警民联手打掉“黑鹰帝国”

文/丁一鹤



警民联手打掉“黑鹰帝国”

文/丁一鹤

木马病毒猖獗时，很多反病毒论坛、贴吧上，一些黑客高手竟然公开发布招生广告，宣称长期收徒，传授灰鸽子、抓鸡、DDOS攻击、木马制作、网站入侵、网站挂马、木马脱壳、免杀、捆绑服务器的制作与维护、网吧安全与入侵等，甚至还有大量黑客打出广告，表示有能力承接各类黑客业务，只要付上足够的价钱。

木马病毒倏忽来去，隐藏在角落里的黑客自以为能够逍遥法外。但在360安全卫士确定的“木马不过夜”的杀毒原则之下，360与湖北警方联手和一种叫“小耗子”的木马展开交锋。

“小耗子”发动的木马攻击

两年前，湖北省麻城市黄金桥区电信互联网突然中断，长达3天的时间里无法正常运转。中断网络的包括麻城市公安局、检察院、法院在内的45家单位和5家网吧。

几乎所有单位都涌到麻城市电信部门查询，但技术人员无论如何也查不到原因。

与此同时，网吧老板小赵跑到公安局报案说：“我接到一条信息，黑客让我给8000元消灾费，买他的软件就能恢复网络，否则就让我的网吧瘫痪。”

麻城公安局网监大队抽调技术高手，迅速介入此案。

警方侦查发现，这个信息就发自湖北麻城，说明敲诈者身在麻城，甚至可能熟悉赵老板，更可能是对网吧熟悉的上网人员。于是，警方在麻城网吧展开秘密监控。

很快，24岁的高麻城被警方抓获。警方以为抓到了一个大家伙，但审讯时发现这只不过是一只小耗子，他满腹冤枉地说：“打电话发短信要钱是我干的，赵老板跟我有仇，我才想出这一招敲诈他的。但网络攻击不是我发动的，是山东人韩青岛干的！”

“韩青岛干什么的？你们怎么认识的？”警方继续追问。

高麻城委屈地说：“我也是发动攻击前一天刚在黑鹰网上认识的，韩青岛说他是小耗子木马的全国总代理，专门干的就是控制‘肉鸡’，攻击小城市网吧的。我在网上跟他聊天，才突发奇想，试试能不能在麻城赵老板的网吧出出气顺便赚点钱。我本来有工作单位，不信你们去查。”

警方一查，这小子果然没说谎。

“那你们是怎样发动攻击的？”警方继续审讯。

“我就是打探到赵老板的电话，查到了他们网吧的IP地址，然后告诉韩青岛，由他发动的攻击，造成网吧传输阻塞、掉线，总共集中攻击了两次。”高麻城说。

“你有韩青岛的联系方式吗？”警方问。

“只有QQ号，别的没有。”高麻城如实回答。

韩青岛发动的这次木马攻击，在湖北麻城造成直接经济损失13万余元，间接损失无法估算。麻城警方层层上报后，公安部将此案列为督办案件。

审讯高麻城之后，麻城警方迅速调集警力对韩青岛展开追击，但韩青岛像人间蒸发一样，在网络上消失了。

茫茫人海，要奔赴山东去追查一个名字都不知道真假的韩青岛，谈何容易？

由于网络攻击证据采集很困难，起诉证据不足，麻城警方只能将这起网络攻击案暂时搁置，但侦破工作并未就此完全停止，韩青岛的动向始终被麻城警方重点监控。

二次攻击暴露幕后黑手

召唤“肉鸡”是远程控制木马发动网络攻击的主要方式。所谓“肉鸡”，就是那些没有安全保护而被木马控制的电脑终端，被控制的“肉鸡”是黑客取之不尽的财富宝库。在黑客网站上，“肉鸡”被公开叫卖，每只“肉鸡”的价格低至0.1元，高则达1000多元。

“杀毒高手”郑文彬发现，“肉鸡”之所以受欢迎，一是黑客买到“肉鸡”后，首先将“肉鸡”的银行账号、游戏账号、密码、游戏装备、游戏币和QQ币等盗出来，然后打包批发卖给销售商，销售商再去非法销售。二是黑客可以控制“肉鸡”点击广告、提升一些网站的流量和排名，从广告主那里收取广告费。三是指挥肉鸡发动网络攻击。黑客能控制数万甚至数十万只“肉鸡”充当网络战士，在同一时间段内攻陷某一网络站点，使一些网吧和中小企业不得不破财免灾，只要交了“保护费”，网络马上就会恢复平静。

韩青岛在湖北麻城搞过一次闪电突击之后，扔下同伴高麻城遁入地下。但他对在麻城的战果念念不忘，韩青岛再次向麻城方向发动了攻击。这次他通过木马窃取了女孩小周的“艳照”，敲诈数额5000元。

心里没鬼的小周马上报案。麻城网监警察在小周的电脑内，发现大量小耗子等远程控制木马程序，而且攻击手段与上一次的攻击非常相似。网监警察仅仅用了4个小时，就锁定了韩青岛的位置。

随后，麻城网警抓获了韩青岛。警方从他的电脑中发现大量木马程序，小耗子木马下载器也在其中。

韩青岛被捕后十分抗拒，他只承认敲诈了小周，却拒不承认发动“肉鸡”攻击网吧。他侥幸地认为，那个案件已过去近两年，电子证据已毁灭，况且他与高麻城也只是网上联络从未谋面，警方不可能查到他。

但他还是低估了网络警察的实力，办案民警连续几昼夜工作，终于在韩青岛的电脑中发现了2个电子银行登录记录，而其中一个电子银行账号，正是敲诈麻城赵老板网吧时留的银行账号。在铁证面前，韩青岛低下了头

在审讯中，韩青岛承认说：“我是小耗子的全国总代理，小耗子可以秒杀一般的安全软件，但唯独360安全卫士却很难对付。所以小耗子的作者‘落雪的瞬间’非常痛恨360，每次升级程序在绕过360杀毒程序时，都要绞尽脑汁。”

“‘落雪的瞬间’是谁？他在哪里？”警方继续追问。

“我也不知道，我只知道他网名叫‘落雪的瞬间’。”韩青岛如实回答。

“没有任何联系方式吗？”麻城警方紧追不放。

“只有一个网名，别的什么都没有。都是他主动联系我，我从不主动联系他。”韩青岛说。

抓不到幕后黑手，这个公安部督办的大案就不能圆满结案，起码是最大的遗憾！

“再黑的黑客也有惧怕的对手！马上向公安部网络安全保卫局汇报，通过国家计算机应急中心联系360的专家，挖出幕后黑手！”麻城警方领导作出指示。

警民联手抓住“小耗子”

麻城警方立即赶赴北京，通过公安部网络安全保卫局找到奇虎360公司，根据警方提供的线索，360公司立即责令郑文彬等杀毒高手，全力配合麻城警方。

听完麻城警方提供的木马分析和查杀数据之后，郑文彬说：“最近一个时期小耗子木马猖獗，为了绕过我们的狙杀，变种频出。但每次出现新的变种，我们都会在第一时间将样本截获，不断强化防御能力。我们还破解过小耗子代理商韩青岛的统计后台，发现仅通过韩青岛，小耗子木马一天时间就感染了5781台电脑，被控制的“肉鸡”电脑总量达到17万个，这足以说明小耗子足够猖獗。但他们再猖獗，也逃不过我们猎手！”

“能不能帮我们抓到写病毒的幕后黑手？”麻城警方关心的是小耗子背后的作者。

“应该没有问题吧？”郑文彬信心满满。

随后，郑文彬配合警方调取了大量关于小耗子木马的数据。他对小耗子进行分析后发现，小耗子用于升级的服务器，竟然隐藏在广东省东莞市的电信机房中。尽管韩青岛已经落网，但写病毒的幕后黑客仿佛并不知情，仍然不断更新着木马的变种。

郑文彬发现，小耗子木马在半年内就赚取了超过200万元的巨额黑色利益。

沿着这个线索，郑文彬循线追踪，很快查到写病毒的人隐藏在安徽。麻城警方随即赶赴安徽，将小耗子木马的作者杨滁州抓获。这个只有20岁的小伙子，就是网名为“落雪的瞬间”的黑客！

在郑文彬的帮助下，麻城警方又从河北石家庄抓到两名销售小耗子木马的下线。

郑文彬发现，小耗子传播木马的主要途径，是向深圳一个流量商购买流量挂马。随后，麻城警方顺藤摸瓜在深圳将该流量商抓获。

郑文彬对麻城警方分析说：“流量商是这条产业链中最大的推手和幕后大老板，在木马产业中扮演着非常复杂的多重角色：首先是向一些网站站长收购流量，这部分流量既可以出售给小耗子木马的下线传播者，也可以由流量商自己挂马。所挂的木马也分为两种，一种是直接窃取网游账号获利，另一种是推送伪造的QQ中奖消息，结合钓鱼网站进行网络诈骗，而这些木马通常也是由流量商以低价雇佣程序员编写。”

麻城警方调查后发现，深圳的流量商一个月的收益达到十多万元。

至此，可以说本案已经大获全胜了！然而，更大的惊喜还在后面！

打掉网络黑鹰

只有20岁的杨滁州在黑客界颇有名气，在对杨滁州的审讯中，警方好奇地问：“你小小年纪，在哪里学来如此高超的黑客手段？”

杨滁州自负又满腹怨气地说：“在黑鹰网啊，我也是在黑鹰网认识的韩青岛。我们分工明确，我写木马，他销售。我没拿到什么钱，钱都让韩青岛赚了。”

“黑鹰网？”麻城警方再次听到这个韩青岛与高麻城相识的网站，立即警觉起来，连忙询问：“这是个什么网站？”

“黑鹰安全网，专门培训黑客的网站，全国公认的规模最大的3家黑客培训网站的老大！”杨滁州不无得意地说。

大鱼背后有大鱼？麻城警方立即再次提审高麻城和韩青岛，发现他们都是黑鹰网里的同门师兄弟。

麻城警方立即上报黄冈市公安局和省公安厅，同时上报公安部。黄冈市公安局、麻城市公安局成立“猎鹰行动”专案组，由公安部统一协调指挥围猎黑鹰，打掉这条黑色地下产业链！

经过郑文彬等奇虎360公司的杀毒人员测定，黑鹰网所租用的服务器分别位于浙江温州、安徽黄山、河南漯河，而主要犯罪人员在河南许昌。公安部立即协调四地警方，统一行动。

郑文彬他们配合警方调查时发现，河南人李许昌曾是一名黑客高手，他在网上与张河北相识。张河北听说做黑客能赚大钱之后，两人商议成立一家实体公司，通过制造和传播电脑病毒赚钱。

李许昌、张河北联合成立了黑鹰科技有限公司，注册资金100万元。李许昌担任董事长，张河北出任总经理。在3年时间里，黑鹰网共发展收费会员1.2万余名、普通注册会员17万余人。成为该网站收费会员的，每人每年需向该网站交纳200元至996元不等的会费，才能学到各种类型的黑客技术。黑鹰安全网开办以来，收取会员会费逾700万元。

为了招收更多会员，让他们尽快掌握各类木马程序，黑鹰网开办了网络教学，利用新浪网的UC聊天室进行团体授课，开设营销课程，教授学员如何赚钱，如何使用木马软件，同时还定时对木马程序更新、升级。而在黑鹰安全网上，先后提供了3000余款木马、病毒程序，供会员下载使用。

黑鹰安全网成为全国最大的黑客培训网站。

在公安部的统一指挥下，专案组前往河南许昌“猎鹰”。浙江温州、安徽黄山、河南漯河等警察统一配合行动。警方在河南许昌将李许昌、张河北抓获，查扣黑鹰网所有服务器，冻结涉案资金170余万元。随后，公安部又分别捣毁了全国三大黑客培训网站的另外两家。

围猎黑鹰一战，6名涉嫌木马制作、代理、传播和销赃的案犯尽数落网，这是国内首次成功破获一条上下游完整的木马产业链。

刑法修正案（七）确定了提供侵入、非法控制计算机信息系统程序罪这一新罪名。据公安部通报，“黑鹰安全网”案名列全国十大网侦精品案件之一。

先行落网的黑客韩青岛和高麻城，因犯破坏计算机信息系统罪，分别被判处有期徒刑2年和1年。日前，麻城市法院作出一审判决，李许昌、张河北犯提供侵入、非法控制计算机信息系统程序罪，被判处有期徒刑1年6个月。

责任编辑/潍河