1月14日,在腾讯公司主办的主题为“开放共享携手共治”的2018年守护者计划大会上,广东深圳网警对外公布,打掉全国影响力最大的网络攻击黑客团伙——“暗夜攻击小组”,创造了网安部门首例跨境完整打击黑客攻击犯罪全链条的典范。深圳市公安局网警支队副支队长宗成鹍在会上指出,腾讯“守护者计划”协助高效开展DDoS攻击链分析、调查取证和溯源分析等工作,为该案破获提供重要支持。
2017年以来,“守护者计划”升级践行企业社会责任,不仅加大反电信网络诈骗公益宣传力度,而且加强政企合作,协助警方直击网络黑产威胁源。DDoS网络攻击是“守护者计划”重点打击的七大网络黑产威胁源之一,据了解,此次被消灭掉的“暗夜攻击小组”曾在DDoS攻击黑产圈占50%的份额。
最大网络攻击黑客团伙“暗夜”覆灭历程
今年2月,“守护者计划”安全团队监测到多起针对网络云服务的大流量高峰值DDoS攻击(分布式拒绝服务攻击),随即协助深圳网警调查取证,输出自身安全能力溯源分析,最终锁定幕后黑手“暗夜攻击小组”。
据查,该团伙成员多在境外活动,拥有超过800G的网络攻击流量,主要攻击网络游戏、第三方支付、视频直播平台等,以抢占市场份额牟利。从2015年起,在组织者原某辉带领下实施网络攻击犯罪活动,两年时间发展成为国内影响力最大的DDoS黑客团伙。
案情上报并得到中央及公安部指示后,深圳市副市长、公安局长徐文海迅速组织精干警力成立专案组,联合“守护者计划”、国家计算机网络应急技术处理协调中心广东分中心等力量,迅速查清了该团伙的组织架构和犯罪事实。该团伙为逃避打击,在老挝、泰国、柬埔寨多地流窜,销毁证据。专案组在4月至9月期间两赴柬埔寨,先后抓获原某辉等十余名犯罪嫌疑人,查获涉案车辆、笔记本电脑、手机及银行卡等物证一批,彻底摧毁了该犯罪团伙。
图为跨境抓捕DDoS攻击犯罪嫌疑人
同时,警方连带破获了广州、成都、黄石、青岛等地接报的一批社会影响恶劣的黑客攻击案件,通过该案发起了全国打击DDoS网络攻击黑产链条的集群战役,抓获其他犯罪嫌疑人42名。
技术赋能成为破获网络攻击专案重要因素
近年来,新型网络违法犯罪呈现技术化、产业化、专业化趋势,隐蔽性加强,破获难度增大,以技术对抗技术成为重要破局手段。深度参与本案的“守护者计划”安全团队,拥有最先进的网络安全能力和大数据侦查技术。
腾讯安全联合实验室旗下的科恩、玄武、湛泸、云鼎、反病毒、反诈骗、移动安全七大实验室,专注安全技术研究及安全攻防体系搭建。在本次案件当中,云鼎实验室发挥了重要作用。
今年一季度,云鼎实验室发现腾讯云上业务尤其是游戏类业务遇到DDoS疯狂攻击,单日攻击流量峰值达到462G。经过跟进分析攻击手法、攻击时长、流量波形、源IP等要素,反向定位宿主主机、控制端,在过程中由于黑客技术老道、可能存在境外主机等因素,给溯源工作增加难度。
经过不断的复盘分析,最终在一台控制端服务器上发现可以线索并定位到证据所在。此证据在后续的团伙人员定位分析、关联产业链分析、公安抓捕及定罪的依据上都起到了关键证据的作用。同时,云鼎实验室和其它部门协作,通过对此黑产团伙的各行为研究,关联拓展出了其产业链条的上下游环节,从而在技术环节彻底打通了整体黑产团伙的全部脉络。
拆解DDoS攻击黑产结构,守护者计划全面打击网络黑产威胁源
在协助破获几起DDoS攻击犯罪案后,云鼎实验室分析了该黑色产业链的分工协作情况及技术利用情况:
在DDoS攻击黑色产业链中,链条顶端角色为“发单人”,即出资并发出攻击需求的人,一般是出于打压竞争对手需要而雇佣黑客对其他同类网站进行攻击。接到指令并执行攻击的人,称为“攻击实施人”,他们当中,有的不懂DDoS攻击服务器搭建,于是从“肉鸡商”和“高带宽服务器租售者/控制者”手中购买。“肉鸡商”是侵入计算机信息系统的实施人,他们利用后门程序获得个人计算机和服务器的控制权限,植入木马,使得这些计算机变成能实施DDoS攻击的“肉鸡”。“高带宽服务器租售者/控制者”是拥有服务器控制权限和网络流量的人,他们有一定技术能力,能够租用专属服务器并自行配置攻击软件从而获取流量。
图为DDoS攻击黑色产业链
在“守护者计划”发布的《2017年度网络黑产威胁源研究报告》中,DDoS攻击是七大网络黑产威胁源之一,其高技术性特征以及高度专业化分工降低了网络犯罪成本,增加了违法犯罪隐蔽性。而对网络黑产威胁源的打击,能够有效遏制网络黑产发展。据了解,在“暗夜攻击小组”被打掉当月,DDoS攻击频次环比下降86%。
2017年以来,“守护者计划”以全面打击网络黑产威胁源为抓手,协助各地警察机关破获新型网络违法犯罪案件160起,抓获相关人员约3800人,涉案资金近32亿元,有力地维护我国网络空间安全。
甩开英特尔?苹果被曝未来笔记本将搭载自家芯片
