姚晓杰等11人破坏计算机信息系统案 (检例第69号)

2个月前 (11-12 21:19)阅读1回复0
海上森林一只猫
海上森林一只猫
  • 管理员
  • 注册排名5
  • 经验值111210
  • 级别管理员
  • 主题22242
  • 回复0
楼主

姚晓杰等11人毁坏计算机信息系统案

(检例第69号)

【关键词】

毁坏计算机信息系统 收集攻击 引导取证 丧失认定

【要旨】

为有效冲击收集攻击立功,查察机关应加强与公安机关的共同,及时介入侦查引导取证,连系案件特点提出明白详细的弥补侦查定见。对被害互联网企业供给的证据和手艺撑持定见,应当连系其他证据停止审查认定,客不雅全面准确认定毁坏计算机信息系统功的危害后果。

【根本案情】

被告人姚晓杰,男,1983年3月27日出生,无固定职业。

被告人丁虎子,男,1998年2月7日出生,无固定职业。

其他9名被告人根本情况略。

2017岁首年月,被告人姚晓杰等人承受王某某(另案处置)雇佣,招募多名收集手艺人员,在境外成立“暗夜小组”黑客组织。“暗夜小组”从被告人丁虎子等3人处购置大量办事器资本,再操纵木马软件操控控造端办事器施行DDoS攻击(指黑客通过长途控礼服务器或计算机等资本,对目的策动高频办事恳求,使目的办事器因来不及处置海量恳求而瘫痪)。2017年2—3月间,“暗夜小组”成员三次操纵14台控造端办事器下的计算机,持续对某互联网公司云办事器上运营的三家游戏公司的客户端IP停止DDoS攻击。攻击招致三家游戏公司的IP被封堵,呈现游戏无法登录、用户频繁掉线、游戏无法一般运行等问题。为恢复云办事器的一般运营,某互联网公司组织人员对办事器停止了抢修并为此付出4万余元。

【指控与证明立功】

(一)介入侦查引导取证

2017岁首年月,某互联网公司收集平安团队在日常工做中监测到多起针对该公司云办事器的大流量顶峰值DDoS攻击,攻击源IP地址来源不明,该公司随即报案。公安机关立案后,同步邀请广东省深圳市人民查察院介入侦查、引导取证。

针对案件专业性、手艺性强的特点,深圳市人民查察院会同公安机关屡次召开案件讨论会,就被害单元云办事器遭到的DDoS攻击的特点和取证战略停止研究,建议公安机关及时将被害单元报案供给的电子数据送国度计算机收集应急手艺处置协调中心广东分中心停止阐发,确定次要攻击源的IP地址。

2017年6—9月间,公安机关陆续将11名立功嫌疑人抓获。侦查发现,“暗夜小组”成员为逃避冲击,在做案后已串供并将手机、条记本电脑等做案东西销毁或者停止了加密处置。“暗夜小组”成员到案后大多做无功辩白。有证据证明丁虎子等人施行了长途控造大量计算机的行为,但证明其将控造权出卖给“暗夜小组”用于DDoS收集攻击的证据单薄。

鉴于此,深圳市查察机关与公安机关屡次会商研究“暗夜小组”团伙内部构造、立功行为和手艺特点等问题,建议公安机关重点做好以下三方面工做:一是查明招致云办事器不克不及一般运行的原因与“暗夜小组”攻击行为间的关系。详细包罗:对被害单元供给的受攻击IP和近20万个攻击源IP做进一步筛查阐发,找出次要攻击源的IP地址,并与丁虎子等人出卖的控造端办事器IP地址停止比对;查清次要攻击源的波形特征和收集协议,并和丁虎子等人控造的攻击办事器特征停止比对,以确定次要攻击能否来自于该控造端办事器;查清攻击时间和云办事器因被攻击无法为三家游戏公司供给一般办事的时间;查清攻击的规模;调取“暗夜小组”施行攻击后给三家游戏公司发的邮件。二是做好立功嫌疑人线上身份和线下身份统一性的认定工做,并查清“暗夜小组”各成员在立功中的分工、地位和感化。三是查清立功行为形成的危害后果。

(二)审查告状

2017年9月19日,公安机关将案件移送广东省深圳市南山区人民查察院审查告状。鉴于在案证据已根本厘清“暗夜小组”施行立功的脉络,“暗夜小组”成员的认功立场起头有了改变。经审查,全案根本事实已经查清,根本证据已经调取,可以认定姚晓杰等人的行为已涉嫌毁坏计算机信息系统功:一是能够认定系“暗夜小组”对某互联网公司云办事器施行了大流量攻击。国度计算机收集应急手艺处置协调中心广东分中心出具的陈述证明,挑选出的大流量攻击源IP中有198个IP为僵尸收集中的被控主机,那些主机由14个控造端办事器控造。通过比对丁虎子等人电脑中的电子数据,证明丁虎子等人控造的办事器就是对三家游戏公司客户端施行收集攻击的办事器。阐发陈述还明白了云办事器遭到的攻击类型和攻击接纳的收集协议、波形特征,那些证据与“暗夜小组”成员供述的攻击资本特征一致。收集聊天内容和银行交易流水等证据证明“暗夜小组”向丁虎子等三人购置上述14个控造端办事器控造权的事实。电子邮件等证据进一步印证了“暗夜小组”施行攻击的事实。二是通过进一步提取立功嫌疑人收集活动记录、立功嫌疑人之间的通信信息、资金往来等证据,连系对电子数据的阐发,查清了“暗夜小组”成员虚拟身份与实在身份的对应关系,查了然小构成员在招募人员、日常办理、购置控造端办事器、施行攻击和后勤等各个环节中的分工负责情况。

审查中,查察机关发现,攻击行为形成的丧失仍未查清:部门立功嫌疑人施行立功的次数,上下流间交易的证据仍欠缺。针对存在的问题,深圳市南山区人民查察院与公安机关停止了积极沟通,于2017年11月2日和2018年1月16日两次将案件退回公安机关弥补侦查。一是鉴于证明受影响计算机信息系统和用户数量的证据已无法调取,本案只能以形成的经济丧失认定危害后果。因而要求公安机关弥补调取可以证明某互联网公司间接经济丧失或为恢复收集一般运行收入的需要费用等证据,并交专门机构做出评估。二是进一步弥补证明“暗夜小组”成员参与每次收集攻击详细情况以及攻击办事器控造权在“暗夜小组”与丁虎子等人世流转情况的证据。三是对丁虎子等人向“暗夜小组”供给攻击办事器控造权的主不雅明知证据做进一步补强。

公安机关按要求对证据做了补强和完美,全案事实已查清,案件证据确实充实,已经构成了完好的证据链条。

(三)出庭指控立功

2018年3月6日,深圳市南山区人民查察院以被告人姚晓杰等11人构成毁坏计算机信息系统功向深圳市南山区人民法院提起公诉。4月27日,法院公开开庭审理了本案。

庭审中,11名被告人对查察机关的指控均暗示无异议。部门辩解人提出以下辩解定见:一是收集攻击无处不在,现有证据不克不及认定三家收集游戏公司遭到的攻击均是“暗夜小组”策动的,不克不及排除攻击来自其他方面。二是即使认定“暗夜小组”参与对三家收集游戏公司的攻击,也不克不及将某互联网公司付出给抢修系统数据的员工工资认定为本案的经济丧失。

针对辩解定见,公诉人辩论如下:一是案发时其实不存在其他大规模收集攻击,在案证据足以证明只要“暗夜小组”针对云办事器停止了DDoS高流量攻击,每次的攻击时间和被攻击的时间完全吻合,攻击手法、流量波形、攻击源IP和攻击途径与被告人供述及其他证据彼此印证,现有证据足以证明三家收集游戏公司客户端不克不及一般运行系受“暗夜小组”攻击招致。二是按照法令规定,“经济丧失”包罗危害计算机信息系统立功行为给用户间接形成的经济丧失以及用户为恢复数据、功用而收入的需要费用。某互联网公司为修复系统数据、功用而收入的员工工资系因立功产生的需要费用,应当认定为本案的经济丧失。

(四)处置成果

2018年6月8日,广东省深圳市南山区人民法院判决认定被告人姚晓杰等11人犯毁坏计算机信息系统功;鉴于各被告人均暗示认功悔功,部门被告人具有自首等法定从轻、减轻惩罚情节,对11名被告人别离判处有期徒刑一年至二年不等。宣判后,11名被告人均未提出上诉,判决已生效。

【指点意义】

(一)安身收集攻击立功案件特点引导公安机关搜集调取证据。对严重、疑难、复杂的收集攻击类立功案件,查察机关能够适时介入侦查引导取证,会同公安机关研究侦查标的目的,在搜集、固定证据等方面提出法令定见。一是引导公安机关及时调取证明收集攻击立功发作、证明危害后果到达逃诉尺度的证据。委托专业手艺人员对搜集提取到的电子数据等停止查验、判定,连系在案其他证据,明白收集攻击类型、攻击特点和攻击后果。二是引导公安机关调取证明收集攻击是立功嫌疑人施行的证据。借助专门手艺对攻击源停止阐发,溯源收集立功途径。审查认定立功嫌疑人收集身份与现实身份的统一性时,可通过核查IP地址、收集活动记录、上彀末端归属,以及证明立功嫌疑人与收集末端、存储介量间的联系关系性综合判断。立功嫌疑人在施行收集攻击后,威胁被害人的证据可做为认定攻击事实和因果关系的证据。有证据证明立功嫌疑人施行了攻击行为,收集攻击类型和特点与立功嫌疑人施行的攻击一致,攻击时间和被攻击时间吻合的,能够认定收集攻击系立功嫌疑人施行。三是收集攻击类立功多为配合立功,应重点审查各立功嫌疑人的供述和辩白、手机通信记录等,通过审查自供和互证的情况以及与其他证据间的印证情况,查明各立功嫌疑人世的犯意联络、分工和感化,准确认定主、从犯。四是对需要通过退回弥补侦查进一步完美上述证据的,在提出弥补侦查定见时,应明白列出每一项证据的补侦目标,以及为了到达目标需要开展的工做。在弥补侦查过程中,要适时与公安机关面临面会商,领会和掌握弥补侦查工做的停顿,配合研究阐发弥补到的证据能否契合告状和审讯的尺度和要求,为弥补侦查工做供给需要的引导和指点。

(二)对被害单元供给的证据和手艺撑持定见需连系其他在案证据做出准确认定。收集攻击类立功案件的被害人多为大型互联网企业。在冲击该类立功的过程中,司法机关往往会借助被攻击的互联网企业在收集手艺、收集资本和大数据等方面的优势,停止溯源阐发或对攻击形成的危害停止评估。因为互联网企业既是受害方,有时也是手艺撑持协助方,为确保被害单元供给的证据客不雅实在,必需出格留意审查取证过程的标准性;有前提的,应当礼聘专门机构对证据的完好性停止判定。如前提不具备,应当要求供给证据的被害单元对证据做出申明。同时要充实运用印证阐发审查思绪,将被害单元供给的证据与在案其他证据,如从立功嫌疑人处提取的电子数据、社交软件聊天记录、银行流水、第三方机构出具的判定定见、证人证言、立功嫌疑人供述等证据做对照阐发,确保不存在报酬改动案件事实或改动案件危害后果的情形。

(三)对毁坏计算机信息系统的危害后果应做客不雅全面准确认定。理论中,往往倾向于根据立功违法所得数额或形成的经济丧失认定毁坏计算机信息系统功的危害后果。但是在一些案件中,违法所得或经济丧失其实不能全面、准确反映出立功行为所形成的危害。有的案件违法所得或者经济丧失的数额其实不大,但收集攻击行为招致受影响的用户数量出格大,有的招致用户满意度降低或用户流失,有的形成了恶劣社会影响。对那类案件,若是仅按照违法所得或经济丧失数额来评估危害后果,可能会招致功刑不相适应。因而,在打点毁坏计算机信息系统立功案件时,查察机关应阐扬好介入侦查引导取证的感化,及时引导公安机关根据法令规定,从侵扰公共次序的角度,搜集、固定可以证明受影响的计算机信息系统数量或用户数量、受影响或被攻击的计算机信息系统不克不及一般运行的累计时间、对被害企业形成的影响等证据,对危害后果做出客不雅、全面、准确认定,做到功责相当、罚当其功,使被告人遭到应有惩处。

【相关规定】

《中华人民共和国刑法》第二百八十六条

《更高人民法院、更高人民查察院关于打点危害计算机信息系统平安刑事案件应用法令若干问题的解释》第四条、第六条、第十一条

[责任编纂: 佟海晴]

0
回帖

姚晓杰等11人破坏计算机信息系统案 (检例第69号) 期待您的回复!

取消
载入表情清单……
载入颜色清单……
插入网络图片

取消确定

图片上传中
编辑器信息
提示信息