居民 Iat Hong 及 Chin Hung,与30岁的中国大陆长沙人 Bo Zheng。其中 Iat Hong 已经于12月25日于香港被捕,将被引渡至美国受审,其他2人则尚未被收押。
这个网络的证券诈欺案应当作为对全球的律师事务所的警讯:你们已经成为、或者将会成为网络攻击的目标,因为你们握有对潜在犯罪分子而言有价值的信息。
这个案件是美国最新一起涉及黑客攻击的内线交易案,这也使美国检方警告,拥有机密交易信息的律师事务所可能成为黑客的首要目标。华尔街邮报也认为,这对于长期以来被视为容易遭受网络攻击的律师事务所而言是一记“警钟”。
网络安全顾问和前证券交易委员会执法律师 John Reed Stark 便表示,目前大部分律师事务所缺乏实行最严格的网络安全系统所需的精密基础设备。
声音
我们不期待律师事务所运作的像国安局那样......但我们还是希望确保我们的机密信息受到保护。
法律事务所对威胁模型的认真程度摆第一,安全摆最后 。