姚某某等11人破壞計算機信息系統(tǒng)案

2020-06-02 塵埃 評論0

檢例第69號 目錄 要旨 基本案情 指控與證明犯罪 指導(dǎo)意義 相關(guān)規(guī)定 要旨 為有效打擊網(wǎng)絡(luò)攻擊犯罪，檢察機關(guān)應(yīng)加強與公安機關(guān)的配合，及時介入偵查引導(dǎo)取證，結(jié)合案件特點提出明確具體的補充偵查意見。對被害互聯(lián)網(wǎng)企業(yè)提供的證據(jù)和技術(shù)支持意見，應(yīng)當(dāng)結(jié)合其他證據(jù)進行審查認定，客觀全面準確認定破壞計算機信息系統(tǒng)罪的危害后果。 基本案情 被告人姚某某，男，xxxx年xx月xx日出生，無固定職業(yè)。 被告人丁虎子，男，xxxx年xx月xx日出生，無固定職業(yè)。 其他9名被告人基本情況略。 2017年初，被告人姚某某等人接受王某某（另案處理）雇傭，招募多名網(wǎng)絡(luò)技術(shù)人員，在境外成立“暗夜小組”黑客組織?！鞍狄剐〗M”從被告人丁虎子等3人處購買大量服務(wù)器資源，再利用木馬軟件操控控制端服務(wù)器實施DDoS攻擊（指黑客通過遠程控制服務(wù)器或計算機等資源，對目標(biāo)發(fā)動高頻服務(wù)請求，使目標(biāo)服務(wù)器因來不及處理海量請求而癱瘓）。2017年2—3月間，“暗夜小組”成員三次利用14臺控制端服務(wù)器下的計算機，持續(xù)對某互聯(lián)網(wǎng)公司云服務(wù)器上運營的三家游戲公司的客戶端IP進行DDoS攻擊。攻擊導(dǎo)致三家游戲公司的IP被封堵，出現(xiàn)游戲無法登錄、用戶頻繁掉線、游戲無法正常運行等問題。為恢復(fù)云服務(wù)器的正常運營，某互聯(lián)網(wǎng)公司組織人員對服務(wù)器進行了搶修并為此支付4萬余元。 指控與證明犯罪 （一）介入偵查引導(dǎo)取證 2017年初，某互聯(lián)網(wǎng)公司網(wǎng)絡(luò)安全團隊在日常工作中監(jiān)測到多起針對該公司云服務(wù)器的大流量高峰值DDoS攻擊，攻擊源IP地址來源不明，該公司隨即報案。公安機關(guān)立案后，同步邀請廣東省深圳市人民檢察院介入偵查、引導(dǎo)取證。 針對案件專業(yè)性、技術(shù)性強的特點，深圳市人民檢察院會同公安機關(guān)多次召開案件討論會，就被害單位云服務(wù)器受到的DDoS攻擊的特點和取證策略進行研究，建議公安機關(guān)及時將被害單位報案提供的電子數(shù)據(jù)送國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心廣東分中心進行分析，確定主要攻擊源的IP地址。 2017年6—9月間，公安機關(guān)陸續(xù)將11名犯罪嫌疑人抓獲。偵查發(fā)現(xiàn)，“暗夜小組”成員為逃避打擊，在作案后已串供并將手機、筆記本電腦等作案工具銷毀或者進行了加密處理?！鞍狄剐〗M”成員到案后大多作無罪辯解。有證據(jù)證實丁虎子等人實施了遠程控制大量計算機的行為，但證明其將控制權(quán)出售給“暗夜小組”用于DDoS網(wǎng)絡(luò)攻擊的證據(jù)薄弱。 鑒于此，深圳市檢察機關(guān)與公安機關(guān)多次會商研究“暗夜小組”團伙內(nèi)部結(jié)構(gòu)、犯罪行為和技術(shù)特點等問題，建議公安機關(guān)重點做好以下三方面工作：一是查明導(dǎo)致云服務(wù)器不能正常運行的原因與“暗夜小組”攻擊行為間的關(guān)系。具體包括：對被害單位提供的受攻擊IP和近20萬個攻擊源IP作進一步篩查分析，找出主要攻擊源的IP地址，并與丁虎子等人出售的控制端服務(wù)器IP地址進行比對；查清主要攻擊源的波形特征和網(wǎng)絡(luò)協(xié)議，并和丁虎子等人控制的攻擊服務(wù)器特征進行比對，以確定主要攻擊是否來自于該控制端服務(wù)器；查清攻擊時間和云服務(wù)器因被攻擊無法為三家游戲公司提供正常服務(wù)的時間；查清攻擊的規(guī)模；調(diào)取“暗夜小組”實施攻擊后給三家游戲公司發(fā)的郵件。二是做好犯罪嫌疑人線上身份和線下身份同一性的認定工作，并查清“暗夜小組”各成員在犯罪中的分工、地位和作用。三是查清犯罪行為造成的危害后果。 （二）審查起訴 2017年9月19日，公安機關(guān)將案件移送廣東省深圳市南山區(qū)人民檢察院審查起訴。鑒于在案證據(jù)已基本厘清“暗夜小組”實施犯罪的脈絡(luò)，“暗夜小組”成員的認罪態(tài)度開始有了轉(zhuǎn)變。經(jīng)審查，全案基本事實已經(jīng)查清，基本證據(jù)已經(jīng)調(diào)取，能夠認定姚某某等人的行為已涉嫌破壞計算機信息系統(tǒng)罪：一是可以認定系“暗夜小組”對某互聯(lián)網(wǎng)公司云服務(wù)器實施了大流量攻擊。國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心廣東分中心出具的報告證實，篩選出的大流量攻擊源IP中有198個IP為僵尸網(wǎng)絡(luò)中的被控主機，這些主機由14個控制端服務(wù)器控制。通過比對丁虎子等人電腦中的電子數(shù)據(jù)，證實丁虎子等人控制的服務(wù)器就是對三家游戲公司客戶端實施網(wǎng)絡(luò)攻擊的服務(wù)器。分析報告還明確了云服務(wù)器受到的攻擊類型和攻擊采用的網(wǎng)絡(luò)協(xié)議、波形特征，這些證據(jù)與“暗夜小組”成員供述的攻擊資源特征一致。網(wǎng)絡(luò)聊天內(nèi)容和銀行交易流水等證據(jù)證實“暗夜小組”向丁虎子等三人購買上述14個控制端服務(wù)器控制權(quán)的事實。電子郵件等證據(jù)進一步印證了“暗夜小組”實施攻擊的事實。二是通過進一步提取犯罪嫌疑人網(wǎng)絡(luò)活動記錄、犯罪嫌疑人之間的通訊信息、資金往來等證據(jù)，結(jié)合對電子數(shù)據(jù)的分析，查清了“暗夜小組”成員虛擬身份與真實身份的對應(yīng)關(guān)系，查明了小組成員在招募人員、日常管理、購買控制端服務(wù)器、實施攻擊和后勤等各個環(huán)節(jié)中的分工負責(zé)情況。 審查中，檢察機關(guān)發(fā)現(xiàn)，攻擊行為造成的損失仍未查清：部分犯罪嫌疑人實施犯罪的次數(shù)，上下游間交易的證據(jù)仍欠缺。針對存在的問題，深圳市南山區(qū)人民檢察院與公安機關(guān)進行了積極溝通，于2017年11月2日和2018年1月16日兩次將案件退回公安機關(guān)補充偵查。一是鑒于證實受影響計算機信息系統(tǒng)和用戶數(shù)量的證據(jù)已無法調(diào)取，本案只能以造成的經(jīng)濟損失認定危害后果。因此要求公安機關(guān)補充調(diào)取能夠證實某互聯(lián)網(wǎng)公司直接經(jīng)濟損失或為恢復(fù)網(wǎng)絡(luò)正常運行支出的必要費用等證據(jù)，并交專門機構(gòu)作出評估。二是進一步補充證實“暗夜小組”成員參與每次網(wǎng)絡(luò)攻擊具體情況以及攻擊服務(wù)器控制權(quán)在“暗夜小組”與丁虎子等人間流轉(zhuǎn)情況的證據(jù)。三是對丁虎子等人向“暗夜小組”提供攻擊服務(wù)器控制權(quán)的主觀明知證據(jù)作進一步補強。 公安機關(guān)按要求對證據(jù)作了補強和完善，全案事實已查清，案件證據(jù)確實充分，已經(jīng)形成了完整的證據(jù)鏈條。 （三）出庭指控犯罪 2018年3月6日，深圳市南山區(qū)人民檢察院以被告人姚某某等11人構(gòu)成破壞計算機信息系統(tǒng)罪向深圳市南山區(qū)人民法院提起公訴。4月27日，法院公開開庭審理了本案。 庭審中，11名被告人對檢察機關(guān)的指控均表示無異議。部分辯護人提出以下辯護意見：一是網(wǎng)絡(luò)攻擊無處不在，現(xiàn)有證據(jù)不能認定三家網(wǎng)絡(luò)游戲公司受到的攻擊均是“暗夜小組”發(fā)動的，不能排除攻擊來自其他方面。二是即便認定“暗夜小組”參與對三家網(wǎng)絡(luò)游戲公司的攻擊，也不能將某互聯(lián)網(wǎng)公司支付給搶修系統(tǒng)數(shù)據(jù)的員工工資認定為本案的經(jīng)濟損失。 針對辯護意見，公訴人答辯如下：一是案發(fā)時并不存在其他大規(guī)模網(wǎng)絡(luò)攻擊，在案證據(jù)足以證實只有“暗夜小組”針對云服務(wù)器進行了DDoS高流量攻擊，每次的攻擊時間和被攻擊的時間完全吻合，攻擊手法、流量波形、攻擊源IP和攻擊路徑與被告人供述及其他證據(jù)相互印證，現(xiàn)有證據(jù)足以證明三家網(wǎng)絡(luò)游戲公司客戶端不能正常運行系受“暗夜小組”攻擊導(dǎo)致。二是根據(jù)法律規(guī)定，“經(jīng)濟損失”包括危害計算機信息系統(tǒng)犯罪行為給用戶直接造成的經(jīng)濟損失以及用戶為恢復(fù)數(shù)據(jù)、功能而支出的必要費用。某互聯(lián)網(wǎng)公司為修復(fù)系統(tǒng)數(shù)據(jù)、功能而支出的員工工資系因犯罪產(chǎn)生的必要費用，應(yīng)當(dāng)認定為本案的經(jīng)濟損失。 （四）處理結(jié)果 2018年6月8日，廣東省深圳市南山區(qū)人民法院判決認定被告人姚某某等11人犯破壞計算機信息系統(tǒng)罪；鑒于各被告人均表示認罪悔罪，部分被告人具有自首等法定從輕、減輕處罰情節(jié)，對11名被告人分別判處有期徒刑一年至二年不等。宣判后，11名被告人均未提出上訴，判決已生效。 指導(dǎo)意義 （一）立足網(wǎng)絡(luò)攻擊犯罪案件特點引導(dǎo)公安機關(guān)收集調(diào)取證據(jù)。 對重大、疑難、復(fù)雜的網(wǎng)絡(luò)攻擊類犯罪案件，檢察機關(guān)可以適時介入偵查引導(dǎo)取證，會同公安機關(guān)研究偵查方向，在收集、固定證據(jù)等方面提出法律意見。一是引導(dǎo)公安機關(guān)及時調(diào)取證明網(wǎng)絡(luò)攻擊犯罪發(fā)生、證明危害后果達到追訴標(biāo)準的證據(jù)。委托專業(yè)技術(shù)人員對收集提取到的電子數(shù)據(jù)等進行檢驗、鑒定，結(jié)合在案其他證據(jù)，明確網(wǎng)絡(luò)攻擊類型、攻擊特點和攻擊后果。二是引導(dǎo)公安機關(guān)調(diào)取證明網(wǎng)絡(luò)攻擊是犯罪嫌疑人實施的證據(jù)。借助專門技術(shù)對攻擊源進行分析，溯源網(wǎng)絡(luò)犯罪路徑。審查認定犯罪嫌疑人網(wǎng)絡(luò)身份與現(xiàn)實身份的同一性時，可通過核查IP地址、網(wǎng)絡(luò)活動記錄、上網(wǎng)終端歸屬，以及證實犯罪嫌疑人與網(wǎng)絡(luò)終端、存儲介質(zhì)間的關(guān)聯(lián)性綜合判斷。犯罪嫌疑人在實施網(wǎng)絡(luò)攻擊后，威脅被害人的證據(jù)可作為認定攻擊事實和因果關(guān)系的證據(jù)。有證據(jù)證明犯罪嫌疑人實施了攻擊行為，網(wǎng)絡(luò)攻擊類型和特點與犯罪嫌疑人實施的攻擊一致，攻擊時間和被攻擊時間吻合的，可以認定網(wǎng)絡(luò)攻擊系犯罪嫌疑人實施。三是網(wǎng)絡(luò)攻擊類犯罪多為共同犯罪，應(yīng)重點審查各犯罪嫌疑人的供述和辯解、手機通信記錄等，通過審查自供和互證的情況以及與其他證據(jù)間的印證情況，查明各犯罪嫌疑人間的犯意聯(lián)絡(luò)、分工和作用，準確認定主、從犯。四是對需要通過退回補充偵查進一步完善上述證據(jù)的，在提出補充偵查意見時，應(yīng)明確列出每一項證據(jù)的補偵目的，以及為了達到目的需要開展的工作。在補充偵查過程中，要適時與公安機關(guān)面對面會商，了解和掌握補充偵查工作的進展，共同研究分析補充到的證據(jù)是否符合起訴和審判的標(biāo)準和要求，為補充偵查工作提供必要的引導(dǎo)和指導(dǎo)。 （二）對被害單位提供的證據(jù)和技術(shù)支持意見需結(jié)合其他在案證據(jù)作出準確認定。 網(wǎng)絡(luò)攻擊類犯罪案件的被害人多為大型互聯(lián)網(wǎng)企業(yè)。在打擊該類犯罪的過程中，司法機關(guān)往往會借助被攻擊的互聯(lián)網(wǎng)企業(yè)在網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)資源和大數(shù)據(jù)等方面的優(yōu)勢，進行溯源分析或?qū)粼斐傻奈：M行評估。由于互聯(lián)網(wǎng)企業(yè)既是受害方，有時也是技術(shù)支持協(xié)助方，為確保被害單位提供的證據(jù)客觀真實，必須特別注意審查取證過程的規(guī)范性；有條件的，應(yīng)當(dāng)聘請專門機構(gòu)對證據(jù)的完整性進行鑒定。如條件不具備，應(yīng)當(dāng)要求提供證據(jù)的被害單位對證據(jù)作出說明。同時要充分運用印證分析審查思路，將被害單位提供的證據(jù)與在案其他證據(jù)，如從犯罪嫌疑人處提取的電子數(shù)據(jù)、社交軟件聊天記錄、銀行流水、第三方機構(gòu)出具的鑒定意見、證人證言、犯罪嫌疑人供述等證據(jù)作對照分析，確保不存在人為改變案件事實或改變案件危害后果的情形。 （三）對破壞計算機信息系統(tǒng)的危害后果應(yīng)作客觀全面準確認定。 實踐中，往往傾向于依據(jù)犯罪違法所得數(shù)額或造成的經(jīng)濟損失認定破壞計算機信息系統(tǒng)罪的危害后果。但是在一些案件中，違法所得或經(jīng)濟損失并不能全面、準確反映出犯罪行為所造成的危害。有的案件違法所得或者經(jīng)濟損失的數(shù)額并不大，但網(wǎng)絡(luò)攻擊行為導(dǎo)致受影響的用戶數(shù)量特別大，有的導(dǎo)致用戶滿意度降低或用戶流失，有的造成了惡劣社會影響。對這類案件，如果僅根據(jù)違法所得或經(jīng)濟損失數(shù)額來評估危害后果，可能會導(dǎo)致罪刑不相適應(yīng)。因此，在辦理破壞計算機信息系統(tǒng)犯罪案件時，檢察機關(guān)應(yīng)發(fā)揮好介入偵查引導(dǎo)取證的作用，及時引導(dǎo)公安機關(guān)按照法律規(guī)定，從擾亂公共秩序的角度，收集、固定能夠證實受影響的計算機信息系統(tǒng)數(shù)量或用戶數(shù)量、受影響或被攻擊的計算機信息系統(tǒng)不能正常運行的累計時間、對被害企業(yè)造成的影響等證據(jù)，對危害后果作出客觀、全面、準確認定，做到罪責(zé)相當(dāng)、罰當(dāng)其罪，使被告人受到應(yīng)有懲處。 相關(guān)規(guī)定 《中華人民共和國刑法》第二百八十六條 《最高人民法院、最高人民檢察院關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》第四條、第六條、第十一條