名校畢業研發病毒 網友提供線索破2.5億電腦入侵大案

一間網路公司研發的FIREBALL(火球)病毒,害全球2.5億台電腦被感染。

2017年6月3日,北京市公安局海澱分局網安大隊接到一名熱心『海澱網友』張明(化名)舉報:自己在網上瀏覽網頁時,發現國外某知名安全實驗室報導了一起代號為『FIREBALL(火球)』的病毒。

根據新京報報導,北京一家科技公司開發名為『FIREBALL(火球)』的惡意軟體,捆綁正常軟體傳染境外互聯網,一年內感染全球超2.5億台電腦,並利用植入廣告,牟利近8000萬元人民幣。

記者從海澱警方獲悉,目前,這起跨境『駭客』破壞電腦系統案已被偵破,9人因涉嫌破壞電腦系統罪,已被海澱檢察院批准逮捕。據警方介紹,這起挾持境外用戶流量案件,在全市尚屬首例。

『海澱網友』發現『火球』病毒

2017年6月3日,北京市公安局海澱分局網安大隊接到一名熱心『海澱網友』張明(化名)舉報:自己在網上瀏覽網頁時,發現國外某知名安全實驗室報導了一起代號為『FIREBALL(火球)』的病毒。

『這個境外報導大致是說,中國大陸一家網路公司在國外推廣的免費軟體中,鑲嵌了惡意代碼,用來劫持用戶流量,並以此達到流量變現的目的。』張明介紹,根據報導,該病毒感染了境外2.5億台用戶電腦。

『我自己本身就是一名網路安全公司的技術人員,我們公司對於這些會格外關注。』張明稱,在看到國外的實驗室分析後,自己結合專業知識,對『火球』病毒傳播途徑進行了分析,同時協助民警,對該網路公司推廣的免費軟體進行樣本固定和功能性分析,確定在這些推廣的免費軟體內,存在相同的惡意代碼。

警方模擬中毒過程鎖定證據

在北京市公安局網安總隊的領導下,海澱分局網安大隊對涉案網路公司進行了調查,發現該公司辦公地、註冊地均在海澱區。

隨後,警方網安部門和刑偵部門成立專案組,對此開展立案調查。

『因為軟體上需要數字簽名,通過數字簽名能確定公司名稱,再找到工商註冊資訊,最後找到該公司的法人。』網友張明稱,這是這次協助警方比較順利的一個原因。

辦案民警介紹,接到線索後,警方從病毒程式的運行方式入手,通過模擬系統中毒過程結合實地調查追蹤,準確掌握嫌疑人製作病毒自行侵入用戶電腦,強行修改系統配置,劫持用戶流量,惡意植入廣告牟利的犯罪事實。

通過監測,民警固定了整個犯罪行為過程的關鍵證據,同步摸清了該公司組織架構。

6月15日,警方在該公司所在地將犯罪團夥破獲,控制馬某、鮑某、莫某等11名嫌疑人,他們已承認犯罪事實,其中9人因涉嫌破壞電腦系統罪,已被海澱區檢察院批准逮捕,案件還在進一步審理中。

■ 追訪

為逃避制裁作案前諮詢法律人士

『目前被批捕的9人是公司的骨幹人員,都很年輕,有過幾年的IT行業的從業經驗,也有一定的反偵查意識』,辦案民警介紹,該網路公司位於北京市海澱區,成立於2015年底,對外名義上是網路科技公司,由馬某任公司總裁,鮑某和莫某任公司技術總監和運營總監。公司的規模在100多人左右,分別負責開發正常軟體、開發惡意代碼,專門測試惡意代碼和正常代碼捆綁後的效果等。

民警介紹,根據嫌疑人的供述,他們通過開發惡意插件捆綁正常軟體,從而達到植入廣告牟利的劫持流量的目的,『通俗的說,也就是通過用戶在不知情的情況下,點擊他們經過捆綁的網頁鏈結,達到提升廣告瀏覽量的目的,再以此增加推廣廣告費收入。』

據介紹,在開發出『FIREBALL』惡意軟體之後,考慮到中國大陸網路安全監管嚴厲,為了躲避中國大陸監管,就在中國大陸開通帳戶,然後將該惡意軟體捆綁正常的軟體投放在國外軟體市場進行傳播。

『其實他們在作案前,也有過擔心,還專門諮詢了法律人士,了解違法情況以逃避制裁』,民警稱,該公司國外的帳戶,僅在去年就非法獲利近8000萬人民幣。

海澱檢察院辦案檢察官介紹,案件目前還在進一步的偵辦審理中,由於主要侵害對象在國外,在進行證據的保全後,對病毒的侵害過程進行了模擬還原,後續也請第三方對開發的惡意軟體進行鑒定。

『對嫌疑人的批准罪名是破壞電腦資訊系統罪,後續如果會出現什麼其他犯罪情節和行為,會在補充偵查中追加,但目前還沒有發現侵犯公民個人資訊的違法犯罪情況。』檢察官表示,嫌疑人罪名查實後,面臨的可能是5年以上的有期徒刑。

■ 相關新聞

瀏覽器被植惡意代碼 流量遭劫持

海澱警方介紹,除了破獲『火球』病毒劫持境外用戶流量案件外,近日警方還破獲了本市首例利用流氓軟體,劫持中國大陸用戶流量的案件。

今年4月28日,海澱分局網安大隊接到轄區百度公司報案,稱其公司網路流量出現異常,網民訪問渠道被更改,當用戶從百度旗下的hao123等兩個網站下載軟體時,會被植入惡意代碼。這一事件造成經濟損失約2000萬元人民幣,百度公司清理了相關惡意代碼後報案。

警方經初步調查發現,鎖定了一家涉案公司的伺服器,該公司根據帶入的流量向百度公司索取報酬。後經查實,這些流量是通過篡改網民訪問路徑得到的。民警通過對百度伺服器以及被篡改電腦的訪問路徑進行資料勘驗,發現北京某網路技術公司在hao123瀏覽器的安裝包內,植入惡意代碼,對安裝瀏覽器網民的電腦進行流量劫持,惡意更改網民訪問路徑,從而非法獲利。

固定證據後,警方準備進行抓捕時,發現涉案公司已被變賣,部分證據也被銷毀,主要嫌疑人失聯。兩個月後,辦案民警通過涉案嫌疑人上傳惡意代碼的帳號,查清了3名嫌疑人的落腳點,後在順義、朝陽等地將3名嫌疑人控制。據百度公司介紹,此次警方抓捕的犯罪嫌疑人系某外包公司前員工。

目前,3名嫌疑人因涉嫌非法破壞電腦資訊系統罪,被海澱警方依法採取刑事強制措施,案件仍在進一步審理中。