2020年4月15日是我国第五个全民国家安全教育日,今年的主题是:坚持总体国家安全观,统筹传统安全和非传统安全,为决胜全面建成小康社会提供坚强保障。
国家安全涉及方方面面,而在互联网领域中,“暗战”随时有可能发生。近日,最高检发布第十八批指导性案例,深圳检察机关办理的“姚晓杰等11人破坏计算机信息系统案”入选。今天,特邀一名主办该案的检察官讲述这起全国首例全链条打击黑客跨境案的办案过程,谨以此向并肩作战护卫国家安全的公检法同仁致敬。
这是一场暗战,发生于繁花似锦的和平年代,收尾于无声处听惊雷之时。悄无声息中,潜伏在水面下、阴影中甚至国门外的黑手,如暗夜幽灵拨弄着诡秘的冲击波,蓦然袭向人们美好宁静的生活……
暗夜幽灵,境外诡秘攻击波
2017年2月26日,国内某互联网公司的云服务器突然遭受神秘黑客团伙大流量高峰值DDoS攻击,网络数据传输被阻塞,服务器大面积宕机,导致租用该互联网公司云服务器经营网络游戏项目的某豆、某乐、某游三家游戏公司的IP被封堵,出现游戏无法登录、用户频繁掉线、游戏无法正常运行等异常问题。
在该互联网公司向国家计算机网络应急技术处理协调中心广东分中心上报遭受网络攻击情况后,上述黑客团伙DDoS高流量攻击仍然频频发生,并在3月15日、16日达到高峰,迫使该互联网公司不得不频繁调用运营商对攻击源IP会进行封堵,并且多次清退客户服务,才得以避免网络抖动。
神秘黑客来自何方?因何而来?是单纯图财、求名,还是某些敌对势力有预谋的“演习”?这不但是笼罩在该互联网公司和国家计算机网络应急技术处理协调中心广东分中心头上的阵阵疑云,更是压在临危受命的公安机关的心头巨石。如果不能迅速抓住幕后黑手绳之以法,国内网络服务器运营商势必将人为刀俎我为鱼肉任人宰割,更为严重的是有可能直接危害到国家公共网络的安全。
初见端倪,山重水复路何方
此案攸关国家安全,更需践行使命担当。公安机关接到该互联网公司报案后,迅速立案并抽调精干力量展开侦查活动,借助专门技术很快就锁定在境外活动的姚晓杰等人成立的“暗夜小组”就是实施本案网络攻击行为的黑客组织。
姚晓杰为首的“暗夜小组”向丁虎子等人购买大量服务器资源,再利用木马软件操控上述服务器资源(也称为“僵尸服务器”或“肉鸡”)实施DDoS攻击,即利用上述“僵尸服务器”对国内互联网公司的服务器发动高频服务请求,使上述服务器因来不及处理海量请求而瘫痪,进而向上述服务器运营商及租用服务器运营游戏项目的多家公司试图敲诈勒索,从而发生了被害单位云服务器遭受神秘黑客团伙大流量高峰值DDoS攻击的事件。
黑客团伙锁定了,案件初见端倪,但新的问题来了。网络攻击在当时属于新类型犯罪,国内鲜见类似案件,对于如何定罪及确定侦查方向,公安机关当时还没有统一意见,对于电子证据如何调取、技术侦查所获得证据如何转化等问题存在困惑,特别是姚晓杰等“暗夜小组”多名成员仍潜伏境外实施犯罪,直至上述人员陆续入境纷纷落网后,还存在彼此串供且已将手机、笔记本电脑等作案工具销毁或进行加密处理,以及可能涉及境外证据如何采信等客观困难。侦查工作面临困难,山重水复路何方。
适时介入,检侦配合破阵来
面临困难,公安机关主动邀请检察机关适时介入侦查,引导侦查取证工作。深圳市检察院高度重视,指派业务骨干、原侦查监督部(现第一检察部)检察官蔡君辉具体负责介入侦查工作。
针对犯罪类型新颖、专业性技术性强以及可能涉及境外证据如何采信等客观困难,深圳市检察院原侦查监督部部门领导及办案同志与公安机关多次召开案件讨论会,听取公安机关对犯罪事实及侦查进展情况的介绍,查阅侦查卷宗,就被害单位云服务器所受DDoS攻击的特点进行缜密研究,及时引导侦查方向,针对定罪定性以及调查取证策略提出具体指导意见。
首先,引导锁定核心证据,在介入侦查初期就建议公安机关及时将被害单位报案提供的电子数据送国家计算机网络应急技术处理协调中心广东分中心进行分析,确定了主要攻击源的IP地址,这也正是案件定罪成案的“定海神针”。
其次,在姚晓杰、丁虎子等11人陆续落网后,准确预判出证据突破的方向,及时建议将本案定性及侦查方向确定为破坏计算机系统罪,引导公安机关重点做好侦查取证工作:
查明主要犯罪事实,即导致被害单位云服务器不能正常运行的原因与“暗夜小组”攻击行为间的关系;
引导公安机关通过找出主要攻击源的IP地址,确定主要攻击是否来自于该控制端服务器;
做好犯罪嫌疑人线上身份和线下身份同一性的认定工作,查清“暗夜小组”各成员在犯罪中的分工、地位和作用;
查清犯罪行为造成的危害后果,等等。
再次,对电子证据的提取、送检工作提出明确的程序指引,对技术侦查手段所获得证据线索要求及时转化为刑事证据,及时破解了电子证据如何调取以及技术侦查手段获得证据线索如何转化等困扰公安机关的问题。
“任你十路来,我只一路去”,对取证方向的精准指引,为准确高效办案奠定了坚实的基础。
赢占先机,捕诉衔接竟全功
检察机关在受理审查逮捕案件之前适时介入侦查,引导公安机关整合侦查力量,及时校准侦查方向,在移送审查逮捕时就基本查明该“暗夜小组”利用木马软件操控“僵尸服务器”对国内网上棋牌游戏的服务器,包括本案被害单位云服务器在内进行大流量高峰值DDOS攻击,于2017年2月、3月间三次对被害单位云服务器的DDOS攻击,导致三家游戏公司的IP被封堵,出现游戏无法登录、用户频繁掉线、游戏无法正常运行的基础事实。该基础事实最终成为审查起诉阶段和法院生效判决所认定的主要犯罪事实。
本案作为新类型犯罪,与传统刑事犯罪比较,调查取证的方式、方法和困难程度均有明显不同,如果机械适用传统刑事思维,将无法满足及时打击网络犯罪的客观需要,无法达到法律效果与政治效果、社会效果的统一。审查逮捕阶段,深圳市检察院在严守“事实不能没有、人头不能搞错”逮捕底线的前提下,对上述涉案人员依法批准逮捕。
批准逮捕的同时,检察机关针对案件事实、证据存在的问题,制作详细的继续侦查提纲,引导公安机关继续侦查取证,有效衔接了审查逮捕和审查起诉工作,为本案审查起诉以及刑事审判工作奠定证据基础。
2017年9月12日,公安机关将该案移送深圳市检察院审查起诉。同年9月15日,深圳市检察院将该案交由南山区检察院审查办理。南山区检察院积极履行检察职能,有力指控犯罪事实,使上述涉案人员受到应有惩处。
万里风浪起于急骤而终消弭于无形,其间无惧,任尔东西南北风,我自岿然不动;于今欣然,岁月静好的底气,正源于有人负重前行。
来源:深圳市人民检察院
,