近日����,最高檢公布了國內(nèi)首例全鏈條打擊黑客跨境網(wǎng)絡(luò)攻擊案����。最高人民檢察院公布的第十八批指導(dǎo)性案例中,包括姚曉杰等11人破壞計算機信息系統(tǒng)案�,涉及黑客圈內(nèi)知名的“暗夜”攻擊小組。
目前黑市上仍有大量通過此類網(wǎng)絡(luò)DDoS攻擊牟取利益的黑客團伙����。新京報記者4月13日至4月17日調(diào)查發(fā)現(xiàn)��,在黑灰產(chǎn)交易平臺中�,網(wǎng)絡(luò)攻擊成為了明碼標價的“商品”,不少雇主直接發(fā)布想要攻擊的網(wǎng)站地址或APP名稱���,雇傭黑客攻擊�,導(dǎo)致目標無法訪問,服務(wù)癱瘓��。根據(jù)目標網(wǎng)站的安全防御力不同�,攻擊的價格也有所不同。進行攻擊的黑客��、為黑客供應(yīng)“彈藥”的流量提供方�����、用來測試攻擊力的“墻”��、同業(yè)競爭的雇主等���,構(gòu)成了網(wǎng)絡(luò)攻擊黑產(chǎn)產(chǎn)業(yè)鏈�����。
“‘暗夜’一案是全國首例全鏈條打擊黑客跨境攻擊案����,案件涉及的并非只有‘暗夜攻擊小組’一個團伙�����,全案11名被告人在攻擊鏈條中起到的作用不同,甚至有一些素未謀面�����。但這類案件往往需要將上下游行為串在一起�,才能還原事實、查明真相�,這也是打擊網(wǎng)絡(luò)犯罪的特點和難點。”騰訊網(wǎng)絡(luò)安全與犯罪研究基地高級研究員肖薇表示����。
網(wǎng)絡(luò)攻擊明碼標價
數(shù)百元發(fā)起一次攻擊,勒索數(shù)萬元
“接非法網(wǎng)站���、私服�、博彩�����、棋牌App����,DDoS攻擊服務(wù)���,幫你打擊競爭對手”����、“網(wǎng)址XXX,能打的私聊”……4月13日�����,新京報記者調(diào)查發(fā)現(xiàn)��,在某境外黑灰產(chǎn)交易平臺中�����,網(wǎng)絡(luò)攻擊成為了明碼標價的“商品”����,不少雇主直接發(fā)布想要攻擊的網(wǎng)站地址或APP名稱,雇傭黑客進行DDoS攻擊�,導(dǎo)致目標無法訪問,服務(wù)癱瘓�����。
新京報記者了解到,DDoS攻擊的原理是攻擊者控制多臺機器在同一時間集中訪問一個IP地址�����,造成訪問流量飆升��,最終導(dǎo)致該地址網(wǎng)頁無法打開����,服務(wù)崩潰,其原理類似于一家餐廳突然涌入了極多“霸王客”導(dǎo)致正常顧客無法進入���。
4月16日下午1點��,新京報記者聯(lián)系到一名提供DDoS攻擊服務(wù)的黑客�,對方表示要先看目標網(wǎng)站的IP地址�����,才能給出攻擊報價��。記者給出某小型非法網(wǎng)站地址����,對方表示該網(wǎng)站“之前打過�����,有6個CDN(內(nèi)容分發(fā)網(wǎng)絡(luò),可以降低網(wǎng)絡(luò)堵塞�,一定程度上抵抗攻擊),一個IP打10分鐘���,大概30分鐘就能打死(癱瘓)����,價格1000元�����,從現(xiàn)在到晚上十點��。”照此計算�,只要支付1000元,就可以讓目標網(wǎng)站癱瘓9個小時�����。
騰訊守護者計劃資深安全專家雪狼告訴新京報記者����,針對攻擊目標網(wǎng)絡(luò)防護能力的不同����,攻擊的成本也不一樣�,“最低檔的話基本上是200元打一次,一般有一點防御的小網(wǎng)站是1000到2000元打一次���,價格波動很大����。”
而對于把服務(wù)放在云服務(wù)器中或者防護更好的網(wǎng)站�,則需要流量更大、攻擊力更高的DDoS攻擊����。
“在2017年基本上一名黑客若能做到每秒450G峰值攻擊力的DDoS攻擊,一個小時的成本大概為1000元左右�,攻擊的目的可能是只把網(wǎng)站打癱瘓一次,之后進行勒索��,也可能是受雇于人持續(xù)攻擊擾亂網(wǎng)站的正常服務(wù)�。”雪狼表示。
根據(jù)公開報道�,較近的一則DDoS攻擊案例是4月10日《檢察日報》發(fā)布的臺州某智能科技公司遭攻擊一案�。2019年1月�����,該公司陸續(xù)接到不少游戲玩家投訴�,反映在玩游戲時出現(xiàn)頻頻掉線等狀況����,后證實遭到了黑客DDoS攻擊,這些攻擊讓用戶無法登錄�����,造成大量用戶流失���,僅一臺服務(wù)器上受影響的注冊用戶人數(shù)就有近2萬人��。為了應(yīng)對攻擊��,公司專門花費5萬多元購買DDoS防護包����,但效果并不顯著���。最終公安機關(guān)抓獲了涉事黑客駱某����,發(fā)現(xiàn)其以300元的價格從雇主處接單,并租用了一臺中控服務(wù)器����,抓“肉雞”(即被非法控制的計算機信息系統(tǒng),可以為攻擊提供流量)��,使用DDoS攻擊技術(shù)攻擊了該公司的服務(wù)器�。
騰訊云發(fā)布的《2019年DDoS威脅報告》(下稱《威脅報告》)顯示,黑客購買攻擊服務(wù)的成本在數(shù)百元��,而發(fā)起勒索每次的贖金可以達到數(shù)萬元�;黑客搭建攻擊站點的成本在數(shù)千元,而出租DDoS攻擊服務(wù)的收入可以達到數(shù)十萬元��。
黑產(chǎn)分工明確
有人提供“彈藥”黑客負責(zé)攻擊
新京報記者發(fā)現(xiàn)����,目前黑市中DDoS攻擊已經(jīng)形成了分工明確的上下游產(chǎn)業(yè)鏈:處在產(chǎn)業(yè)鏈上游的是各類DDoS攻擊軟件賣家,他們?yōu)?ldquo;傻瓜式”網(wǎng)絡(luò)攻擊提供了工具���,降低了黑客的入門門檻���;處在產(chǎn)業(yè)鏈中游的是流量提供方����,這些流量提供者或是擁有自己的專業(yè)機房����,可以提供穩(wěn)定的帶寬���,或是擁有大量“肉雞”��,可以為DDoS攻擊提供充足的“彈藥”����;產(chǎn)業(yè)鏈下游的則是執(zhí)行攻擊的黑客本人�。此外,還有一些具有抗DDoS攻擊的公司主動參與了DDoS攻擊���,他們的作用是提供測試DDoS攻擊力的“墻”�����,以方便雇主驗證黑客的攻擊實力���,也成為了網(wǎng)絡(luò)攻擊黑產(chǎn)的一環(huán)�����。
其中�,黑客最重要的上游當屬流量提供方�����,2016年北京朝陽法院溫榆河法庭公布的案例顯示�����,曾有被告人通過木馬程序控制了68臺計算機�,并將被控制計算機的流量出租給黑客進行DDoS攻擊并從中牟利,1G流量一天獲利100元���,5個月間獲利3萬余元�����,被告人供述自己只負責(zé)抓“肉雞”�,并不負責(zé)攻擊任何服務(wù)器和網(wǎng)站�。但顯然該被告人也屬于DDoS攻擊黑產(chǎn)產(chǎn)業(yè)鏈的鏈條之一�。
《威脅報告》顯示���,中木馬的個人電腦是黑客最大的肉雞來源�����,占比46%��。
4月16日�,新京報記者在境外黑灰產(chǎn)平臺中發(fā)現(xiàn)�����,有不少黑客在平臺中高調(diào)“收流量”����,當有流量方表示以50元1G的價格出售流量時���,立刻有黑客表示“全都收”�,此外也有黑客表示真正有實力的人都是“自己買機房”�。
除買賣流量外,黑灰產(chǎn)平臺中還活躍著不少提供DDoS攻擊腳本��、軟件的賣家,熟悉黑產(chǎn)的人士“戰(zhàn)神”對記者表示����,許多老的攻擊腳本到現(xiàn)在仍然可以賣出不少錢,但真正前沿的DDoS攻擊技術(shù)目前還主要從國外傳入���,如果一名黑客可以做到300到500G的持續(xù)攻擊�,一個月至少需要幾萬元成本�。
誰易被攻擊?
游戲�����、電商位居前兩名 主要是惡性競爭
而在攻擊目標上��,大部分黑客表示樂意攻擊非法網(wǎng)站����。“戰(zhàn)神”表示,這主要是因為這類“黑吃黑”的攻擊發(fā)生后����,被攻擊者一般只能吃啞巴虧,而BAT等大型互聯(lián)網(wǎng)公司則是這些黑客們普遍不樂意攻擊的對象,因為“難度過高���,風(fēng)險較大”����。
根據(jù)《威脅報告》����,在DDoS攻擊的行業(yè)分布中,游戲行業(yè)占42%�,是最易受DDoS攻擊的對象,電子商務(wù)和網(wǎng)絡(luò)服務(wù)行業(yè)分別占15%和14%���,位居二三位�。而游戲行業(yè)中����,近半數(shù)遭到攻擊的對象為手游APP����。
不過,新京報記者在黑灰產(chǎn)平臺中同一些黑客交談時發(fā)現(xiàn)�,由于手游APP無法像頁游一樣直觀的顯示出所在IP,所以往往需要使用一些技術(shù)手段先檢測出IP所在地再進行攻擊,因此不少黑客在收到攻擊APP的需求時往往要求雇主先給出IP地址��,“自己檢測IP太麻煩了���,你直接給我地址我才能給你報價�。”
《威脅報告》稱�����,在DDoS攻擊的目的方面����,打擊競爭對手、向互聯(lián)網(wǎng)企業(yè)收取“保護費”勒索以及向玩家出售“炸房掛”���、“掉線掛”是最主要的三類收益來源��,其中���,超過80%的黑客發(fā)動DDoS攻擊的動機源于惡意競爭。
DDoS攻擊的打擊難題:取證難���、需國際合作
雪狼表示����,近年來隨著網(wǎng)絡(luò)的發(fā)展,云服務(wù)器的帶寬和性能都大幅度提升����,防御力和對抗技術(shù)也在不斷進步,因此DDoS攻擊需要的流量也逐年攀升����。跟前幾年相比,黑客團伙的兩極分化比較嚴重,小黑客對大型企業(yè)沒有什么威脅,大型黑客組織則一般都牽涉境外����,這是最麻煩的問題����。此外���,隨著物聯(lián)網(wǎng)的發(fā)展����,越來越多物聯(lián)網(wǎng)設(shè)備成為了“肉雞”����,利用物聯(lián)網(wǎng)設(shè)備進行UDP反射攻擊的攻擊方式越來越多,這給取證帶來了更大的難題����。
《威脅報告》顯示,2019年DDoS攻擊次數(shù)相較于2018年出現(xiàn)小幅回落趨勢�,但大流量攻擊依然突出;海外DDoS威脅大幅增長����,2019年,海外攻擊占比達到15%�,相較于2018年幾乎翻倍。
目前�,已經(jīng)落網(wǎng)的較為知名的黑客包括騎士攻擊小組以及暗夜攻擊小組。其中�����,騎士攻擊小組于2010年落網(wǎng)���,據(jù)公開報道顯示其在落網(wǎng)時收益已經(jīng)達到1億元����。而暗夜攻擊小組則是騎士之后國內(nèi)最知名的黑客團隊之一,案發(fā)當時擁有國內(nèi)近半的DDoS攻擊份額���。
“暗夜小組能在非常短的時間內(nèi)組織起極高流量的DDoS攻擊���,隨時對不特定目標發(fā)起進攻,這是非?���?膳碌摹?rdquo;肖薇告訴記者�,“這樣規(guī)模的攻擊需要上下游各環(huán)節(jié)結(jié)合起來才能實現(xiàn)。例如‘暗夜’背后有雇主提供資金和指定目標��,外部有‘肉雞’控制者為其提供流量��,‘暗夜’自身也有組織分工:有負責(zé)日常管理的���,有專門收購攻擊流量和‘測墻’的�,有分析IP和操控‘肉雞’攻擊的�,有負責(zé)軟件調(diào)試和電腦維護的,有負責(zé)轉(zhuǎn)賬洗錢的�,還有負責(zé)后勤服務(wù)的。所有這些人在DDoS攻擊中起到的作用各不相同���,有一些人甚至相互都不認識��。”
“戰(zhàn)神”告訴記者��,目前打擊DDoS攻擊很難�,因為“國內(nèi)運營商要配合中國公安����,可溯源放大攻擊必須要國外運營商配合,國外運營商不太可能完全配合中國公安����。”
在肖薇看來,對DDoS攻擊的打擊難點在于����,一是在客觀無法完整溯源的情況下,每一次攻擊與損害結(jié)果間難以確立一一對應(yīng)的因果關(guān)系����;二是僅從法律規(guī)定的“直接經(jīng)濟損失”和“修復(fù)的必要費用”評價,無法客觀反映出網(wǎng)絡(luò)攻擊給云服務(wù)商和網(wǎng)絡(luò)秩序造成的實際損害�����;三是當前主流的云服務(wù)普遍采用前置防護的方式維護網(wǎng)絡(luò)安全,這一部分成本投入無法映射至經(jīng)濟損失中�,令案件難以達到入罪標準。此外����,高隱蔽性和跨境化是當前DDoS攻擊的普遍特征,這也為開展案件打擊�、取證固證都帶來了極大的挑戰(zhàn)。
此外����,相對于造成的破壞,目前國內(nèi)對網(wǎng)絡(luò)攻擊案例的判罰大多只在一至二年�����。如最高檢公布的關(guān)于暗夜小組的指導(dǎo)性案例中�,11名被告人最終因破壞計算機信息系統(tǒng)案被分別判處有期徒刑一年至二年不等。
有游戲行業(yè)從業(yè)者認為��,相對于黑客行為造成的破壞�,判一至二年的結(jié)果“非常輕”,“服務(wù)器崩潰會直接影響用戶體驗����,一些黑客專門挑在線人數(shù)最多的時候攻擊�,造成用戶無法登錄�����,最后導(dǎo)致用戶流失��,這給我們造成的損失無法估量�����。”
對此���,有法律界人士對新京報記者表示,破壞計算機信息系統(tǒng)罪處五年以下有期徒刑或者拘役�;后果特別嚴重的,處五年以上有期徒刑�。根據(jù)國家規(guī)定,造成十臺以上計算機不能正常運行的屬于“后果嚴重”�,但目前在云服務(wù)的背景下,已經(jīng)不能按照十臺���、百臺來計算�����,因此����,適時更新與黑客攻擊有關(guān)的法律法規(guī)勢在必行。(記者 羅亦丹 編輯 李薇佳 校對 李世輝)
