賀翔成是如何進入警方視線的呢?原來,騰訊公司的安全團隊檢測到一款遊戲外掛暗藏木馬程序,這正是賀翔成開發的“絕地求生”外掛程序。他夥同其他人員利用這款外掛程序非法控制了607台計算機來進行“挖礦”,直到案發,該木馬程序感染了數十萬台用戶電腦。
騰訊公司網絡安全部工作人員告訴記者,用戶一旦下載了“絕地求生”這款遊戲外掛程序,電腦就會被植入木馬程序。“殺毒手段不斷升級,木馬也不斷升級。真可謂‘道高一尺,魔高一丈’!”辦案檢察官趙樹芬感慨道。
趙樹芬介紹,這款挖礦程序會自動檢測電腦的使用情況,當CPU(中央處理器)使用率在一定範圍內時,該木馬就會自動啟動,在後台靜默挖礦,電腦的使用者是覺察不到的。這對計算機CPU、GPU(圖形處理器)資源和電力資源的耗費相當大。賀翔成為何如此諳悉計算機,又怎樣潛伏下來默默“挖礦”?一連串的問號困擾著辦案檢察官。
這要從三年前說起。當時32歲的賀翔成是當地一家網吧的網管。一個偶然機會,他成了“天下網吧”論壇的版主。賀翔成利用版主的身份,建立了多個外掛討論群,不僅在群文件中共享外掛程序,還悄無聲息地將含有木馬的外掛程序上傳到“天下網吧”論壇供網民下載。平時,賀翔成還利用木馬程序,給電腦用戶投放廣告彈窗,借此獲取廣告受益,用戶每點擊1000次,賀翔成獲得零點幾元的受益。單看一筆受益很小,但是天長日久,獲利也不是小數。
不久,賀翔成成功“研發”出名為“絕地求生”等遊戲新款外掛程序,具備“自動瞄准”“透視”“子彈加速”“子彈跟蹤”等功能,通過社交群和論壇宣傳,並供網民免費下載發展大量用戶。
隨著“事業”越幹越大,賀翔成已不滿足於“小打小鬧”。喜好鑽研的他仿冒“愛奇藝”,編寫了酷藝VIP影視服務端和客戶端,在全國範圍內發展了60多個代理,以年卡、月卡等方式向全國網吧兜售。至案發,賀翔成共向全國2465家網吧賣出年卡5774張,季卡282張,半年卡116張,月卡3285張,非法牟利20萬餘元。
除此之外,賀翔成還有一個重要的身份,就是58迅推平台的大客戶經理。賀翔成利用58迅推的增值客戶端控制了3萬餘台網吧主機,非法獲利26.8萬餘元。
2017年10月以來,賀翔成又對58迅推的增值客戶端、挖礦程序進行修改,內嵌了自己的HSR(紅燒肉幣)錢包地址,被挖主機在挖礦時挖到礦幣後會轉到其HSR錢包中。截至案發,賀翔成已挖取了8552枚幣(最高價格252元/枚,目前市值42元/枚)。
順藤摸瓜挖出“幕後東家”
58迅推增值聯盟源於一家網絡公司——晟平公司。這家公司2014年成立,坐落在大連市甘井子區。公司旗下有兩個網站:一個是迅推,另一個是速推。兩個網站在分工上各有側重,迅推主要是做廣告增值和雲增值(就是“挖礦”,即挖取虛擬貨幣);速推則做手機App。
2014年試運行之後,公司幕後控制人賈峰指使公司副總兼運營主管張煥亮組織所謂的“研發”,也就是先研發挖礦監控軟件,再集成挖礦程序。很快,該公司形成了以閆石為技術主管,以趙樂樂、叢寧一、彭立山等人為技術骨幹的研發團隊,將尋找到的挖礦程序進行完善,製作成“EXE”木馬程序。程序研發後交由測試部測試員白樺進行測試,一旦測試成功就投放公司的迅推客戶端平台,再由郭宜傑、費林洋等客服部工作人員通過客服、QQ等方式向市場推廣。客服部肩負“發展下線帶領並指導使用”的雙重任務,在向市場推廣的過程中,成功“吸納”了賀翔成、張數等若干下線。
賀翔成和其他下線從迅推平台下載增值客戶端程序後,通過多種方式將增值客戶端非法植入到網吧主機中,並靜默下載挖礦監控軟件和挖礦程序運行。挖到的礦幣會轉移到賀翔成等人的虛擬貨幣錢包中,由公司財務主管勵芸隨時變現提現,並按照控制的終端數向代理分發提成。這些虛擬貨幣主要有DGB(極特幣)、XMR(門羅幣)、Zcash(零幣)等類型。至案發,團夥成員非法控制389萬多台電腦主機做廣告增值收益,在100多萬台電腦主機靜默安裝挖礦程序,兩年間共挖取DGB(極特幣)2600餘萬枚。這些虛擬貨幣大部分都已經賣出,嫌疑人共非法獲利1500餘萬元。
|