文/丁一鶴

?

警民聯(lián)手打掉“黑鷹帝國”

文/丁一鶴

木馬病毒猖獗時，很多反病毒論壇、貼吧上，一些黑客高手竟然公開發(fā)布招生廣告，宣稱長期收徒，傳授灰鴿子、抓雞、DDOS攻擊、木馬制作、網(wǎng)站入侵、網(wǎng)站掛馬、木馬脫殼、免殺、捆綁服務器的制作與維護、網(wǎng)吧安全與入侵等，甚至還有大量黑客打出廣告，表示有能力承接各類黑客業(yè)務，只要付上足夠的價錢。

木馬病毒倏忽來去，隱藏在角落里的黑客自以為能夠逍遙法外。但在360安全衛(wèi)士確定的“木馬不過夜”的殺毒原則之下，360與湖北警方聯(lián)手和一種叫“小耗子”的木馬展開交鋒。

“小耗子”發(fā)動的木馬攻擊

兩年前，湖北省麻城市黃金橋區(qū)電信互聯(lián)網(wǎng)突然中斷，長達3天的時間里無法正常運轉(zhuǎn)。中斷網(wǎng)絡的包括麻城市公安局、檢察院、法院在內(nèi)的45家單位和5家網(wǎng)吧。

幾乎所有單位都涌到麻城市電信部門查詢，但技術人員無論如何也查不到原因。

與此同時，網(wǎng)吧老板小趙跑到公安局報案說：“我接到一條信息，黑客讓我給8000元消災費，買他的軟件就能恢復網(wǎng)絡，否則就讓我的網(wǎng)吧癱瘓?！?/p>

麻城公安局網(wǎng)監(jiān)大隊抽調(diào)技術高手，迅速介入此案。

警方偵查發(fā)現(xiàn)，這個信息就發(fā)自湖北麻城，說明敲詐者身在麻城，甚至可能熟悉趙老板，更可能是對網(wǎng)吧熟悉的上網(wǎng)人員。于是，警方在麻城網(wǎng)吧展開秘密監(jiān)控。

很快，24歲的高麻城被警方抓獲。警方以為抓到了一個大家伙，但審訊時發(fā)現(xiàn)這只不過是一只小耗子，他滿腹冤枉地說：“打電話發(fā)短信要錢是我干的，趙老板跟我有仇，我才想出這一招敲詐他的。但網(wǎng)絡攻擊不是我發(fā)動的，是山東人韓青島干的！”

“韓青島干什么的？你們怎么認識的？”警方繼續(xù)追問。

高麻城委屈地說：“我也是發(fā)動攻擊前一天剛在黑鷹網(wǎng)上認識的，韓青島說他是小耗子木馬的全國總代理，專門干的就是控制‘肉雞’，攻擊小城市網(wǎng)吧的。我在網(wǎng)上跟他聊天，才突發(fā)奇想，試試能不能在麻城趙老板的網(wǎng)吧出出氣順便賺點錢。我本來有工作單位，不信你們?nèi)ゲ?。?/p>

警方一查，這小子果然沒說謊。

“那你們是怎樣發(fā)動攻擊的？”警方繼續(xù)審訊。

“我就是打探到趙老板的電話，查到了他們網(wǎng)吧的IP地址，然后告訴韓青島，由他發(fā)動的攻擊，造成網(wǎng)吧傳輸阻塞、掉線，總共集中攻擊了兩次?！备呗槌钦f。

“你有韓青島的聯(lián)系方式嗎？”警方問。

“只有QQ號，別的沒有?！备呗槌侨鐚嵒卮稹?/p>

韓青島發(fā)動的這次木馬攻擊，在湖北麻城造成直接經(jīng)濟損失13萬余元，間接損失無法估算。麻城警方層層上報后，公安部將此案列為督辦案件。

審訊高麻城之后，麻城警方迅速調(diào)集警力對韓青島展開追擊，但韓青島像人間蒸發(fā)一樣，在網(wǎng)絡上消失了。

茫茫人海，要奔赴山東去追查一個名字都不知道真假的韓青島，談何容易？

由于網(wǎng)絡攻擊證據(jù)采集很困難，起訴證據(jù)不足，麻城警方只能將這起網(wǎng)絡攻擊案暫時擱置，但偵破工作并未就此完全停止，韓青島的動向始終被麻城警方重點監(jiān)控。

二次攻擊暴露幕后黑手

召喚“肉雞”是遠程控制木馬發(fā)動網(wǎng)絡攻擊的主要方式。所謂“肉雞”，就是那些沒有安全保護而被木馬控制的電腦終端，被控制的“肉雞”是黑客取之不盡的財富寶庫。在黑客網(wǎng)站上，“肉雞”被公開叫賣，每只“肉雞”的價格低至0.1元，高則達1000多元。

“殺毒高手”鄭文彬發(fā)現(xiàn)，“肉雞”之所以受歡迎，一是黑客買到“肉雞”后，首先將“肉雞”的銀行賬號、游戲賬號、密碼、游戲裝備、游戲幣和QQ幣等盜出來，然后打包批發(fā)賣給銷售商，銷售商再去非法銷售。二是黑客可以控制“肉雞”點擊廣告、提升一些網(wǎng)站的流量和排名，從廣告主那里收取廣告費。三是指揮肉雞發(fā)動網(wǎng)絡攻擊。黑客能控制數(shù)萬甚至數(shù)十萬只“肉雞”充當網(wǎng)絡戰(zhàn)士，在同一時間段內(nèi)攻陷某一網(wǎng)絡站點，使一些網(wǎng)吧和中小企業(yè)不得不破財免災，只要交了“保護費”，網(wǎng)絡馬上就會恢復平靜。

韓青島在湖北麻城搞過一次閃電突擊之后，扔下同伴高麻城遁入地下。但他對在麻城的戰(zhàn)果念念不忘，韓青島再次向麻城方向發(fā)動了攻擊。這次他通過木馬竊取了女孩小周的“艷照”，敲詐數(shù)額5000元。

心里沒鬼的小周馬上報案。麻城網(wǎng)監(jiān)警察在小周的電腦內(nèi)，發(fā)現(xiàn)大量小耗子等遠程控制木馬程序，而且攻擊手段與上一次的攻擊非常相似。網(wǎng)監(jiān)警察僅僅用了4個小時，就鎖定了韓青島的位置。

隨后，麻城網(wǎng)警抓獲了韓青島。警方從他的電腦中發(fā)現(xiàn)大量木馬程序，小耗子木馬下載器也在其中。

韓青島被捕后十分抗拒，他只承認敲詐了小周，卻拒不承認發(fā)動“肉雞”攻擊網(wǎng)吧。他僥幸地認為，那個案件已過去近兩年，電子證據(jù)已毀滅，況且他與高麻城也只是網(wǎng)上聯(lián)絡從未謀面，警方不可能查到他。

但他還是低估了網(wǎng)絡警察的實力，辦案民警連續(xù)幾晝夜工作，終于在韓青島的電腦中發(fā)現(xiàn)了2個電子銀行登錄記錄，而其中一個電子銀行賬號，正是敲詐麻城趙老板網(wǎng)吧時留的銀行賬號。在鐵證面前，韓青島低下了頭

在審訊中，韓青島承認說：“我是小耗子的全國總代理，小耗子可以秒殺一般的安全軟件，但唯獨360安全衛(wèi)士卻很難對付。所以小耗子的作者‘落雪的瞬間’非常痛恨360，每次升級程序在繞過360殺毒程序時，都要絞盡腦汁。”

“‘落雪的瞬間’是誰？他在哪里？”警方繼續(xù)追問。

“我也不知道，我只知道他網(wǎng)名叫‘落雪的瞬間’?！表n青島如實回答。

“沒有任何聯(lián)系方式嗎？”麻城警方緊追不放。

“只有一個網(wǎng)名，別的什么都沒有。都是他主動聯(lián)系我，我從不主動聯(lián)系他。”韓青島說。

抓不到幕后黑手，這個公安部督辦的大案就不能圓滿結(jié)案，起碼是最大的遺憾！

“再黑的黑客也有懼怕的對手！馬上向公安部網(wǎng)絡安全保衛(wèi)局匯報，通過國家計算機應急中心聯(lián)系360的專家，挖出幕后黑手！”麻城警方領導作出指示。

警民聯(lián)手抓住“小耗子”

麻城警方立即趕赴北京，通過公安部網(wǎng)絡安全保衛(wèi)局找到奇虎360公司，根據(jù)警方提供的線索，360公司立即責令鄭文彬等殺毒高手，全力配合麻城警方。

聽完麻城警方提供的木馬分析和查殺數(shù)據(jù)之后，鄭文彬說：“最近一個時期小耗子木馬猖獗，為了繞過我們的狙殺，變種頻出。但每次出現(xiàn)新的變種，我們都會在第一時間將樣本截獲，不斷強化防御能力。我們還破解過小耗子代理商韓青島的統(tǒng)計后臺，發(fā)現(xiàn)僅通過韓青島，小耗子木馬一天時間就感染了5781臺電腦，被控制的“肉雞”電腦總量達到17萬個，這足以說明小耗子足夠猖獗。但他們再猖獗，也逃不過我們獵手！”

“能不能幫我們抓到寫病毒的幕后黑手？”麻城警方關心的是小耗子背后的作者。

“應該沒有問題吧？”鄭文彬信心滿滿。

隨后，鄭文彬配合警方調(diào)取了大量關于小耗子木馬的數(shù)據(jù)。他對小耗子進行分析后發(fā)現(xiàn)，小耗子用于升級的服務器，竟然隱藏在廣東省東莞市的電信機房中。盡管韓青島已經(jīng)落網(wǎng)，但寫病毒的幕后黑客仿佛并不知情，仍然不斷更新著木馬的變種。

鄭文彬發(fā)現(xiàn)，小耗子木馬在半年內(nèi)就賺取了超過200萬元的巨額黑色利益。

沿著這個線索，鄭文彬循線追蹤，很快查到寫病毒的人隱藏在安徽。麻城警方隨即趕赴安徽，將小耗子木馬的作者楊滁州抓獲。這個只有20歲的小伙子，就是網(wǎng)名為“落雪的瞬間”的黑客！

在鄭文彬的幫助下，麻城警方又從河北石家莊抓到兩名銷售小耗子木馬的下線。

鄭文彬發(fā)現(xiàn)，小耗子傳播木馬的主要途徑，是向深圳一個流量商購買流量掛馬。隨后，麻城警方順藤摸瓜在深圳將該流量商抓獲。

鄭文彬?qū)β槌蔷椒治稣f：“流量商是這條產(chǎn)業(yè)鏈中最大的推手和幕后大老板，在木馬產(chǎn)業(yè)中扮演著非常復雜的多重角色：首先是向一些網(wǎng)站站長收購流量，這部分流量既可以出售給小耗子木馬的下線傳播者，也可以由流量商自己掛馬。所掛的木馬也分為兩種，一種是直接竊取網(wǎng)游賬號獲利，另一種是推送偽造的QQ中獎消息，結(jié)合釣魚網(wǎng)站進行網(wǎng)絡詐騙，而這些木馬通常也是由流量商以低價雇傭程序員編寫?！?/p>

麻城警方調(diào)查后發(fā)現(xiàn)，深圳的流量商一個月的收益達到十多萬元。

至此，可以說本案已經(jīng)大獲全勝了！然而，更大的驚喜還在后面！

打掉網(wǎng)絡黑鷹

只有20歲的楊滁州在黑客界頗有名氣，在對楊滁州的審訊中，警方好奇地問：“你小小年紀，在哪里學來如此高超的黑客手段？”

楊滁州自負又滿腹怨氣地說：“在黑鷹網(wǎng)啊，我也是在黑鷹網(wǎng)認識的韓青島。我們分工明確，我寫木馬，他銷售。我沒拿到什么錢，錢都讓韓青島賺了。”

“黑鷹網(wǎng)？”麻城警方再次聽到這個韓青島與高麻城相識的網(wǎng)站，立即警覺起來，連忙詢問：“這是個什么網(wǎng)站？”

“黑鷹安全網(wǎng)，專門培訓黑客的網(wǎng)站，全國公認的規(guī)模最大的3家黑客培訓網(wǎng)站的老大！”楊滁州不無得意地說。

大魚背后有大魚？麻城警方立即再次提審高麻城和韓青島，發(fā)現(xiàn)他們都是黑鷹網(wǎng)里的同門師兄弟。

麻城警方立即上報黃岡市公安局和省公安廳，同時上報公安部。黃岡市公安局、麻城市公安局成立“獵鷹行動”專案組，由公安部統(tǒng)一協(xié)調(diào)指揮圍獵黑鷹，打掉這條黑色地下產(chǎn)業(yè)鏈！

經(jīng)過鄭文彬等奇虎360公司的殺毒人員測定，黑鷹網(wǎng)所租用的服務器分別位于浙江溫州、安徽黃山、河南漯河，而主要犯罪人員在河南許昌。公安部立即協(xié)調(diào)四地警方，統(tǒng)一行動。

鄭文彬他們配合警方調(diào)查時發(fā)現(xiàn)，河南人李許昌曾是一名黑客高手，他在網(wǎng)上與張河北相識。張河北聽說做黑客能賺大錢之后，兩人商議成立一家實體公司，通過制造和傳播電腦病毒賺錢。

李許昌、張河北聯(lián)合成立了黑鷹科技有限公司，注冊資金100萬元。李許昌擔任董事長，張河北出任總經(jīng)理。在3年時間里，黑鷹網(wǎng)共發(fā)展收費會員1.2萬余名、普通注冊會員17萬余人。成為該網(wǎng)站收費會員的，每人每年需向該網(wǎng)站交納200元至996元不等的會費，才能學到各種類型的黑客技術。黑鷹安全網(wǎng)開辦以來，收取會員會費逾700萬元。

為了招收更多會員，讓他們盡快掌握各類木馬程序，黑鷹網(wǎng)開辦了網(wǎng)絡教學，利用新浪網(wǎng)的UC聊天室進行團體授課，開設營銷課程，教授學員如何賺錢，如何使用木馬軟件，同時還定時對木馬程序更新、升級。而在黑鷹安全網(wǎng)上，先后提供了3000余款木馬、病毒程序，供會員下載使用。

黑鷹安全網(wǎng)成為全國最大的黑客培訓網(wǎng)站。

在公安部的統(tǒng)一指揮下，專案組前往河南許昌“獵鷹”。浙江溫州、安徽黃山、河南漯河等警察統(tǒng)一配合行動。警方在河南許昌將李許昌、張河北抓獲，查扣黑鷹網(wǎng)所有服務器，凍結(jié)涉案資金170余萬元。隨后，公安部又分別搗毀了全國三大黑客培訓網(wǎng)站的另外兩家。

圍獵黑鷹一戰(zhàn)，6名涉嫌木馬制作、代理、傳播和銷贓的案犯盡數(shù)落網(wǎng)，這是國內(nèi)首次成功破獲一條上下游完整的木馬產(chǎn)業(yè)鏈。

刑法修正案（七）確定了提供侵入、非法控制計算機信息系統(tǒng)程序罪這一新罪名。據(jù)公安部通報，“黑鷹安全網(wǎng)”案名列全國十大網(wǎng)偵精品案件之一。

先行落網(wǎng)的黑客韓青島和高麻城，因犯破壞計算機信息系統(tǒng)罪，分別被判處有期徒刑2年和1年。日前，麻城市法院作出一審判決，李許昌、張河北犯提供侵入、非法控制計算機信息系統(tǒng)程序罪，被判處有期徒刑1年6個月。

責任編輯/濰河