海淀网友揪出“火球”幕后黑客

2017-07-25 07:11 北京日报

打印 放大 缩小

来源标题:海淀网友揪出“火球”幕后黑客

“火球”病毒,肆虐全球,短时间内,全球2.5亿台电脑中招。是谁设计了“火球”?为何如此“凶猛”?7月24日,海淀公安分局通报已侦破“火球”案,破案的最大功臣是“海淀网友”。

【海淀网友】

两天揪出黑手

与“朝阳群众”“西城大妈”齐名的“海淀网友”一出手,就制服了令世界头疼的“火球”黑客。

6月1日,一名“海淀网友”发现一国外知名安全实验室报道了一起代号为“FIREBALL(火球)”的事件:该病毒已感染全球约2.5亿台计算机。

这位网友是网络安全公司的一名技术人员,职业敏感促他开始分析“火球”病毒的传播途径。

在“火球”事件中,“海淀网友”发现了野马浏览器、Deal Wifi 软件等8款流氓软件,这些流氓软件感染电脑后会将 Chrome 浏览器的首页、TAB 页改为随机生成的搜索页,而用户无法更改。虽然页面各不相同,但搜索页均抓取雅虎和谷歌数据,“海淀网友”推测,流氓软件制造者以控制用户点击雅虎和谷歌的广告牟利。

经过进一步追踪,这些流氓软件均由同一作者制作。通过搜集的线索,“海淀网友”又找到了三家可疑公司,其中两家在上海,一家在北京,北京公司主要负责制作病毒。“海淀网友”还通过其他网上线索发现,在整个公司运营中,最主要的涉事人为马某和鲍某。

仅仅用了两天,“海淀网友”破解“火球”,将分析和找到的线索,移交给公安机关。

【公安机关】

非法获利近8000万元

接到线索后,警方迅速成立专案组。民警从病毒程序的运行方式入手,通过模拟系统中毒过程结合实地调查追踪,准确掌握了犯罪嫌疑人制作病毒自行侵入用户电脑,强行修改系统配置,劫持用户流量,恶意植入广告牟利的犯罪事实。

检察机关也提前介入该案。通过监测,办案民警和检察官及时固定了整个犯罪行为过程的关键证据,同时摸清了该公司组织架构,发现该公司就隐藏在中关村。

6月15日,专案组启动收网行动,在该公司所在地捣毁该犯罪团伙,抓获了以马某、鲍某、莫某为首的11名犯罪嫌疑人,他们均对自己的犯罪事实供认不讳。

经审查,马某、鲍某、莫某都一直从事IT行业,想到开发恶意插件捆绑正常软件可以劫持流量从而达到植入广告牟利的目的,2015年共同出资成立一家网络公司,对该病毒软件进行开发,马某任公司总裁,鲍某和莫某分别任公司技术总监和运营总监,在开发出“FIREBALL”恶意软件后,考虑到国内网络安全监管严厉,为了躲避监管,就在国外开通账户,然后将该恶意软件捆绑正常软件投放国外软件市场进行传播。该恶意软件感染电脑后,能够在受害者机器上执行任意代码,进行窃取凭据、劫持上网流量到删除其他恶意软件的各种操作等违法犯罪行为。然后,该公司在该恶意软件上植入广告向受害者电脑投放从而谋取暴利,该公司国外账户仅去年就非法获利近8000万元人民币。

【检察机关】

嫌疑人可能获刑5年以上

承办该案的海淀检察院科技犯罪检察部检察官许丹介绍,目前检察机关以涉嫌破坏计算机系统罪批准逮捕了马某、鲍某等9人。

“2.5亿台电脑被感染,仅仅是国外机构发布的数字,并不能实际用于定罪的证据。”许丹表示,由于涉案电脑大部分在境外,这给取证、固定证据带来一定困难,但按照我国刑法规定,除了破坏计算机的台数以外,犯罪金额也可以作为定罪量刑的依据,以目前证据来看,这起犯罪造成的后果特别严重,量刑应在5年以上。

目前,案件还在进一步审理中。

相关新闻

警方破获全市首例“劫持流量案”

利用恶意代码“包装”正常软件,通过植入木马非法获取利益。海淀警方通过蛛丝马迹,最终破获本市首例劫持国内用户流量案件,抓获3名嫌疑人。

2017年4月28日,海淀公安分局网安大队接到百度公司报案,称其公司网络流量出现异常,网民访问渠道被更改,怀疑被植入恶意代码,造成经济损失约2000万元。

经警方初步调查,发现hao123网站(www.hao123.com)服务器的访问地址大多来自一家服务器,之前涉案服务器的公司曾根据带入的流量向百度公司索取报酬。后经百度公司查实,这些流量是涉案服务器公司篡改网民访问路径得到的。百度公司怀疑涉案服务器公司通过“流氓软件”改变网民的访问路径,每次网民登录hao123网站时都会在不知情的情况下,先通过涉案服务器,然后登录到hao123网站,这种篡改普通用户访问路径被称为流量劫持。

专案组民警通过对百度服务器以及被篡改电脑的访问路径进行细致的数据勘验,发现北京某网络技术公司在hao123浏览器的安装包内植入恶意代码,对安装浏览器网民的电脑进行流量劫持,恶意更改网民访问路径,从而非法获利。

民警利用将近两个月时间,分析研判,最终查找出涉案嫌疑人上传恶意代码的账号,再扩展侦查,摸清了3名嫌疑人的落脚点。后专案组在顺义、朝阳等地抓获3名嫌疑人。

目前,犯罪嫌疑人陈某、张某、贾某等3人因涉嫌非法破坏计算机信息系统罪被警方依法采取刑事强制措施,案件仍在进一步工作中。

责任编辑:董佳兴(QN0008)  作者:高健

猜你喜欢