開發“火球”病毒境外傳播,北京海淀一科技公司11人被控制。圖為嫌疑人接受警方審訊。
北京一家科技公司開發名為“FIREBALL(火球)”的惡意軟件,捆綁正常軟件傳染境外互聯網,一年內感染全球超2.5億臺電腦,并利用植入廣告,牟利近8000萬元人民幣。
新京報記者昨日從海淀警方獲悉,目前,這起跨境“黑客”破壞計算機系統案已被偵破,9人因涉嫌破壞計算機系統罪,已被海淀檢察院批準逮捕。據警方介紹,這起挾持境外用戶流量案件,在全市尚屬首例。
“海淀網友”發現“火球”病毒
2017年6月3日,北京市公安局海淀分局網安大隊接到一名熱心“海淀網友”張明(化名)舉報:自己在網上瀏覽網頁時,發現國外某知名安全實驗室報道了一起代號為“FIREBALL(火球)”的病毒。
“這個境外報道大致是說,中國一家網絡公司在國外推廣的免費軟件中,鑲嵌了惡意代碼,用來劫持用戶流量,并以此達到流量變現的目的。”張明介紹,根據報道,該病毒感染了境外2.5億臺用戶電腦。
“我自己本身就是一名網絡安全公司的技術人員,我們公司對于這些會格外關注。”張明稱,在看到國外的實驗室分析后,自己結合專業知識,對“火球”病毒傳播途徑進行了分析,同時協助民警,對該網絡公司推廣的免費軟件進行樣本固定和功能性分析,確定在這些推廣的免費軟件內,存在相同的惡意代碼。
警方模擬中毒過程鎖定證據
在北京市公安局網安總隊的領導下,海淀分局網安大隊對涉案網絡公司進行了調查,發現該公司辦公地、注冊地均在海淀區。
隨后,警方網安部門和刑偵部門成立專案組,對此開展立案調查。
“因為軟件上需要數字簽名,通過數字簽名能確定公司名稱,再找到工商注冊信息,最后找到該公司的法人。”網友張明稱,這是這次協助警方比較順利的一個原因。
辦案民警介紹,接到線索后,警方從病毒程序的運行方式入手,通過模擬系統中毒過程結合實地調查追蹤,準確掌握嫌疑人制作病毒自行侵入用戶電腦,強行修改系統配置,劫持用戶流量,惡意植入廣告牟利的犯罪事實。
通過監測,民警固定了整個犯罪行為過程的關鍵證據,同步摸清了該公司組織架構。
6月15日,警方在該公司所在地將犯罪團伙破獲,控制馬某、鮑某、莫某等11名嫌疑人,他們已承認犯罪事實,其中9人因涉嫌破壞計算機系統罪,已被海淀區檢察院批準逮捕,案件還在進一步審理中。
■ 追訪
為逃避制裁作案前咨詢法律人士
“目前被批捕的9人是公司的骨干人員,都很年輕,有過幾年的IT行業的從業經驗,也有一定的反偵查意識”,辦案民警介紹,該網絡公司位于北京市海淀區,成立于2015年底,對外名義上是網絡科技公司,由馬某任公司總裁,鮑某和莫某任公司技術總監和運營總監。公司的規模在100多人左右,分別負責開發正常軟件、開發惡意代碼,專門測試惡意代碼和正常代碼捆綁后的效果等。
民警介紹,根據嫌疑人的供述,他們通過開發惡意插件捆綁正常軟件,從而達到植入廣告牟利的劫持流量的目的,“通俗地說,也就是通過用戶在不知情的情況下,點擊他們經過捆綁的網頁鏈接,達到提升廣告瀏覽量的目的,再以此增加推廣廣告費收入。”
據介紹,在開發出“FIREBALL”惡意軟件之后,考慮到國內網絡安全監管嚴厲,為了躲避國內監管,就在國外開通賬戶,然后將該惡意軟件捆綁正常的軟件投放在國外軟件市場進行傳播。
“其實他們在作案前,也有過擔心,還專門咨詢了法律人士,了解違法情況以逃避制裁”,民警稱,該公司國外的賬戶,僅在去年就非法獲利近8000萬人民幣。
海淀檢察院辦案檢察官介紹,案件目前還在進一步的偵辦審理中,由于主要侵害對象在國外,在進行證據的保全后,對病毒的侵害過程進行了模擬還原,后續也請第三方對開發的惡意軟件進行鑒定。
“對嫌疑人的批準罪名是破壞計算機信息系統罪,后續如果會出現什么其他犯罪情節和行為,會在補充偵查中追加,但目前還沒有發現侵犯公民個人信息的違法犯罪情況。”檢察官表示,嫌疑人罪名查實后,面臨的可能是5年以上的有期徒刑。
■ 相關新聞
瀏覽器被植惡意代碼 流量遭劫持
海淀警方昨日介紹,除了破獲“火球”病毒劫持境外用戶流量案件外,近日警方還破獲了本市首例利用流氓軟件,劫持國內用戶流量的案件。
今年4月28日,海淀分局網安大隊接到轄區百度公司報案,稱其公司網絡流量出現異常,網民訪問渠道被更改,當用戶從百度旗下的hao123等兩個網站下載軟件時,會被植入惡意代碼。這一事件造成經濟損失約2000萬元人民幣,百度公司清理了相關惡意代碼后報案。
警方經初步調查發現,鎖定了一家涉案公司的服務器,該公司根據帶入的流量向百度公司索取報酬。后經查實,這些流量是通過篡改網民訪問路徑得到的。民警通過對百度服務器以及被篡改電腦的訪問路徑進行數據勘驗,發現北京某網絡技術公司在hao123瀏覽器的安裝包內,植入惡意代碼,對安裝瀏覽器網民的電腦進行流量劫持,惡意更改網民訪問路徑,從而非法獲利。
固定證據后,警方準備進行抓捕時,發現涉案公司已被變賣,部分證據也被銷毀,主要嫌疑人失聯。兩個月后,辦案民警通過涉案嫌疑人上傳惡意代碼的賬號,查清了3名嫌疑人的落腳點,后在順義、朝陽等地將3名嫌疑人控制。據百度公司介紹,此次警方抓捕的犯罪嫌疑人系某外包公司前員工。
目前,3名嫌疑人因涉嫌非法破壞計算機信息系統罪,被海淀警方依法采取刑事強制措施,案件仍在進一步審理中。
京公網安備 11010502049343號