警民聯(lián)手打掉“黑鷹帝國(guó)”

文/丁一鶴

?

警民聯(lián)手打掉“黑鷹帝國(guó)”

文/丁一鶴

木馬病毒猖獗時(shí)，很多反病毒論壇、貼吧上，一些黑客高手竟然公開(kāi)發(fā)布招生廣告，宣稱長(zhǎng)期收徒，傳授灰鴿子、抓雞、DDOS攻擊、木馬制作、網(wǎng)站入侵、網(wǎng)站掛馬、木馬脫殼、免殺、捆綁服務(wù)器的制作與維護(hù)、網(wǎng)吧安全與入侵等，甚至還有大量黑客打出廣告，表示有能力承接各類黑客業(yè)務(wù)，只要付上足夠的價(jià)錢。

木馬病毒倏忽來(lái)去，隱藏在角落里的黑客自以為能夠逍遙法外。但在360安全衛(wèi)士確定的“木馬不過(guò)夜”的殺毒原則之下，360與湖北警方聯(lián)手和一種叫“小耗子”的木馬展開(kāi)交鋒。

“小耗子”發(fā)動(dòng)的木馬攻擊

兩年前，湖北省麻城市黃金橋區(qū)電信互聯(lián)網(wǎng)突然中斷，長(zhǎng)達(dá)3天的時(shí)間里無(wú)法正常運(yùn)轉(zhuǎn)。中斷網(wǎng)絡(luò)的包括麻城市公安局、檢察院、法院在內(nèi)的45家單位和5家網(wǎng)吧。

幾乎所有單位都涌到麻城市電信部門(mén)查詢，但技術(shù)人員無(wú)論如何也查不到原因。

與此同時(shí)，網(wǎng)吧老板小趙跑到公安局報(bào)案說(shuō)：“我接到一條信息，黑客讓我給8000元消災(zāi)費(fèi)，買他的軟件就能恢復(fù)網(wǎng)絡(luò)，否則就讓我的網(wǎng)吧癱瘓?！?/p>

麻城公安局網(wǎng)監(jiān)大隊(duì)抽調(diào)技術(shù)高手，迅速介入此案。

警方偵查發(fā)現(xiàn)，這個(gè)信息就發(fā)自湖北麻城，說(shuō)明敲詐者身在麻城，甚至可能熟悉趙老板，更可能是對(duì)網(wǎng)吧熟悉的上網(wǎng)人員。于是，警方在麻城網(wǎng)吧展開(kāi)秘密監(jiān)控。

很快，24歲的高麻城被警方抓獲。警方以為抓到了一個(gè)大家伙，但審訊時(shí)發(fā)現(xiàn)這只不過(guò)是一只小耗子，他滿腹冤枉地說(shuō)：“打電話發(fā)短信要錢是我干的，趙老板跟我有仇，我才想出這一招敲詐他的。但網(wǎng)絡(luò)攻擊不是我發(fā)動(dòng)的，是山東人韓青島干的！”

“韓青島干什么的？你們?cè)趺凑J(rèn)識(shí)的？”警方繼續(xù)追問(wèn)。

高麻城委屈地說(shuō)：“我也是發(fā)動(dòng)攻擊前一天剛在黑鷹網(wǎng)上認(rèn)識(shí)的，韓青島說(shuō)他是小耗子木馬的全國(guó)總代理，專門(mén)干的就是控制‘肉雞’，攻擊小城市網(wǎng)吧的。我在網(wǎng)上跟他聊天，才突發(fā)奇想，試試能不能在麻城趙老板的網(wǎng)吧出出氣順便賺點(diǎn)錢。我本來(lái)有工作單位，不信你們?nèi)ゲ??！?/p>

警方一查，這小子果然沒(méi)說(shuō)謊。

“那你們是怎樣發(fā)動(dòng)攻擊的？”警方繼續(xù)審訊。

“我就是打探到趙老板的電話，查到了他們網(wǎng)吧的IP地址，然后告訴韓青島，由他發(fā)動(dòng)的攻擊，造成網(wǎng)吧傳輸阻塞、掉線，總共集中攻擊了兩次?！备呗槌钦f(shuō)。

“你有韓青島的聯(lián)系方式嗎？”警方問(wèn)。

“只有QQ號(hào)，別的沒(méi)有?！备呗槌侨鐚?shí)回答。

韓青島發(fā)動(dòng)的這次木馬攻擊，在湖北麻城造成直接經(jīng)濟(jì)損失13萬(wàn)余元，間接損失無(wú)法估算。麻城警方層層上報(bào)后，公安部將此案列為督辦案件。

審訊高麻城之后，麻城警方迅速調(diào)集警力對(duì)韓青島展開(kāi)追擊，但韓青島像人間蒸發(fā)一樣，在網(wǎng)絡(luò)上消失了。

茫茫人海，要奔赴山東去追查一個(gè)名字都不知道真假的韓青島，談何容易？

由于網(wǎng)絡(luò)攻擊證據(jù)采集很困難，起訴證據(jù)不足，麻城警方只能將這起網(wǎng)絡(luò)攻擊案暫時(shí)擱置，但偵破工作并未就此完全停止，韓青島的動(dòng)向始終被麻城警方重點(diǎn)監(jiān)控。

二次攻擊暴露幕后黑手

召喚“肉雞”是遠(yuǎn)程控制木馬發(fā)動(dòng)網(wǎng)絡(luò)攻擊的主要方式。所謂“肉雞”，就是那些沒(méi)有安全保護(hù)而被木馬控制的電腦終端，被控制的“肉雞”是黑客取之不盡的財(cái)富寶庫(kù)。在黑客網(wǎng)站上，“肉雞”被公開(kāi)叫賣，每只“肉雞”的價(jià)格低至0.1元，高則達(dá)1000多元。

“殺毒高手”鄭文彬發(fā)現(xiàn)，“肉雞”之所以受歡迎，一是黑客買到“肉雞”后，首先將“肉雞”的銀行賬號(hào)、游戲賬號(hào)、密碼、游戲裝備、游戲幣和QQ幣等盜出來(lái)，然后打包批發(fā)賣給銷售商，銷售商再去非法銷售。二是黑客可以控制“肉雞”點(diǎn)擊廣告、提升一些網(wǎng)站的流量和排名，從廣告主那里收取廣告費(fèi)。三是指揮肉雞發(fā)動(dòng)網(wǎng)絡(luò)攻擊。黑客能控制數(shù)萬(wàn)甚至數(shù)十萬(wàn)只“肉雞”充當(dāng)網(wǎng)絡(luò)戰(zhàn)士，在同一時(shí)間段內(nèi)攻陷某一網(wǎng)絡(luò)站點(diǎn)，使一些網(wǎng)吧和中小企業(yè)不得不破財(cái)免災(zāi)，只要交了“保護(hù)費(fèi)”，網(wǎng)絡(luò)馬上就會(huì)恢復(fù)平靜。

韓青島在湖北麻城搞過(guò)一次閃電突擊之后，扔下同伴高麻城遁入地下。但他對(duì)在麻城的戰(zhàn)果念念不忘，韓青島再次向麻城方向發(fā)動(dòng)了攻擊。這次他通過(guò)木馬竊取了女孩小周的“艷照”，敲詐數(shù)額5000元。

心里沒(méi)鬼的小周馬上報(bào)案。麻城網(wǎng)監(jiān)警察在小周的電腦內(nèi)，發(fā)現(xiàn)大量小耗子等遠(yuǎn)程控制木馬程序，而且攻擊手段與上一次的攻擊非常相似。網(wǎng)監(jiān)警察僅僅用了4個(gè)小時(shí)，就鎖定了韓青島的位置。

隨后，麻城網(wǎng)警抓獲了韓青島。警方從他的電腦中發(fā)現(xiàn)大量木馬程序，小耗子木馬下載器也在其中。

韓青島被捕后十分抗拒，他只承認(rèn)敲詐了小周，卻拒不承認(rèn)發(fā)動(dòng)“肉雞”攻擊網(wǎng)吧。他僥幸地認(rèn)為，那個(gè)案件已過(guò)去近兩年，電子證據(jù)已毀滅，況且他與高麻城也只是網(wǎng)上聯(lián)絡(luò)從未謀面，警方不可能查到他。

但他還是低估了網(wǎng)絡(luò)警察的實(shí)力，辦案民警連續(xù)幾晝夜工作，終于在韓青島的電腦中發(fā)現(xiàn)了2個(gè)電子銀行登錄記錄，而其中一個(gè)電子銀行賬號(hào)，正是敲詐麻城趙老板網(wǎng)吧時(shí)留的銀行賬號(hào)。在鐵證面前，韓青島低下了頭

在審訊中，韓青島承認(rèn)說(shuō)：“我是小耗子的全國(guó)總代理，小耗子可以秒殺一般的安全軟件，但唯獨(dú)360安全衛(wèi)士卻很難對(duì)付。所以小耗子的作者‘落雪的瞬間’非常痛恨360，每次升級(jí)程序在繞過(guò)360殺毒程序時(shí)，都要絞盡腦汁。”

“‘落雪的瞬間’是誰(shuí)？他在哪里？”警方繼續(xù)追問(wèn)。

“我也不知道，我只知道他網(wǎng)名叫‘落雪的瞬間’?！表n青島如實(shí)回答。

“沒(méi)有任何聯(lián)系方式嗎？”麻城警方緊追不放。

“只有一個(gè)網(wǎng)名，別的什么都沒(méi)有。都是他主動(dòng)聯(lián)系我，我從不主動(dòng)聯(lián)系他?！表n青島說(shuō)。

抓不到幕后黑手，這個(gè)公安部督辦的大案就不能圓滿結(jié)案，起碼是最大的遺憾！

“再黑的黑客也有懼怕的對(duì)手！馬上向公安部網(wǎng)絡(luò)安全保衛(wèi)局匯報(bào)，通過(guò)國(guó)家計(jì)算機(jī)應(yīng)急中心聯(lián)系360的專家，挖出幕后黑手！”麻城警方領(lǐng)導(dǎo)作出指示。

警民聯(lián)手抓住“小耗子”

麻城警方立即趕赴北京，通過(guò)公安部網(wǎng)絡(luò)安全保衛(wèi)局找到奇虎360公司，根據(jù)警方提供的線索，360公司立即責(zé)令鄭文彬等殺毒高手，全力配合麻城警方。

聽(tīng)完麻城警方提供的木馬分析和查殺數(shù)據(jù)之后，鄭文彬說(shuō)：“最近一個(gè)時(shí)期小耗子木馬猖獗，為了繞過(guò)我們的狙殺，變種頻出。但每次出現(xiàn)新的變種，我們都會(huì)在第一時(shí)間將樣本截獲，不斷強(qiáng)化防御能力。我們還破解過(guò)小耗子代理商韓青島的統(tǒng)計(jì)后臺(tái)，發(fā)現(xiàn)僅通過(guò)韓青島，小耗子木馬一天時(shí)間就感染了5781臺(tái)電腦，被控制的“肉雞”電腦總量達(dá)到17萬(wàn)個(gè)，這足以說(shuō)明小耗子足夠猖獗。但他們?cè)俨?，也逃不過(guò)我們獵手！”

“能不能幫我們抓到寫(xiě)病毒的幕后黑手？”麻城警方關(guān)心的是小耗子背后的作者。

“應(yīng)該沒(méi)有問(wèn)題吧？”鄭文彬信心滿滿。

隨后，鄭文彬配合警方調(diào)取了大量關(guān)于小耗子木馬的數(shù)據(jù)。他對(duì)小耗子進(jìn)行分析后發(fā)現(xiàn)，小耗子用于升級(jí)的服務(wù)器，竟然隱藏在廣東省東莞市的電信機(jī)房中。盡管韓青島已經(jīng)落網(wǎng)，但寫(xiě)病毒的幕后黑客仿佛并不知情，仍然不斷更新著木馬的變種。

鄭文彬發(fā)現(xiàn)，小耗子木馬在半年內(nèi)就賺取了超過(guò)200萬(wàn)元的巨額黑色利益。

沿著這個(gè)線索，鄭文彬循線追蹤，很快查到寫(xiě)病毒的人隱藏在安徽。麻城警方隨即趕赴安徽，將小耗子木馬的作者楊滁州抓獲。這個(gè)只有20歲的小伙子，就是網(wǎng)名為“落雪的瞬間”的黑客！

在鄭文彬的幫助下，麻城警方又從河北石家莊抓到兩名銷售小耗子木馬的下線。

鄭文彬發(fā)現(xiàn)，小耗子傳播木馬的主要途徑，是向深圳一個(gè)流量商購(gòu)買流量掛馬。隨后，麻城警方順藤摸瓜在深圳將該流量商抓獲。

鄭文彬?qū)β槌蔷椒治稣f(shuō)：“流量商是這條產(chǎn)業(yè)鏈中最大的推手和幕后大老板，在木馬產(chǎn)業(yè)中扮演著非常復(fù)雜的多重角色：首先是向一些網(wǎng)站站長(zhǎng)收購(gòu)流量，這部分流量既可以出售給小耗子木馬的下線傳播者，也可以由流量商自己掛馬。所掛的木馬也分為兩種，一種是直接竊取網(wǎng)游賬號(hào)獲利，另一種是推送偽造的QQ中獎(jiǎng)消息，結(jié)合釣魚(yú)網(wǎng)站進(jìn)行網(wǎng)絡(luò)詐騙，而這些木馬通常也是由流量商以低價(jià)雇傭程序員編寫(xiě)?！?/p>

麻城警方調(diào)查后發(fā)現(xiàn)，深圳的流量商一個(gè)月的收益達(dá)到十多萬(wàn)元。

至此，可以說(shuō)本案已經(jīng)大獲全勝了！然而，更大的驚喜還在后面！

打掉網(wǎng)絡(luò)黑鷹

只有20歲的楊滁州在黑客界頗有名氣，在對(duì)楊滁州的審訊中，警方好奇地問(wèn)：“你小小年紀(jì)，在哪里學(xué)來(lái)如此高超的黑客手段？”

楊滁州自負(fù)又滿腹怨氣地說(shuō)：“在黑鷹網(wǎng)啊，我也是在黑鷹網(wǎng)認(rèn)識(shí)的韓青島。我們分工明確，我寫(xiě)木馬，他銷售。我沒(méi)拿到什么錢，錢都讓韓青島賺了?！?/p>

“黑鷹網(wǎng)？”麻城警方再次聽(tīng)到這個(gè)韓青島與高麻城相識(shí)的網(wǎng)站，立即警覺(jué)起來(lái)，連忙詢問(wèn)：“這是個(gè)什么網(wǎng)站？”

“黑鷹安全網(wǎng)，專門(mén)培訓(xùn)黑客的網(wǎng)站，全國(guó)公認(rèn)的規(guī)模最大的3家黑客培訓(xùn)網(wǎng)站的老大！”楊滁州不無(wú)得意地說(shuō)。

大魚(yú)背后有大魚(yú)？麻城警方立即再次提審高麻城和韓青島，發(fā)現(xiàn)他們都是黑鷹網(wǎng)里的同門(mén)師兄弟。

麻城警方立即上報(bào)黃岡市公安局和省公安廳，同時(shí)上報(bào)公安部。黃岡市公安局、麻城市公安局成立“獵鷹行動(dòng)”專案組，由公安部統(tǒng)一協(xié)調(diào)指揮圍獵黑鷹，打掉這條黑色地下產(chǎn)業(yè)鏈！

經(jīng)過(guò)鄭文彬等奇虎360公司的殺毒人員測(cè)定，黑鷹網(wǎng)所租用的服務(wù)器分別位于浙江溫州、安徽黃山、河南漯河，而主要犯罪人員在河南許昌。公安部立即協(xié)調(diào)四地警方，統(tǒng)一行動(dòng)。

鄭文彬他們配合警方調(diào)查時(shí)發(fā)現(xiàn)，河南人李許昌曾是一名黑客高手，他在網(wǎng)上與張河北相識(shí)。張河北聽(tīng)說(shuō)做黑客能賺大錢之后，兩人商議成立一家實(shí)體公司，通過(guò)制造和傳播電腦病毒賺錢。

李許昌、張河北聯(lián)合成立了黑鷹科技有限公司，注冊(cè)資金100萬(wàn)元。李許昌擔(dān)任董事長(zhǎng)，張河北出任總經(jīng)理。在3年時(shí)間里，黑鷹網(wǎng)共發(fā)展收費(fèi)會(huì)員1.2萬(wàn)余名、普通注冊(cè)會(huì)員17萬(wàn)余人。成為該網(wǎng)站收費(fèi)會(huì)員的，每人每年需向該網(wǎng)站交納200元至996元不等的會(huì)費(fèi)，才能學(xué)到各種類型的黑客技術(shù)。黑鷹安全網(wǎng)開(kāi)辦以來(lái)，收取會(huì)員會(huì)費(fèi)逾700萬(wàn)元。

為了招收更多會(huì)員，讓他們盡快掌握各類木馬程序，黑鷹網(wǎng)開(kāi)辦了網(wǎng)絡(luò)教學(xué)，利用新浪網(wǎng)的UC聊天室進(jìn)行團(tuán)體授課，開(kāi)設(shè)營(yíng)銷課程，教授學(xué)員如何賺錢，如何使用木馬軟件，同時(shí)還定時(shí)對(duì)木馬程序更新、升級(jí)。而在黑鷹安全網(wǎng)上，先后提供了3000余款木馬、病毒程序，供會(huì)員下載使用。

黑鷹安全網(wǎng)成為全國(guó)最大的黑客培訓(xùn)網(wǎng)站。

在公安部的統(tǒng)一指揮下，專案組前往河南許昌“獵鷹”。浙江溫州、安徽黃山、河南漯河等警察統(tǒng)一配合行動(dòng)。警方在河南許昌將李許昌、張河北抓獲，查扣黑鷹網(wǎng)所有服務(wù)器，凍結(jié)涉案資金170余萬(wàn)元。隨后，公安部又分別搗毀了全國(guó)三大黑客培訓(xùn)網(wǎng)站的另外兩家。

圍獵黑鷹一戰(zhàn)，6名涉嫌木馬制作、代理、傳播和銷贓的案犯盡數(shù)落網(wǎng)，這是國(guó)內(nèi)首次成功破獲一條上下游完整的木馬產(chǎn)業(yè)鏈。

刑法修正案（七）確定了提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序罪這一新罪名。據(jù)公安部通報(bào)，“黑鷹安全網(wǎng)”案名列全國(guó)十大網(wǎng)偵精品案件之一。

先行落網(wǎng)的黑客韓青島和高麻城，因犯破壞計(jì)算機(jī)信息系統(tǒng)罪，分別被判處有期徒刑2年和1年。日前，麻城市法院作出一審判決，李許昌、張河北犯提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序罪，被判處有期徒刑1年6個(gè)月。

責(zé)任編輯/濰河