神秘黑客团伙这样覆灭！揭秘全国首例全链条打击黑客跨境案

黑客团伙“暗夜小组”境外屡次攻击国内互联网公司云服务器，导致其经营的网络游戏项目瘫痪后进行敲诈勒索，最终“覆灭”并受到了法律的制裁。

4月15日是我国第五个全民国家安全教育日，国家安全涉及方方面面，而在互联网领域中，“暗战”随时有可能发生。深圳市人民检察院当日揭秘了全国首例全链条打击黑客跨境案“姚晓杰等11人破坏计算机信息系统案”的办案详情。

图片来源：深圳市人民检察院

国内互联网公司云服务器突遭攻击瘫痪

2017年2月26日，国内某互联网公司的云服务器突然遭受神秘黑客团伙大流量高峰值DDoS攻击，网络数据传输被阻塞，服务器大面积宕机，导致租用该互联网公司云服务器经营网络游戏项目的某豆、某乐、某游三家游戏公司的IP被封堵，出现游戏无法登录、用户频繁掉线、游戏无法正常运行等异常问题。

在该互联网公司向国家计算机网络应急技术处理协调中心广东分中心上报遭受网络攻击情况后，上述黑客团伙DDoS高流量攻击仍然频频发生，并在3月15日、16日达到高峰，迫使该互联网公司不得不频繁调用运营商对攻击源IP进行封堵，并且多次清退客户服务，才得以避免网络抖动。

神秘黑客来自何方？因何而来？是单纯图财、求名，还是某些敌对势力有预谋的“演习”？如果不能迅速抓住幕后黑手绳之以法，国内网络服务器运营商势将“任人宰割”，更为严重的是有可能直接危害到国家公共网络的安全。

图片来源：深圳市人民检察院

“暗夜小组”浮出水面实施网络攻击意在敲诈勒索

公安机关接到该互联网公司报案后，迅速立案并抽调精干力量展开侦查活动，借助专门技术，很快就锁定在境外活动的姚晓杰等人成立的“暗夜小组”就是实施本案网络攻击行为的黑客组织。

据办案检察官介绍，以姚晓杰为首的黑客团伙，在老挝成立了一个名为“暗夜小组”的黑客组织。“暗夜小组”成员层级分明，有分工配合，利用木马软件操控中了木马，或者留了后门，可以被黑客远程控制的“僵尸服务器”，对国内互联网公司的服务器发动高频服务请求，使上述服务器因来不及处理海量请求而瘫痪，进而向上述服务器运营商及租用服务器运营游戏项目的多家公司试图敲诈勒索，从而发生了被害单位云服务器遭受神秘黑客团伙大流量高峰值DDoS攻击的事件。

据悉，“暗夜小组”主要针对国内的棋牌游戏的服务器进行DDoS攻击，从而胁迫棋牌游戏的服务器搬迁到他们指定的机房里去，然后和机房分成获利。

黑客团伙锁定，案件初见端倪，但新的问题来了。网络攻击在当时属于新类型犯罪，国内鲜见类似案件，对于如何定罪及确定侦查方向，公安机关当时还没有统一意见，对于电子证据如何调取、技术侦查所获得证据如何转化等问题存在困惑，特别是姚晓杰等“暗夜小组”多名成员仍潜伏境外实施犯罪，直至上述人员陆续入境纷纷落网后，还存在彼此串供且已将手机、笔记本电脑等作案工具销毁或进行加密处理，以及可能涉及境外证据如何采信等客观困难。

图片来源：深圳市人民检察院

检侦配合，锁定新型网络犯罪案关键证据

面临困难，公安机关主动邀请检察机关适时介入侦查，引导侦查取证工作。深圳市检察院高度重视，指派业务骨干、原侦查监督部（现第一检察部）检察官蔡君辉具体负责介入侦查工作。

据悉，针对犯罪类型新颖、专业性技术性强以及可能涉及境外证据如何采信等客观困难，深圳市检察院原侦查监督部部门领导及办案人员与公安机关多次召开案件讨论会，听取公安机关对犯罪事实及侦查进展情况的介绍，查阅侦查卷宗，就被害单位云服务器所受DDoS攻击的特点进行缜密研究，及时引导侦查方向，针对定罪定性以及调查取证策略提出具体指导意见。

如检察机关在介入侦查初期，建议公安机关及时将被害单位报案提供的电子数据送国家计算机网络应急技术处理协调中心广东分中心进行分析，确定主要攻击源的IP地址，这也正是案件定罪成案的“定海神针”。在姚晓杰、丁虎子等11人陆续落网后，检察机关准确预判出证据突破的方向，及时建议将本案定性及侦查方向确定为破坏计算机系统罪，引导公安机关重点做好侦查取证工作：查明主要犯罪事实，即导致被害单位云服务器不能正常运行的原因与“暗夜小组”攻击行为间的关系；做好犯罪嫌疑人线上身份和线下身份同一性的认定工作，查清“暗夜小组”各成员在犯罪中的分工、地位和作用等。

检察机关在受理审查逮捕案件之前适时介入侦查，引导公安机关整合侦查力量，及时校准侦查方向，在移送审查逮捕时就基本查明该“暗夜小组”利用木马软件操控“僵尸服务器”对国内网上棋牌游戏的服务器，包括本案被害单位云服务器在内进行大流量高峰值DDoS攻击，于2017年2月、3月间三次对被害单位云服务器的DDoS攻击，导致三家游戏公司的IP被封堵，出现游戏无法登录、用户频繁掉线、游戏无法正常运行的基础事实。该基础事实最终成为审查起诉阶段和法院生效判决所认定的主要犯罪事实。

深圳市检察院在批准逮捕的同时，针对案件事实、证据存在的问题，制作详细的继续侦查提纲，引导公安机关继续侦查取证，有效衔接了审查逮捕和审查起诉工作，为本案审查起诉以及刑事审判工作奠定证据基础。

犯破坏计算机信息系统罪，11名被告人均被判刑

2017年9月12日，公安机关将该案移送深圳市检察院审查起诉。深圳市检察院将该案交由南山区检察院审查办理。南山区检察院积极履行检察职能，有力指控犯罪事实，使上述涉案人员受到应有惩处。

南山区人民法院判决认定被告人姚晓杰等11人犯破坏计算机信息系统罪；鉴于各被告人均表示认罪悔罪，部分被告人具有自首等法定从轻、减轻处罚情节，对11名被告人分别判处有期徒刑一年至二年不等。宣判后，11名被告人均未提出上诉，判决已生效。

今年4月8日，此案被最高人民检察院选入第十八批指导性案例发布。最高检认为该案指导意义在于：为有效打击网络攻击犯罪，检察机关应加强与公安机关的配合，及时介入侦查引导取证，结合案件特点提出明确具体的补充侦查意见。对被害互联网企业提供的证据和技术支持意见，应当结合其他证据进行审查认定，客观全面准确认定破坏计算机信息系统罪的危害后果。

（晶报供稿）

编辑曹阳