犯罪嫌疑人被抓獲歸案

辦案人員查獲的部分作案工具

每一名網(wǎng)游愛好者，都希望自己永遠(yuǎn)是贏家。倘若要問如何才能成為贏家，有人會(huì)說，有一種被稱為“游戲外掛”的過關(guān)“神器”，保你百戰(zhàn)百勝。“游戲外掛”自產(chǎn)生，就備受網(wǎng)游者青睞——幫人作弊、替人“挖礦”，甚至人為操縱他人計(jì)算機(jī)實(shí)施犯罪。

賀翔成，山東青州城區(qū)的一名網(wǎng)吧管理員，是一名“外掛高手”，仗著蓋世“武功”混跡網(wǎng)絡(luò)江湖，通過在網(wǎng)絡(luò)游戲中安裝木馬程序，用收集的數(shù)據(jù)換取虛擬幣(這種手法俗稱為“挖礦”)的“絕活”維生。

何為“挖礦”

“挖礦”，“礦”為何物?即是由特定字符串組合而成的數(shù)據(jù)值。“挖礦”，指的非法控制他人的計(jì)算機(jī)信息系統(tǒng)，通過大量計(jì)算機(jī)運(yùn)算獲取數(shù)字貨幣。這是一種計(jì)算機(jī)系統(tǒng)下的犯罪行為。

“挖礦”的通常過程是，犯罪嫌疑人將事先開發(fā)出來的外掛程序(木馬程序)安裝到配置高、運(yùn)行快的目標(biāo)電腦上，一般是網(wǎng)吧電腦。只要電腦一開機(jī)，這些外掛程序就在后臺(tái)自動(dòng)運(yùn)行且不斷升級(jí)，在此過程中犯罪嫌疑人趁“機(jī)”(目標(biāo)電腦)尋找特定字符串進(jìn)行數(shù)據(jù)收集。只要找到特定數(shù)據(jù)值，就能得到來自虛擬幣礦池的獎(jiǎng)勵(lì)，即獲得虛擬幣。

虛擬幣礦池是一個(gè)全自動(dòng)的開采平臺(tái)，它會(huì)根據(jù)“礦工”的貢獻(xiàn)算力(比特幣網(wǎng)絡(luò)處理能力的度量單位)占比大小進(jìn)行獎(jiǎng)勵(lì)分配。一般來說，虛擬幣礦池建在犯罪嫌疑人的電腦服務(wù)器上，不僅實(shí)現(xiàn)了由單個(gè)“礦工”單獨(dú)挖礦到多個(gè)“礦工”協(xié)同“挖礦”的算力集結(jié)，更提升了比特幣等虛擬幣開采穩(wěn)定性，使“礦工”收獲趨于穩(wěn)定。當(dāng)“礦工”們的虛擬幣達(dá)到一定數(shù)量時(shí)，可以提取并到相關(guān)網(wǎng)站進(jìn)行人民幣兌換，實(shí)現(xiàn)非法獲利。

賀翔成通過“挖礦”名聲大震，擁有了“天下網(wǎng)吧論壇”的版主、遼寧省大連市晟平網(wǎng)絡(luò)有限公司(下稱晟平公司)迅推平臺(tái)的大客戶經(jīng)理等眾多頭銜。網(wǎng)絡(luò)帶給他財(cái)富，也帶給他夢魘，讓他的人生變得飄忽不定。如今，夢想已灰飛煙滅，留下的只有罪惡。

8月3日，山東省青州市檢察院以涉嫌非法控制計(jì)算機(jī)信息系統(tǒng)罪批準(zhǔn)逮捕賀翔成及同伙賈峰、勵(lì)蕓(賈峰的妻子)等9名犯罪嫌疑人。自2015年起，該團(tuán)伙利用黑客技術(shù)控制電腦主機(jī)389萬臺(tái)、挖礦主機(jī)100多萬臺(tái)，非法獲利1500余萬元。據(jù)悉，此案系山東省檢察機(jī)關(guān)辦理的首例利用木馬程序非法控制他人計(jì)算機(jī)信息系統(tǒng)，通過“挖礦”獲取收益的新型犯罪案件。

從“論壇版主”撬開“冰山一角”

賀翔成是如何進(jìn)入警方視線的呢?原來，騰訊公司的安全團(tuán)隊(duì)檢測到一款游戲外掛暗藏木馬程序，這正是賀翔成開發(fā)的“絕地求生”外掛程序。他伙同其他人員利用這款外掛程序非法控制了607臺(tái)計(jì)算機(jī)來進(jìn)行“挖礦”，直到案發(fā)，該木馬程序感染了數(shù)十萬臺(tái)用戶電腦。

騰訊公司網(wǎng)絡(luò)安全部工作人員告訴記者，用戶一旦下載了“絕地求生”這款游戲外掛程序，電腦就會(huì)被植入木馬程序。“殺毒手段不斷升級(jí)，木馬也不斷升級(jí)。真可謂‘道高一尺，魔高一丈’!”辦案檢察官趙樹芬感慨道。

趙樹芬介紹，這款挖礦程序會(huì)自動(dòng)檢測電腦的使用情況，當(dāng)CPU(中央處理器)使用率在一定范圍內(nèi)時(shí)，該木馬就會(huì)自動(dòng)啟動(dòng)，在后臺(tái)靜默挖礦，電腦的使用者是覺察不到的。這對計(jì)算機(jī)CPU、GPU(圖形處理器)資源和電力資源的耗費(fèi)相當(dāng)大。賀翔成為何如此諳悉計(jì)算機(jī)，又怎樣潛伏下來默默“挖礦”?一連串的問號(hào)困擾著辦案檢察官。

這要從三年前說起。當(dāng)時(shí)32歲的賀翔成是當(dāng)?shù)匾患揖W(wǎng)吧的網(wǎng)管。一個(gè)偶然機(jī)會(huì)，他成了“天下網(wǎng)吧”論壇的版主。賀翔成利用版主的身份，建立了多個(gè)外掛討論群，不僅在群文件中共享外掛程序，還悄無聲息地將含有木馬的外掛程序上傳到“天下網(wǎng)吧”論壇供網(wǎng)民下載。平時(shí)，賀翔成還利用木馬程序，給電腦用戶投放廣告彈窗，借此獲取廣告受益，用戶每點(diǎn)擊1000次，賀翔成獲得零點(diǎn)幾元的受益。單看一筆受益很小，但是天長日久，獲利也不是小數(shù)。

不久，賀翔成成功“研發(fā)”出名為“絕地求生”等游戲新款外掛程序，具備“自動(dòng)瞄準(zhǔn)”“透視”“子彈加速”“子彈跟蹤”等功能，通過社交群和論壇宣傳，并供網(wǎng)民免費(fèi)下載發(fā)展大量用戶。

隨著“事業(yè)”越干越大，賀翔成已不滿足于“小打小鬧”。喜好鉆研的他仿冒“愛奇藝”，編寫了酷藝VIP影視服務(wù)端和客戶端，在全國范圍內(nèi)發(fā)展了60多個(gè)代理，以年卡、月卡等方式向全國網(wǎng)吧兜售。至案發(fā)，賀翔成共向全國2465家網(wǎng)吧賣出年卡5774張，季卡282張，半年卡116張，月卡3285張，非法牟利20萬余元。

除此之外，賀翔成還有一個(gè)重要的身份，就是58迅推平臺(tái)的大客戶經(jīng)理。賀翔成利用58迅推的增值客戶端控制了3萬余臺(tái)網(wǎng)吧主機(jī)，非法獲利26.8萬余元。

2017年10月以來，賀翔成又對58迅推的增值客戶端、挖礦程序進(jìn)行修改，內(nèi)嵌了自己的HSR(紅燒肉幣)錢包地址，被挖主機(jī)在挖礦時(shí)挖到礦幣后會(huì)轉(zhuǎn)到其HSR錢包中。截至案發(fā)，賀翔成已挖取了8552枚幣(最高價(jià)格252元/枚，目前市值42元/枚)。

順藤摸瓜挖出“幕后東家”

58迅推增值聯(lián)盟源于一家網(wǎng)絡(luò)公司——晟平公司。這家公司2014年成立，坐落在大連市甘井子區(qū)。公司旗下有兩個(gè)網(wǎng)站：一個(gè)是迅推，另一個(gè)是速推。兩個(gè)網(wǎng)站在分工上各有側(cè)重，迅推主要是做廣告增值和云增值(就是“挖礦”，即挖取虛擬貨幣);速推則做手機(jī)App。

2014年試運(yùn)行之后，公司幕后控制人賈峰指使公司副總兼運(yùn)營主管張煥亮組織所謂的“研發(fā)”，也就是先研發(fā)挖礦監(jiān)控軟件，再集成挖礦程序。很快，該公司形成了以閆石為技術(shù)主管，以趙樂樂、叢寧一、彭立山等人為技術(shù)骨干的研發(fā)團(tuán)隊(duì)，將尋找到的挖礦程序進(jìn)行完善，制作成“EXE”木馬程序。程序研發(fā)后交由測試部測試員白樺進(jìn)行測試，一旦測試成功就投放公司的迅推客戶端平臺(tái)，再由郭宜杰、費(fèi)林洋等客服部工作人員通過客服、QQ等方式向市場推廣?？头考缲?fù)“發(fā)展下線帶領(lǐng)并指導(dǎo)使用”的雙重任務(wù)，在向市場推廣的過程中，成功“吸納”了賀翔成、張數(shù)等若干下線。

賀翔成和其他下線從迅推平臺(tái)下載增值客戶端程序后，通過多種方式將增值客戶端非法植入到網(wǎng)吧主機(jī)中，并靜默下載挖礦監(jiān)控軟件和挖礦程序運(yùn)行。挖到的礦幣會(huì)轉(zhuǎn)移到賀翔成等人的虛擬貨幣錢包中，由公司財(cái)務(wù)主管勵(lì)蕓隨時(shí)變現(xiàn)提現(xiàn)，并按照控制的終端數(shù)向代理分發(fā)提成。這些虛擬貨幣主要有DGB(極特幣)、XMR(門羅幣)、Zcash(零幣)等類型。至案發(fā)，團(tuán)伙成員非法控制389萬多臺(tái)電腦主機(jī)做廣告增值收益，在100多萬臺(tái)電腦主機(jī)靜默安裝挖礦程序，兩年間共挖取DGB(極特幣)2600余萬枚。這些虛擬貨幣大部分都已經(jīng)賣出，嫌疑人共非法獲利1500余萬元。

下線悉數(shù)落網(wǎng)

與賀翔成同時(shí)加入58迅推增值聯(lián)盟的杜良暉、張數(shù)、高曰然，也是發(fā)展較為迅猛的三條“下線”。

33歲的廣東佛山人杜良暉是晟平公司成立之初發(fā)展的客戶，算是資歷較深的“雇員”。他通過從迅推網(wǎng)頁上下載晟平公司提供的一份EXE格式的客戶端程序，并將這個(gè)軟件進(jìn)行編輯，把它綁定到自己編寫的一個(gè)消除網(wǎng)吧廣告的小軟件里面，在消除網(wǎng)吧接受其他廣告的同時(shí)，仍可以接受晟平公司的廣告。杜良暉還將編寫的這個(gè)軟件分享給了一個(gè)網(wǎng)管QQ群里，讓其他的網(wǎng)管朋友幫忙做推廣，很多人用得不錯(cuò)，就自行下載安裝到網(wǎng)吧系統(tǒng)里，此時(shí)罪惡的黑手已經(jīng)伸向這些網(wǎng)吧。就這樣，杜良暉利用網(wǎng)吧維護(hù)人員身份，將迅推網(wǎng)站“推廣”的“EXE”木馬程序靜默式植入網(wǎng)吧電腦中，案發(fā)時(shí)杜良暉已經(jīng)非法控制了9495臺(tái)計(jì)算機(jī)進(jìn)行“挖礦”，牟利100余萬元。

36歲的黑龍江籍青年張數(shù)和同齡同鄉(xiāng)好友高曰然，也忙碌在“挖礦”的第一線，他倆與賈峰形成“鐵三角”。早在2014年賈峰就與張數(shù)相識(shí)，那時(shí)候，賈峰在搞廣告彈窗，而張數(shù)則是一家網(wǎng)絡(luò)公司的法定代表人，負(fù)責(zé)維護(hù)“凈網(wǎng)先鋒”網(wǎng)站，該網(wǎng)站本身就有一個(gè)推送功能，這為日后挖礦留下“口子”。

2017年6月至2018年4月間，張數(shù)伙同高曰然利用管理“凈網(wǎng)先鋒”網(wǎng)吧管理系統(tǒng)的便利條件，將晟平公司提供的“EXE”木馬程序植入“凈網(wǎng)先鋒”的服務(wù)器，非法控制黑龍江一畝園網(wǎng)吧、銀河艦隊(duì)網(wǎng)吧、大伽網(wǎng)吧等486家網(wǎng)吧，共計(jì)15772臺(tái)計(jì)算機(jī)來“挖礦”進(jìn)而牟利。晟平公司在張數(shù)、高曰然作案時(shí)負(fù)責(zé)木馬程序的正常運(yùn)行、統(tǒng)計(jì)挖取虛擬貨幣的數(shù)量并變現(xiàn)、提現(xiàn)，其中，返利給張數(shù)30余萬元。

2018年4月，青州市公安機(jī)關(guān)抽調(diào)精干力量50余人趕赴大連，在當(dāng)?shù)毓矙C(jī)關(guān)的協(xié)同配合下，經(jīng)過緊張的偵查工作，終將涉嫌非法控制計(jì)算機(jī)信息系統(tǒng)犯罪嫌疑人賈峰、勵(lì)蕓等16人全部抓獲。至此，警方一舉破獲這起特大非法控制計(jì)算機(jī)信息系統(tǒng)案，抓獲了涉案的20名犯罪嫌疑人，成功搗毀涉案網(wǎng)絡(luò)科技公司2個(gè)，扣押涉案電腦52臺(tái)，查繳游戲黑客程序1款、vpn加速器1款、酷藝VIP影視木馬控制程序1款;同時(shí)，公安機(jī)關(guān)還查繳58迅推木馬增值客戶端、挖礦程序及挖礦監(jiān)控程序157款。

據(jù)辦案檢察官介紹，此類新型犯罪案件，因具有很強(qiáng)的隱秘性，被害人對犯罪分子的“挖礦”行為鮮有覺察，電腦被外掛程序后大多數(shù)情況下也是渾然不知，這不僅直接影響到計(jì)算機(jī)的GPU和CPU的正常運(yùn)行，還對電力資源造成巨大浪費(fèi)。(嫌疑人、涉案公司均為化名)

關(guān)鍵詞： 團(tuán)伙 萬臺(tái) 木馬