開發(fā)“火球”病毒境外傳播,北京海淀一科技公司11人被控制。圖為嫌疑人接受警方審訊。
北京一家科技公司開發(fā)名為“FIREBALL(火球)”的惡意軟件,捆綁正常軟件傳染境外互聯(lián)網(wǎng),一年內(nèi)感染全球超2.5億臺電腦,并利用植入廣告,牟利近8000萬元人民幣。
新京報記者昨日從海淀警方獲悉,目前,這起跨境“黑客”破壞計算機系統(tǒng)案已被偵破,9人因涉嫌破壞計算機系統(tǒng)罪,已被海淀檢察院批準(zhǔn)逮捕。據(jù)警方介紹,這起挾持境外用戶流量案件,在全市尚屬首例。
“海淀網(wǎng)友”發(fā)現(xiàn)“火球”病毒
2017年6月3日,北京市公安局海淀分局網(wǎng)安大隊接到一名熱心“海淀網(wǎng)友”張明(化名)舉報:自己在網(wǎng)上瀏覽網(wǎng)頁時,發(fā)現(xiàn)國外某知名安全實驗室報道了一起代號為“FIREBALL(火球)”的病毒。
“這個境外報道大致是說,中國一家網(wǎng)絡(luò)公司在國外推廣的免費軟件中,鑲嵌了惡意代碼,用來劫持用戶流量,并以此達(dá)到流量變現(xiàn)的目的。”張明介紹,根據(jù)報道,該病毒感染了境外2.5億臺用戶電腦。
“我自己本身就是一名網(wǎng)絡(luò)安全公司的技術(shù)人員,我們公司對于這些會格外關(guān)注。”張明稱,在看到國外的實驗室分析后,自己結(jié)合專業(yè)知識,對“火球”病毒傳播途徑進(jìn)行了分析,同時協(xié)助民警,對該網(wǎng)絡(luò)公司推廣的免費軟件進(jìn)行樣本固定和功能性分析,確定在這些推廣的免費軟件內(nèi),存在相同的惡意代碼。
警方模擬中毒過程鎖定證據(jù)
在北京市公安局網(wǎng)安總隊的領(lǐng)導(dǎo)下,海淀分局網(wǎng)安大隊對涉案網(wǎng)絡(luò)公司進(jìn)行了調(diào)查,發(fā)現(xiàn)該公司辦公地、注冊地均在海淀區(qū)。
隨后,警方網(wǎng)安部門和刑偵部門成立專案組,對此開展立案調(diào)查。
“因為軟件上需要數(shù)字簽名,通過數(shù)字簽名能確定公司名稱,再找到工商注冊信息,最后找到該公司的法人。”網(wǎng)友張明稱,這是這次協(xié)助警方比較順利的一個原因。
辦案民警介紹,接到線索后,警方從病毒程序的運行方式入手,通過模擬系統(tǒng)中毒過程結(jié)合實地調(diào)查追蹤,準(zhǔn)確掌握嫌疑人制作病毒自行侵入用戶電腦,強行修改系統(tǒng)配置,劫持用戶流量,惡意植入廣告牟利的犯罪事實。
通過監(jiān)測,民警固定了整個犯罪行為過程的關(guān)鍵證據(jù),同步摸清了該公司組織架構(gòu)。
6月15日,警方在該公司所在地將犯罪團伙破獲,控制馬某、鮑某、莫某等11名嫌疑人,他們已承認(rèn)犯罪事實,其中9人因涉嫌破壞計算機系統(tǒng)罪,已被海淀區(qū)檢察院批準(zhǔn)逮捕,案件還在進(jìn)一步審理中。
■ 追訪
為逃避制裁作案前咨詢法律人士
“目前被批捕的9人是公司的骨干人員,都很年輕,有過幾年的IT行業(yè)的從業(yè)經(jīng)驗,也有一定的反偵查意識”,辦案民警介紹,該網(wǎng)絡(luò)公司位于北京市海淀區(qū),成立于2015年底,對外名義上是網(wǎng)絡(luò)科技公司,由馬某任公司總裁,鮑某和莫某任公司技術(shù)總監(jiān)和運營總監(jiān)。公司的規(guī)模在100多人左右,分別負(fù)責(zé)開發(fā)正常軟件、開發(fā)惡意代碼,專門測試惡意代碼和正常代碼捆綁后的效果等。
民警介紹,根據(jù)嫌疑人的供述,他們通過開發(fā)惡意插件捆綁正常軟件,從而達(dá)到植入廣告牟利的劫持流量的目的,“通俗地說,也就是通過用戶在不知情的情況下,點擊他們經(jīng)過捆綁的網(wǎng)頁鏈接,達(dá)到提升廣告瀏覽量的目的,再以此增加推廣廣告費收入。”
據(jù)介紹,在開發(fā)出“FIREBALL”惡意軟件之后,考慮到國內(nèi)網(wǎng)絡(luò)安全監(jiān)管嚴(yán)厲,為了躲避國內(nèi)監(jiān)管,就在國外開通賬戶,然后將該惡意軟件捆綁正常的軟件投放在國外軟件市場進(jìn)行傳播。
“其實他們在作案前,也有過擔(dān)心,還專門咨詢了法律人士,了解違法情況以逃避制裁”,民警稱,該公司國外的賬戶,僅在去年就非法獲利近8000萬人民幣。
海淀檢察院辦案檢察官介紹,案件目前還在進(jìn)一步的偵辦審理中,由于主要侵害對象在國外,在進(jìn)行證據(jù)的保全后,對病毒的侵害過程進(jìn)行了模擬還原,后續(xù)也請第三方對開發(fā)的惡意軟件進(jìn)行鑒定。
“對嫌疑人的批準(zhǔn)罪名是破壞計算機信息系統(tǒng)罪,后續(xù)如果會出現(xiàn)什么其他犯罪情節(jié)和行為,會在補充偵查中追加,但目前還沒有發(fā)現(xiàn)侵犯公民個人信息的違法犯罪情況。”檢察官表示,嫌疑人罪名查實后,面臨的可能是5年以上的有期徒刑。
■ 相關(guān)新聞
瀏覽器被植惡意代碼 流量遭劫持
海淀警方昨日介紹,除了破獲“火球”病毒劫持境外用戶流量案件外,近日警方還破獲了本市首例利用流氓軟件,劫持國內(nèi)用戶流量的案件。
今年4月28日,海淀分局網(wǎng)安大隊接到轄區(qū)百度公司報案,稱其公司網(wǎng)絡(luò)流量出現(xiàn)異常,網(wǎng)民訪問渠道被更改,當(dāng)用戶從百度旗下的hao123等兩個網(wǎng)站下載軟件時,會被植入惡意代碼。這一事件造成經(jīng)濟損失約2000萬元人民幣,百度公司清理了相關(guān)惡意代碼后報案。
警方經(jīng)初步調(diào)查發(fā)現(xiàn),鎖定了一家涉案公司的服務(wù)器,該公司根據(jù)帶入的流量向百度公司索取報酬。后經(jīng)查實,這些流量是通過篡改網(wǎng)民訪問路徑得到的。民警通過對百度服務(wù)器以及被篡改電腦的訪問路徑進(jìn)行數(shù)據(jù)勘驗,發(fā)現(xiàn)北京某網(wǎng)絡(luò)技術(shù)公司在hao123瀏覽器的安裝包內(nèi),植入惡意代碼,對安裝瀏覽器網(wǎng)民的電腦進(jìn)行流量劫持,惡意更改網(wǎng)民訪問路徑,從而非法獲利。
固定證據(jù)后,警方準(zhǔn)備進(jìn)行抓捕時,發(fā)現(xiàn)涉案公司已被變賣,部分證據(jù)也被銷毀,主要嫌疑人失聯(lián)。兩個月后,辦案民警通過涉案嫌疑人上傳惡意代碼的賬號,查清了3名嫌疑人的落腳點,后在順義、朝陽等地將3名嫌疑人控制。據(jù)百度公司介紹,此次警方抓捕的犯罪嫌疑人系某外包公司前員工。
目前,3名嫌疑人因涉嫌非法破壞計算機信息系統(tǒng)罪,被海淀警方依法采取刑事強制措施,案件仍在進(jìn)一步審理中。