山東破獲特大木馬案:逾百萬台電腦被非法控制“挖礦” 涉及金額1500餘萬

稿源時間:2018-07-10 11:31:00  文章來源:法制日報  作者:徐鵬 劉貴增 王豔 責任編輯:高靜
【4px集運地址】大連昇平網絡科技有限公司研發挖礦監控軟件、集成挖礦程序後,通過發展下線代理,非法控制了全國389萬台電腦主機做廣告增值收益,在100多萬台電腦主機靜默安裝挖礦程序。兩年間,共挖取DGB幣(極特幣)、DCR幣(德賽幣)、SC幣(雲產幣)2600餘萬枚,共非法獲利1500餘萬元。

  青州公安破獲部督非法控制計算機信息系統案

  逾百萬台電腦被非法控制“挖礦”

  正常使用的電腦被非法控制替別人“幹活”,用户卻渾然不知。原來,電腦被植入了挖礦程序及挖礦監控程序,監控程序只要監測到電腦CPU利用率低於50%,挖礦程序就會在後台靜默啓動,通過大量耗費被控電腦的CPU、GPU資源和電力資源,持續不斷地挖取虛擬貨幣,並將這些虛擬貨幣轉至控制者處,從而提現牟取暴利。

  近日,山東省濰坊市公安局網安支隊會同青州市公安局在公安部、山東省公安廳指導下,在騰訊守護者計劃安全團隊協助下,按照公安部和省公安廳“淨網2018專項行動”部署要求,成功破獲部督“1·03”特大非法控制計算機信息系統案,目前抓獲犯罪嫌疑人20人,取保候審11人,批捕9人。

  經查,大連昇平網絡科技有限公司研發挖礦監控軟件、集成挖礦程序後,通過發展下線代理,非法控制了全國389萬台電腦主機做廣告增值收益,在100多萬台電腦主機靜默安裝挖礦程序。兩年間,共挖取DGB幣(極特幣)、DCR幣(德賽幣)、SC幣(雲產幣)2600餘萬枚,共非法獲利1500餘萬元。

  據瞭解,雖然非法控制計算機信息系統的違法犯罪屢見不鮮,但數量達到如此之巨,且通過植入靜默挖礦程序這種新型手段進行虛擬貨幣變現,這在全國是比較少見的。

  遊戲外掛暗藏挖礦木馬程序

  2018年1月3日,濰坊市公安局網安支隊接騰訊守護者計劃安全團隊報案稱,騰訊電腦管家檢測到一款遊戲外掛暗藏了木馬程序,該木馬程序具備後台靜默挖礦功能。

  “挖礦,就是通過大量計算機運算獲取數字貨幣—虛擬貨幣獎勵,這個過程對電腦硬件配置要求比較高,主機經常長期高負荷運轉,顯卡、主板、內存等硬件會提前報廢,對電腦的損害極大。”辦案民警介紹。

  辦案民警説,違法犯罪人員通常提前調研市面上挖取難度較低的虛擬貨幣,通過雲計算、顯卡雲計算業務非法控制用户的電腦主機,植入這種虛擬貨幣的挖礦程序進行挖礦。用户對此毫無察覺,只要電腦處於開機狀態,挖礦程序就在後台靜默運轉,在挖取到大量礦幣後迅速轉至控制者那裏變現提現,牟取高額利潤。

  初步統計,該木馬程序感染數十萬台用户機器。濰坊市公安局網安支隊接案後,迅速研判案件線索,通過互聯網提取到外掛木馬樣本,找到木馬開發者建立的木馬交流羣,初步查明該款木馬程序開發者在青州市。濰坊市公安局網安支隊將該案情通報青州市公安局,由市局網安支隊、青州市局成立專案組,對該案立案偵查。

  專案組確定交流羣羣主身份為楊某寶。通過偵查發現,楊某寶建立了多個外掛討論羣,在羣文件中共享外掛程序;同時,利用“天下網吧論壇”版主的身份,將上傳含有木馬的外掛程序到“天下網吧”論壇供網民下載,並通過百度網盤進行分享下載。

  3月8日,專案組制定了詳細的抓捕方案,在楊某寶家中將其抓獲。

  科技公司研發木馬程序發展代理

  經審訊,楊某寶對利用外掛、“酷藝VIP影視”非法控制計算機信息系統的不法事實供認不諱。楊某寶交代曾被58迅推增值聯盟僱傭,利用該平台增值客户端非法挖礦共同獲利。

  專案組迅速查清58迅推增值聯盟的幕後公司為大連晟平網絡科技有限公司,並掌握了這家公司的組織架構,摸清公司幕後控制人為賀某、公司財務主管為陳某(賀某妻子)。

  4月11日,專案組抽調精幹力量50餘人趕赴遼寧大連,經過周密部署,抓獲全部涉案嫌疑人16名。通過審查,賀某、陳某等12人涉嫌非法控制計算機信息系統罪被刑事拘留,趙某從等4人被取保候審。

  隨後,專案組對大連晟平網絡科技有限公司的下線進行梳理,並開展抓捕。

  4月18日,專案組在黑龍江哈爾濱打掉迅博網絡科技有限公司,抓獲張某、高某,查清該二人利用職務之便,向黑龍江省各網吧使用的某網管軟件捆綁了挖礦木馬,非法控制近6萬台電腦主機。

  4月19日,專案組在廣東佛山將杜某熊抓獲,查繳一款dll挖礦程序。

  “大連晟平網絡科技有限公司是上線,提供技術支持,研發了挖礦監控軟件、集成挖礦程序,然後發展了全國幾百名下線從事代理。”辦案民警介紹,這些下線手中掌着全國389萬台電腦的龐大資源,大連這家公司與下線達成合作協議,不僅向這389萬台電腦發送廣告獲利,還選擇其中100多萬台進行後台靜默挖礦,這兩部分的利潤由上線與下線按比例分成。

  揭開挖礦木馬牟利產業鏈

  通過審訊查清,楊某寶涉嫌侵犯著作權非法牟利,仿冒“愛奇藝”,編寫了“酷藝VIP影視”服務端和客户端,在全國範圍內發展了60多個代理,以年卡、月卡方式向全國網吧兜售。楊某寶共向全國2465家網吧賣出年卡5774張,季卡282張,半年卡116張,月卡3285張,非法牟利20餘萬元。

  同時,楊某寶開發了外掛程序,具備“自動瞄準”“透視”“子彈加速”“子彈追蹤”“物品顯示”等功能,通過社交羣和論壇宣傳,並供網民免費下載發展大量用户。

  “楊某寶通過上述兩種渠道掌握了大量電腦資源,共計有3萬多台電腦主機。作為大連晟平網絡科技有限公司的大客户,他利用其迅推的增值客户端控制了這些電腦,植入挖礦木馬程序後,大連這家公司提取虛擬貨幣套現,和楊某寶分成,楊某寶共非法獲利26.8萬餘元。”辦案民警介紹。

  對於大連晟平網絡科技有限公司,經查,從2015年以來,賀某指使公司副總兼運營主管張某寧組織研發、測試部門對挖礦木馬研發,研發部負責研發挖礦監控軟件、集成挖礦程序,測試部負責測試,客服部負責發展下線代理並指導使用。

  “就像楊某寶一樣,全國幾百名下線代理從迅推平台下載增值客户端程序後,通過多種方式將增值客户端非法植入到網吧主機中,並靜默下載挖礦監控軟件和挖礦程序運行,挖到的礦幣會轉移到賀某的虛擬貨幣錢包中,陳某隨時進行變現提現,陳某按照控制的終端數向代理分發提成。”辦案民警説。

  據瞭解,楊某寶曾做過網吧管理工作,在電腦編程方面自學成才,非常有研究。嚐到甜頭的他後來不滿足於受制於上線,他對58迅推的增值客户端、挖礦程序進行修改,內嵌了自己的HSR(“紅燒肉幣”)錢包地址,被控主機在挖礦時挖到的礦幣會轉到自己的HSR錢包中。經統計,自2017年10月至案發,楊某寶共挖取了8551.9枚HSR幣(最高價格252元/枚,目前42元/枚)。(記者 徐鵬 通訊員 劉貴增 王豔)

 

歡迎廣大網民為中國網山東提供新聞線索,積極投稿。中國網山東熱線電話:【4px集運地址】 投稿郵箱:zgwsdchina@126.com 中國網山東微博://weibo.com/aixinqiye 微信公眾號 :sdpdchina

0