“暗夜”的覆灭
一、严重影响:国内企业遭受DDOS攻击
01 深圳网警受理案件
2017年3月,腾讯守护者安全团队通过态势感知平台发现国内许多企业遭受了大流量的DDOS攻击,攻击对象包括国内多家互联网企业的网络服务,遭受攻击后相关的网络服务数据传输遭到严重堵塞,多项业务无法正常运行,数千万用户无法登陆使用。他们迅速将这一情况举报给深圳网警。
深圳网警受理案件之后,很快联合腾讯的安全团队和广东互联网应急响应中心,把相关信息数据做了详细分析。
02 DDOS攻击是什么?
目前,智能设备广泛应用,这些智能设备的漏洞一旦被利用,就可能被黑客植入恶意程序,然后再由他们操控干各种坏事,直接影响到国家安全、社会稳定。首先,我们来认识一DDOS攻击。
DDOS名词解释
分布式拒绝服务
(DDOS:Distributed Denial of Service)
攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDOS攻击,从而成倍地提高拒绝服务攻击的威力。
网络也有黑社会
DDOS攻击分为很多种,主要是耗掉整个服务器的运算资源,其必须要有很强的经济实力,因为它可能要维护上百万台“肉鸡”(傀儡机)同时攻击一个目标,然后造成对方服务器瘫痪。这属于网络暴力的一种,网络也有黑社会!
与其他黑客攻击不一样,别的黑客攻击是尽量隐藏和不暴露自己而获得利益,但是此类团伙则是大张旗鼓地宣扬自己做成功了哪些案例。
二、层层追踪:暗夜攻击小组初现
深圳网警追踪DDOS攻击案件
深圳网警协同相关专家做了大量工作,从十几万个IP当中,把真正跟这个案件证据链关联的每一个点抽丝剥茧,发现了其中的僵尸网络,包括一些“肉鸡”(傀儡机)。
分工明确
根据线索,专案组发现实施此大流量DDOS攻击的犯罪嫌疑对象,为全国顶尖的黑客团伙“暗夜攻击小组”,深圳网警在境内先后抓获了三名“肉鸡”所有人。
通过审讯掌握到他们把这批“肉鸡”的使用权交给了一个叫“暗夜”的境外攻击团伙,这是一个全国顶尖的黑客组织,叫“暗夜攻击小组”。团伙成员以原某辉为首十余人。
“暗夜攻击小组”在黑客圈里面号称第一,它手上拥有的攻击流量在圈内是最大的,共800个G,可以摧枯拉朽之势,把国内任何一个网站的安全防护攻破。他们当时对外号称,如果流量可以达到2T,那么国家的任何一个省出口的节点都可能分分钟被打死,整个省就会瘫痪。
三、跨境抓捕:暗夜攻击小组初现
关键词:柬埔寨 度假村
通过前期的层层追查以及前期工作筹备,深圳网警把犯罪团伙窝点准确定位在距离柬埔寨金边几百公里外海面的一个度假村内。该度假村有周围只有荒山少数自然村落,保安24小时站岗放哨,逢车必查,一般人难以入内。
关键词:建点守候
对于这样进出两难的藏身之地,深圳网警除了在外围做了大量传统侦查工作,还采取建点守候的方法,在与犯罪团伙一墙之隔之地,乔装游客对犯罪嫌疑人活动规律进行观察,掌握度假区环境、海陆路交通要道信息,并制定收网方案。
四、潜逃回国:五省七市摸排
在深圳网警准备实施境外收网时,出现了意外状况——“暗夜”团伙组织者原某辉带着情妇从度假区连夜逃走,消失得无影无踪。此前,狡猾的犯罪嫌疑人原某辉组织开会,收齐团伙成员的电脑、手机,统一销毁。另外的犯罪团伙分三批,先后秘密潜逃回国。
深圳网警专案组飞赴山东、河南、云南、黑龙江、浙江等五省七市,行程6000多公里,到户籍地、历史犯罪地与属地网安部门联合作战,果断出手,成功抓获该6名犯罪嫌疑人。此时,主要犯罪嫌疑人仍然在逃。
五、终现身影:“暗夜”的覆灭
“暗夜攻击小组”组织者原某辉属于网逃人员,切断所有跟外界的联系,开始静默,深圳网警专案组综合研判后认为,其返回国内的可能性不大,功夫不负坚持者,经过70多日的等待,境外工作组两次在柬埔寨某商场发现原某辉、范某军等3人,掌握到原某辉驾驶的车辆。
通过掌握的线索以及连夜蹲守,深圳网警境外工作组联合柬埔寨移民局,在金边市某公寓,成功将原某辉5名犯罪嫌疑人抓获。
“3.21”黑客网络攻击案,深圳网警辗转国内近十个省市、远赴境外开展工作,最终成功缉捕到组织者原某辉在内的核心成员,14名犯罪嫌疑人无一漏网,近年来号称业内第一的“暗夜攻击小组”黑客团伙被彻底摧毁,有效维护了我国互联网行业的正常秩序。
网络犯罪在网上看不见、摸不着,不像传统的犯罪,深圳网警每走一步,都要通过网络数据分析作为依据,来指导下一步的侦查方向。
深圳网警是如何端掉这个“暗夜攻击小组”的?