“海淀网友”协助警方追踪跨境“黑客”

　　为严厉打击“黑客”攻击破坏违法犯罪活动，有效保障信息网络安全，自今年3月起，公安部部署开展了为期一年的“打击整治‘黑客’攻击破坏违法犯罪专项行动”。专项行动开展以来，北京警方破获各类“黑客”攻击破坏违法犯罪案件130余起，依法查处“黑客”类犯罪嫌疑人140余人。这其中不仅包含规模打击入侵家庭摄像头式的窥探公民隐私案件，也包括“火球”病毒这样侵害公司生产经营的典型案件。

　　某IT公司为躲避国内监管，开发“病毒”捆绑正常软件传染境外互联网，短短一年利用植入广告牟利近8000余万元人民币。近日，“海淀网友”又立新功，协助警方侦破一起特大“黑客”破坏计算机系统案。

　　“海淀网友”发现跨境黑客线索

　　2017年6月3日，海淀分局网安大队接到一名热心“海淀网友”举报称：自己在网上浏览网页时，发现一国外知名安全实验室报道了一起代号为“FIREBALL(火球)”的事件，在这起事件中发现了某中国网络公司通过在国外推广镶嵌了恶意代码的免费软件来达到流量变现的目的。

　　据了解，这名“海淀网友”提到的报告由国外某著名安全厂商，于2017年6月1日对外发布。报告称，一个来自中国的“恶意软件”感染了全球2.5亿台计算机，有20%的企业网络“中招”。染毒的电脑会强行修改浏览器主页，并将搜索结果定向到谷歌和雅虎，通过控制用户点击网站的广告进行牟利。此外，该软件还会跟踪用户数据，暗中升级用户信息。

　　因为举报此事的“海淀网友”本身就是一名网络安全公司的技术人员，他在看到国外的实验室分析后，就结合自己的专业知识，对“火球”病毒传播途径进行了分析。此后还协助分局网安大队民警对该网络公司推广的免费软件进行了样本固定，通过技术手段对样本进行了功能性分析，最终确定在这些被推广的免费软件内的确存在相同的恶意代码。

　　劫持用户流量恶意植入广告牟利

　　北京青年报记者了解到，“火球”传播“流氓软件”的手段，是病毒中常见的“白加黑”技术，该技术使用干净的EXE文件加载执行包含恶意代码的动态链接库，是一种用于躲避安全软件文件监控和主动防御的技术。虽然“火球”传播主要针对海外市场，国内中毒用户并不多，但海淀分局网安大队对涉案网络公司进行调查时发现，该公司办公地、注册地均在海淀区。因此，网安和刑侦部门立即按照分局要求，成立了专案组，开展立案侦查。

　　专案组民警从病毒程序的运行方式入手，通过模拟系统中毒过程结合实地调查追踪，准确掌握嫌疑人制作病毒自行侵入用户电脑，强行修改系统配置，劫持用户流量，恶意植入广告牟利的犯罪事实。

　　11人团伙一年牟利近8000万人民币

　　通过监测，办案民警及时固定了整个犯罪行为过程的关键证据，同步摸清了该公司组织架构。6月15日专案组正式启动收网行动，在该公司所在地将该犯罪团伙一举捣毁，抓获了以马某、鲍某、莫某为首的11名嫌疑人，嫌疑人对自己的犯罪事实供认不讳。

　　经审查，马某、鲍某、莫某都一直从事IT行业，想到开发恶意插件捆绑正常软件可以劫持流量从而达到植入广告进行牟利的目的，几人于2015年共同出资成立了一家网络公司，对该病毒软件进行开发。马某任公司总裁，鲍某和莫某分别任公司技术总监和运营总监。开发出“FIREBALL”恶意软件后，考虑到国内网络安全监管严厉，为了躲避监管，公司在国外开通了账户，然后将该恶意软件捆绑正常软件投放国外软件市场进行传播。该恶意软件感染电脑后，能够在受害者机器上执行任意代码，进行窃取凭据、劫持上网流量到删除其他恶意软件的各种操作等违法犯罪行为。然后，该公司在该恶意软件上植入广告向受害者电脑投放从而牟取暴利，该公司国外账户仅仅在去年就非法获利近8000万人民币。

　　目前，马某、鲍某、莫某等9人因涉嫌破坏计算机系统罪已被海淀区检察院批准逮捕，案件还在进一步审理中。文/本报记者 杨柳供图/海淀警方

相关链接：