特大跨境黑客在京被逮捕

计算机与网络安全 2022-06-01

“火球”病毒肆虐全球，短时间内，让2.5亿台电脑中招。一名海淀网友仅用2天就破解了。

7月24日，海淀警方召开“打击整治黑客攻击破坏违法犯罪专项行动”的发布会，通报已侦破特大“黑客”破坏计算机系统案——“火球”案。而破案的最大功臣是一名“海淀网友”。

海淀网友2天破解“火球”

2017年6月3日，北京市海淀公安分局接到一名“海淀网友”举报称：

其在网上浏览网页时，发现国外知名安全实验室CheckPoint报道了一起代号为“FIREBALL(火球)”的事件，在这起事件中发现了某中国网络公司通过在国外推广镶嵌了恶意代码的免费软件来达到流量变现的目的。

而根据报告，该病毒已感染全球约2.5亿部计算机，其通过捆绑正常软件传播，中毒电脑的浏览器主页、默认搜索页会被锁定且难以更改。

“海淀网友”本身就是一名网络安全公司的技术人员，在看到国外的实验室分析后，结合自己的专业知识，对“火球”病毒传播途径进行了分析。

他发现野马浏览器、Deal Wifi 软件等8款流氓软件，感染电脑后会将 Chrome 浏览器的首页、TAB 页改为随机生成的搜索页，而用户无法更改。虽然页面各不相同，但搜索页均抓取雅虎和谷歌数据，“海淀网友”推测，流氓软件制造者以控制用户点击雅虎和谷歌的广告牟利。

经过进一步追踪发现，这些流氓软件均由同一作者制作。通过搜集的线索，“海淀网友”又找到了三家可疑公司，两家在上海，一家在北京，北京公司主要负责制作病毒。

最后，这位“海淀网友”还通过其他线索发现，在整个公司运营中，最主要的涉事人为马某和鲍某。

仅仅用了两天，“海淀网友”就破解“火球”病毒，并将分析和找到的线索，移交给公安机关。

“火球”非法牟利8000万元

接到线索后，警方迅速成立专案组，从病毒程序的运行方式入手，通过模拟系统中毒过程结合实地调查追踪，准确掌握了犯罪嫌疑人制作病毒自行侵入用户电脑，强行修改系统配置，劫持用户流量，恶意植入广告牟利的犯罪事实。

检察机关也提前介入该案。通过监测，办案民警和检察官及时固定了整个犯罪行为过程的关键证据，同时摸清了该公司组织架构，发现该公司就隐藏在中关村。

6月15日，专案组启动收网行动，在该公司所在地捣毁该犯罪团伙，抓获了以马某、鲍某、莫某为首的11名犯罪嫌疑人，他们均对自己的犯罪事实供认不讳。

经审查，马某、鲍某、莫某都一直从事IT行业，想到开发恶意插件捆绑正常软件可以劫持流量从而达到植入广告牟利的目的，2015年共同出资成立一家网络公司，对该病毒软件进行开发，马某任公司总裁，鲍某和莫某分别任公司技术总监和运营总监。

在开发出“火球”恶意软件后，考虑到国内网络安全监管严厉，为了躲避监管，就在国外开通账户，然后将该恶意软件捆绑正常软件投放国外软件市场进行传播。

该恶意软件感染电脑后，能够在受害者机器上执行任意代码，进行窃取凭据、劫持上网流量到删除其他恶意软件的各种操作等违法犯罪行为。然后，该公司在该恶意软件上植入广告向受害者电脑投放从而谋取暴利。

据了解，该公司国外账户仅仅在去年就非法获利近8000万人民币。

这伙无法无天的黑客惨了

目前，马某、鲍某、莫某等9人因涉嫌破坏计算机系统罪已被海淀区检察院批准逮捕，案件还在进一步审理中。

据报道，承办该案的海淀检察院科技犯罪检察部检察官许丹介绍，“2.5亿台电脑被感染，仅仅是国外机构发布的数字，并不能实际用于定罪的证据。”

他表示，由于涉案电脑大部分在境外，这给取证、固定证据带来一定困难，但按照我国刑法规定，除了破坏计算机的台数以外，犯罪金额也可以作为定罪量刑的依据，以目前证据来看，这起犯罪造成的后果特别严重，量刑应在5年以上。

另据报道，自2017年3月起，公安部部署开展为期一年的“打击整治‘黑客’攻击破坏违法犯罪专项行动”。专项行动开展以来，北京警方破获各类“黑客”攻击破坏违法犯罪案件130余起，依法查处“黑客”类犯罪嫌疑人140余人。

点击阅读原文，查看更多精彩文章。