?　　

專案組突擊在大連晟平公司開展抓捕行動。警方供圖

　　當你愜意地在電腦上玩著“吃雞”游戲時,其實你的電腦正在被木馬程序控制著,為千里之外的一家科技公司“挖礦”獲取虛擬數字貨幣。自2015年起,大連晟平網絡科技有限公司在全國各地招聘代理,來推廣捆綁著挖礦程序的木馬58迅推增值客戶端,一旦客戶端植入電腦主機,就會靜默下載挖礦監控軟件和挖礦程序運行,挖到的礦幣會轉移到公司控制人賀某的虛擬貨幣錢包中。該公司非法利用黑客技術控制電腦主機389萬臺、挖礦主機100多萬臺。

　　齊魯晚報 記者　杜洪雷　　　　

　　青州男子開發“吃雞”外掛木馬

　　近兩年,俗稱“吃雞”的“絕地求生”游戲風靡網絡,成為眾多游戲玩家的最愛。為了能夠在游戲中“所向披靡”,許多玩家就使用該款游戲的外掛程序,從而具備更多的能力,例如“自動瞄準”“透視”“子彈加速”等,其中多數外掛號稱免費,其實內存貓膩。

　　去年12月20日,騰訊守護者計劃安全團隊發現“絕地求生”游戲中一個名為“吃雞小程序”的外掛暗藏一款木馬程序,該木馬程序具備后臺靜默挖礦功能(挖礦即通過大量計算機運算獲取數字貨幣－虛擬貨幣獎勵,主要耗費計算機CPU、GPU資源和電力資源),初步統計該木馬程序感染數十萬臺用戶機器。

　　隨后,線索轉交給濰坊市公安局網安支隊進行偵查。

　　民警通過互聯網提取到外掛木馬樣本,找到木馬開發者建立的木馬交流群,初步偵查發現該款木馬程序開發者在青州市。濰坊市局網安支隊、青州市局成立專案組,對該案立案偵查。

　　通過偵查,專案組確定交流群群主身份為楊某寶(男,35歲,山東省青州市人)。民警偵查發現楊某寶通過多個途徑來傳播這個隱藏挖礦木馬程序的外掛,其一是建立了多個外掛討論群,在群文件中共享外掛程序,另外他利用“天下網吧論壇”版主的身份,將含有木馬的外掛程序上傳到“天下網吧”論壇,通過百度網盤進行分享下載。

　　3月8日,專案組制定了詳細的抓捕方案,在家中將楊某寶抓獲。

　　大專學歷網管竟是有名“黑客”

　　僅僅是大專學歷的楊某寶在上大學的時候將多數時間用于計算機程序學習,利用所學的編程語言來編寫外掛程序和修改游戲,并在網絡上有一定的名氣。此后,他在青州一家網吧內干網管,從而接觸更多的“黑客技術”來實現掙錢的目的。

　　最初,他仿冒“愛奇藝”,編寫了“酷藝VIP影視”服務端和客戶端,全國范圍內發展了60多個代理,以年卡、月卡方式向全國網吧兜售。楊某寶共向全國2465家網吧賣出年卡5774張,季卡282張,半年卡116張,月卡3285張,非法牟利20余萬元。

　　此外,楊某寶開發了名為“吃雞小程序”的外掛程序,并供網民免費下載發展大量用戶,得以進入眾多的電腦主機。

　　2017年,楊某寶在天下網吧論壇接觸到用于廣告增值服務的58迅推客戶端,并與該平臺的開發公司大連晟平網絡科技有限公司(下文簡稱“大連晟平公司”)聯系,獲知該客戶端捆綁著“挖礦”的木馬程序,能夠通過推廣該客戶端來控制主機“挖礦”獲利。

　　楊某寶手上控制著大量的網吧主機,從而成為推廣平臺的大客戶。楊某寶利用此前推廣軟件發展的用戶來推廣58迅推增值客戶端,從而控制3萬余臺網吧電腦來為大連晟平公司“挖礦”,其通過有效控制的終端數來抽成,非法獲利26.8萬元。

　　看到控制他人主機“挖礦”牟利很大,楊某寶發揮其才能,對58迅推客戶端和捆綁的“挖礦”木馬程序進行修改,內嵌了自己的HSR(“紅燒肉幣”,一種虛擬貨幣)錢包地址,被控主機在挖礦時挖到礦幣后會轉到自己的HSR錢包中。

　　此外,楊某寶將這個挖礦木馬程序捆綁到此前研發的“酷藝VIP影視”服務端和“吃雞小程序”中,然后通過升級這兩個程序,將“挖礦”木馬程序植入到裝有這兩款程序的主機上面,從而控制更多的主機為其“挖礦”。經統計,自2017年10月份至案發,楊某寶共挖取了8551.9枚HSR幣(最高價格252元/枚,目前42元/枚)。

　　“挖礦”木馬背后是正規網絡公司

　　“經過深入調查,我們發現‘楊某寶’僅僅是58迅推平臺的一個代理,背后更大的犯罪集團是大連晟平公司。”青州市公安局網安大隊大隊長田愛偉稱,他們調查發現這家公司是正規注冊的網絡計算機公司,有40多名員工。

　　專案組曾經三赴大連對該公司進行調查,“我們摸清楚了公司的幕后控制人為賀某,38歲,吉林人,公司財務主管是陳某,32歲,是賀某的妻子,同樣也是吉林人。”濰坊市公安局網安支隊民警王萬濤稱,賀某平常都在家里,很少去公司,其妻子陳某在公司主持日常的工作。

　　4月11日,濰坊市公安局網安支隊與青州市公安局抽調精干力量50余人趕赴大連。經過周密部署,專案組突擊在大連晟平公司和賀某家中開展抓捕行動,抓獲全部涉案嫌疑人16名。通過審查,賀某、陳某等12人涉嫌非法控制計算機信息系統罪被刑事拘留,趙某從等4人被取保候審。

　　隨后,專案組對大連晟平網絡科技有限公司的下線進行梳理并展開抓捕。4月18日,專案組在哈爾濱打掉迅博網絡科技有限公司,抓獲張某(男,36歲,哈爾濱人)、高某(男,36歲,哈爾濱人)。兩名嫌疑人利用職務之便,向黑龍江省各網吧使用的網管軟件捆綁了挖礦木馬,非法控制486家網吧共5萬9千臺電腦主機,其中15000余臺電腦用于“挖礦”。

　　4月19日,專案組在佛山將杜某熊(男,33歲,廣東佛山人)抓獲,查繳一款dll挖礦程序。“這名嫌疑人也是一個網管,利用網管軟件捆綁‘挖礦’木馬控制主機。該嫌疑人是大連晟平公司最大的一個代理,被抓前已經牟利100余萬元。”王萬濤介紹道。

　　自動監測CPU利用率低于50%就啟動挖礦

　　38歲的賀某是大連晟平公司的實際控制人,也是一名非法控制計算機信息系統的老手,此前都是在南方活動,2014年曾因此被打擊處理。

　　2014年下半年,賀某在大連成立公司開展廣告增值服務,最初只有幾個人,后來發展到40多個人。“所謂的廣告增值服務,也是游走在灰色地帶,通過開機廣告、彈窗廣告和隱藏廣告來幫著其他公司進行推廣,根據實際點擊數來收取費用。”王萬濤稱,這個也需要通過招聘代理推廣客戶端來實現,而賀某的客戶端就是58迅推增值客戶端。

　　2014年開始,以比特幣為代表的虛擬數字貨幣火起來,從而出現眾多的虛擬數字貨幣。看到這個“風口”,賀某開始不甘于僅僅推廣增值客戶端,從2015年開始指使公司副總兼運營主管張某寧組織研發、測試部門對“挖礦”木馬進行研發。

　　為此,公司研發部負責研發“挖礦”監控軟件、集成“挖礦”程序；測試部負責測試,客服部負責發展下線代理并指導使用。下線代理從迅推平臺下載增值客戶端程序后,通過多種方式將增值客戶端非法植入到網吧主機中,并靜默下載“挖礦”監控軟件和“挖礦”程序運行,挖到的礦幣會轉移到賀某的虛擬貨幣錢包中。其中楊某寶等人就是其下線代理。

　　“一旦主機被植入木馬,只要是主機開著機,其監控軟件就會分析電腦CPU的利用率,一旦低于50%就啟動‘挖礦’程序進行‘挖礦’。如果CPU利用率高就停止‘挖礦’,防止被發現。”田愛偉稱,即便被殺毒軟件發現查殺,其公司依然可以通過更改部分數據進行升級程序來規避殺毒軟件。

　　經統計,2015年以來,賀某等人非法控制389萬臺電腦主機做廣告增值收益,在100多萬臺電腦主機靜默安裝挖礦程序,近三年來共挖取DGB幣(“極特幣”)、DCR幣(“德賽幣”)、SC幣(“云產幣”)2600余萬枚,共非法獲利1500余萬元。

　　辦案民警稱,違法犯罪人員通常提前調研市面上挖取難度較低的虛擬貨幣,非法控制用戶的電腦主機,植入這種虛擬貨幣的挖礦程序進行挖礦,在挖取到大量礦幣后迅速進行變現提現,牟取高額利潤,而被植入挖礦木馬的用戶電腦主機,在經常長期高負荷運轉挖礦的情況下,顯卡、主板、內存等硬件會提前報廢,嚴重損害網絡用戶的權益。

　　 [編輯: 張珍珍]