“海淀網友”協助警方追蹤跨境“黑客”

　　為嚴厲打擊“黑客”攻擊破壞違法犯罪活動，有效保障信息網絡安全，自今年3月起，公安部部署開展了為期一年的“打擊整治‘黑客’攻擊破壞違法犯罪專項行動”。專項行動開展以來，北京警方破獲各類“黑客”攻擊破壞違法犯罪案件130余起，依法查處“黑客”類犯罪嫌疑人140余人。這其中不僅包含規模打擊入侵家庭攝像頭式的窺探公民隱私案件，也包括“火球”病毒這樣侵害公司生產經營的典型案件。

　　某IT公司為躲避國內監管，開發“病毒”捆綁正常軟件傳染境外互聯網，短短一年利用植入廣告牟利近8000余萬元人民幣。近日，“海淀網友”又立新功，協助警方偵破一起特大“黑客”破壞計算機系統案。

　　“海淀網友”發現跨境黑客線索

　　2017年6月3日，海淀分局網安大隊接到一名熱心“海淀網友”舉報稱：自己在網上瀏覽網頁時，發現一國外知名安全實驗室報道了一起代號為“FIREBALL(火球)”的事件，在這起事件中發現了某中國網絡公司通過在國外推廣鑲嵌了惡意代碼的免費軟件來達到流量變現的目的。

　　據了解，這名“海淀網友”提到的報告由國外某著名安全廠商，于2017年6月1日對外發布。報告稱，一個來自中國的“惡意軟件”感染了全球2.5億臺計算機，有20%的企業網絡“中招”。染毒的電腦會強行修改瀏覽器主頁，并將搜索結果定向到谷歌和雅虎，通過控制用戶點擊網站的廣告進行牟利。此外，該軟件還會跟蹤用戶數據，暗中升級用戶信息。

　　因為舉報此事的“海淀網友”本身就是一名網絡安全公司的技術人員，他在看到國外的實驗室分析后，就結合自己的專業知識，對“火球”病毒傳播途徑進行了分析。此后還協助分局網安大隊民警對該網絡公司推廣的免費軟件進行了樣本固定，通過技術手段對樣本進行了功能性分析，最終確定在這些被推廣的免費軟件內的確存在相同的惡意代碼。

　　劫持用戶流量惡意植入廣告牟利

　　北京青年報記者了解到，“火球”傳播“流氓軟件”的手段，是病毒中常見的“白加黑”技術，該技術使用干凈的EXE文件加載執行包含惡意代碼的動態鏈接庫，是一種用于躲避安全軟件文件監控和主動防御的技術。雖然“火球”傳播主要針對海外市場，國內中毒用戶并不多，但海淀分局網安大隊對涉案網絡公司進行調查時發現，該公司辦公地、注冊地均在海淀區。因此，網安和刑偵部門立即按照分局要求，成立了專案組，開展立案偵查。

　　專案組民警從病毒程序的運行方式入手，通過模擬系統中毒過程結合實地調查追蹤，準確掌握嫌疑人制作病毒自行侵入用戶電腦，強行修改系統配置，劫持用戶流量，惡意植入廣告牟利的犯罪事實。

　　11人團伙一年牟利近8000萬人民幣

　　通過監測，辦案民警及時固定了整個犯罪行為過程的關鍵證據，同步摸清了該公司組織架構。6月15日專案組正式啟動收網行動，在該公司所在地將該犯罪團伙一舉搗毀，抓獲了以馬某、鮑某、莫某為首的11名嫌疑人，嫌疑人對自己的犯罪事實供認不諱。

　　經審查，馬某、鮑某、莫某都一直從事IT行業，想到開發惡意插件捆綁正常軟件可以劫持流量從而達到植入廣告進行牟利的目的，幾人于2015年共同出資成立了一家網絡公司，對該病毒軟件進行開發。馬某任公司總裁，鮑某和莫某分別任公司技術總監和運營總監。開發出“FIREBALL”惡意軟件后，考慮到國內網絡安全監管嚴厲，為了躲避監管，公司在國外開通了賬戶，然后將該惡意軟件捆綁正常軟件投放國外軟件市場進行傳播。該惡意軟件感染電腦后，能夠在受害者機器上執行任意代碼，進行竊取憑據、劫持上網流量到刪除其他惡意軟件的各種操作等違法犯罪行為。然后，該公司在該惡意軟件上植入廣告向受害者電腦投放從而牟取暴利，該公司國外賬戶僅僅在去年就非法獲利近8000萬人民幣。

　　目前，馬某、鮑某、莫某等9人因涉嫌破壞計算機系統罪已被海淀區檢察院批準逮捕，案件還在進一步審理中。文/本報記者 楊柳供圖/海淀警方

?

?

?

相關鏈接：

?