黑客为炫耀自己的技术篡改知名软件 控制67万台电脑非法牟利600万元
日前杭州公安公布打击涉网违法犯罪暨净网2019专项行动的战果 , 而且这次通报竟然还涉及知名软件PHPStudy。
PHP Study是国内知名的免费PHP调试环境程序集成包,供从业人员学习同时也可以部署到远程服务器运行业务。
也正是如此国内大量PHP从业者和学习者接触或安装过PHP Study,万万没想到这款知名软件已被植入后门程序。
那么黑客篡改PHP Study并植入后门程序这么久又是怎么被发现的呢?这还要从杭州公安西湖分局接到报案说起。
2018年12月4日杭州市西湖区公安分局网警大队接到某公司员工报案称该公司 20 多台计算机被执行危险的命令。
该公司的这些计算机疑似遭到非法远程控制并且有匿名用户正在抓取这些计算机里存放的账号密码等敏感类数据。
接到报案后西湖网警立即立案侦查并在杭州市公安局网警分局的牵头组织下,针对这次的计算机犯罪成立专案组。
专案组民警通过技术溯源查明数据回传信息种类、原理方法及存储位置,同时聘请鉴定机构对后门进行司法鉴定。
鉴定结果显示这个后门程序具有控制计算机的功能,犯罪嫌疑人通过远程控制计算机下载运行脚本收集敏感资料。
经过分析后专案组民警确定这个后门程序就藏身于PHP Study中,而这款软件已被国内大量从业者下载安装使用。
在后续侦查中网警追查溯源最终确定主要犯罪嫌疑人马某、杨某以及周某,并且确定他们有大量来源不明的收入。
2019年1月4日~5日杭州网警分赴陵水县、成都、重庆、广州抓获马某、杨某、谭某以及周某等 7 名犯罪嫌疑人。
抓获现场还缴获大量涉案物品并在犯罪嫌疑人的电子设备中找到直接犯罪证据如远程控制工具和相关的数据资料。
据统计犯罪嫌疑人非法控制的计算机高达 67 万台 , 非法获取账号密码类、聊天数据类及设备码类数据10万余组。
出乎意料的是网警审查犯罪嫌疑人后得知,马某在 2016 年编写这个后门程序本身只是虚荣心作怪为了炫耀技术。
马某编写后门程序后又非法入侵PHP Study网站篡改软件安装包,于是后门程序通过该软件被全国大量用户安装。
专案组侦查发现马某等人通过对盗取数据的分析得到多个境外网站管理后台账号密码并修改服务器数据实施勒索。
通过这种方式进行勒索诈骗最终让马某等人非法牟利高达600 万元,非法收入由马某、杨某及周某等人进行瓜分。
虽然犯罪嫌疑人已经被抓获但难说PHP Study的开发商是否干净,西湖网警也没漏掉这点于是赶赴合肥进行调查。
西湖网警在综合犯罪嫌疑人的供述以及相关客观证据后最终排除PHP Study软件作者以及其所属公司的犯罪嫌疑。
不过由于没有做好外来风险防范导致大量的计算机被感染,因此西湖网警查扣其相关设备并督促对软件进行整改。
在2019年1月 PHPStudy 已经针对相关问题进行修正,建议用户卸载已安装版本并下载升级为PHPStudy最新版。