摘要:原来,腾讯公司的安全团队检测到一款游戏外挂暗藏木马程序,这正是贺翔成开发的“绝地求生”外挂程序。下线悉数落网与贺翔成同时加入58迅推增值联盟的杜良晖、张数、高曰然,也是发展较为迅猛的三条“下线”。晟平公司在张数、高曰然作案时负责木马程序的正常运行、统计挖取虚拟货币的数量并变现、提现,其中,返利给张数30余万元。...
来源:检察日报
嫌疑人被逮捕并归案
办案人员查获的部分作案工具
每个网络游戏爱好者都希望自己永远是赢家。如果你想问如何成为赢家,有些人会说,有一种“神器”被称为“游戏插件”,以确保你赢得一百场战斗。“游戏插件”自出现以来就受到网络游戏玩家的青睐——帮助他人作弊,为他人“挖掘”,甚至人工操纵他人的电脑犯罪。
山东省青州市的一名网吧经理何翔成是一名“插件大师”。他凭借出色的“武术”在网络武林中生存,通过在网络游戏中安装木马程序,用收集到的数据换取虚拟货币(这种技术通常被称为“挖掘”)的“独特技能”。
什么是“挖矿”
“采矿”,“采矿”是什么?它是由特定字符串组成的数据值。“采矿”是指非法控制他人的计算机信息系统,通过大量的计算机运算获得数字货币。这是计算机软件下的一种犯罪行为。
“挖掘”的一般过程是,嫌疑人将提前开发的插件程序(木马程序)安装在配置高、运行快的目标计算机上,通常是网吧计算机。只要计算机启动,这些插件程序就会在后台自动运行和升级。在此过程中,嫌疑人利用“机器”(目标计算机)找到特定的字符串来收集数据。只要找到特定的数据值,就可以从虚拟货币矿池获得奖励,即获得虚拟货币。
虚拟货币矿池是一个自动采矿平台,根据“矿工”的贡献率(比特币网络处理量的测量单位)进行奖励和分配。一般来说,虚拟货币矿池建在嫌疑人的计算机服务器上,不仅实现了从单个“矿工”到多个“矿工”的算率集合,而且提高了比特币等虚拟货币的稳定性,保持了“矿工”的稳定性。当“矿工”的虚拟货币达到一定数量时,可以提取并到相关网站兑换人民币,实现非法盈利。
何翔成以“采矿”闻名,拥有“世界网吧论坛”版主、辽宁大连盛平网络有限公司(以下简称盛平公司)快速推广平台大客户经理等称号。互联网给他带来了财富,也给他带来了噩梦,让他的生活变得不稳定。现在,理想已经消失了,只留下了罪恶。
8月3日,山东省青州市检察院以涉嫌非法控制计算机信息系统罪逮捕了何翔成、同伙贾峰、李云(贾峰的妻子)等9名嫌疑人。自2015年以来,该团伙利用网站渗透控制电脑主机389万台,挖掘主机100多万台,非法获利1500多万元。据悉,本案是山东省检察机关办理的第一起利用木马程序非法控制他人计算机信息系统,通过“挖矿”获取利润的新型犯罪案件。
“论坛版主”撬开“冰山一角”
何翔成是如何进入警方视线的?原来,腾讯的安全团队检测到了一个隐藏在游戏插件中的木马程序,这是何翔成开发的“绝地生存”插件程序。他与相关人员合谋,利用插件程序非法控制607台计算机进行“挖掘”,直到事故发生,木马程序感染了数十万台客户电脑。
腾讯网络安全部的工作人员告诉记者,一旦客户安装了“绝地生存”游戏插件程序,计算机就会植入木马程序。“杀毒方法不断升级,木马也不断升级。真的可以说‘道高一英尺,魔高一英尺’!”办案检察官赵树芬叹了口气。
赵树芬介绍,采矿程序将自动检测计算机的使用情况。当CPU(中央处理器)的利用率在一定范围内时,木马将自动启动,并在后台进行无声采矿,计算机用户无法检测到。这对计算机CPU、GPU(图形处理器)资源和电力资源的消耗相当大。何翔为何如此熟悉计算机,又如何埋伏下来默默“挖矿”?一系列问题困扰着办案检察官。
这要从三年前开始。32岁的贺翔成是当地一家网吧的网管。一次偶然的机会,他成了“天下网吧”论坛的版主。何翔成利用版主的身份,成立了多个插件讨论小组,不仅在小组文件中共享插件程序,而且悄悄地将含有木马的插件程序上传到“世界网吧”论坛供网民下载。通常,何翔成还利用木马程序将广告弹出到电脑用户身上,从而获得广告效益。每次客户点击1000次,何翔成就会得到零点的好处。单看一笔利润很小,但随着时间的推移,利润不是小数。
不久,何翔成功地“开发”了“PUBG”和其他新插件程序,具有“自动瞄准”、“透视”、“子弹加速”、“子弹跟踪”等功能,通过社交媒体和论坛进行宣传,并为网民免费下载和开发大量用户。
随着“工作”越来越大,何翔已不再满足于“小打小闹”。他喜欢学习假冒的“爱奇艺”,编写了酷艺VIP影视服务端和客户端,在全国开发了60多家代理商,以年卡、月卡等方式销售给全国网吧。事件发生时,何翔向全国2465家网吧销售年卡5774张,季卡282张,半年卡116张,月卡3285张,非法牟利20多万元。
此外,何翔成还有一个重要的身份,那就是58快推平台的大客户经理。何翔成利用58快推的升值客户端控制了3万多台网吧主机,非法获利26.8万余元。
自2017年10月以来,贺翔成修改了58快速推送的升值客户端和采矿程序,并嵌入了自己的HSR钱包地址(红烧肉币)。挖掘主机挖掘矿币后,将其转入HSR钱夹。截至事件发生,贺翔已挖掘8552枚硬币(最高价252元/枚,目前市值42元/枚)。
挖出“背后的东家”
58快推升值联盟起源于一家网络公司盛平公司。公司成立于2014年,位于大连市甘井子区。公司有两种网站:一种是快速推送,另一种是快速推送。两个网站在分工上各有侧重点。快速推送主要是广告升值和云增值(即“挖掘”,即挖掘虚拟货币);速推则是手机app。
2014年试运行后,企业背后的控制人贾峰指示公司副总裁兼运营总监张焕良组织所谓的“研发”,即先开发采矿监控软件,再整合采矿程序。很快,企业形成了以严石为技术总监、赵乐乐、丛宁一、彭立山为技术骨干的研发团队,完善了发现的采矿程序,并将其制作成“EXE木马程序。程序开发后,交给测试部测试员白华进行测试。一旦测试成功,将推出企业的快速客户端平台,然后郭宜杰、费林阳等客户服务部门的工作人员通过客户服务、QQ等方式向市场推广。客服部承担了“线下开发引领和协助使用”的双重任务。在向市场推广的过程中,成功地“吸收”了贺翔成、张数等多个线下。
何翔成等线下从快推平台下载升值客户端程序后,通过多种方式将升值客户端非法植入网吧主机,静静下载采矿监控软件和采矿程序。挖掘出来的矿币将转移到贺祥成等人的虚拟货币钱包中,企业财务主管励云将随时实现现金,并根据控制的终端数量向代理商分发。这些虚拟货币主要包括DGB(极特币)、XMR(门罗币)、Zcash(零币)等类型。事件发生时,该团伙成员非法控制了389万台计算机主机的广告增值收入,并在100多万台计算机主机上安装了采矿程序。在过去的两年里,他们挖掘了2600多万台DGB(极特币)。这些虚拟货币大多已售出,犯罪嫌疑人非法获利1500多万元。
所有下线的人都被捕了
杜良晖、张数、高悦然与何翔成同时加入58快推升值联盟,也是发展迅速的三条“线下”。
33岁的广东佛山人杜良晖是盛平公司成立之初发展起来的用户,被认为是资历较深的“员工”。他从迅速推送的网页上下载了盛平公司提供的EXE格式客户端程序,并编辑了该软件,并将其绑定到一个小软件中,以删除网吧广告。在删除网吧接受其他广告的同时,他仍然可以接受盛平的广告。杜良辉还与一个网络管理QQ群分享了这个软件,让其他网络管理朋友帮忙推广。许多人使用得很好,所以他们下载并安装到网吧系统中。这时,邪恶的黑手已经伸向了这些网吧。就这样,杜良晖利用网吧维护人员身份,将网站“推广”“推广”“推广”EXE木马程序静静地植入网吧电脑,杜良晖在犯罪过程中非法控制了9495台电脑进行“挖掘”,牟利100多万元。
36岁的黑龙江青年张数和他的同龄朋友高悦然也忙于“采矿”的第一线。他们和贾峰形成了一个“铁三角形”。早在2014年,贾峰就认识了张数。当时,贾峰正在做广告弹出,而张数是一家网络公司的法定代表人,负责维护“网络先锋”网站。该网站本身具有推送功能,为未来的采矿留下了“漏洞”。
2017年6月至2018年4月,张数合谋利用管理“净网先锋”网吧管理系统的便利条件,将盛平公司提供的“EXE木马程序植入“网络先锋”服务器,非法控制黑龙江一亩花园网吧、银河舰队网吧、大佳网吧等486家网吧,共有15772台计算机“挖掘”牟利。盛平公司负责木马程序的正常使用,统计挖掘虚拟货币总数,实现和提取现金,其中返利30多万元。
2018年4月,青州市公安部门派出50余名精干部队赶赴大连。在当地公安机关的配合下,经过紧张的调查,16名涉嫌非法控制计算机信息系统的犯罪嫌疑人贾峰、李云最终被逮捕。到目前为止,警方破获了大型非法控制计算机信息系统,抓获了20名嫌疑人,成功取消了2家网络技术公司,扣押了52台电脑,查获了游戏黑客程序、vpn加速器、酷贵宾影视木马管理程序;同时,公安部门还查获了58个快速木马升值客户端、采矿程序和采矿监控程序157个。
据检察官介绍,这种新的犯罪案件,由于隐蔽性强,受害者对犯罪分子的“挖掘”行为很少意识到,大多数情况下电脑插件程序也不知道,不仅直接影响计算机GPU和CPU的正常使用,而且对电力资源造成了巨大的浪费。
(嫌疑人、涉案企业均为化名)
