防范、处理攻击事件,是各大平台安全部门的日常工作。近日最高检发布的第18批公报案例中,有一起利用DDoS攻击手段引起服务器崩溃的案件。因为攻击者销毁证据,以及被害公司未能妥善保存造成损失的证据,给攻击者的定罪和求偿带来了难度。通过这个案例,可以给安全部门的朋友们提个醒:工作中,技术非常重要,但懂点法律也非常必要!
基本案情
2017年初,被告人姚某某等人接受王某某(另案处理)雇佣,招募多名网络技术人员,在境外成立“暗夜小组”黑客组织。
“暗夜小组”从被告人丁某某等3人处购买大量服务器资源,再利用木马软件操控控制端服务器实施DDoS攻击。
2017年2—3月间,“暗夜小组”成员三次利用14台控制端服务器下的计算机,持续对某互联网公司云服务器上运营的三家游戏公司的客户端IP进行DDoS攻击。
受害互联网公司网络安全团队在日常工作中监测到多起针对该公司云服务器的大流量高峰值DDoS攻击,攻击源IP地址来源不明。
攻击导致三家游戏公司的IP被封堵,出现游戏无法登录、用户频繁掉线、游戏无法正常运行等问题。
Alameda Research 前联席首席执行官:2022年3月FTX.com的现金赤字已超100亿美元:7月21日消息,据最新的法庭文件显示,从FTX.com交易所成立之初,FTX就将客户存款和公司资金混在一起,并肆意滥用。到2022年8月,Bankman-Fried、Wang、Singh和Ellison私下估计,FTX.com交易所欠客户的法定货币超过80亿美元,但无法偿还。为了掩盖亏空,SBF等人在FTX.com上创建了一个虚假的客户账户,他们称之为我们韩国朋友的账户。尽管媒体关注的焦点是SBF在2022年8月对韩国朋友虚假账户所反映的89亿美元现金负债的估算,但SBF等人的估算甚至更高。譬如,2022年3月,AlamedaResearch前联席首席执行官CarolineEllison在私人笔记中估计,仅FTX.com的现金赤字就超过100亿美元。[2023/7/21 11:08:36]
某互联网公司由于其攻击,造成向游戏用户赔付11万余元;并且为恢复服务器的正常运营,组织人员对服务器进行了抢修并为此支付4万余元。
机关陆续将11名犯罪嫌疑人抓获。侦查发现,“暗夜小组”成员为逃避打击,在作案后已串供并将手机、笔记本电脑等作案工具销毁或者进行了加密处理。
(DDoS攻击:是指黑客通过远程控制服务器或计算机等资源,对目标发动高频服务请求,使目标服务器因来不及处理海量请求而瘫痪的网络攻击。)
Celsius寻求从Voyager的遗产中追回770万美元:金色财经报道,破产贷款机构Celsius的律师正寻求从竞争对手Voyager的遗产中追回770万美元。周三凌晨向纽约南区一家法院提交的文件显示,美国破产法允许收回摄氏在7月13日根据破产法第11章申请破产前三个月的交易。
文件称,Voyager在Celsius上维持了Earn账户,为其用户赚取了大量的奖励。在关键的90天内,Voyager在Celsius账户之间的交易达到770万美元,其中590万美元被提取。破产法第547条允许Celsius收回这些加密货币。(coindesk)[2022/12/14 21:44:52]
判决结果
根据(2018)粤0305刑初418号刑事判决书:
姚某某等人成立破坏计算机信息系统罪。
其中,姚某某被判处有期徒刑2年;其余10名被告人分别判处有期徒刑一年至二年不等。
宣判后,11名被告人均未提出上诉,判决已生效。
案例分析
本案中,对姚某某等人定罪,存在两个重要问题:
Messari:过半数以太坊验证者使用遵守OFAC规定的中继:10月23日消息,区块链分析公司Messari在一份报告中表示,采用遵守美国财政部海外资产控制办公室(OFAC)规定的中继的以太坊验证者比例达到了52%,这对以太坊的中立性和抗审查性构成了一定威胁。[2022/10/23 16:36:18]
第一个问题是:
姚某某等人销毁了犯罪时使用的计算机等数据载体,如何证明行为与数据终端之间的关联性?如何证明其攻击与造成的损失之间具有因果关系?
本案事实中,某互联网公司网络安全团队虽然监测到多起针对该公司云服务器的大流量高峰值DDoS攻击,但并未锁定攻击源IP地址。
同时,“暗夜小组”成员为逃避打击,在作案后已串供并将手机、笔记本电脑等作案工具销毁或者进行了加密处理;未能从前述电脑等工具中提取到直接证明攻击是设备发起的直接证据。
本案中,侦查人员从以下三个方面证明行为人实施了犯罪事实:
第一,行为与数据终端之间有关联性。
通过被害公司提供的系统数据,将受攻击IP和近20万个攻击源IP作进一步筛查分析,筛查出主要攻击源的IP地址。发现:这些IP中,有198个IP为僵尸网络中的被控主机;而这些主机又由14个控制端服务器控制。
推特名为Snarls Barkley的用户被盗约20枚NFT,部分被转入攻击Beeple推特的黑客地址:9月23日休息,PeckShield在Twitter上表示,推特名为Snarls Barkley的用户被盗约20枚NFT,包括BAYC、BAKC、Vee Friends、XCopy系列NFT,攻击者通过伪装可信网站的跨站脚本攻击来生成恶意OpenSea签名请求从而盗走NFT。进行本次攻击的黑客已将部分NFT转移至被Etherscan标记为攻击Beeple推特的黑客地址。[2022/9/23 7:16:54]
第二,数据终端与行为人之间有关联性。
通过姚某某等人的网络聊天内容和银行交易流水等证据,查清了“暗夜小组”的姚某某等人从丁某某等人处购买了上述14个控制端服务器的控制权的事实。
第三,行为与损害结果之间有关联性。
通过第一步中确定的攻击时间、服务器受损时间、攻击的规模,以及实施攻击后“暗夜小组”给受害公司发送邮件的事件;可以发现:主要攻击源的攻击类型、波形特征和网络协议,与丁某某等出售、姚某某等人实际控制的攻击服务器的攻击资源特征相同;攻击发生的时间与损害出现的时间相同。并查明,攻击发生时,网络中不存在同规模的其他攻击。
因此,可以确定主要攻击来自于姚某某等人实际控制、丁某某等人出售的控制端服务器。
Lightnet从LDA Capital获得5000万美元的资本承诺,以推动 Velo 区块链技术:8月29日消息,总部位于新加坡的金融科技公司Lightnet宣布已从LDA Capital Ltd获得5000 万美元的资本承诺,以发展其基础设施、运营和扩展其技术合作伙伴(Velo Labs Technology)的区块链技术。Lightnet可以选择在未来三年内将5000万美元的总承诺增加到1亿美元。这些资金将用于促进Web 3.0支付和基于区块链账本的汇款服务,重点关注亚太地区和全球各地。[2022/8/30 12:56:21]
本案中,犯罪嫌疑人在实施网络攻击后,发邮件向被害人敲诈勒索的证据,是认定攻击事实与损害结果间因果关系的重要证据。
第二个问题是:
互联网公司的损失数额应当如何认定?
本案中,受害公司提出,由于攻击导致服务不能进行,其向客户退费人民币114358元;为修复系统数据、功能而支出的员工工资人民币47170元。是否能将这些损失全部计算为犯罪损失呢?
破坏计算机信息系统造成损失的数额,是刑法第286条规定中“后果严重”的一种类型。依据本条规定:
“后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。”
实践中,常通过违法所得数额和造成的经济损失判断危害后果的大小。
经济损失标准并不一定能全面、准确反映出犯罪行为所造成的危害。一些案件中,违法所得或者经济损失的数额并不大,但网络攻击行为导致受影响的用户数量特别大,或通过其他后果,造成了恶劣社会影响。
但在本案中,受影响计算机信息系统和用户数量的证据已经无法取得,只能以造成的经济损失为标准认定行为的危害后果。
根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11条规定,“经济损失”包括:
“危害计算机信息系统犯罪行为给用户直接造成的经济损失以及用户为恢复数据、功能而支出的必要费用。”
本案中,除了造成服务不能进行直接带来的经济损失,被害公司为修复系统数据、功能而支出的员工工资也是因犯罪产生的必要费用;也应当认定为本案的经济损失。
判决中,对于攻击导致服务不能进行向客户退费人民币114358元;理论上能够认定为本案的经济损失。但,由于被害公司没有就费用的支出标准、依据提交充分的证明材料,法院没有将这部分费用认定本案经济损失。
此外,对于修复系统数据、功能而支出的员工工资人民币47170元;这一费用被法院认定为由犯罪所产生的必要费用,是认定本案经济损失的依据。
最后,对于修复费用可能与公司员工工资存在部分混同的情况,法院在量刑时以此为依据,对行为人的处罚进行了酌情从轻处理。
写在最后
本案中,行为人实施了租用第三方服务器、销毁作案工具、删除聊天记录等反侦查手段;但这些手段都没有影响相关证据的获取和因果关系认定。天网恢恢,疏而不漏;在此提醒各位老友,侦查手段远比你想的深入,千万不要动歪脑筋!
另外,如果遭到相关攻击,保存证据非常重要!如果能第一时间锁定攻击IP,相关电子数据记录将可能成为有力的定案证据。第一时间除了要保存遭到攻击的相关电子数据;保存攻击造成的直接损失的证据,和由于攻击支出的修复、维护、赔偿金等费用的凭证也十分重要。
刑事程序中,定罪要求的证据证明标准,与民事上的证明标准存在差异。是否保存充足的证据,不仅决定了你能否获得赔偿,还关乎是否能否对行为人按照损失数额定罪。只有依法充分地保存证据,才能在不同的诉讼场景中“立于不败之地”。
附录:规范依据
《中华人民共和国刑法》:
第二百八十六条:破坏计算机信息系统罪
违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;
关于《刑法》第286条规定的“后果严重”,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》有明文规定:
第四条 破坏计算机信息系统功能、数据或者应用程序,具有下列情形之一的,应当认定为刑法第二百八十六条第一款和第二款规定的“后果严重”:
(一)造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的;
(二)对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的;
(三)违法所得五千元以上或者造成经济损失一万元以上的;
(四)造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;
(五)造成其他严重后果的。
第六条 故意制作、传播计算机病等破坏性程序,影响计算机系统正常运行,具有下列情形之一的,应当认定为刑法第二百八十六条第三款规定的“后果严重”:
(一)制作、提供、传输第五条第(一)项规定的程序,导致该程序通过网络、存储介质、文件等媒介传播的;
(二)造成二十台以上计算机系统被植入第五条第(二)、(三)项规定的程序的;
(三)提供计算机病等破坏性程序十人次以上的;
(四)违法所得五千元以上或者造成经济损失一万元以上的;
第十一条 本解释所称“计算机信息系统”和“计算机系统”,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。
本解释所称“身份认证信息”,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。
本解释所称“经济损失”,包括危害计算机信息系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用。
以上就是今天的分享,感恩读者!
金色财经讯,Maker基金会临时治理促进推进者发起提案投票,投票内容包括:1. USDC稳定费率降至6%;2. USDC清算率降至120%;3. 将Set Protocol添加至ETH/USD.
1900/1/1 0:00:00狂人说央行数字货币DCEP强势袭来,昨日,媒体曝出农行开始测试DCEP钱包,今天,更加劲爆的消息就来了,支付宝参与央行数字货币的运营,这意味着,未来我们使用的支付宝支付功能.
1900/1/1 0:00:001. 全球数字货币监管牌照全景图近年来,伴随着区块链技术日益成熟和数字货币步入发展快车道,去中心化加密数字货币的市场规模越来越大,目前全球共有319个数字货币交易所,已发行5290种数字货币.
1900/1/1 0:00:00Hash Ribbons指标是通过量化哈希率相对增长率来展现比特币哈希率的变化趋势和比特币挖矿生态系统的健康状况。具体数值是用比特币哈希率的近一个月均值减去近两个月均值的差值除以一个月均值数据.
1900/1/1 0:00:00有报告表明,去年行业内的并购数量大幅下降。为什么会出现这种情况?并购减少是好事吗?会给行业带来哪些影响?未来是否会有所改善?针对这些问题,本文提供了行业领袖和专家们的不同意见.
1900/1/1 0:00:00周末期间市场情绪保持稳定,在BTC带动下绝大多数主流币种良好地延续了上周中后段的上涨势头,虽然周末两个交易日内BTC涨幅比较有限,在超50个小时时间里仅取得2.11%的小幅上涨.
1900/1/1 0:00:00