非法控制100多萬台電腦,「挖礦」兩年,獲利1500萬
控制100多萬台電腦,「挖礦」兩年,獲利1500萬通過計算機運算獲取數字貨幣,俗稱「挖礦」。犯罪團伙非法控制100多萬台電腦「挖礦」,得到數字貨幣後兌換成人民幣,9名嫌疑人以涉嫌非法控制計算機信息系統罪被批捕。
每一名網遊愛好者,都希望自己永遠是贏家。倘若要問如何才能成為贏家,有人會說,有一種被稱為「遊戲外掛」的過關「神器」,保你百戰百勝。「遊戲外掛」自產生,就備受網遊者青睞——幫人作弊、替人「挖礦」,甚至人為操縱他人計算機實施犯罪。
賀翔成,山東青州城區的一名網吧管理員,是一名「外掛高手」,仗著蓋世「武功」混跡網路江湖,通過在網路遊戲中安裝木馬程序,用收集的數據換取虛擬幣(這種手法俗稱為「挖礦」)的「絕活」維生。
何為「挖礦」
「挖礦」,「礦」為何物?即是由特定字元串組合而成的數據值。「挖礦」,指的非法控制他人的計算機信息系統,通過大量計算機運算獲取數字貨幣。這是一種計算機系統下的犯罪行為。
「挖礦」的通常過程是,犯罪嫌疑人將事先開發出來的外掛程序(木馬程序)安裝到配置高、運行快的目標電腦上,一般是網吧電腦。只要電腦一開機,這些外掛程序就在後台自動運行且不斷升級,在此過程中犯罪嫌疑人趁「機」(目標電腦)尋找特定字元串進行數據收集。只要找到特定數據值,就能得到來自虛擬幣礦池的獎勵,即獲得虛擬幣。
虛擬幣礦池是一個全自動的開採平台,它會根據「礦工」的貢獻算力(比特幣網路處理能力的度量單位)佔比大小進行獎勵分配。一般來說,虛擬幣礦池建在犯罪嫌疑人的電腦伺服器上,不僅實現了由單個「礦工」單獨挖礦到多個「礦工」協同「挖礦」的算力集結,更提升了比特幣等虛擬幣開採穩定性,使「礦工」收穫趨於穩定。當「礦工」們的虛擬幣達到一定數量時,可以提取併到相關網站進行人民幣兌換,實現非法獲利。
賀翔成通過「挖礦」名聲大震,擁有了「天下網吧論壇」的版主、遼寧省大連市晟平網路有限公司(下稱晟平公司)迅推平台的大客戶經理等眾多頭銜。網路帶給他財富,也帶給他夢魘,讓他的人生變得飄忽不定。如今,夢想已灰飛煙滅,留下的只有罪惡。
8月3日,山東省青州市檢察院以涉嫌非法控制計算機信息系統罪批准逮捕賀翔成及同夥賈峰、勵芸(賈峰的妻子)等9名犯罪嫌疑人。自2015年起,該團伙利用黑客技術控制電腦主機389萬台、挖礦主機100多萬台,非法獲利1500餘萬元。據悉,此案系山東省檢察機關辦理的首例利用木馬程序非法控制他人計算機信息系統,通過「挖礦」獲取收益的新型犯罪案件。
犯罪嫌疑人被抓獲歸案
從「論壇版主」撬開「冰山一角」
賀翔成是如何進入警方視線的呢?原來,騰訊公司的安全團隊檢測到一款遊戲外掛暗藏木馬程序,這正是賀翔成開發的「絕地求生」外掛程序。他夥同其他人員利用這款外掛程序非法控制了607台計算機來進行「挖礦」,直到案發,該木馬程序感染了數十萬台用戶電腦。
騰訊公司網路安全部工作人員告訴記者,用戶一旦下載了「絕地求生」這款遊戲外掛程序,電腦就會被植入木馬程序。「殺毒手段不斷升級,木馬也不斷升級。真可謂『道高一尺,魔高一丈』!」辦案檢察官趙樹芬感慨道。
趙樹芬介紹,這款挖礦程序會自動檢測電腦的使用情況,當CPU(中央處理器)使用率在一定範圍內時,該木馬就會自動啟動,在後台靜默挖礦,電腦的使用者是覺察不到的。這對計算機CPU、GPU(圖形處理器)資源和電力資源的耗費相當大。賀翔成為何如此諳悉計算機,又怎樣潛伏下來默默「挖礦」?一連串的問號困擾著辦案檢察官。
這要從三年前說起。當時32歲的賀翔成是當地一家網吧的網管。一個偶然機會,他成了「天下網吧」論壇的版主。賀翔成利用版主的身份,建立了多個外掛討論群,不僅在群文件中共享外掛程序,還悄無聲息地將含有木馬的外掛程序上傳到「天下網吧」論壇供網民下載。平時,賀翔成還利用木馬程序,給電腦用戶投放廣告彈窗,藉此獲取廣告受益,用戶每點擊1000次,賀翔成獲得零點幾元的受益。單看一筆受益很小,但是天長日久,獲利也不是小數。
不久,賀翔成成功「研發」出名為「絕地求生」等遊戲新款外掛程序,具備「自動瞄準」「透視」「子彈加速」「子彈跟蹤」等功能,通過社交群和論壇宣傳,並供網民免費下載發展大量用戶。
隨著「事業」越干越大,賀翔成已不滿足於「小打小鬧」。喜好鑽研的他仿冒「愛奇藝」,編寫了酷藝VIP影視服務端和客戶端,在全國範圍內發展了60多個代理,以年卡、月卡等方式向全國網吧兜售。至案發,賀翔成共向全國2465家網吧賣出年卡5774張,季卡282張,半年卡116張,月卡3285張,非法牟利20萬餘元。
除此之外,賀翔成還有一個重要的身份,就是58迅推平台的大客戶經理。賀翔成利用58迅推的增值客戶端控制了3萬餘台網吧主機,非法獲利26.8萬餘元。
2017年10月以來,賀翔成又對58迅推的增值客戶端、挖礦程序進行修改,內嵌了自己的HSR(紅燒肉幣)錢包地址,被挖主機在挖礦時挖到礦幣後會轉到其HSR錢包中。截至案發,賀翔成已挖取了8552枚幣(最高價格252元/枚,目前市值42元/枚)。
辦案人員查獲的部分作案工具
順藤摸瓜挖出「幕後東家」
58迅推增值聯盟源於一家網路公司——晟平公司。這家公司2014年成立,坐落在大連市甘井子區。公司旗下有兩個網站:一個是迅推,另一個是速推。兩個網站在分工上各有側重,迅推主要是做廣告增值和雲增值(就是「挖礦」,即挖取虛擬貨幣);速推則做手機App。
2014年試運行之後,公司幕後控制人賈峰指使公司副總兼運營主管張煥亮組織所謂的「研發」,也就是先研發挖礦監控軟體,再集成挖礦程序。很快,該公司形成了以閆石為技術主管,以趙樂樂、叢寧一、彭立山等人為技術骨幹的研發團隊,將尋找到的挖礦程序進行完善,製作成「EXE」木馬程序。程序研發後交由測試部測試員白樺進行測試,一旦測試成功就投放公司的迅推客戶端平台,再由郭宜傑、費林洋等客服部工作人員通過客服、QQ等方式向市場推廣。客服部肩負「發展下線帶領並指導使用」的雙重任務,在向市場推廣的過程中,成功「吸納」了賀翔成、張數等若干下線。
賀翔成和其他下線從迅推平台下載增值客戶端程序後,通過多種方式將增值客戶端非法植入到網吧主機中,並靜默下載挖礦監控軟體和挖礦程序運行。挖到的礦幣會轉移到賀翔成等人的虛擬貨幣錢包中,由公司財務主管勵芸隨時變現提現,並按照控制的終端數向代理分發提成。這些虛擬貨幣主要有DGB(極特幣)、XMR(門羅幣)、Zcash(零幣)等類型。至案發,團伙成員非法控制389萬多台電腦主機做廣告增值收益,在100多萬台電腦主機靜默安裝挖礦程序,兩年間共挖取DGB(極特幣)2600餘萬枚。這些虛擬貨幣大部分都已經賣出,嫌疑人共非法獲利1500餘萬元。
下線悉數落網
與賀翔成同時加入58迅推增值聯盟的杜良暉、張數、高曰然,也是發展較為迅猛的三條「下線」。
33歲的廣東佛山人杜良暉是晟平公司成立之初發展的客戶,算是資歷較深的「僱員」。他通過從迅推網頁上下載晟平公司提供的一份EXE格式的客戶端程序,並將這個軟體進行編輯,把它綁定到自己編寫的一個消除網吧廣告的小軟體裡面,在消除網吧接受其他廣告的同時,仍可以接受晟平公司的廣告。杜良暉還將編寫的這個軟體分享給了一個網管QQ群里,讓其他的網管朋友幫忙做推廣,很多人用得不錯,就自行下載安裝到網吧系統里,此時罪惡的黑手已經伸向這些網吧。就這樣,杜良暉利用網吧維護人員身份,將迅推網站「推廣」的「EXE」木馬程序靜默式植入網吧電腦中,案發時杜良暉已經非法控制了9495台計算機進行「挖礦」,牟利100餘萬元。
36歲的黑龍江籍青年張數和同齡同鄉好友高曰然,也忙碌在「挖礦」的第一線,他倆與賈峰形成「鐵三角」。早在2014年賈峰就與張數相識,那時候,賈峰在搞廣告彈窗,而張數則是一家網路公司的法定代表人,負責維護「凈網先鋒」網站,該網站本身就有一個推送功能,這為日後挖礦留下「口子」。
2017年6月至2018年4月間,張數夥同高曰然利用管理「凈網先鋒」網吧管理系統的便利條件,將晟平公司提供的「EXE」木馬程序植入「凈網先鋒」的伺服器,非法控制黑龍江一畝園網吧、銀河艦隊網吧、大伽網吧等486家網吧,共計15772台計算機來「挖礦」進而牟利。晟平公司在張數、高曰然作案時負責木馬程序的正常運行、統計挖取虛擬貨幣的數量並變現、提現,其中,返利給張數30餘萬元。
2018年4月,青州市公安機關抽調精幹力量50餘人趕赴大連,在當地公安機關的協同配合下,經過緊張的偵查工作,終將涉嫌非法控制計算機信息系統犯罪嫌疑人賈峰、勵芸等16人全部抓獲。至此,警方一舉破獲這起特大非法控制計算機信息系統案,抓獲了涉案的20名犯罪嫌疑人,成功搗毀涉案網路科技公司2個,扣押涉案電腦52台,查繳遊戲黑客程序1款、vpn加速器1款、酷藝VIP影視木馬控制程序1款;同時,公安機關還查繳58迅推木馬增值客戶端、挖礦程序及挖礦監控程序157款。
據辦案檢察官介紹,此類新型犯罪案件,因具有很強的隱秘性,被害人對犯罪分子的「挖礦」行為鮮有覺察,電腦被外掛程序後大多數情況下也是渾然不知,這不僅直接影響到計算機的GPU和CPU的正常運行,還對電力資源造成巨大浪費。
(嫌疑人、涉案公司均為化名)
案後說法
山東省青州市人民檢察院偵查監督科副科長 趙樹芬
虛擬貨幣被央行定義為一種特殊的互聯網商品,民眾在自擔風險的情況下可以自由買賣,但否定其貨幣屬性。在電腦上進行虛擬貨幣的「挖礦」是合法的,但利用「挖礦」木馬非法控制他人的電腦進行「挖礦」就是違法犯罪行為。
透過案情,我們發現導致此類犯罪的成因。一方面是受利益驅使,比如賀翔成之前只是編輯網遊程序,後來接觸多了知道安裝外掛程序「挖礦」賺得更多,於是鋌而走險,在犯罪的道路上狂奔;另一方面,監管存在漏洞,網路本身具有隱蔽性,網路中的犯罪不容易被發現,加之相關平台運營商監管缺位,發卡平台隨意售賣外掛激活碼,導致亂象叢生。
結合本案,建議有關部門採取措施,治理各種外掛軟體程序,努力營造安全的網路環境,實現凈網運營。同時建議計算機用戶,不要隨便下載安裝來路不明的小軟體、小程序,也不要隨便點擊來源不明的網站鏈接和訪問非法網站;平時要注意使用正規殺毒軟體並及時更新升級;電腦卡頓、溫度過熱時,要利用殺毒軟體查殺或者請技術人員進行檢查。
(來源:檢察日報 盧金增 劉來艷 胡坤)
