1月14日，在騰訊公司主辦的主題為“開放共享攜手共治”的2018年守護者計劃大會上，廣東深圳網警對外公布，打掉全國影響力最大的網絡攻擊黑客團伙——“暗夜攻擊小組”，創(chuàng)造了網安部門首例跨境完整打擊黑客攻擊犯罪全鏈條的典范。深圳市公安局網警支隊副支隊長宗成鹍在會上指出，騰訊“守護者計劃”協(xié)助高效開展DDoS攻擊鏈分析、調查取證和溯源分析等工作，為該案破獲提供重要支持。

　　2017年以來，“守護者計劃”升級踐行企業(yè)社會責任，不僅加大反電信網絡詐騙公益宣傳力度，而且加強政企合作，協(xié)助警方直擊網絡黑產威脅源。DDoS網絡攻擊是“守護者計劃”重點打擊的七大網絡黑產威脅源之一，據(jù)了解，此次被消滅掉的“暗夜攻擊小組”曾在DDoS攻擊黑產圈占50%的份額。

　　最大網絡攻擊黑客團伙“暗夜”覆滅歷程

　　今年2月，“守護者計劃”安全團隊監(jiān)測到多起針對網絡云服務的大流量高峰值DDoS攻擊（分布式拒絕服務攻擊），隨即協(xié)助深圳網警調查取證，輸出自身安全能力溯源分析，最終鎖定幕后黑手“暗夜攻擊小組”。

　　據(jù)查，該團伙成員多在境外活動，擁有超過800G的網絡攻擊流量，主要攻擊網絡游戲、第三方支付、視頻直播平臺等，以搶占市場份額牟利。從2015年起，在組織者原某輝帶領下實施網絡攻擊犯罪活動，兩年時間發(fā)展成為國內影響力最大的DDoS黑客團伙。

　　案情上報并得到中央及公安部指示后，深圳市副市長、公安局長徐文海迅速組織精干警力成立專案組，聯(lián)合“守護者計劃”、國家計算機網絡應急技術處理協(xié)調中心廣東分中心等力量，迅速查清了該團伙的組織架構和犯罪事實。該團伙為逃避打擊，在老撾、泰國、柬埔寨多地流竄，銷毀證據(jù)。專案組在4月至9月期間兩赴柬埔寨，先后抓獲原某輝等十余名犯罪嫌疑人，查獲涉案車輛、筆記本電腦、手機及銀行卡等物證一批，徹底摧毀了該犯罪團伙。

圖為跨境抓捕DDoS攻擊犯罪嫌疑人

　　同時，警方連帶破獲了廣州、成都、黃石、青島等地接報的一批社會影響惡劣的黑客攻擊案件，通過該案發(fā)起了全國打擊DDoS網絡攻擊黑產鏈條的集群戰(zhàn)役，抓獲其他犯罪嫌疑人42名。

　　技術賦能成為破獲網絡攻擊專案重要因素

　　近年來，新型網絡違法犯罪呈現(xiàn)技術化、產業(yè)化、專業(yè)化趨勢，隱蔽性加強，破獲難度增大，以技術對抗技術成為重要破局手段。深度參與本案的“守護者計劃”安全團隊，擁有最先進的網絡安全能力和大數(shù)據(jù)偵查技術。

　　騰訊安全聯(lián)合實驗室旗下的科恩、玄武、湛瀘、云鼎、反病毒、反詐騙、移動安全七大實驗室，專注安全技術研究及安全攻防體系搭建。在本次案件當中，云鼎實驗室發(fā)揮了重要作用。

　　今年一季度，云鼎實驗室發(fā)現(xiàn)騰訊云上業(yè)務尤其是游戲類業(yè)務遇到DDoS瘋狂攻擊，單日攻擊流量峰值達到462G。經過跟進分析攻擊手法、攻擊時長、流量波形、源IP等要素，反向定位宿主主機、控制端，在過程中由于黑客技術老道、可能存在境外主機等因素，給溯源工作增加難度。

　　經過不斷的復盤分析，最終在一臺控制端服務器上發(fā)現(xiàn)可以線索并定位到證據(jù)所在。此證據(jù)在后續(xù)的團伙人員定位分析、關聯(lián)產業(yè)鏈分析、公安抓捕及定罪的依據(jù)上都起到了關鍵證據(jù)的作用。同時，云鼎實驗室和其它部門協(xié)作，通過對此黑產團伙的各行為研究，關聯(lián)拓展出了其產業(yè)鏈條的上下游環(huán)節(jié)，從而在技術環(huán)節(jié)徹底打通了整體黑產團伙的全部脈絡。

　　拆解DDoS攻擊黑產結構，守護者計劃全面打擊網絡黑產威脅源

　　在協(xié)助破獲幾起DDoS攻擊犯罪案后，云鼎實驗室分析了該黑色產業(yè)鏈的分工協(xié)作情況及技術利用情況：

　　在DDoS攻擊黑色產業(yè)鏈中，鏈條頂端角色為“發(fā)單人”，即出資并發(fā)出攻擊需求的人，一般是出于打壓競爭對手需要而雇傭黑客對其他同類網站進行攻擊。接到指令并執(zhí)行攻擊的人，稱為“攻擊實施人”，他們當中，有的不懂DDoS攻擊服務器搭建，于是從“肉雞商”和“高帶寬服務器租售者/控制者”手中購買�！叭怆u商”是侵入計算機信息系統(tǒng)的實施人，他們利用后門程序獲得個人計算機和服務器的控制權限，植入木馬，使得這些計算機變成能實施DDoS攻擊的“肉雞”�！案邘�寬服務器租售者/控制者”是擁有服務器控制權限和網絡流量的人，他們有一定技術能力，能夠租用專屬服務器并自行配置攻擊軟件從而獲取流量。

圖為DDoS攻擊黑色產業(yè)鏈

　　在“守護者計劃”發(fā)布的《2017年度網絡黑產威脅源研究報告》中，DDoS攻擊是七大網絡黑產威脅源之一，其高技術性特征以及高度專業(yè)化分工降低了網絡犯罪成本，增加了違法犯罪隱蔽性。而對網絡黑產威脅源的打擊，能夠有效遏制網絡黑產發(fā)展。據(jù)了解，在“暗夜攻擊小組”被打掉當月，DDoS攻擊頻次環(huán)比下降86%。

　　2017年以來，“守護者計劃”以全面打擊網絡黑產威脅源為抓手，協(xié)助各地警察機關破獲新型網絡違法犯罪案件160起，抓獲相關人員約3800人，涉案資金近32億元，有力地維護我國網絡空間安全。