"海淀網(wǎng)友"火了 幫警方查出感染2.5億臺(tái)電腦的黑客

絲絲雨下

（原標(biāo)題：感染2.5億臺(tái)電腦 毒源藏身海淀被端 ）

為嚴(yán)厲打擊“黑客”攻擊破壞違法犯罪活動(dòng)，有效保障信息網(wǎng)絡(luò)安全，自今年3月起，公安部部署開展了為期一年的“打擊整治‘黑客’攻擊破壞違法犯罪專項(xiàng)行動(dòng)”。專項(xiàng)行動(dòng)開展以來，北京警方破獲各類“黑客”攻擊破壞違法犯罪案件130余起，依法查處“黑客”類犯罪嫌疑人140余人。這其中不僅包含規(guī)模打擊入侵家庭攝像頭式的窺探公民隱私案件，也包括“火球”病毒這樣侵害公司生產(chǎn)經(jīng)營(yíng)的典型案件。

某IT公司為躲避國內(nèi)監(jiān)管，開發(fā)“病毒”捆綁正常軟件傳染境外互聯(lián)網(wǎng)，短短一年利用植入廣告牟利近8000余萬元人民幣。近日，“海淀網(wǎng)友”又立新功，協(xié)助警方偵破一起特大“黑客”破壞計(jì)算機(jī)系統(tǒng)案。

“海淀網(wǎng)友”發(fā)現(xiàn)跨境黑客線索

2017年6月3日，海淀分局網(wǎng)安大隊(duì)接到一名熱心“海淀網(wǎng)友”舉報(bào)稱：自己在網(wǎng)上瀏覽網(wǎng)頁時(shí)，發(fā)現(xiàn)一國外知名安全實(shí)驗(yàn)室報(bào)道了一起代號(hào)為“FIREBALL（火球）”的事件，在這起事件中發(fā)現(xiàn)了某中國網(wǎng)絡(luò)公司通過在國外推廣鑲嵌了惡意代碼的免費(fèi)軟件來達(dá)到流量變現(xiàn)的目的。

據(jù)了解，這名“海淀網(wǎng)友”提到的報(bào)告由國外某著名安全廠商，于2017年6月1日對(duì)外發(fā)布。報(bào)告稱，一個(gè)來自中國的“惡意軟件”感染了全球2.5億臺(tái)計(jì)算機(jī)，有20%的企業(yè)網(wǎng)絡(luò)“中招”。染毒的電腦會(huì)強(qiáng)行修改瀏覽器主頁，并將搜索結(jié)果定向到谷歌和雅虎，通過控制用戶點(diǎn)擊網(wǎng)站的廣告進(jìn)行牟利。此外，該軟件還會(huì)跟蹤用戶數(shù)據(jù)，暗中升級(jí)用戶信息。

因?yàn)榕e報(bào)此事的“海淀網(wǎng)友”本身就是一名網(wǎng)絡(luò)安全公司的技術(shù)人員，他在看到國外的實(shí)驗(yàn)室分析后，就結(jié)合自己的專業(yè)知識(shí)，對(duì)“火球”病毒傳播途徑進(jìn)行了分析。此后還協(xié)助分局網(wǎng)安大隊(duì)民警對(duì)該網(wǎng)絡(luò)公司推廣的免費(fèi)軟件進(jìn)行了樣本固定，通過技術(shù)手段對(duì)樣本進(jìn)行了功能性分析，最終確定在這些被推廣的免費(fèi)軟件內(nèi)的確存在相同的惡意代碼。

劫持用戶流量惡意植入廣告牟利

北京青年報(bào)記者了解到，“火球”傳播“流氓軟件”的手段，是病毒中常見的“白加黑”技術(shù)，該技術(shù)使用干凈的EXE文件加載執(zhí)行包含惡意代碼的動(dòng)態(tài)鏈接庫，是一種用于躲避安全軟件文件監(jiān)控和主動(dòng)防御的技術(shù)。雖然“火球”傳播主要針對(duì)海外市場(chǎng)，國內(nèi)中毒用戶并不多，但海淀分局網(wǎng)安大隊(duì)對(duì)涉案網(wǎng)絡(luò)公司進(jìn)行調(diào)查時(shí)發(fā)現(xiàn)，該公司辦公地、注冊(cè)地均在海淀區(qū)。因此，網(wǎng)安和刑偵部門立即按照分局要求，成立了專案組，開展立案?jìng)刹椤?/p>

專案組民警從病毒程序的運(yùn)行方式入手，通過模擬系統(tǒng)中毒過程結(jié)合實(shí)地調(diào)查追蹤，準(zhǔn)確掌握嫌疑人制作病毒自行侵入用戶電腦，強(qiáng)行修改系統(tǒng)配置，劫持用戶流量，惡意植入廣告牟利的犯罪事實(shí)。

11人團(tuán)伙一年牟利近8000萬人民幣

通過監(jiān)測(cè)，辦案民警及時(shí)固定了整個(gè)犯罪行為過程的關(guān)鍵證據(jù)，同步摸清了該公司組織架構(gòu)。6月15日專案組正式啟動(dòng)收網(wǎng)行動(dòng)，在該公司所在地將該犯罪團(tuán)伙一舉搗毀，抓獲了以馬某、鮑某、莫某為首的11名嫌疑人，嫌疑人對(duì)自己的犯罪事實(shí)供認(rèn)不諱。

經(jīng)審查，馬某、鮑某、莫某都一直從事IT行業(yè)，想到開發(fā)惡意插件捆綁正常軟件可以劫持流量從而達(dá)到植入廣告進(jìn)行牟利的目的，幾人于2015年共同出資成立了一家網(wǎng)絡(luò)公司，對(duì)該病毒軟件進(jìn)行開發(fā)。馬某任公司總裁，鮑某和莫某分別任公司技術(shù)總監(jiān)和運(yùn)營(yíng)總監(jiān)。開發(fā)出“FIREBALL”惡意軟件后，考慮到國內(nèi)網(wǎng)絡(luò)安全監(jiān)管嚴(yán)厲，為了躲避監(jiān)管，公司在國外開通了賬戶，然后將該惡意軟件捆綁正常軟件投放國外軟件市場(chǎng)進(jìn)行傳播。該惡意軟件感染電腦后，能夠在受害者機(jī)器上執(zhí)行任意代碼，進(jìn)行竊取憑據(jù)、劫持上網(wǎng)流量到刪除其他惡意軟件的各種操作等違法犯罪行為。然后，該公司在該惡意軟件上植入廣告向受害者電腦投放從而牟取暴利，該公司國外賬戶僅僅在去年就非法獲利近8000萬人民幣。

目前，馬某、鮑某、莫某等9人因涉嫌破壞計(jì)算機(jī)系統(tǒng)罪已被海淀區(qū)檢察院批準(zhǔn)逮捕，案件還在進(jìn)一步審理中。

來源：北京青年報(bào)