海淀公安分局副局長趙磊砢給網友頒發傑出網友獎盃
為嚴厲打擊“駭客”攻擊破壞違法犯罪活動,有效保障資訊網路安全,自今年3月起,公安部部署開展了為期一年的“打擊整治‘駭客’攻擊破壞違法犯罪專項行動”。專項行動開展以來,北京警方破獲各類“駭客”攻擊破壞違法犯罪案件130余起,依法查處“駭客”類犯罪嫌疑人140余人。這其中不僅包含規模打擊入侵家庭攝像頭式的窺探公民隱私案件,也包括“火球”病毒這樣侵害公司生産經營的典型案件。
某IT公司為躲避國內監管,開發“病毒”捆綁正常軟體傳染境外網際網路,短短一年利用植入廣告牟利近8000余萬元人民幣。近日,“海淀網友”又立新功,協助警方偵破一起特大“駭客”破壞電腦系統案。
“海淀網友”發現跨境駭客線索
2017年6月3日,海淀分局網安大隊接到一名熱心“海淀網友”舉報稱:自己在網上瀏覽網頁時,發現一國外知名安全實驗室報道了一起代號為“FIREBALL(火球)”的事件,在這起事件中發現了某中國網路公司通過在國外推廣鑲嵌了惡意代碼的免費軟體來達到流量變現的目的。
據了解,這名“海淀網友”提到的報告由國外某著名安全廠商,于2017年6月1日對外發佈。報告稱,一個來自中國的“惡意軟體”感染了全球2.5億台電腦,有20%的企業網路“中招”。染毒的電腦會強行修改瀏覽器主頁,並將搜索結果定向到谷歌和雅虎,通過控制用戶點擊網站的廣告進行牟利。此外,該軟體還會跟蹤用戶數據,暗中升級用戶資訊。
因為舉報此事的“海淀網友”本身就是一名網路安全公司的技術人員,他在看到國外的實驗室分析後,就結合自己的專業知識,對“火球”病毒傳播途徑進行了分析。此後還協助分局網安大隊民警對該網路公司推廣的免費軟體進行了樣本固定,通過技術手段對樣本進行了功能性分析,最終確定在這些被推廣的免費軟體內的確存在相同的惡意代碼。
劫持用戶流量惡意植入廣告牟利
北京青年報記者了解到,“火球”傳播“流氓軟體”的手段,是病毒中常見的“白加黑”技術,該技術使用乾淨的EXE文件載入執行包含惡意代碼的動態連結庫,是一種用於躲避安全軟體文件監控和主動防禦的技術。雖然“火球”傳播主要針對海外市場,國內中毒用戶並不多,但海淀分局網安大隊對涉案網路公司進行調查時發現,該公司辦公地、註冊地均在海澱區。因此,網安和刑偵部門立即按照分局要求,成立了專案組,開展立案偵查。
專案組民警從病毒程式的運作方式入手,通過模擬系統中毒過程結合實地調查追蹤,準確掌握嫌疑人製作病毒自行侵入用戶電腦,強行修改系統配置,劫持用戶流量,惡意植入廣告牟利的犯罪事實。
11人團夥一年牟利近8000萬人民幣
通過監測,辦案民警及時固定了整個犯罪行為過程的關鍵證據,同步摸清了該公司組織架構。6月15日專案組正式啟動收網行動,在該公司所在地將該犯罪團夥一舉搗毀,抓獲了以馬某、鮑某、莫某為首的11名嫌疑人,嫌疑人對自己的犯罪事實供認不諱。
經審查,馬某、鮑某、莫某都一直從事IT行業,想到開發惡意插件捆綁正常軟體可以劫持流量從而達到植入廣告進行牟利的目的,幾人于2015年共同出資成立了一家網路公司,對該病毒軟體進行開發。馬某任公司總裁,鮑某和莫某分別任公司技術總監和運營總監。開發出“FIREBALL”惡意軟體後,考慮到國內網路安全監管嚴厲,為了躲避監管,公司在國外開通了賬戶,然後將該惡意軟體捆綁正常軟體投放國外軟體市場進行傳播。該惡意軟體感染電腦後,能夠在受害者機器上執行任意代碼,進行竊取憑據、劫持上網流量到刪除其他惡意軟體的各種操作等違法犯罪行為。然後,該公司在該惡意軟體上植入廣告向受害者電腦投放從而牟取暴利,該公司國外賬戶僅僅在去年就非法獲利近8000萬人民幣。
目前,馬某、鮑某、莫某等9人因涉嫌破壞電腦系統罪已被海澱區檢察院批准逮捕,案件還在進一步審理中。文/本報記者 楊柳 供圖/海淀警方