黑客的世界究竟有多黑?

　　欲望有多大，就有多黑。

　　一撥來自東歐的黑客與華爾街交易員，里應外合，竊取新聞機構的上市公司財報，獲取暴利，內外勾結，利用金融系統，洗錢分贓，長達5年之久。

　　“32個人，5年內，盜取15萬新聞公告，精選800份，從股市牟利上億美元?！?

　　股市是信息不對稱的博弈，總有人動歪腦子，比方說，內幕交易。近日，美國證券交易委員會(SEC，下稱“美國證監會”)破獲一起交易員與黑客勾結，盜取上市公司信息的內幕交易大案。

　　案情曝光，美國上市公司驚魂難定，有企業在臉書(Facebook)上打趣，“美國資本市場有三類公司：一種是被黑過，一種是不知道自己被黑過，還有一種是不承認自己被黑過?！?

　　為了清晰、全面地了解這一“互聯網+”內幕交易，我們從帕拉納面包公司說起。

　　2小時獲利100萬

　　交易員Dubovoy向黑客提交一份“采購”清單，“帕拉納面包案季報”赫然在列，黑客利用SQL注入技術入侵新聞機構的數據庫，很快得手。當天，Dubovoy利用該財報做空帕拉納面包股票，2小時獲利100萬

　　2013年10月22日上午9時04 分，帕拉納面包公司 (Panera Bread )上傳最新季報給Marketwired，盡管公司利潤與華爾街此前的分析一致，但由于公告里面還將提到因到店顧客數減少、人工及食品成本上升，公司會下調第四季度的收入預測。

　　按照美國《證券法》，所有的新聞社必須同時公布季報等事先計劃的重大消息。為了能做到同時公布，新聞社都事先取得這些季報或者并購消息，然后在事先約定的同一時間向市場發布。因此一旦下午四點股市休市后發布公告，公司第二天的股價可能就會下跌。

　　10月3日，Arkadiy Dubovoy 已經為此提前準備。Dubovoy 是一家名為APD Developers 的商品房開發商老板，但是他本人還控制著嘉信理財、E-Trade、Fidelity、美林證券、宏達理財等多家大型投行的經紀賬戶。

　　在此前的溝通中，他已經向黑客列出了自己的 “愿望清單”。這一天，他收到了一封空白郵件，郵件的附件里包括了一張電子表格截圖，截圖上面顯示了18家上市公司的信息，以及預計發布收益情況公告的時間，帕納拉面包公司赫然在列。

　　一名烏克蘭黑客接下了這個單子。他利用SQL注入技術入侵了Marketwired等新聞機構的數據庫。交易員提供愿望清單后，黑客就會在上市公司上傳新聞公告給新聞機構后竊取清單中所列公司的信息，并在公告發布前提供給這些股票交易員。所以，Marketwired 收到季報后不久，Dubovoy 等人也拿到了。

　　由于季報包含有對帕納拉面包公司股價不利的信息，在當天下午2點到4點間三人開始做空帕納拉面包公司的股票共超過10萬股。下午4時05分，帕納拉面包公司收入公告公布，公司股價果然應聲下跌。但 Dubovoy 等3人一個下午就收入了將近100萬美元。

　　5年盜取15份資料

　　交易員自2010年起，透過電郵向黑客提供“愿望清單”，黑客按指示前后竊取逾15萬份資料，獲利最豐的交易員收入高達1700萬美元

　　從 Panera Bread(帕納拉面包公司)公告被竊案中，大概能夠了解這種作案的手法和過程。

　　這群黑客主要居住在俄羅斯和烏克蘭，雙方通過電子郵件和聊天工具溝通。按照起訴書的說法，這伙人在溝通中甚至對自己的行為毫不掩飾。比方說，2012年，一位被起訴的俄羅斯黑客直接在聊天軟件里面說 “我正在黑prnewswire.com”。

　　根據法庭文件的披露，此次涉案的人達32人，作案的時間跨度達5年之久，根據聯邦起訴書和SEC指控內容，黑客的攻擊對象包括美通社協會有限公司(PR Newswire Association LLC)、Marketwired和美國商業資訊(Business Wire lnc.)，而美國商業資訊還是伯克希爾·哈撒韋的子公司等新聞機構的15萬份新聞公告，涉及美國銀行、卡特彼勒、高樂氏、惠普等30多家公司。但是為了掩人耳目，涉案的交易員僅從中選擇了800份公告作案。

　　這些交易員自2010年起，透過電郵向黑客提供“愿望清單”，包括上市公司資料及公布業績時間表，黑客按指示竊取后，把稿件轉發至秘密網站，供交易員提前瀏覽再進行買賣，前后涉及逾15萬份資料。交易員快人一步取得企業敏感資訊，進行股票、期權及其他證券交易，獲得巨額利益，再傳入離岸空殼公司及愛沙尼亞、澳門等地的銀行賬戶，并與黑客瓜分，提供信息的黑客按固定費率從非法交易的獲利中提成。其中50歲的避險基金經理及摩根斯坦利前員工 Vitaly Korchevsky 獲利最多，將近 1700 萬美元。

　　“被告人是有良好組織的團伙，非法進入新聞社和他們客戶的電腦系統。用史無前例的黑客和交易手段投資公開市場進行證券欺詐?！睓z察官保羅·費雪曼(Paul J. Fishman)在發布會上說，“這些人對三大新聞社發動一系列精細的網絡攻擊，竊取了極為機密的商業信息，并且以這些公司和他們股東的損失為代價獲取暴利?！?

　　此次受害的新聞社除了專發財經信息的通訊社美通社，更有隸屬于“股神”沃倫·巴菲特伯克希爾·哈撒韋公司的商業新聞社和加拿大的市場新聞社。根據司法部的調查，美通社的網絡安全人員每次都覺察到了黑客的入侵，并及時反應，只是每次貓捉老鼠的游戲都以黑客在逃走前得到了商業機密而告終。商業新聞社則是因為惡意軟件有超過200名員工的用戶名和密碼泄露，造成黑客冒充新聞社的編輯人員接觸敏感信息。市場新聞社則是因為網站軟件漏洞被黑客成功地利用名為SQL Injection的攻擊手段建立了一條遠程登陸通道，從而隨意進出系統。

　　兩類黑客手法升級

　　一撥黑客專門攻擊企業電子郵件帳號，獲得關于并購和其他市場動向的機密信息;另一撥黑客給ATM取款機安裝惡意軟件，讓取款機變傻，“取款100盧布，但出來的金額是5000盧布”

　　當然，不僅股票證券市場受到黑客們的青睞，其他領域也正在遭受黑客們的“頻頻光顧?！?

　　信息安全公司FireEye報告稱，自2013年年中以來，一個名為“FIN4”的黑客組織嘗試攻擊了超過100家公司的電子郵件賬號，試圖獲得關于并購和其他市場動向的機密信息，攻擊目標包括超過60家上市公司，這些公司來自生物技術和其他醫療健康領域，例如醫療設備，以及醫院設備和藥品等。

　　消息人士稱，美國證監會已要求這些公司提交關于信息安全攻擊的數據。此外美國證監會也希望了解，黑客如何通過“魚叉式釣魚”等方式獲得這些企業員工的電子郵件密碼。

　　斯塔克表示，他已見到過美國證監會向這些公司索取信息的文件，但并不清楚這一調查的范疇。

　　“FIN4黑客可能來自美國或歐洲，因為他們的英語非常流暢，并對金融市場和投行運作有著深刻的理解。這些黑客瞄準醫療和制藥公司是由于，這些公司的股價波動很大，因此更容易通過內幕消息獲利?！盕ireEye表示，“這些黑客使用虛假的微軟Outlook登錄頁面來欺騙企業高管和顧問，以獲得他們的用戶名和密碼?！?

　　FireEye安全威脅情報經理勞拉·加蘭特(Laura Galante)表示：“非常狡猾的一點是，他們將自己置入電子郵件討論之中，從而獲得遺漏的信息。他們確實非常了解自己的目標?！?

　　還有一類黑客，專門攻擊銀行系統。

　　一個來自俄羅斯和烏克蘭的黑客團伙也逐漸進入了警方的視線，該團伙專門入侵銀行等金融機構并給ATM取款機安裝惡意軟件。該團伙的成員使用Carberp木馬的變種盜取了俄羅斯銀行200萬美元的資金，他們之中8人曾經在2012年因使用該木馬盜竊而被捕，但是據說僅僅在出獄幾小時后，他們又開始重新策劃實施犯罪。

　　大多數的網絡金融攻擊都是盜取用戶銀行卡里的資金或者攻擊用戶的網上銀行，像這伙人一樣專門入侵銀行，然后用巧妙的方式盜走資金的實屬罕見。根據Fox-IT和Group-IB這兩個機構發布的報告，這個團伙目前已經從東歐的各大銀行盜取了1500多萬美元。他們的攻擊手法一般是這樣的：首先利用office軟件的漏洞給各大金融機構發送包含惡意軟件的釣魚郵件，一旦有機器中了惡意軟件，他們便以此機器作為跳板滲透到銀行內網。他們的目標一般是ATM取款機，修改取款機的程序，讓取款機能取出更多的鈔票，“取款100盧布，但出來的金額是5000盧布”，目前能修改52種不同的取款機。據了解，目前該組織已經攻擊了超過50家俄羅斯銀行，這伙組織非常猖狂。根據調查，從踩點到攻擊成功，平均只需42天。

　　一場高成本執法行動

　　美國證監會順藤摸瓜，抽絲剝繭，從2010年一份黑客郵件入手，7名居住在美國的交易員最終在各自的家中被捕，2名在烏克蘭的黑客也被國際通緝

　　美國證監會早已對一個黑客組織展開調查，但是這一切并不容易。

　　整個案件的“頭”是一封來自烏克蘭的電子郵件，發送者是一個年輕的烏克蘭籍黑客，時間定格在2010年10月。這名黑客后來被發現正是本案主犯之一Ivan Turchynov。

　　美國證監會指控，在逾5年時間里，黑客Ivan Turchynov和Oleksandr Ieremenko利用先進技術入侵新聞專線服務，通過使用代理服務器掩飾自己的身份，并冒充新聞專線雇員和客戶，在數百家企業通過通訊社發布盈利公告前，竊取了尚未公開的重要信息。

　　美國證監會還指控，Turchynov和Ieremenko創建了一個秘密的網絡，將偷竊而來的數據傳送給在俄羅斯、烏克蘭、馬耳他、塞浦路斯、法國以及美國的喬治亞州、紐約州和賓夕法尼亞州。內幕交易者們向黑客列出了一張希望竊取內幕信息對象的“愿望清單”，然后迅速通過黑客了解到的信息買賣股票并賺取利潤。

　　令人嘆為觀止的是，兩名黑客還制作了視頻教程，指導交易者如何使用其非法產品進行股票買賣。當業務越做越大后，兩名黑客開始通過聊天工具和電子郵件“釣魚”，企圖吸納更多的內幕交易者和黑客加入其中。

　　一名消息人士表示，美國證監會已要求至少8家上市公司提交數據泄露事故的細節。此舉表明，SEC對于美國企業和政府部門遭到的黑客攻擊越來越關注。

　　美國證監會互聯網執法部門前負責人約翰·斯塔克(John Reed Stark)表示，這是首次就數據泄露可能導致內幕交易展開調查，“信息安全事故帶來了一種非法內幕交易的危險新方式?！?

　　這種形式的內幕交易突破了傳統案件中上市公司內部人員主動提前泄露商業信息的模式，這造成監管和偵察上更加困難?！白C監會對新聞社沒有司法管轄權。新聞社很難因為被黑客攻擊造成商業機密泄露而負上法律責任。但是聲望上可能造成的損失會促使他們改進系統?！卑⑺_勒律師說，“報社或電視臺是私有企業，如果他們總是泄露敏感的金融信息，即使美國證監會不采取措施，上市公司也會追溯他們的責任，甚至起訴他們?！?

　　檢方提出的起訴罪名包括證券欺詐、電信欺詐和洗錢等一系列罪行。美國證券交易委員會、聯邦調查局和特工處都對案件展開調查。路透社說，這是一樁罕見的黑客行為和證券交易結合的案件，為已知最大的黑客所竊取信息最終用于內線交易的案件，也是美國檢方首次因黑客竊取內部信息并實行證券欺詐提起刑事訴訟。先前，美國證券交易委員會在少數民事案件中起訴過黑客。

　　此次7名居住在美國的交易員在最終在各自的家中被捕，2名在烏克蘭的黑客也被國際通緝。美國證監也對這9名利用黑客手段的嫌疑人同時提起民事訴訟，并對其他相關人員提起民事訴訟，總共起訴了遍布全球的17人以及15家公司。在此宗案件中，被聯邦政府控制的銀行賬戶金額高達650萬美元，同時還有價值550萬美元的資產被查封，包括船屋、公寓大樓以及購物中心。

　　此案中擔當FBI特別探員的甫瀚咨詢公司(Protiviti)的風險控制顧問彼得·格魯皮(Peter Grupe)表示，現在“內幕交易”正變得越來越復雜：“過去你要提防的是雇員在收發室里截取郵件，或是律師事務所中能夠獲取非公開信息的辦事員，但現在你得防備世界上每一個地方的人。”