3.姚晓杰等11人破坏计算机信息系统案
(检例第69号)
【关键词】
破坏计算机信息系统 网络攻击 引导取证 损失认定
【要旨】
为有效打击网络攻击犯罪,检察机关应加强与公安机关的配合,及时介入侦查引导取证,结合案件特点提出明确具体的补充侦查意见。对被害互联网企业提供的证据和技术支持意见,应当结合其他证据进行审查认定,客观全面准确认定破坏计算机信息系统罪的危害后果。
【基本案情】
被告人姚晓杰,男,1983年3月27日出生,无固定职业。
被告人丁虎子,男,1998年2月7日出生,无固定职业。
其他9名被告人基本情况略。
2017年初,被告人姚晓杰等人接受王某某(另案处理)雇佣,招募多名网络技术人员,在境外成立“暗夜小组”黑客组织。“暗夜小组”从被告人丁虎子等3人处购买大量服务器资源,再利用木马软件操控控制端服务器实施DDoS攻击(指黑客通过远程控制服务器或计算机等资源,对目标发动高频服务请求,使目标服务器因来不及处理海量请求而瘫痪)。2017年2—3月间,“暗夜小组”成员三次利用14台控制端服务器下的计算机,持续对某互联网公司云服务器上运营的三家游戏公司的客户端IP进行DDoS攻击。攻击导致三家游戏公司的IP被封堵,出现游戏无法登录、用户频繁掉线、游戏无法正常运行等问题。为恢复云服务器的正常运营,某互联网公司组织人员对服务器进行了抢修并为此支付4万余元。
【指控与证明犯罪】
(一)介入侦查引导取证
2017年初,某互联网公司网络安全团队在日常工作中监测到多起针对该公司云服务器的大流量高峰值DDoS攻击,攻击源IP地址来源不明,该公司随即报案。公安机关立案后,同步邀请广东省深圳市人民检察院介入侦查、引导取证。
针对案件专业性、技术性强的特点,深圳市人民检察院会同公安机关多次召开案件讨论会,就被害单位云服务器受到的DDoS攻击的特点和取证策略进行研究,建议公安机关及时将被害单位报案提供的电子数据送国家计算机网络应急技术处理协调中心广东分中心进行分析,确定主要攻击源的IP地址。
2017年6—9月间,公安机关陆续将11名犯罪嫌疑人抓获。侦查发现,“暗夜小组”成员为逃避打击,在作案后已串供并将手机、笔记本电脑等作案工具销毁或者进行了加密处理。“暗夜小组”成员到案后大多作无罪辩解。有证据证实丁虎子等人实施了远程控制大量计算机的行为,但证明其将控制权出售给“暗夜小组”用于DDoS网络攻击的证据薄弱。
鉴于此,深圳市检察机关与公安机关多次会商研究“暗夜小组”团伙内部结构、犯罪行为和技术特点等问题,建议公安机关重点做好以下三方面工作:一是查明导致云服务器不能正常运行的原因与“暗夜小组”攻击行为间的关系。具体包括:对被害单位提供的受攻击IP和近20万个攻击源IP作进一步筛查分析,找出主要攻击源的IP地址,并与丁虎子等人出售的控制端服务器IP地址进行比对;查清主要攻击源的波形特征和网络协议,并和丁虎子等人控制的攻击服务器特征进行比对,以确定主要攻击是否来自于该控制端服务器;查清攻击时间和云服务器因被攻击无法为三家游戏公司提供正常服务的时间;查清攻击的规模;调取“暗夜小组”实施攻击后给三家游戏公司发的邮件。二是做好犯罪嫌疑人线上身份和线下身份同一性的认定工作,并查清“暗夜小组”各成员在犯罪中的分工、地位和作用。三是查清犯罪行为造成的危害后果。
(二)审查起诉
2017年9月19日,公安机关将案件移送广东省深圳市南山区人民检察院审查起诉。鉴于在案证据已基本厘清“暗夜小组”实施犯罪的脉络,“暗夜小组”成员的认罪态度开始有了转变。经审查,全案基本事实已经查清,基本证据已经调取,能够认定姚晓杰等人的行为已涉嫌破坏计算机信息系统罪:一是可以认定系“暗夜小组”对某互联网公司云服务器实施了大流量攻击。国家计算机网络应急技术处理协调中心广东分中心出具的报告证实,筛选出的大流量攻击源IP中有198个IP为僵尸网络中的被控主机,这些主机由14个控制端服务器控制。通过比对丁虎子等人电脑中的电子数据,证实丁虎子等人控制的服务器就是对三家游戏公司客户端实施网络攻击的服务器。分析报告还明确了云服务器受到的攻击类型和攻击采用的网络协议、波形特征,这些证据与“暗夜小组”成员供述的攻击资源特征一致。网络聊天内容和银行交易流水等证据证实“暗夜小组”向丁虎子等三人购买上述14个控制端服务器控制权的事实。电子邮件等证据进一步印证了“暗夜小组”实施攻击的事实。二是通过进一步提取犯罪嫌疑人网络活动记录、犯罪嫌疑人之间的通讯信息、资金往来等证据,结合对电子数据的分析,查清了“暗夜小组”成员虚拟身份与真实身份的对应关系,查明了小组成员在招募人员、日常管理、购买控制端服务器、实施攻击和后勤等各个环节中的分工负责情况。
审查中,检察机关发现,攻击行为造成的损失仍未查清:部分犯罪嫌疑人实施犯罪的次数,上下游间交易的证据仍欠缺。针对存在的问题,深圳市南山区人民检察院与公安机关进行了积极沟通,于2017年11月2日和2018年1月16日两次将案件退回公安机关补充侦查。一是鉴于证实受影响计算机信息系统和用户数量的证据已无法调取,本案只能以造成的经济损失认定危害后果。因此要求公安机关补充调取能够证实某互联网公司直接经济损失或为恢复网络正常运行支出的必要费用等证据,并交专门机构作出评估。二是进一步补充证实“暗夜小组”成员参与每次网络攻击具体情况以及攻击服务器控制权在“暗夜小组”与丁虎子等人间流转情况的证据。三是对丁虎子等人向“暗夜小组”提供攻击服务器控制权的主观明知证据作进一步补强。
公安机关按要求对证据作了补强和完善,全案事实已查清,案件证据确实充分,已经形成了完整的证据链条。
(三)出庭指控犯罪
2018年3月6日,深圳市南山区人民检察院以被告人姚晓杰等11人构成破坏计算机信息系统罪向深圳市南山区人民法院提起公诉。4月27日,法院公开开庭审理了本案。
庭审中,11名被告人对检察机关的指控均表示无异议。部分辩护人提出以下辩护意见:一是网络攻击无处不在,现有证据不能认定三家网络游戏公司受到的攻击均是“暗夜小组”发动的,不能排除攻击来自其他方面。二是即便认定“暗夜小组”参与对三家网络游戏公司的攻击,也不能将某互联网公司支付给抢修系统数据的员工工资认定为本案的经济损失。
针对辩护意见,公诉人答辩如下:一是案发时并不存在其他大规模网络攻击,在案证据足以证实只有“暗夜小组”针对云服务器进行了DDoS高流量攻击,每次的攻击时间和被攻击的时间完全吻合,攻击手法、流量波形、攻击源IP和攻击路径与被告人供述及其他证据相互印证,现有证据足以证明三家网络游戏公司客户端不能正常运行系受“暗夜小组”攻击导致。二是根据法律规定,“经济损失”包括危害计算机信息系统犯罪行为给用户直接造成的经济损失以及用户为恢复数据、功能而支出的必要费用。某互联网公司为修复系统数据、功能而支出的员工工资系因犯罪产生的必要费用,应当认定为本案的经济损失。
(四)处理结果
2018年6月8日,广东省深圳市南山区人民法院判决认定被告人姚晓杰等11人犯破坏计算机信息系统罪;鉴于各被告人均表示认罪悔罪,部分被告人具有自首等法定从轻、减轻处罚情节,对11名被告人分别判处有期徒刑一年至二年不等。宣判后,11名被告人均未提出上诉,判决已生效。
【指导意义】
(一)立足网络攻击犯罪案件特点引导公安机关收集调取证据。对重大、疑难、复杂的网络攻击类犯罪案件,检察机关可以适时介入侦查引导取证,会同公安机关研究侦查方向,在收集、固定证据等方面提出法律意见。一是引导公安机关及时调取证明网络攻击犯罪发生、证明危害后果达到追诉标准的证据。委托专业技术人员对收集提取到的电子数据等进行检验、鉴定,结合在案其他证据,明确网络攻击类型、攻击特点和攻击后果。二是引导公安机关调取证明网络攻击是犯罪嫌疑人实施的证据。借助专门技术对攻击源进行分析,溯源网络犯罪路径。审查认定犯罪嫌疑人网络身份与现实身份的同一性时,可通过核查IP地址、网络活动记录、上网终端归属,以及证实犯罪嫌疑人与网络终端、存储介质间的关联性综合判断。犯罪嫌疑人在实施网络攻击后,威胁被害人的证据可作为认定攻击事实和因果关系的证据。有证据证明犯罪嫌疑人实施了攻击行为,网络攻击类型和特点与犯罪嫌疑人实施的攻击一致,攻击时间和被攻击时间吻合的,可以认定网络攻击系犯罪嫌疑人实施。三是网络攻击类犯罪多为共同犯罪,应重点审查各犯罪嫌疑人的供述和辩解、手机通信记录等,通过审查自供和互证的情况以及与其他证据间的印证情况,查明各犯罪嫌疑人间的犯意联络、分工和作用,准确认定主、从犯。四是对需要通过退回补充侦查进一步完善上述证据的,在提出补充侦查意见时,应明确列出每一项证据的补侦目的,以及为了达到目的需要开展的工作。在补充侦查过程中,要适时与公安机关面对面会商,了解和掌握补充侦查工作的进展,共同研究分析补充到的证据是否符合起诉和审判的标准和要求,为补充侦查工作提供必要的引导和指导。
(二)对被害单位提供的证据和技术支持意见需结合其他在案证据作出准确认定。网络攻击类犯罪案件的被害人多为大型互联网企业。在打击该类犯罪的过程中,司法机关往往会借助被攻击的互联网企业在网络技术、网络资源和大数据等方面的优势,进行溯源分析或对攻击造成的危害进行评估。由于互联网企业既是受害方,有时也是技术支持协助方,为确保被害单位提供的证据客观真实,必须特别注意审查取证过程的规范性;有条件的,应当聘请专门机构对证据的完整性进行鉴定。如条件不具备,应当要求提供证据的被害单位对证据作出说明。同时要充分运用印证分析审查思路,将被害单位提供的证据与在案其他证据,如从犯罪嫌疑人处提取的电子数据、社交软件聊天记录、银行流水、第三方机构出具的鉴定意见、证人证言、犯罪嫌疑人供述等证据作对照分析,确保不存在人为改变案件事实或改变案件危害后果的情形。
(三)对破坏计算机信息系统的危害后果应作客观全面准确认定。实践中,往往倾向于依据犯罪违法所得数额或造成的经济损失认定破坏计算机信息系统罪的危害后果。但是在一些案件中,违法所得或经济损失并不能全面、准确反映出犯罪行为所造成的危害。有的案件违法所得或者经济损失的数额并不大,但网络攻击行为导致受影响的用户数量特别大,有的导致用户满意度降低或用户流失,有的造成了恶劣社会影响。对这类案件,如果仅根据违法所得或经济损失数额来评估危害后果,可能会导致罪刑不相适应。因此,在办理破坏计算机信息系统犯罪案件时,检察机关应发挥好介入侦查引导取证的作用,及时引导公安机关按照法律规定,从扰乱公共秩序的角度,收集、固定能够证实受影响的计算机信息系统数量或用户数量、受影响或被攻击的计算机信息系统不能正常运行的累计时间、对被害企业造成的影响等证据,对危害后果作出客观、全面、准确认定,做到罪责相当、罚当其罪,使被告人受到应有惩处。
【相关规定】
《中华人民共和国刑法》第二百八十六条
《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第四条、第六条、第十一条
