|
|
因为技术,他们成为黑客;因为金钱,黑客变得更黑。
黑客的世界究竟有多黑?
欲望有多大,就有多黑。
一拨来自东欧的黑客与华尔街交易员,里应外合,窃取新闻机构的上市公司财报,获取暴利,内外勾结,利用金融系统,洗钱分赃,长达5年之久。
“32个人,5年内,盗取15万新闻公告,精选800份,从股市牟利上亿美元。”
股市是信息不对称的博弈,总有人动歪脑子,比方说,内幕交易。近日,美国证券交易委员会(SEC,下称“美国证监会”)破获一起交易员与黑客勾结,盗取上市公司信息的内幕交易大案。
案情曝光,美国上市公司惊魂难定,有企业在脸书(Facebook)上打趣,“美国资本市场有三类公司:一种是被黑过,一种是不知道自己被黑过,还有一种是不承认自己被黑过。”
为了清晰、全面地了解这一“互联网+”内幕交易,我们从帕拉纳面包公司说起。
2小时获利100万
交易员Dubovoy向黑客提交一份“采购”清单,“帕拉纳面包案季报”赫然在列,黑客利用[color=rgb(68, 68, 68) !important]SQL注入技术入侵新闻机构的数据库,很快得手。当天,Dubovoy利用该财报做空帕拉纳面包股票,2小时获利100万
2013年10月22日上午9时04 分,帕拉纳面包公司 (Panera Bread )上传季报给Marketwired,尽管公司利润与华尔街此前的分析一致,但由于公告里面还将提到因到店顾客数减少、人工及食品成本上升,公司会下调第四季度的收入预测。
按照美国《证券法》,所有的新闻社必须同时公布季报等事先计划的重大消息。为了能做到同时公布,新闻社都事先取得这些季报或者并购消息,然后在事先约定的同一时间向市场发布。因此一旦下午四点股市休市后发布公告,公司第二天的股价可能就会下跌。
10月3日,Arkadiy Dubovoy 已经为此提前准备。Dubovoy 是一家名为APD Developers 的商品房开发商老板,但是他本人还控制着嘉信理财、E-Trade、Fidelity、美林证券、宏达理财等多家大型投行的经纪账户。
在此前的沟通中,他已经向黑客列出了自己的 “愿望清单”。这一天,他收到了一封空白邮件,邮件的附件里包括了一张电子表格截图,截图上面显示了18家上市公司的信息,以及预计发布收益情况公告的时间,帕纳拉面包公司赫然在列。
一名乌克兰黑客接下了这个单子。他利用SQL注入技术入侵了Marketwired等新闻机构的数据库。交易员提供愿望清单后,黑客就会在上市公司上传新闻公告给新闻机构后窃取清单中所列公司的信息,并在公告发布前提供给这些股票交易员。所以,Marketwired 收到季报后不久,Dubovoy 等人也拿到了。
由于季报包含有对帕纳拉面包公司股价不利的信息,在当天下午2点到4点间三人开始做空帕纳拉面包公司的股票共超过10万股。下午4时05分,帕纳拉面包公司收入公告公布,公司股价果然应声下跌。但 Dubovoy 等3人一个下午就收入了将近100万美元。
5年盗取15份资料
交易员自2010年起,透过电邮向黑客提供“愿望清单”,黑客按指示前后窃取逾15万份资料,获利最丰的交易员收入高达1700万美元
从 Panera Bread(帕纳拉面包公司)公告被窃案中,大概能够了解这种作案的手法和过程。
这群黑客主要居住在俄罗斯和乌克兰,双方通过电子邮件和聊天工具沟通。按照起诉书的说法,这伙人在沟通中甚至对自己的行为毫不掩饰。比方说,2012年,一位被起诉的俄罗斯黑客直接在聊天软件里面说 “我正在黑prnewswire.com”。
根据法庭文件的披露,此次涉案的人达32人,作案的时间跨度达5年之久,根据联邦起诉书和SEC指控内容,黑客的攻击对象包括美通社协会有限公司(PR Newswire Association LLC)、Marketwired和美国商业资讯(Business Wire lnc.),而美国商业资讯还是伯克希尔·哈撒韦的子公司等新闻机构的15万份新闻公告,涉及美国银行、卡特彼勒、高乐氏、惠普等30多家公司。但是为了掩人耳目,涉案的交易员仅从中选择了800份公告作案。
这些交易员自2010年起,透过电邮向黑客提供“愿望清单”,包括上市公司资料及公布业绩时间表,黑客按指示窃取后,把稿件转发至秘密网站,供交易员提前浏览再进行买卖,前后涉及逾15万份资料。交易员快人一步取得企业敏感资讯,进行股票、期权及其他证券交易,获得巨额利益,再传入离岸空壳公司及爱沙尼亚、澳门等地的银行账户,并与黑客瓜分,提供信息的黑客按固定费率从非法交易的获利中提成。其中50岁的避险基金经理及摩根斯坦利前员工 Vitaly Korchevsky 获利最多,将近 1700 万美元。
“被告人是有良好组织的团伙,非法进入新闻社和他们客户的电脑系统。用史无前例的黑客和交易手段投资公开市场进行证券欺诈。”检察官保罗·费雪曼(Paul J. Fishman)在发布会上说,“这些人对三大新闻社发动一系列精细的网络攻击,窃取了极为机密的商业信息,并且以这些公司和他们股东的损失为代价获取暴利。”
此次受害的新闻社除了专发财经信息的通讯社美通社,更有隶属于“股神”沃伦·巴菲特伯克希尔·哈撒韦公司的商业新闻社和加拿大的市场新闻社。根据司法部的调查,美通社的网络安全人员每次都觉察到了黑客的入侵,并及时反应,只是每次猫捉老鼠的游戏都以黑客在逃走前得到了商业机密而告终。商业新闻社则是因为恶意软件有超过200名员工的用户名和密码泄露,造成黑客冒充新闻社的编辑人员接触敏感信息。市场新闻社则是因为网站软件漏洞被黑客成功地利用名为SQL Injection的攻击手段建立了一条远程登陆通道,从而随意进出系统。
两类黑客手法升级
一拨黑客专门攻击企业电子邮件帐号,获得关于并购和其他市场动向的机密信息;另一拨黑客给ATM取款机安装恶意软件,让取款机变傻,“取款100卢布,但出来的金额是5000卢布”
当然,不仅股票证券市场受到黑客们的青睐,其他领域也正在遭受黑客们的“频频光顾。”
信息安全公司FireEye报告称,自2013年年中以来,一个名为“FIN4”的黑客组织尝试攻击了超过100家公司的电子邮件账号,试图获得关于并购和其他市场动向的机密信息,攻击目标包括超过60家上市公司,这些公司来自生物技术和其他医疗健康领域,例如医疗设备,以及医院设备和药品等。
消息人士称,美国证监会已要求这些公司提交关于信息安全攻击的数据。此外美国证监会也希望了解,黑客如何通过“鱼叉式钓鱼”等方式获得这些企业员工的电子邮件密码。
斯塔克表示,他已见到过美国证监会向这些公司索取信息的文件,但并不清楚这一调查的范畴。
“FIN4黑客可能来自美国或欧洲,因为他们的英语非常流畅,并对金融市场和投行运作有着深刻的理解。这些黑客瞄准医疗和制药公司是由于,这些公司的股价波动很大,因此更容易通过内幕消息获利。”FireEye表示,“这些黑客使用虚假的微软Outlook登录页面来欺骗企业高管和顾问,以获得他们的用户名和密码。”
FireEye安全威胁情报经理劳拉·加兰特(Laura Galante)表示:“非常狡猾的一点是,他们将自己置入电子邮件讨论之中,从而获得遗漏的信息。他们确实非常了解自己的目标。”
还有一类黑客,专门攻击银行系统。
一个来自俄罗斯和乌克兰的黑客团伙也逐渐进入了警方的视线,该团伙专门入侵银行等金融机构并给ATM取款机安装恶意软件。该团伙的成员使用Carberp木马的变种盗取了俄罗斯银行200万美元的资金,他们之中8人曾经在2012年因使用该木马盗窃而被捕,但是据说仅仅在出狱几小时后,他们又开始重新策划实施犯罪。
大多数的网络金融攻击都是盗取用户银行卡里的资金或者攻击用户的网上银行,像这伙人一样专门入侵银行,然后用巧妙的方式盗走资金的实属罕见。根据Fox-IT和Group-IB这两个机构发布的报告,这个团伙目前已经从东欧的各大银行盗取了1500多万美元。他们的攻击手法一般是这样的:首先利用office软件的漏洞给各大金融机构发送包含恶意软件的钓鱼邮件,一旦有机器中了恶意软件,他们便以此机器作为跳板渗透到银行内网。他们的目标一般是ATM取款机,修改取款机的程序,让取款机能取出更多的钞票,“取款100卢布,但出来的金额是5000卢布”,目前能修改52种不同的取款机。据了解,目前该组织已经攻击了超过50家俄罗斯银行,这伙组织非常猖狂。根据调查,从踩点到攻击成功,平均只需42天。
一场高成本执法行动
美国证监会顺藤摸瓜,抽丝剥茧,从2010年一份黑客邮件入手,7名居住在美国的交易员最终在各自的家中被捕,2名在乌克兰的黑客也被国际通缉
美国证监会早已对一个黑客组织展开调查,但是这一切并不容易。
整个案件的“头”是一封来自乌克兰的电子邮件,发送者是一个年轻的乌克兰籍黑客,时间定格在2010年10月。这名黑客后来被发现正是本案主犯之一Ivan Turchynov。
美国证监会指控,在逾5年时间里,黑客Ivan Turchynov和Oleksandr Ieremenko利用先进技术入侵新闻专线服务,通过使用代理服务器掩饰自己的身份,并冒充新闻专线雇员和客户,在数百家企业通过通讯社发布盈利公告前,窃取了尚未公开的重要信息。
美国证监会还指控,Turchynov和Ieremenko创建了一个秘密的网络,将偷窃而来的数据传送给在俄罗斯、乌克兰、马耳他、塞浦路斯、法国以及美国的乔治亚州、纽约州和宾夕法尼亚州。内幕交易者们向黑客列出了一张希望窃取内幕信息对象的“愿望清单”,然后迅速通过黑客了解到的信息买卖股票并赚取利润。
令人叹为观止的是,两名黑客还制作了视频教程,指导交易者如何使用其非法产品进行股票买卖。当业务越做越大后,两名黑客开始通过聊天工具和电子邮件“钓鱼”,企图吸纳更多的内幕交易者和黑客加入其中。
一名消息人士表示,美国证监会已要求至少8家上市公司提交数据泄露事故的细节。此举表明,SEC对于美国企业和政府部门遭到的黑客攻击越来越关注。
美国证监会互联网执法部门前负责人约翰·斯塔克(John Reed Stark)表示,这是首次就数据泄露可能导致内幕交易展开调查,“信息安全事故带来了一种非法内幕交易的危险新方式。”
这种形式的内幕交易突破了传统案件中上市公司内部人员主动提前泄露商业信息的模式,这造成监管和侦察上更加困难。“证监会对新闻社没有司法管辖权。新闻社很难因为被黑客攻击造成商业机密泄露而负上法律责任。但是声望上可能造成的损失会促使他们改进系统。”阿萨勒律师说,“报社或电视台是私有企业,如果他们总是泄露敏感的金融信息,即使美国证监会不采取措施,上市公司也会追溯他们的责任,甚至起诉他们。”
检方提出的起诉罪名包括证券欺诈、电信欺诈和洗钱等一系列罪行。美国证券交易委员会、联邦调查局和特工处都对案件展开调查。路透社说,这是一桩罕见的黑客行为和证券交易结合的案件,为已知较大的黑客所窃取信息最终用于内线交易的案件,也是美国检方首次因黑客窃取内部信息并实行证券欺诈提起刑事诉讼。先前,美国证券交易委员会在少数民事案件中起诉过黑客。
此次7名居住在美国的交易员在最终在各自的家中被捕,2名在乌克兰的黑客也被国际通缉。美国证监也对这9名利用黑客手段的嫌疑人同时提起民事诉讼,并对其他相关人员提起民事诉讼,总共起诉了遍布全球的17人以及15家公司。在此宗案件中,被联邦政府控制的银行账户金额高达650万美元,同时还有价值550万美元的资产被查封,包括船屋、公寓大楼以及购物中心。
此案中担当FBI特别探员的甫瀚咨询公司(Protiviti)的风险控制顾问彼得·格鲁皮(Peter Grupe)表示,现在“内幕交易”正变得越来越复杂:“过去你要提防的是雇员在收发室里截取邮件,或是律师事务所中能够获取非公开信息的办事员,但现在你得防备世界上每一个地方的人。”
|
|
