警钟长鸣

郑州登封警方侦破一起新型DDOS黑客网络犯罪案

2019-06-21 航天蓝西 324

抓获犯罪嫌疑人

正在访问的网页突然打不开,学生无法在线进行报名缴费,购物网页“离奇”丢失,支付贷款被迫中断……“黑手”背后究竟隐藏着一个怎样的神秘组织?近日,登封警方根据“净网2019”行动要求,经过不断侦查,将幕后的8名犯罪嫌疑人全部抓捕归案,2019年5月份,8名犯罪嫌疑人以“破坏计算机信息系统罪”分别被判处一至五年不等有期徒刑。目前,这起由河南省公安厅督办,郑州登封市公安局主办的新型黑客网络犯罪案件成功告破。

一教育培训机构紧急报警

2018年5月初,登封市公安局网警大队接到登封市一医学教育培训机构总部负责人(来自于北京的一家医学教育培训机构)的报案,称该教育机构网站自2017年11月份以来,不间断的遭受攻击,被大量的国外不特定IP访问,造成网络瘫痪,学员无法通过网站进行视频学习、网络缴费等,教育机构损失惨重。

登封网警迅速对该案件展开侦查,通过分析攻击日志寻找蛛丝马迹,在被害人所使用服务器阿里专案团队的协助下,发现这些流量异常的网页端实际上是一个大型的黑客攻击网络平台,专门为大量有需要的攻击手提供最新型的DDoS攻击模式,该攻击模式操作简单,威力强大,造成的后果以及带来的损失不可估量。

黑客网页端网络攻击平台浮出水面

2018年5月30日,该团伙第一名犯罪嫌疑人在河南商丘落网,随着嫌疑人的逐步到案,该案件疑云开始慢慢浮出水面,案件缘由为教育培训行业恶意竞争,为了打压同行业的竞争对手,金主高价雇佣黑客对国内多家教育培训机构实施网络攻击,在培训行业报名高峰期,出现多家医疗培训机构网站瘫痪,损失惨重,受害人涉及全国多个省份。

同时,全网最新、最流行的DDoS反射放大攻击、NTP Flood、SSDP Flood、DNS Flood,以及SYN Flood和HTTP Flood,利用高性能缓存系统(memchached)的新型DDoS攻击手段的黑客网页端网络攻击平台浮出水面。

据网警介绍,DDoS攻击经过近二十年的演变沿用至今,以其成本较低、效果显著、影响深远为攻击者所青睐。Memcached反射攻击的危害程度远远高于其他反射攻击类型,它能够实现51,000倍的放大效果,也就是可制造5万倍垃圾流量堵瘫网络,利用这个特点,攻击者可以用非常少的带宽即可发起流量巨大的DDoS攻击。

神秘组织背后的“秘密”

2018年6月6日,登封市公安局组织抽调精干警力成立专案组对该案件进行侦查,期间,河南省公安厅网警总队和郑州市公安局网警支队领导多次到登封市指导案件侦办工作。经过两个多月缜密侦查,在阿里专案团队的协助下,专案组摸清了这一神秘组织背后的"秘密"。

网页端DDOS攻击平台基本构架为通过购买境外的发包机器,搭建各自的DDOS攻击平台,通过刷百度排名推广DDOS服务,吸引金主寻找黑客攻击目标服务器,黑客再通过该团伙提供的页端进行注册,从第三方卡密平台购买相应的攻击套餐服务,通过平台发送攻击目标的伪IP指令到境外发包机实施DDOS攻击服务。

警方调查发现,该团伙有着自己的技术团队,研发全网最新memcached反射放大攻击模式,主要以收取费方式为他人攻击网络目标和提供网络攻击工具。

2018年11月9日晚,随着全国最为流行的新型DDOS黑客网络犯罪案主要嫌疑人在湖北落网,该案一共摧毁黑客攻击平台1个,抓获主要犯罪嫌疑人8人,攻击日志百万余条。

目前,案件涉及外围“DDOS黑产”线索正在进一步侦办中,下一步郑州登封警方将对该案件扩大范围,力争摧毁整个黑色产业链。(登封市公安局杨红晓供稿)