?　　

專案組突擊在大連晟平公司開展抓捕行動。警方供圖

　　當你愜意地在電腦上玩著“吃雞”游戲時,其實你的電腦正在被木馬程序控制著,為千里之外的一家科技公司“挖礦”獲取虛擬數(shù)字貨幣。自2015年起,大連晟平網(wǎng)絡(luò)科技有限公司在全國各地招聘代理,來推廣捆綁著挖礦程序的木馬58迅推增值客戶端,一旦客戶端植入電腦主機,就會靜默下載挖礦監(jiān)控軟件和挖礦程序運行,挖到的礦幣會轉(zhuǎn)移到公司控制人賀某的虛擬貨幣錢包中。該公司非法利用黑客技術(shù)控制電腦主機389萬臺、挖礦主機100多萬臺。

　　齊魯晚報 記者　杜洪雷　　　　

　　青州男子開發(fā)“吃雞”外掛木馬

　　近兩年,俗稱“吃雞”的“絕地求生”游戲風(fēng)靡網(wǎng)絡(luò),成為眾多游戲玩家的最愛。為了能夠在游戲中“所向披靡”,許多玩家就使用該款游戲的外掛程序,從而具備更多的能力,例如“自動瞄準”“透視”“子彈加速”等,其中多數(shù)外掛號稱免費,其實內(nèi)存貓膩。

　　去年12月20日,騰訊守護者計劃安全團隊發(fā)現(xiàn)“絕地求生”游戲中一個名為“吃雞小程序”的外掛暗藏一款木馬程序,該木馬程序具備后臺靜默挖礦功能(挖礦即通過大量計算機運算獲取數(shù)字貨幣－虛擬貨幣獎勵,主要耗費計算機CPU、GPU資源和電力資源),初步統(tǒng)計該木馬程序感染數(shù)十萬臺用戶機器。

　　隨后,線索轉(zhuǎn)交給濰坊市公安局網(wǎng)安支隊進行偵查。

　　民警通過互聯(lián)網(wǎng)提取到外掛木馬樣本,找到木馬開發(fā)者建立的木馬交流群,初步偵查發(fā)現(xiàn)該款木馬程序開發(fā)者在青州市。濰坊市局網(wǎng)安支隊、青州市局成立專案組,對該案立案偵查。

　　通過偵查,專案組確定交流群群主身份為楊某寶(男,35歲,山東省青州市人)。民警偵查發(fā)現(xiàn)楊某寶通過多個途徑來傳播這個隱藏挖礦木馬程序的外掛,其一是建立了多個外掛討論群,在群文件中共享外掛程序,另外他利用“天下網(wǎng)吧論壇”版主的身份,將含有木馬的外掛程序上傳到“天下網(wǎng)吧”論壇,通過百度網(wǎng)盤進行分享下載。

　　3月8日,專案組制定了詳細的抓捕方案,在家中將楊某寶抓獲。

　　大專學(xué)歷網(wǎng)管竟是有名“黑客”

　　僅僅是大專學(xué)歷的楊某寶在上大學(xué)的時候?qū)⒍鄶?shù)時間用于計算機程序?qū)W習(xí),利用所學(xué)的編程語言來編寫外掛程序和修改游戲,并在網(wǎng)絡(luò)上有一定的名氣。此后,他在青州一家網(wǎng)吧內(nèi)干網(wǎng)管,從而接觸更多的“黑客技術(shù)”來實現(xiàn)掙錢的目的。

　　最初,他仿冒“愛奇藝”,編寫了“酷藝VIP影視”服務(wù)端和客戶端,全國范圍內(nèi)發(fā)展了60多個代理,以年卡、月卡方式向全國網(wǎng)吧兜售。楊某寶共向全國2465家網(wǎng)吧賣出年卡5774張,季卡282張,半年卡116張,月卡3285張,非法牟利20余萬元。

　　此外,楊某寶開發(fā)了名為“吃雞小程序”的外掛程序,并供網(wǎng)民免費下載發(fā)展大量用戶,得以進入眾多的電腦主機。

　　2017年,楊某寶在天下網(wǎng)吧論壇接觸到用于廣告增值服務(wù)的58迅推客戶端,并與該平臺的開發(fā)公司大連晟平網(wǎng)絡(luò)科技有限公司(下文簡稱“大連晟平公司”)聯(lián)系,獲知該客戶端捆綁著“挖礦”的木馬程序,能夠通過推廣該客戶端來控制主機“挖礦”獲利。

　　楊某寶手上控制著大量的網(wǎng)吧主機,從而成為推廣平臺的大客戶。楊某寶利用此前推廣軟件發(fā)展的用戶來推廣58迅推增值客戶端,從而控制3萬余臺網(wǎng)吧電腦來為大連晟平公司“挖礦”,其通過有效控制的終端數(shù)來抽成,非法獲利26.8萬元。

　　看到控制他人主機“挖礦”牟利很大,楊某寶發(fā)揮其才能,對58迅推客戶端和捆綁的“挖礦”木馬程序進行修改,內(nèi)嵌了自己的HSR(“紅燒肉幣”,一種虛擬貨幣)錢包地址,被控主機在挖礦時挖到礦幣后會轉(zhuǎn)到自己的HSR錢包中。

　　此外,楊某寶將這個挖礦木馬程序捆綁到此前研發(fā)的“酷藝VIP影視”服務(wù)端和“吃雞小程序”中,然后通過升級這兩個程序,將“挖礦”木馬程序植入到裝有這兩款程序的主機上面,從而控制更多的主機為其“挖礦”。經(jīng)統(tǒng)計,自2017年10月份至案發(fā),楊某寶共挖取了8551.9枚HSR幣(最高價格252元/枚,目前42元/枚)。

　　“挖礦”木馬背后是正規(guī)網(wǎng)絡(luò)公司

　　“經(jīng)過深入調(diào)查,我們發(fā)現(xiàn)‘楊某寶’僅僅是58迅推平臺的一個代理,背后更大的犯罪集團是大連晟平公司。”青州市公安局網(wǎng)安大隊大隊長田愛偉稱,他們調(diào)查發(fā)現(xiàn)這家公司是正規(guī)注冊的網(wǎng)絡(luò)計算機公司,有40多名員工。

　　專案組曾經(jīng)三赴大連對該公司進行調(diào)查,“我們摸清楚了公司的幕后控制人為賀某,38歲,吉林人,公司財務(wù)主管是陳某,32歲,是賀某的妻子,同樣也是吉林人。”濰坊市公安局網(wǎng)安支隊民警王萬濤稱,賀某平常都在家里,很少去公司,其妻子陳某在公司主持日常的工作。

　　4月11日,濰坊市公安局網(wǎng)安支隊與青州市公安局抽調(diào)精干力量50余人趕赴大連。經(jīng)過周密部署,專案組突擊在大連晟平公司和賀某家中開展抓捕行動,抓獲全部涉案嫌疑人16名。通過審查,賀某、陳某等12人涉嫌非法控制計算機信息系統(tǒng)罪被刑事拘留,趙某從等4人被取保候?qū)彙?br>
　　隨后,專案組對大連晟平網(wǎng)絡(luò)科技有限公司的下線進行梳理并展開抓捕。4月18日,專案組在哈爾濱打掉迅博網(wǎng)絡(luò)科技有限公司,抓獲張某(男,36歲,哈爾濱人)、高某(男,36歲,哈爾濱人)。兩名嫌疑人利用職務(wù)之便,向黑龍江省各網(wǎng)吧使用的網(wǎng)管軟件捆綁了挖礦木馬,非法控制486家網(wǎng)吧共5萬9千臺電腦主機,其中15000余臺電腦用于“挖礦”。

　　4月19日,專案組在佛山將杜某熊(男,33歲,廣東佛山人)抓獲,查繳一款dll挖礦程序。“這名嫌疑人也是一個網(wǎng)管,利用網(wǎng)管軟件捆綁‘挖礦’木馬控制主機。該嫌疑人是大連晟平公司最大的一個代理,被抓前已經(jīng)牟利100余萬元。”王萬濤介紹道。

　　自動監(jiān)測CPU利用率低于50%就啟動挖礦

　　38歲的賀某是大連晟平公司的實際控制人,也是一名非法控制計算機信息系統(tǒng)的老手,此前都是在南方活動,2014年曾因此被打擊處理。

　　2014年下半年,賀某在大連成立公司開展廣告增值服務(wù),最初只有幾個人,后來發(fā)展到40多個人。“所謂的廣告增值服務(wù),也是游走在灰色地帶,通過開機廣告、彈窗廣告和隱藏廣告來幫著其他公司進行推廣,根據(jù)實際點擊數(shù)來收取費用。”王萬濤稱,這個也需要通過招聘代理推廣客戶端來實現(xiàn),而賀某的客戶端就是58迅推增值客戶端。

　　2014年開始,以比特幣為代表的虛擬數(shù)字貨幣火起來,從而出現(xiàn)眾多的虛擬數(shù)字貨幣。看到這個“風(fēng)口”,賀某開始不甘于僅僅推廣增值客戶端,從2015年開始指使公司副總兼運營主管張某寧組織研發(fā)、測試部門對“挖礦”木馬進行研發(fā)。

　　為此,公司研發(fā)部負責(zé)研發(fā)“挖礦”監(jiān)控軟件、集成“挖礦”程序；測試部負責(zé)測試,客服部負責(zé)發(fā)展下線代理并指導(dǎo)使用。下線代理從迅推平臺下載增值客戶端程序后,通過多種方式將增值客戶端非法植入到網(wǎng)吧主機中,并靜默下載“挖礦”監(jiān)控軟件和“挖礦”程序運行,挖到的礦幣會轉(zhuǎn)移到賀某的虛擬貨幣錢包中。其中楊某寶等人就是其下線代理。

　　“一旦主機被植入木馬,只要是主機開著機,其監(jiān)控軟件就會分析電腦CPU的利用率,一旦低于50%就啟動‘挖礦’程序進行‘挖礦’。如果CPU利用率高就停止‘挖礦’,防止被發(fā)現(xiàn)。”田愛偉稱,即便被殺毒軟件發(fā)現(xiàn)查殺,其公司依然可以通過更改部分數(shù)據(jù)進行升級程序來規(guī)避殺毒軟件。

　　經(jīng)統(tǒng)計,2015年以來,賀某等人非法控制389萬臺電腦主機做廣告增值收益,在100多萬臺電腦主機靜默安裝挖礦程序,近三年來共挖取DGB幣(“極特幣”)、DCR幣(“德賽幣”)、SC幣(“云產(chǎn)幣”)2600余萬枚,共非法獲利1500余萬元。

　　辦案民警稱,違法犯罪人員通常提前調(diào)研市面上挖取難度較低的虛擬貨幣,非法控制用戶的電腦主機,植入這種虛擬貨幣的挖礦程序進行挖礦,在挖取到大量礦幣后迅速進行變現(xiàn)提現(xiàn),牟取高額利潤,而被植入挖礦木馬的用戶電腦主機,在經(jīng)常長期高負荷運轉(zhuǎn)挖礦的情況下,顯卡、主板、內(nèi)存等硬件會提前報廢,嚴重損害網(wǎng)絡(luò)用戶的權(quán)益。

　　 [編輯: 張珍珍]