全國(guó)首例非法侵入證券交易系統(tǒng)黑客案的三重檢視

摘 要：為徹底根治場(chǎng)外配資黑灰產(chǎn)業(yè)鏈，檢察機(jī)關(guān)在履職過(guò)程中，全面檢視場(chǎng)外配資違法犯罪生態(tài)鏈，深挖拓展上游犯罪，精準(zhǔn)測(cè)算深度研判，積極引導(dǎo)偵查取證，綜合運(yùn)用軟件反編譯、代碼溯源等手段，有力打擊犯罪；依托深度數(shù)據(jù)分析，將案件中暴露出的證券交易系統(tǒng)漏洞及潛在風(fēng)險(xiǎn)通報(bào)證券監(jiān)管部門，實(shí)現(xiàn)案件辦理“三個(gè)效果”有機(jī)統(tǒng)一。

關(guān)鍵詞：證券交易 侵入計(jì)算機(jī)信息系統(tǒng) 信息安全 金融風(fēng)險(xiǎn) 檢察履職

一、基本案情及辦案過(guò)程

為實(shí)現(xiàn)對(duì)場(chǎng)外配資黑灰產(chǎn)業(yè)鏈源頭追溯，徹底斬?cái)喾欠ń尤胱C券公司交易系統(tǒng)通道，有序根治行業(yè)亂象，有力監(jiān)管化解風(fēng)險(xiǎn)，有效維護(hù)證券市場(chǎng)秩序，上海市普陀區(qū)人民檢察院（以下簡(jiǎn)稱“普陀檢察院”）以H公司、張某等人非法經(jīng)營(yíng)案［1］為切入點(diǎn)，與偵查機(jī)關(guān)以及技術(shù)鑒定機(jī)構(gòu)積極溝通研判，通過(guò)綜合運(yùn)用軟件反編譯、代碼溯源等手段，成功辦理全國(guó)首例非法侵入證劵交易系統(tǒng)黑客案。

經(jīng)查，2016年12月至案發(fā)，被告人宋某甲（原騰訊公司工程師）與宋某乙為謀取不法利益，合謀組建“TradeX”黑客團(tuán)伙。由宋某甲利用“通達(dá)信”（系多功能證券信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)，承接建設(shè)并維護(hù)國(guó)內(nèi)主流證券公司網(wǎng)上交易系統(tǒng)）版本升級(jí)期間個(gè)別證券公司數(shù)據(jù)傳輸未加密的漏洞，截獲底層通信協(xié)議，劫持軟件登錄流程，完成對(duì)“通達(dá)信”軟件客戶端交易主程序的“脫殼”、破解，并在各證券公司使用的“通達(dá)信”軟件對(duì)客戶終端完整性進(jìn)行安全檢測(cè)時(shí)，通過(guò)對(duì)客戶端核心通訊模塊文件進(jìn)行篡改，以鏡像欺騙以及偽造動(dòng)態(tài)防御代碼的方式，將非法的程序化交易接口偽裝成證券公司許可的客戶接口，將上述破解代碼包裝成“TradeX”非法交易接口，侵入由“通達(dá)信”承建、維護(hù)的廣發(fā)證券、國(guó)泰君安、華泰證券等84家證券公司交易系統(tǒng)，從而實(shí)現(xiàn)股票分倉(cāng)交易軟件調(diào)用證券市場(chǎng)實(shí)時(shí)行情數(shù)據(jù)、委托交易、交易結(jié)算等證券交易功能以及違規(guī)量化交易主體進(jìn)行程序化交易等。由宋某乙負(fù)責(zé)編寫接口使用說(shuō)明，組建“X技術(shù)”“談股”等QQ群對(duì)外大肆招攬場(chǎng)外配資公司、股票分倉(cāng)交易軟件開(kāi)發(fā)方和違規(guī)量化交易客戶，并根據(jù)客戶提供的證券賬戶信息為其開(kāi)通接口授權(quán)及綁定證券賬戶。2018年11月至案發(fā)，被告人共計(jì)向全國(guó)10余個(gè)省市的1240個(gè)非法場(chǎng)外配資公司、分倉(cāng)軟件開(kāi)發(fā)商等出售“TradeX”非法交易接口2506個(gè)，非法獲利902萬(wàn)余元。

2021年5月28日，普陀檢察院依法對(duì)被告人以提供侵入計(jì)算機(jī)信息系統(tǒng)程序罪向上海市普陀區(qū)人民法院（以下簡(jiǎn)稱“普陀法院”）提起公訴，獲法院判決支持。2021年11月22日，普陀法院以提供侵入計(jì)算機(jī)信息系統(tǒng)程序罪判處宋某甲有期徒刑3年9個(gè)月，罰金人民幣125萬(wàn)元；判處宋某乙有期徒刑2年3個(gè)月，罰金人民幣55萬(wàn)元。判決已生效。

二、第一重檢視：案件定性

（一）本案應(yīng)認(rèn)定為提供侵入計(jì)算機(jī)信息系統(tǒng)程序罪

案件審查過(guò)程中，檢察機(jī)關(guān)通過(guò)對(duì)被告人的犯罪行為模式進(jìn)行深入研究發(fā)現(xiàn)，被侵入的“通達(dá)信”與證券公司的服務(wù)器構(gòu)成了一個(gè)完整運(yùn)行的計(jì)算機(jī)信息系統(tǒng)，能夠幫助客戶實(shí)現(xiàn)交易指令的傳輸以及證券行情的獲取，具備自動(dòng)處理數(shù)據(jù)功能，符合“兩高”《關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問(wèn)題的解釋》（以下簡(jiǎn)稱《解釋》）中所指的計(jì)算機(jī)信息系統(tǒng)的特征，根據(jù)《刑法》第285條第3款的規(guī)定，被告人的行為構(gòu)成提供侵入計(jì)算機(jī)信息系統(tǒng)程序罪。

1.“TradeX”程序?qū)儆趯ｉT用于侵入計(jì)算機(jī)信息系統(tǒng)的程序。經(jīng)上海弘連網(wǎng)絡(luò)科技有限公司計(jì)算機(jī)司法鑒定所鑒定，本案中的“TradeX”程序具備將分倉(cāng)軟件接入證券公司股票交易系統(tǒng)，實(shí)現(xiàn)委托下單交易以及獲取行情數(shù)據(jù)的功能。另根據(jù)“通達(dá)信”公司提供的相關(guān)說(shuō)明資料可以得知，該程序主要攻擊的是客戶端的交易模塊，通過(guò)黑客技術(shù)劫持和利用客戶端局部模塊與交易服務(wù)器進(jìn)行通訊。

證券交易外掛程序從技術(shù)分類上而言，主要包括模擬操縱類（不損害客戶端完整性）、注入類（基本不損害客戶端完整性，但可能對(duì)部分系統(tǒng)“API”進(jìn)行攔截以躲避追查）、篡改類（嚴(yán)重?fù)p害客戶端完整性）、脫機(jī)掛（完全依賴于協(xié)議代碼破解或者協(xié)議代碼泄露）。根據(jù)“TradeX.dll”的特征碼信息可以得知，“TradeX”程序?qū)儆谧⑷胧酵鈷斐绦?。該類外掛程序可以非法接入證券公司交易系統(tǒng)，繞過(guò)證券公司風(fēng)控和合規(guī)，逃避監(jiān)管，被用于場(chǎng)外配資等非法業(yè)務(wù)。因此，本案中的“TradeX”程序具有避開(kāi)或者突破計(jì)算機(jī)信息系統(tǒng)安全保護(hù)措施，未經(jīng)授權(quán)侵入計(jì)算機(jī)，獲取計(jì)算機(jī)系統(tǒng)數(shù)據(jù)的功能，符合《解釋》第2條的規(guī)定，屬于專門用于侵入計(jì)算機(jī)信息系統(tǒng)的程序。

2.被告人的行為符合提供侵入計(jì)算機(jī)信息系統(tǒng)程序罪的構(gòu)成要件。第一，關(guān)于本罪被侵害的客體，“通達(dá)信”軟件的通訊協(xié)議與證券公司服務(wù)器構(gòu)成了完整運(yùn)行的計(jì)算機(jī)信息系統(tǒng)，能夠幫助客戶實(shí)現(xiàn)交易指令的傳輸以及證券行情的獲取，具備自動(dòng)處理數(shù)據(jù)功能，符合《解釋》對(duì)于計(jì)算機(jī)信息系統(tǒng)的認(rèn)定。第二，本案中的“TradeX”程序系通過(guò)對(duì)“通達(dá)信”軟件客戶端交易主程序進(jìn)行“脫殼”并破解，在各證券公司使用的“通達(dá)信”軟件對(duì)客戶終端進(jìn)行安全檢測(cè)時(shí)，以鏡像欺騙及偽造動(dòng)態(tài)防御代碼的方式，非法接入證券公司交易系統(tǒng)，故該非法交易接口具有侵入性。第三，被告人為謀取非法利益，將破解程序包裝成“TradeX”非法交易接口對(duì)外出售構(gòu)成了提供行為。

（二）本案不宜認(rèn)定為下游非法經(jīng)營(yíng)證券業(yè)務(wù)的共犯

本案中的“TradeX”程序可被用于股票分倉(cāng)交易軟件進(jìn)行證券交易或違規(guī)量化交易主體進(jìn)行程序化交易，從本案的犯罪結(jié)果分析，被告人破解、售賣的“TradeX”程序已被下游的軟件開(kāi)發(fā)團(tuán)伙、場(chǎng)外配資團(tuán)伙用于非法經(jīng)營(yíng)證券業(yè)務(wù)，若要將被告人破解、銷售“TradeX”程序的行為認(rèn)定為下游非法經(jīng)營(yíng)證券業(yè)務(wù)的共犯，則被告人在主觀明知性上存在較大的辯解空間。因此，在無(wú)確鑿證據(jù)證實(shí)被告人對(duì)于下游非法經(jīng)營(yíng)證券業(yè)務(wù)具有主觀明知以及明確參與共同犯罪的情況下，不宜認(rèn)定為非法經(jīng)營(yíng)罪的共犯。

（三）本案的罪數(shù)問(wèn)題

本案中的“TradeX”程序?qū)ｉT用于攻擊“通達(dá)信”服務(wù)的證券公司交易模塊，使非法場(chǎng)外配資、系統(tǒng)分倉(cāng)軟件實(shí)現(xiàn)證券交易功能，屬于提供專門用于違法犯罪的程序和技術(shù)支持，涉嫌構(gòu)成幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪?！缎谭ā返?85條第3款以及《解釋》第3條規(guī)定，被告人的行為屬于“情節(jié)特別嚴(yán)重”，依法應(yīng)判處3年以上7年以下有期徒刑。一行為觸犯數(shù)個(gè)罪名，想象競(jìng)合擇一重罪論處，提供侵入計(jì)算機(jī)信息系統(tǒng)程序罪的法定刑最高可到7年有期徒刑，而幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪的最高法定刑為3年，因此，應(yīng)當(dāng)對(duì)被告人以提供侵入計(jì)算機(jī)信息系統(tǒng)程序罪定罪處罰。

三、第二重檢視：證券交易系統(tǒng)存在的安全問(wèn)題

近年來(lái)，全國(guó)各地場(chǎng)外配資違法犯罪案件頻發(fā)，偶有實(shí)現(xiàn)對(duì)上游分倉(cāng)軟件開(kāi)發(fā)方的順藤打擊，但相關(guān)軟件經(jīng)過(guò)簡(jiǎn)單“換殼”又能以全新面貌進(jìn)入市場(chǎng)，極易滋生操縱證券市場(chǎng)及內(nèi)幕交易違法犯罪。

“通達(dá)信”作為一家多功能證券信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)，承接建設(shè)并維護(hù)國(guó)內(nèi)主流證券公司網(wǎng)上交易系統(tǒng)，其共計(jì)為國(guó)內(nèi)93家證券公司（全國(guó)總數(shù)138家，市場(chǎng)占有率67.4%）建設(shè)、維護(hù)交易服務(wù)器2527臺(tái)（全國(guó)總數(shù)4695臺(tái)，市場(chǎng)覆蓋率53.8%）。鑒于該公司在證券領(lǐng)域具有廣泛的受眾面，一旦其負(fù)責(zé)維護(hù)的證券公司服務(wù)器遭受攻擊，影響面極其廣泛。

“TradeX”非法交易接口正是通過(guò)對(duì)“通達(dá)信”軟件客戶端交易主程序進(jìn)行脫殼并破解，截獲底層通信協(xié)議，劫持軟件登錄流程后以注入的方式對(duì)客戶端核心通訊模塊反非法接口措施文件進(jìn)行篡改，并在各證券公司使用的“通達(dá)信”軟件對(duì)客戶終端完整性及云端限制進(jìn)行安全檢測(cè)時(shí)，以鏡像欺騙以及偽造動(dòng)態(tài)防御代碼的方式，將非法的程序化交易接口偽裝成證券公司許可的客戶接口，侵入證券公司交易系統(tǒng)，實(shí)現(xiàn)非法獲取行情數(shù)據(jù)及提供交易功能，嚴(yán)重?cái)_亂證券領(lǐng)域金融管理秩序，侵害證券交易信息安全。一是證券公司交易系統(tǒng)非法接口為證券非法軟件接入證券市場(chǎng)提供通道，使場(chǎng)外配資得以用分倉(cāng)軟件形式接入市場(chǎng)，幾何級(jí)放大運(yùn)營(yíng)規(guī)模和市場(chǎng)風(fēng)險(xiǎn)；二是不斷發(fā)起的破解行為，給證券公司服務(wù)器造成大量廢單，增加負(fù)載并影響系統(tǒng)穩(wěn)定性，導(dǎo)致全國(guó)范圍證券公司交易系統(tǒng)周期性陷入被迫升級(jí)；三是非法接口的不穩(wěn)定、不透明使得投資者證券交易無(wú)安全保障，容易導(dǎo)致資金受損；四是證券公司交易系統(tǒng)非法接口作為場(chǎng)外配資犯罪的源頭，為股票分倉(cāng)交易軟件接入證券市場(chǎng)搭建通道，一旦被植入“木馬程序”或“變種病毒”，極易導(dǎo)致客戶證券賬戶信息及交易數(shù)據(jù)泄漏，降低持牌證券機(jī)構(gòu)公信力；五是證券公司交易系統(tǒng)非法接口由于規(guī)避了實(shí)名交易和穿透監(jiān)管，極易滋生操縱證券市場(chǎng)及內(nèi)幕交易等違法犯罪活動(dòng)，嚴(yán)重?cái)_亂證券市場(chǎng)秩序。

四、第三重檢視：保障證券交易安全之檢察履職路徑

（一）轉(zhuǎn)變司法辦案理念，深挖上游犯罪

以往在辦理場(chǎng)外配資違法犯罪案件過(guò)程中，主要做法是圍繞單一配資團(tuán)伙或股票分倉(cāng)交易軟件開(kāi)發(fā)方進(jìn)行規(guī)制，導(dǎo)致場(chǎng)外配資違法犯罪案件呈現(xiàn)屢禁不止的怪象，究其原因在于相關(guān)非法交易接口通常與場(chǎng)外配資團(tuán)伙以及違規(guī)量化交易等結(jié)合，形成一條完整的黑灰產(chǎn)業(yè)鏈，大大增加了案件查處難度。為有力打擊上游犯罪，有效凈化證券市場(chǎng)交易秩序，檢察機(jī)關(guān)秉承“辦理一起案、打擊一類犯罪、治理一個(gè)領(lǐng)域”的理念，以“挖源頭、斬通道、摧全鏈”為目標(biāo)導(dǎo)向，堅(jiān)持“打擊下游犯罪——追擊源頭犯罪——循線上游犯罪”的工作思路，在辦理H公司、張某等人非法經(jīng)營(yíng)案過(guò)程中，發(fā)現(xiàn)相關(guān)交易指令均來(lái)自“通達(dá)信”客戶端，經(jīng)與偵查機(jī)關(guān)以及技術(shù)鑒定機(jī)構(gòu)聯(lián)合走訪行業(yè)獲悉，上述交易指令須經(jīng)證券公司授權(quán)后，方可以接口形式接入證券交易系統(tǒng)，即需通過(guò)破解“通達(dá)信”防偽方式才能實(shí)現(xiàn)證券交易功能。對(duì)此，檢察機(jī)關(guān)聯(lián)合偵查機(jī)關(guān)以及技術(shù)鑒定機(jī)構(gòu)，通過(guò)縱深穿透資金，篩查可疑交易，會(huì)同偵查機(jī)關(guān)以及技術(shù)鑒定機(jī)構(gòu)對(duì)“TradeX”非法交易接口進(jìn)程模塊日志信息進(jìn)行分析，持續(xù)壓縮黑灰產(chǎn)業(yè)生存空間的同時(shí)，全面檢視“TradeX”非法交易接口破解方、非法股票分倉(cāng)交易軟件開(kāi)發(fā)方、場(chǎng)外配資方的生態(tài)鏈，準(zhǔn)確還原非法場(chǎng)外配資的完整邏輯，研究部署針對(duì)場(chǎng)外配資溯源打擊的方案，循線搗毀破解第三方證券交易軟件“通達(dá)信”通信協(xié)議、繞開(kāi)安全檢驗(yàn)技術(shù)，非法侵入證券公司交易系統(tǒng)，為場(chǎng)外配資非法證券交易分倉(cāng)軟件提供接口的黑客團(tuán)伙?？v橫深挖場(chǎng)外配資方、軟件開(kāi)發(fā)方、黑客團(tuán)伙犯罪線索，精確制導(dǎo)各類違法犯罪主體，首次實(shí)現(xiàn)對(duì)場(chǎng)外配資、軟件開(kāi)發(fā)、破解黑客等全鏈條打擊，以雷霆之勢(shì)從頂端徹底斬?cái)嗔藞?chǎng)外配資平臺(tái)非法接入證券市場(chǎng)交易通道。

（二）積極引導(dǎo)偵查取證，準(zhǔn)確有力打擊犯罪

檢察機(jī)關(guān)加強(qiáng)與偵查機(jī)關(guān)以及技術(shù)鑒定機(jī)構(gòu)的協(xié)作配合，開(kāi)展對(duì)非法接口所涉及的客戶開(kāi)展篩選甄別，以繳獲的“TradeX”程序源代碼、云服務(wù)器數(shù)據(jù)為抓手，從接入證券交易系統(tǒng)的途徑切入，引導(dǎo)偵查機(jī)關(guān)以及技術(shù)鑒定機(jī)構(gòu)將程序源代碼和經(jīng)過(guò)MD5值加密的云數(shù)據(jù)進(jìn)行逆運(yùn)算，成功恢復(fù)出被告人為API接口買家授權(quán)數(shù)據(jù)40余萬(wàn)條，經(jīng)對(duì)授權(quán)數(shù)據(jù)進(jìn)行去重、清洗，通過(guò)數(shù)據(jù)偵查及數(shù)據(jù)證據(jù)搭建，對(duì)“TradeX”非法交易接口開(kāi)展偵查實(shí)驗(yàn)，還原程序源代碼，發(fā)現(xiàn)在證券公司對(duì)客戶端進(jìn)行安全檢測(cè)時(shí)，“TradeX”接口以鏡像欺騙及偽造動(dòng)態(tài)防御代碼的方式偽裝成證券公司許可的交易接口，接入證券公司交易系統(tǒng)。依托上述技術(shù)鑒定工作，最終查明“TradeX”非法交易接口的工作原理，即通過(guò)對(duì)“通達(dá)信”軟件客戶端交易主程序進(jìn)行“脫殼”并破解，截獲底層通信協(xié)議，劫持軟件登錄流程，后通過(guò)注入的方式對(duì)客戶端核心通訊模塊反非法接口措施文件進(jìn)行篡改，并在各證券公司使用的“通達(dá)信”軟件對(duì)客戶終端完整性及云端限制進(jìn)行安全檢測(cè)時(shí)，以鏡像欺騙以及偽造動(dòng)態(tài)防御代碼的方式，將非法的程序化交易接口偽裝成證券公司許可的客戶接口，侵入證券公司交易系統(tǒng)，實(shí)現(xiàn)非法獲取行情數(shù)據(jù)及證券交易功能。

（三）精準(zhǔn)測(cè)算深度研判，分類分層穩(wěn)妥處置

針對(duì)場(chǎng)外配資這一老生常談的證券領(lǐng)域違法犯罪行為，檢察機(jī)關(guān)本著有效凈化證券市場(chǎng)秩序的目標(biāo)，力求做到全鏈條打擊，為達(dá)到階梯式分類分層穩(wěn)妥處置的目的，檢察機(jī)關(guān)依據(jù)場(chǎng)外配資“持股多”“頻率高”“IP集中”、軟件開(kāi)發(fā)方“接口多”“IP分散”、違規(guī)量化交易機(jī)構(gòu)“接口少”“資產(chǎn)多”“頻率高”等證券交易特征差異，對(duì)篩查出的API接口買家進(jìn)行全方位掃描甄別，積極引導(dǎo)偵查機(jī)關(guān)以及技術(shù)鑒定機(jī)構(gòu)查明“TradeX”非法交易接口買家的真實(shí)身份；根據(jù)被告人QQ客服聊天記錄的記載時(shí)間，逐一匹配證券賬戶被授權(quán)時(shí)間，再結(jié)合被告人資金賬戶收款時(shí)間，將費(fèi)用支付端、賬戶使用端進(jìn)行拉網(wǎng)式“人戶”匹配，順利將1937個(gè)證券賬戶匹配到51名API接口買家，為精準(zhǔn)打擊犯罪奠定堅(jiān)實(shí)基礎(chǔ)。與此同時(shí)，針對(duì)案件所涉及的客戶從社會(huì)危害度、市場(chǎng)影響度進(jìn)行分類分層，精準(zhǔn)測(cè)算市場(chǎng)規(guī)模，做好處置預(yù)案，把握好打擊犯罪的時(shí)、度、效，確保在進(jìn)行非法配資黑灰產(chǎn)業(yè)鏈全方位輻射式打擊的同時(shí)，能夠有效防范證券市場(chǎng)發(fā)生系統(tǒng)性風(fēng)險(xiǎn)。

（四）通報(bào)證券監(jiān)管部門，全面排查堵塞漏洞

檢察機(jī)關(guān)通過(guò)犯罪懲治與社會(huì)治理并重，有針對(duì)性地制發(fā)檢察建議。對(duì)本案所暴露出的證券公司系統(tǒng)漏洞以及潛在風(fēng)險(xiǎn)反映出的監(jiān)管漏洞高度重視，在案件提起公訴的同時(shí)，將本案所暴露出的監(jiān)管漏洞及潛在風(fēng)險(xiǎn)逐級(jí)層報(bào)至最高檢，向同級(jí)證券監(jiān)管部門進(jìn)行預(yù)警通報(bào)，由證券監(jiān)管部門牽頭對(duì)相關(guān)證券公司及證券信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)開(kāi)展系統(tǒng)優(yōu)化及風(fēng)險(xiǎn)排查，有效防范證券市場(chǎng)發(fā)生系統(tǒng)性風(fēng)險(xiǎn)。

典型性體現(xiàn)

源頭治理：本案系全國(guó)首例非法侵入證券交易系統(tǒng)黑客案，從源頭斬?cái)嘧C券領(lǐng)域以非法交易接口為途徑實(shí)施非法經(jīng)營(yíng)證券經(jīng)濟(jì)業(yè)務(wù)的可能性。

技術(shù)治理：檢察機(jī)關(guān)積極引導(dǎo)偵查取證固證，全方位打擊非法經(jīng)營(yíng)證券經(jīng)紀(jì)業(yè)務(wù)上下游犯罪，徹底斬?cái)鄨?chǎng)外配資違法犯罪黑灰產(chǎn)業(yè)鏈。

協(xié)同治理：將案件暴露出的證券交易監(jiān)管漏洞及潛在風(fēng)險(xiǎn)逐級(jí)層報(bào)最高檢，配合證券監(jiān)管部門開(kāi)展證券交易系統(tǒng)優(yōu)化和風(fēng)險(xiǎn)排查，防范化解系統(tǒng)性金融風(fēng)險(xiǎn)。